Шість стадій життєвого циклу кібератаки

Традиційним підходом до кібербезпеки було використання стратегії, орієнтованої на профілактику, орієнтованої на блокування атак. Хоча це і важливо, але багато сучасних та мотивованих акторів загроз обходять захист, що базується на периметрі, креативними, крадькими, цілеспрямованими та стійкими атаками, які часто залишаються не виявленими протягом значного періоду часу.

У відповідь на недоліки стратегій безпеки, орієнтованих на запобігання, та виклики забезпечення все більш складного ІТ-середовища, організації повинні перенаправляти свої ресурси та концентруватися на стратегіях, зосереджених на виявленні та реагуванні на загрози. Команди охорони, які можуть скоротити середній час виявлення (MTTD) та середній час реагування (MTTR), можуть зменшити ризик зазнати сильного кіберициденту або порушення даних.

На щастя, високоефективних кіберінцидентів можна уникнути, якщо швидко виявити та швидко реагувати на наскрізні процеси управління загрозами. Коли хакер націлює середовище, процес розгортається від початкового вторгнення до можливого порушення даних, якщо цей актор загрози залишається невизначеним. Сучасний підхід до кібербезпеки вимагає зосередження уваги на зменшенні МТТД та МТТР, коли загрози виявляються та вбиваються на початку їх життєвого циклу, тим самим уникаючи наслідків та витрат за течією.

Етапи життєвого циклу кібератаки

Типовими етапами, пов’язаними з порушенням, є:

Фаза 1: Розвідка - Перший етап - виявлення потенційних цілей, які задовольняють місію зловмисників (наприклад, фінансова вигода, цільовий доступ до конфіденційної інформації, збиток бренду). Як тільки вони визначають, які захисні засоби існують, вони вибирають свою зброю, будь то експлойт нульового дня, фішинг-фішинг, підкуп працівника чи інший.

Фаза 2: Початковий компроміс - Початковий компроміс зазвичай у формі хакерів в обхід периметру захисту та отримання доступу до внутрішньої мережі через скомпрометовану систему або обліковий запис користувача.

Фаза 3: Командування та управління - Порушений пристрій потім використовується як плацдарм в організації. Як правило, це передбачає завантаження та встановлення трояна з віддаленим доступом (RAT), щоб вони могли встановити стійкий, довгостроковий віддалений доступ до вашого середовища.

Фаза 4: Бічний рух - Як тільки зловмисник встановить зв’язок із внутрішньою мережею, він намагається скомпрометувати додаткові системи та облікові записи користувачів. Оскільки зловмисник часто видає себе за уповноваженого користувача, важко побачити докази їх існування.

Етап 5: досягнення цілі - На цьому етапі зловмисник, як правило, має кілька точок віддаленого доступу та може скомпрометувати сотні (або навіть тисячі) внутрішніх систем та облікових записів користувачів. Вони глибоко розуміють аспекти ІТ-середовища і перебувають у межах досяжності своїх цілей.

Етап 6: ексфільтрація, корупція та зриви - Завершальний етап - це те, коли вартість бізнесу зростає в геометричній прогресії, якщо атаку не перемогти. Це коли зловмисник виконує останні аспекти своєї місії, викрадаючи інтелектуальну власність або інші конфіденційні дані, псуючи критично важливі системи та взагалі порушуючи діяльність вашого бізнесу.

Здатність виявляти та реагувати на загрози на ранніх етапах є ключем до захисту мережі від масштабного впливу. Чим раніше атака буде виявлена та пом'якшена, тим меншою буде кінцева вартість бізнесу. Щоб зменшити MTTD і MTTR, потрібно впровадити наскрізний процес виявлення та реагування, який називається управлінням життєвим циклом загроз (TLM).

Управління життєвим циклом загрози

Управління життєвим циклом загроз - це низка узгоджених можливостей та процесів операцій безпеки, які починаються з можливості широко і глибоко бачити ІТ-середовище, а закінчуються можливістю швидко пом'якшити ситуацію та відновити її після аварії безпеки.

Перш ніж будь-яку загрозу вдасться виявити, докази нападу в ІТ-середовищі повинні бути видимими. Загрози націлені на всі аспекти ІТ-інфраструктури, тому чим більше ви бачите, тим краще ви можете виявити. Існує три основних типи даних, на які слід звертати увагу, як правило, у наступному пріоритеті; дані про події безпеки та тривоги, дані журналу та машини, дані криміналістичного датчика.

Хоча дані про події та сигнали тривоги, як правило, є найціннішим джерелом даних для команди охорони, швидке визначення того, на які події чи сигнали слід зосередитися, може бути складним завданням. Дані журналу можуть забезпечити більш глибоке уявлення про ІТ-середовище, щоб проілюструвати, хто що робив, коли і де. Як тільки організація ефективно збирає дані своїх журналів безпеки, криміналістичні датчики можуть забезпечити ще глибшу та ширшу видимість.

Після встановлення видимості компанії можуть виявляти загрози та реагувати на них. Виявлення потенційних загроз здійснюється завдяки поєднанню пошукової та машинної аналітики. Виявлені загрози повинні швидко кваліфікуватися, щоб оцінити потенційний вплив на бізнес та терміновість заходів реагування. Коли інцидент кваліфікований, слід застосовувати пом’якшувальні дії, спрямовані на зменшення та врешті усунення ризику для бізнесу. Після того, як інцидент буде нейтралізований і ризик для бізнесу буде контрольований, можна буде розпочати повне відновлення.

Інвестуючи в управління життєвим циклом загроз, значно зменшується ризик пошкодити кіберінцидент або порушення даних. Незважаючи на те, що існуватимуть внутрішні та зовнішні загрози, ключ до управління їх впливом у навколишньому середовищі та зменшення ймовірності дорогих наслідків полягає у швидшому виявленні та реагуванні на можливості.