Стъпки от веригата за кибер убийства

Кибер убийствена верига

Веригата за кибер убийства (CKC) е традиционен модел за сигурност, който описва сценарий от старата школа, външен нападател, който предприема стъпки, за да проникне в мрежата и да открадне неговите данни, разбиващи стъпките за атака, за да помогне на организациите да се подготвят. CKC е разработен от екип, известен като екип за отговор на компютърната сигурност. Веригата за кибер убийства описва атака от външен нападател, който се опитва да получи достъп до данни в периметъра на защитата

Всеки етап от веригата за кибер убийства показва конкретна цел заедно с тази на нападателя. Създайте своя план за наблюдение и реагиране на веригата за убийства на Cyber ​​Model е ефективен метод, тъй като той се фокусира върху това как се случват атаките. Етапите включват:

• Разузнаване
• Оръжие
• Доставка
• Експлоатация
• Инсталация
• Командване и контрол
• Действия върху целите

Сега ще бъдат описани стъпките от веригата за кибер убийства:

Стъпка 1: разузнаване

Включва събирането на имейл адреси, информация за конференцията и др. Разузнавателната атака означава, че това е усилие на заплахите да се съберат данните за мрежовите системи колкото е възможно повече, преди да се започнат други по-истински враждебни видове атаки. Разследващите нападатели биват два вида пасивно разузнаване и активно разузнаване. Атакуващият разпознаване се фокусира върху „кой“ или мрежа: Кой вероятно ще се съсредоточи върху привилегированите хора или за достъп до системата, или достъпът до поверителни данни „Мрежа“ се фокусира върху архитектурата и оформлението; инструмент, оборудване и протоколи; и критичната инфраструктура. Разберете поведението на жертвата и нахлуйте в къща за жертвата.

Стъпка 2: Оръжие

Доставяйте полезен товар чрез свързване на експлойти със задна врата.

След това атакуващите ще използват сложни техники, за да реинженерират някои ядрени зловредни програми, които отговарят на техните цели. Злонамереният софтуер може да използва неизвестни досега уязвимости, известни още като експлойти с „нулев ден“, или някаква комбинация от уязвимости, за да победи тихо защитата на мрежата, в зависимост от нуждите и способностите на атакуващия. Чрез реинженеринг на зловредния софтуер хакерите намаляват шансовете традиционните решения за сигурност да го открият. „Хакерите са използвали хиляди интернет устройства, които са заразени преди това със зловреден код - известен като„ ботнет “или, на шега,„ зомби армия “- принуждавайки особено мощно разпределено отказване на услугата Angriff (DDoS).

Стъпка 3: Доставка

Атакуващият изпраща на жертвата злонамерен товар с имейл, което е само един от многото, които атакуващият може да използва методи за проникване. Има над 100 възможни метода за доставка.

Мишена:
Нападателите започват проникване (оръжия, разработени в предишната стъпка 2). Основните два метода са:

• Контролирана доставка, която представлява директна доставка, хакване на Open Port.
• Доставката се освобождава на противника, който предава зловредния софтуер на целта чрез фишинг.

Този етап показва първата и най-значима възможност за защитниците да възпрепятстват операция; въпреки това, някои ключови възможности и друга високо ценена информация на данните се побеждават чрез това. На този етап измерваме жизнеспособността на опитите за частично проникване, които са възпрепятствани в точката на транспортиране.

Стъпка 4: Експлоатация

След като нападателите идентифицират промяна във вашата система, те използват слабостта и изпълняват атаката си. По време на етапа на експлоатация на атаката нападателят и хост машината са компрометирани Механизмът за доставка обикновено предприема една от двете мерки:

• Инсталирайте зловредния софтуер (капкомер), който позволява изпълнението на командата на нападателя.
• Инсталирайте и изтеглете зловреден софтуер (изтегляне)

През последните години това се превърна в област на опит в хакерската общност, която често се демонстрира на събития като Blackhat, Defcon и други подобни.

Стъпка 5: Инсталиране

На този етап инсталирането на троянски конзола за отдалечен достъп или задната врата на системата на жертвата позволява на претендента да поддържа постоянство в околната среда. Инсталирането на зловреден софтуер върху актива изисква участие на крайния потребител, като неволно разреши злонамерения код. В този момент действието може да се разглежда като критично. Техника за това би била да се приложи система за предотвратяване на проникване, базирана на хост (HIPS), за да се осигури предпазливост или да се постави бариера за общите пътища, например. Работа на NSA, РЕЦИКЛЕР. Разбирането дали зловредният софтуер изисква привилегии от администратора или само от потребителя, за да изпълни целта, е от решаващо значение. Защитниците трябва да разбират процеса на одит на крайната точка, за да разкрият необичайни създания на файлове. Те трябва да знаят как да компилират времето за злонамерен софтуер, за да определят дали е старо или ново.

Стъпка 6: Командване и управление

Ransomware използва Connections за контрол. Изтеглете ключовете за криптиране, преди да конфискувате файловете. Отдалеченият достъп на троянски коне, например, отваря команда и контролира връзката, така че да можете да се обърнете към системните си данни отдалечено. Това дава възможност за непрекъсната свързаност с околната среда и детективска активност на защитата.

Как работи?

Планът за командване и управление обикновено се изпълнява чрез маяк извън мрежата над разрешения път. Маяците приемат много форми, но те са склонни да бъдат в повечето случаи:

HTTP или HTTPS

Изглежда доброкачествен трафик чрез фалшифицирани HTTP заглавки

В случаите, когато комуникацията е криптирана, маяците са склонни да използват автоматично подписани сертификати или персонализирано криптиране.

Стъпка 7: Действия върху целите

Действието се отнася до начина, по който нападателят достига крайната си цел. Крайната цел на нападателя може да бъде всичко, за да извлече откуп от вас, за да дешифрира файлове в информация за клиенти от мрежата. В съдържанието последният пример може да спре разпространението на решения за предотвратяване на загуба на данни, преди данните да напуснат вашата мрежа. В противен случай атаките могат да се използват за идентифициране на дейности, които се отклоняват от зададените базови линии и да уведомят ИТ, че нещо не е наред. Това е сложен и динамичен процес на нападение, който може да се осъществи за месеци и стотици малки стъпки за изпълнение. След като този етап бъде идентифициран в дадена среда, е необходимо да се започне изпълнението на изготвените планове за реакция. Най-малкото трябва да се планира приобщаващ комуникационен план, който включва подробни доказателства за информация, която трябва да бъде предоставена на най-високопоставения служител или административен съвет, разполагане на устройства за защита на крайни точки за блокиране на загубата на информация и подготовка за кратко група CIRT. Наличието на тези ресурси добре установени преди време е „ЗАДЪЛЖИТЕЛНО“ в днешния бързо развиващ се пейзаж на заплахата за киберсигурност.