Cyber kill-kæde
Cyber kill-kæden (CKC) er en traditionel sikkerhedsmodel, der beskriver et old-school-scenarie, hvor en ekstern angriber tager skridt til at trænge ind i et netværk og stjæle dens data, nedbryde angrebstrinene for at hjælpe organisationer med at forberede sig. CKC er udviklet af et team kendt som computersikkerhedsteamet. Cyber kill-kæden beskriver et angreb fra en ekstern angriber, der forsøger at få adgang til data inden for sikkerhedsområdet
Hvert trin i cyberdrabskæden viser et specifikt mål sammen med angriberen Way. Design din cybermodel, der dræber kædeovervågning og reaktionsplan er en effektiv metode, da den fokuserer på, hvordan angrebene sker. Stadier inkluderer:
- Rekognoscering
- Våbenisering
- Levering
- Udnyttelse
- Installation
- Kommando og kontrol
- Handlinger på mål
Trin i cyber kill-kæden vil nu blive beskrevet:
Trin 1: Rekognoscering
Det inkluderer høst af e-mail-adresser, information om konferencen osv. Rekognosceringsangreb betyder, at det er en trusselsanstrengelse at afhente data om netværkssystemer så meget som muligt, før man starter andre mere ægte fjendtlige slags angreb. Rekognosceringsangribere er af to typer passiv rekognoscering og aktiv rekognoscering. Anerkendelsesattacker fokuserer på "hvem" eller netværk: Hvem vil sandsynligvis fokusere på de privilegerede mennesker enten til systemadgang, eller adgang til "Netværk" fortrolige data fokuserer på arkitektur og layout; værktøj, udstyr og protokoller og den kritiske infrastruktur. Forstå ofrets opførsel, og bryd ind i et hus for offeret.
Trin 2: Våbenisering
Lever nyttelast ved at koble udnyttelse med en bagdør.
Dernæst vil angribere bruge sofistikerede teknikker til at omkonstruere nogle kernemalware, der passer til deres formål. Malware kan udnytte tidligere ukendte sårbarheder, også kaldet "zero-day" -udnyttelser eller en kombination af sårbarheder for stille at besejre forsvaret i et netværk afhængigt af angriberens behov og evner. Ved at genudvikle Malware reducerer angribere chancerne for, at traditionelle sikkerhedsløsninger opdager det. “Hackerne brugte tusindvis af internet-enheder, der tidligere er inficeret med en ondsindet kode - kendt som et“ botnet ”eller, sjovt, en“ zombiehær ”- der tvinger en særlig kraftig distribueret benægtelse af Service Angriff (DDoS).
Trin 3: Levering
Angriberen sender offeret ondsindet nyttelast ved hjælp af e-mail, hvilket kun er en af mange, angriberen kan anvende indbrudsmetoder. Der er over 100 mulige leveringsmetoder.
Mål:
Angribere starter indtrængen (våben udviklet i det foregående trin 2). De grundlæggende to metoder er:
- Kontrolleret levering, som repræsenterer direkte levering, hacking af en åben havn.
- Levering frigives til modstanderen, som sender Malware til målet ved phishing.
Denne fase viser den første og mest betydningsfulde mulighed for forsvarere til at forhindre en operation; dog er nogle nøglefunktioner og anden højt værdsat information om data besejret ved at gøre dette. På dette trin måler vi levedygtigheden af forsøgene på den fraktionerede indtrængen, som forhindres ved transportpunktet.
Trin 4: Udnyttelse
Når angribere identificerer en ændring i dit system, udnytter de svagheden og udfører deres angreb. Under udnyttelsesfasen af angrebet er angriberen og værtsmaskinen kompromitteret. Leveringsmekanismen tager typisk en af to foranstaltninger:
- Installer Malware (en dropper), som tillader udførelse af angriberkommandoen.
- Installer og download Malware (en downloader)
I de senere år er dette blevet et ekspertiseområde inden for hackersamfundet, der ofte demonstreres ved begivenheder som Blackhat, Defcon og lignende.
Trin 5: Installation
På dette tidspunkt giver installationen af en fjernadgangstrojan eller bagdør på offerets system den udfordrende mulighed for at opretholde udholdenhed i miljøet. Installation af malware på aktivet kræver slutbrugerinddragelse ved uforvarende at aktivere den ondsindede kode. Handling kan ses som kritisk på dette tidspunkt. En teknik til at gøre dette ville være at implementere et værtbaseret indbrudssikringssystem (HIPS) for at give forsigtighed eller lægge en barriere mod fælles stier, for eksempel. NSA Job, RECYCLER. Det er afgørende at forstå, om Malware kræver rettigheder fra administratoren eller bare fra brugeren for at udføre målet. Forsvarere skal forstå slutpunktsrevisionsprocessen for at afdække unormale oprettelser af filer. De har brug for at vide, hvordan man kompilerer malware-timing for at afgøre, om det er gammelt eller nyt.
Trin 6: Kommando og kontrol
Ransomware bruger forbindelser til at kontrollere. Download nøglerne til kryptering, før du griber filerne. Fjernadgang fra trojanske heste åbner for eksempel en kommando og styrer forbindelsen, så du kan nærme dine systemdata eksternt. Dette giver mulighed for kontinuerlig forbindelse til miljøet og detektivet måler aktivitet på forsvaret.
Hvordan virker det?
Kommando- og kontrolplan udføres normalt via et fyrtårn ud af nettet over den tilladte sti. Fyrtårne antager mange former, men de har tendens til at være i de fleste tilfælde:
HTTP eller HTTPS
Virker godartet trafik gennem forfalskede HTTP-overskrifter
I tilfælde, hvor kommunikationen er krypteret, bruger beacons tendens til automatisk signerede certifikater eller tilpasset kryptering.
Trin 7: Handlinger på mål
Handling henviser til den måde, hvorpå angriberen når sit endelige mål. Angriberens ultimative mål kunne være alt at trække en løsesum fra dig til at dekryptere filer til kundeoplysninger fra netværket. I indholdet kan sidstnævnte eksempel stoppe exfiltrering af løsninger til forebyggelse af datatab, før data forlader dit netværk. Ellers kan angreb bruges til at identificere aktiviteter, der afviger fra de fastlagte basislinjer og underrette IT om, at der er noget galt. Dette er en indviklet og dynamisk angrebsproces, der kan finde sted i måneder og hundreder af små trin at udføre. Når dette trin er identificeret i et miljø, er det nødvendigt at igangsætte implementeringen af udarbejdede reaktionsplaner. I det mindste skal der planlægges en inkluderende kommunikationsplan, der involverer detaljeret dokumentation for information, der skal rejses til den højest rangerede embedsmand eller administrationsråd, indsættelse af slutpunktssikkerhedsanordninger for at blokere informationstab og forberedelse til en en CIRT-gruppe. At have disse ressourcer godt etableret på forhånd er et ”MUST” i dagens hurtigt udviklende cybersikkerhedstrussel landskab.