Inside Out Security Blog »Securitatea datelor» Ce este lanțul Cyber ​​Kill și cum să îl utilizați eficient

este

Lanțul uciderii cibernetice este o serie de pași care urmăresc etapele unui atac cibernetic de la primele etape de recunoaștere până la exfiltrarea datelor. Lanțul uciderii ne ajută să înțelegem și să combatem ransomware-ul, încălcările de securitate și atacurile persistente avansate (APT).

Lockheed Martin a derivat cadrul lanțului uciderii dintr-un model militar - inițial stabilit pentru a identifica, pregăti atacul, angajarea și distrugerea țintei. De la începuturile sale, lanțul uciderii a evoluat pentru a anticipa și recunoaște mai bine amenințările din interior, ingineria socială, ransomware-ul avansat și atacurile inovatoare.

Obțineți cartea electronică gratuită pentru testarea stilourilor Active Directory

Cum funcționează lanțul Cyber ​​Kill

Există mai multe etape de bază în lanțul de ucidere cibernetică. Acestea variază de la recunoaștere (adesea prima etapă a unui atac malware) la mișcare laterală (deplasându-se lateral în întreaga rețea pentru a obține acces la mai multe date) la exfiltrarea datelor (scoaterea datelor). Toți vectorii de atac obișnuiți - fie că este vorba de phishing sau forță brută sau cea mai recentă tulpină de malware - declanșează activitate pe lanțul de ucidere cibernetică.

Fiecare etapă este legată de un anumit tip de activitate într-un atac cibernetic, indiferent dacă este vorba de un atac intern sau extern:

Mai jos, vom explora fiecare fază a lanțului de ucidere cibernetică în detaliu.

8 etape ale lanțului Cyber ​​Kill

Fiecare fază a lanțului de ucidere este o oportunitate de a opri un atac cibernetic în desfășurare: cu instrumentele potrivite pentru a detecta și recunoaște comportamentul fiecărei etape, puteți să vă apărați mai bine împotriva unei încălcări a sistemelor sau a datelor.

Recunoaştere

În fiecare furt, trebuie mai întâi să atingeți articulația. Același principiu se aplică și într-un jaf cibernetic: este pasul preliminar al unui atac, misiunea de colectare a informațiilor. În timpul recunoașterii, un atacator caută informații care ar putea dezvălui vulnerabilități și puncte slabe în sistem. Firewall-urile, sistemele de prevenire a intruziunilor, securitatea perimetrului - în zilele noastre, chiar și conturile de pe rețelele sociale - sunt identificate și investigate. Instrumentele de recunoaștere scanează rețelele corporative pentru a căuta puncte de intrare și vulnerabilități care urmează să fie exploatate.

Intruziune

Odată ce ați primit informațiile, este timpul să intrați. Intruziunea are loc atunci când atacul devine activ: atacatorii pot trimite malware - inclusiv ransomware, spyware și adware - la sistem pentru a intra. Aceasta este faza de livrare: ar putea fi livrată prin e-mail de phishing, ar putea fi un site compromis sau o cafenea cu adevărat grozavă de pe stradă, cu acces WiFi gratuit, predispus la hacker. Intruziunea este punctul de intrare pentru un atac, aducând atacatorii înăuntru.

Exploatare

Ești în interiorul ușii și perimetrul este încălcat. Etapa de exploatare a atacului ... ei bine, exploatează sistemul, din lipsa unui termen mai bun. Atacatorii pot intra acum în sistem și pot instala instrumente suplimentare, pot modifica certificate de securitate și pot crea noi fișiere script în scopuri nefaste.

Privilegiul escaladării

Ce rost are să ajungi în clădire, dacă ești blocat în hol? Atacatorii folosesc escaladarea de privilegii pentru a obține un acces sporit la resurse. Tehnicile de escaladare a privilegiilor includ adesea atacuri cu forță brută, predarea vulnerabilităților parolelor și exploatarea vulnerabilităților de zero zile. Vor modifica setările de securitate GPO, fișierele de configurare, vor modifica permisiunile și vor încerca să extragă acreditările.

Miscare laterala

Ai reușit să fugi, dar tot trebuie să găsești seiful. Atacatorii se vor deplasa de la sistem la sistem, într-o mișcare laterală, pentru a obține mai mult acces și pentru a găsi mai multe active. Este, de asemenea, o misiune avansată de descoperire a datelor, în care atacatorii caută date critice și informații sensibile, acces de administrator și servere de e-mail - folosind adesea aceleași resurse ca IT și folosind instrumente încorporate precum PowerShell - și se poziționează pentru a face cele mai multe daune.

Ofuscare (anti-criminalistică)

Puneți camerele de securitate pe o buclă și arătați un lift gol, astfel încât nimeni să nu vadă ce se întâmplă în culise. Atacatorii cibernetici fac același lucru: își ascund prezența și maschează activitatea pentru a evita detectarea și a contracara inevitabila investigație. Acest lucru ar putea însemna ștergerea fișierelor și metadatelor, suprascrierea datelor cu timestampuri false (timestomping) și informații înșelătoare sau modificarea informațiilor critice astfel încât să pară că datele nu au fost niciodată atinse.

Negarea serviciului

Blocați liniile telefonice și opriți rețeaua electrică. Aici atacatorii vizează rețeaua și infrastructura de date, astfel încât utilizatorii legitimi să nu poată obține ceea ce au nevoie. Atacul de refuz de serviciu (DoS) perturbă și suspendă accesul și ar putea prăbuși sistemele și serviciile de inundații.

Exfiltrare

Aveți întotdeauna o strategie de ieșire. Atacatorii primesc datele: vor copia, transfera sau muta date sensibile într-o locație controlată, unde fac cu datele ceea ce vor. Răscumpărați-l, vindeți-l pe eBay, trimiteți-l la wikileaks. Poate dura câteva zile pentru a obține toate datele, dar odată ce acestea sunt scoase, se află sub controlul lor.

The Takeaway

Diferite tehnici de securitate prezintă abordări diferite ale lanțului de ucidere cibernetică - toată lumea, de la Gartner la Lockheed Martin, definește etapele ușor diferit. Modele alternative ale lanțului de ucidere cibernetică combină câțiva pași de mai sus într-o etapă C&C (comandă și control sau C2) și altele într-o etapă „Acțiuni pe obiectiv”. Unii combină mișcarea laterală și escaladarea privilegiilor într-o etapă de explorare; alții combină intruziunea și exploatarea într-o etapă de „punct de intrare”.

Este un model adesea criticat pentru că se concentrează pe securitatea perimetrului și se limitează la prevenirea programelor malware. Cu toate acestea, combinat cu analize avansate și modelare predictivă, lanțul de ucidere cibernetică devine esențial pentru securitatea datelor.

Odată cu defalcarea de mai sus, lanțul de ucidere este structurat pentru a releva starea activă a unei încălcări a datelor. Fiecare etapă a lanțului de ucidere necesită instrumente specifice pentru a detecta atacurile cibernetice, iar Varonis are modele de amenințare pentru a detecta acele atacuri în fiecare etapă a lanțului de ucidere.

Varonis monitorizează atacurile la intrare, ieșire și peste tot între ele. Prin monitorizarea activității externe - cum ar fi VPN, DNS și Proxy, Varonis ajută la protejarea principalelor modalități de a intra și ieși dintr-o organizație. Prin monitorizarea activității fișierelor și a comportamentului utilizatorului, Varonis poate detecta activitatea de atac pe fiecare etapă a lanțului de ucidere - de la atacuri kerberos la comportament malware.

Vrei să-l vezi în acțiune? Vedeți cum Varonis abordează fiecare etapă a lanțului de ucidere într-o demonstrație 1: 1 - și aflați cum puteți preveni și opri atacurile în desfășurare înainte de a se face dauna.

Cu sediul în Brooklyn, NY, Sarah se concentrează pe strategia din spatele rezolvării problemelor de securitate a datelor. A fost în tehnologie de peste 20 de ani, cu experiență în software, hardware și criptografie.