Acest rezumat descrie diferitele etape ale ciclului de viață al atacului cibernetic și discută pașii care ar trebui luați în fiecare etapă pentru a preveni un atac.

Când atacatorii cibernetici își strategizează drumul pentru a se infiltra în rețeaua unei organizații și a exfiltra date, aceștia urmează seria etapelor care cuprind ciclul de viață al atacului. Pentru ca atacatorii să finalizeze cu succes un atac, trebuie să progreseze în fiecare etapă. Blocarea adversarilor în orice moment al ciclului sparge lanțul de atac. Pentru a proteja rețeaua și datele unei companii de atac, trebuie să se prevină în fiecare etapă pentru a bloca capacitatea atacatorilor de a accesa și de a se deplasa lateral în cadrul organizației sau de a fura date sensibile. Următoarele sunt diferitele etape ale ciclului de viață al atacului și pașii care ar trebui luați pentru a preveni un atac în fiecare etapă.

ciclul

1. Recunoaștere: În prima etapă a ciclului de viață al atacului, adversarii cibernetici își planifică cu atenție metoda de atac. Cercetează, identifică și selectează ținte care le vor permite să își îndeplinească obiectivele. Atacatorii adună informații prin surse disponibile publicului, cum ar fi Twitter, LinkedIn și site-uri web corporative. De asemenea, vor căuta vulnerabilități care pot fi exploatate în cadrul rețelei, serviciilor și aplicațiilor țintă, cartografând zonele în care pot profita. În acest stadiu, atacatorii caută puncte slabe bazate pe perspectiva omului și a sistemelor.

  • Efectuați o inspecție continuă a fluxurilor de trafic din rețea pentru a detecta și preveni scanarea porturilor și măturările gazdei.
  • Implementați instruire de conștientizare a securității, astfel încât utilizatorii să fie conștienți de ceea ce ar trebui și nu ar trebui să fie postat - documente sensibile, liste de clienți, participanți la evenimente, roluri și responsabilități ale posturilor (de exemplu, utilizarea instrumentelor de securitate specifice în cadrul unei organizații) etc.

2. Armare și livrare: Atacatorii vor stabili apoi ce metode să utilizeze pentru a furniza sarcini utile rău intenționate. Unele dintre metodele pe care ar putea să le utilizeze sunt instrumente automate, cum ar fi kituri de exploatare, atacuri de tip phishing cu link-uri rău intenționate sau atașamente și malvertizare.

  • Obțineți vizibilitate deplină asupra întregului trafic, inclusiv SSL, și blocați aplicațiile cu risc ridicat. Extindeți acele protecții la dispozitive mobile și la distanță.
  • Protejați-vă împotriva încălcărilor perimetrului prin blocarea site-urilor web rău intenționate sau riscante prin filtrarea adreselor URL.
  • Blocați exploit-urile cunoscute, malware-ul și comunicațiile de comandă și control de intrare utilizând mai multe discipline de prevenire a amenințărilor, inclusiv IPS, anti-malware, anti-CnC, monitorizare și sinkholing DNS și blocarea fișierelor și a conținutului.
  • Detectați malware necunoscut și oferiți în mod automat protecții la nivel global pentru a contracara noi atacuri.
  • Oferiți educație continuă utilizatorilor cu privire la link-uri de tip phishing, e-mailuri necunoscute, site-uri web riscante etc.

3. Exploatare: În această etapă, atacatorii implementează un exploit împotriva unei aplicații sau a unui sistem vulnerabil, folosind de obicei un kit de exploatare sau un document armat. Acest lucru permite atacului să câștige un punct de intrare inițial în organizație.

  • Blocați exploatările de vulnerabilitate cunoscute și necunoscute la final.
  • Oferiți noi protecții la nivel global pentru a contracara atacurile de urmărire.

4. Instalare: Odată ce au stabilit un punct de sprijin inițial, atacatorii vor instala malware pentru a efectua operațiuni ulterioare, cum ar fi menținerea accesului, persistența și escaladarea privilegiilor.

  • Preveniți instalarea de programe malware, cunoscute sau necunoscute, pe terminal, servicii de rețea și cloud.
  • Stabiliți zone securizate cu controale de acces strict impuse de utilizator și asigurați monitorizarea și inspecția continuă a întregului trafic între zone (modelul Zero Trust).
  • Limitați accesul de administrator local al utilizatorilor.
  • Instruiți utilizatorii să identifice semnele unei infecții malware și să știe cum să urmeze dacă apare ceva.

5. Comandă și control: Cu malware instalat, atacatorii dețin acum ambele părți ale conexiunii: infrastructura lor rău intenționată și mașina infectată. Acum pot controla activ sistemul, instruind etapele următoare ale atacului. Atacatorii vor stabili un canal de comandă pentru a comunica și transmite date înainte și înapoi între dispozitivele infectate și propria infrastructură.

  • Blocați comunicațiile de comandă și control de ieșire, precum și încărcarea fișierelor și a modelelor de date.
  • Redirecționați comunicațiile de ieșire rău intenționate către doline interne pentru a identifica și a bloca gazdele compromise.
  • Blocați comunicarea de ieșire către adresele URL rău intenționate cunoscute prin filtrarea adreselor URL.
  • Creați o bază de date cu domenii rău intenționate pentru a asigura conștientizarea și prevenirea globală prin monitorizarea DNS.
  • Limitați capacitatea atacatorilor de a se deplasa lateral cu instrumente și scripturi necunoscute prin implementarea controlului granular al aplicațiilor pentru a permite numai aplicații autorizate.

6. Acțiuni privind obiectivul: Acum, când adversarii au control, persistență și comunicare continuă, ei vor acționa după motivațiile lor pentru a-și atinge scopul. Acest lucru ar putea fi exfiltrarea datelor, distrugerea infrastructurii critice, eliminarea proprietății web sau crearea fricii sau a mijloacelor de extorcare.

  • Vânați în mod proactiv indicatori de compromis în rețea folosind instrumente de intelligence pentru amenințări.
  • Construiți punți între centrul de operațiuni de securitate (SOC) și centrul de operațiuni de rețea pentru a pune în aplicare controalele corecte bazate pe prevenire.
  • Monitorizați și inspectați tot traficul dintre zone și aplicați controalele de acces ale utilizatorilor pentru zonele securizate.
  • Blocați comunicațiile de comandă și control de ieșire, precum și încărcarea fișierelor și a modelelor de date.
  • Blocați comunicarea de ieșire către adresele URL rău intenționate cunoscute prin filtrarea adreselor URL.
  • Implementați controlul granular al aplicațiilor și controlul utilizatorilor pentru a aplica politicile aplicației de transfer de fișiere în cadrul întreprinderii, eliminând tacticile cunoscute de arhivare și transfer și limitând capacitatea atacatorilor de a se deplasa lateral cu instrumente și scripturi necunoscute.

Atacurile avansate sunt foarte complexe, deoarece, pentru ca un adversar să reușească, trebuie să progreseze în fiecare etapă a ciclului de viață al atacului. Dacă nu pot profita cu succes de vulnerabilități, atunci nu pot instala malware și nu vor putea obține comanda și controlul asupra sistemului.

Întreruperea ciclului de viață al atacului se bazează nu numai pe tehnologie, ci și pe oameni și pe proces. Oamenii trebuie să beneficieze de o formare continuă de conștientizare a securității și să fie educați în cele mai bune practici pentru a minimiza probabilitatea ca un atac să progreseze după prima etapă și trebuie să existe procese și politici în vigoare pentru remediere în cazul în care un atacator progresează cu succes pe parcursul întregului ciclu de viață al atacului.

Securitatea cibernetică este un război asimetric - un atacator trebuie să facă totul bine pentru a reuși, dar un apărător al rețelei trebuie să facă un singur lucru corect pentru a preveni un atac, dintre care au multiple oportunități. Pentru a afla mai multe despre întreruperea ciclului de viață al atacului și despre modul în care Palo Alto Networks oferă capabilități de prevenire în fiecare etapă, citiți Breaking the Attack Lifecycle.