Trinn i cyber kill-kjeden

Cyber ​​kill chain

Cyber ​​kill chain (CKC) er en tradisjonell sikkerhetsmodell som beskriver et gammeldags scenario, en ekstern angriper som tar skritt for å trenge gjennom et nettverk og stjele dataene, bryte ned angrepstrinnene for å hjelpe organisasjoner å forberede seg. CKC er utviklet av et team kjent som datasikkerhetsteamet. Nettdrapskjeden beskriver et angrep fra en ekstern angriper som prøver å få tilgang til data innenfor sikkerhetsområdet

Hvert trinn i nettdrapskjeden viser et spesifikt mål sammen med angriperens måte. Design din cybermodell som dreper kjedeovervåking og responsplan er en effektiv metode, da den fokuserer på hvordan angrepene skjer. Stadier inkluderer:

• Rekognosering
• Våpenisering
• Leveranse
• Utnyttelse
• Installasjon
• Kommandere og kontrollere
• Handlinger på mål

Trinn i cyber kill-kjeden vil nå bli beskrevet:

Trinn 1: Rekognosering

Det inkluderer høsting av e-postadresser, informasjon om konferansen osv. Rekognoseringsangrep betyr at det er et trusselsarbeid å plukke opp data om nettverkssystemer så mye som mulig før du starter andre mer ekte fiendtlige angrep. Rekognoseringsangripere er av to typer passiv rekognosering og aktiv rekognosering. Recognition Attacker fokuserer på "hvem" eller nettverk: Hvem vil sannsynligvis fokusere på de privilegerte menneskene enten for systemtilgang, eller tilgang til "nettverk" konfidensielle data fokuserer på arkitektur og layout; verktøy, utstyr og protokoller; og den kritiske infrastrukturen. Forstå offerets oppførsel, og bryt inn i et hus for offeret.

Trinn 2: Våpenisering

Lever nyttelast ved å koble utnyttelser med en bakdør.

Deretter vil angripere bruke sofistikerte teknikker for å omformulere noen kjerneprogrammer som passer deres formål. Malware kan utnytte tidligere ukjente sårbarheter, også kalt “zero-day” utnyttelser, eller en kombinasjon av sårbarheter for å stille beseire forsvaret til et nettverk, avhengig av angriperens behov og evner. Ved å re-konstruere skadelig programvare reduserer angripere sjansene for at tradisjonelle sikkerhetsløsninger oppdager det. "Hackerne brukte tusenvis av internett-enheter som tidligere er infisert med en ondsinnet kode - kjent som et" botnet "eller, spøkende, en" zombiehær "- og tvinger en spesielt kraftig distribuert fornektelse av Service Angriff (DDoS).

Trinn 3: Levering

Angriperen sender offeret skadelig nyttelast ved hjelp av e-post, som bare er en av mange angriperen kan bruke innbruddsmetoder. Det er over 100 mulige leveringsmetoder.

Mål:
Angripere starter innbrudd (våpen utviklet i forrige trinn 2). De to grunnleggende metodene er:

• Kontrollert levering, som representerer direkte levering, hacking av en åpen port.
• Levering frigjøres til motstanderen, som overfører skadelig programvare til målet ved phishing.

Denne fasen viser den første og viktigste muligheten for forsvarere til å hindre en operasjon; Imidlertid blir noen viktige funksjoner og annen høyt verdsatt informasjon om data beseiret ved å gjøre dette. På dette stadiet måler vi levedyktigheten til forsøkene på fraksjonell inntrenging, som hindres ved transportpunktet.

Trinn 4: Utnyttelse

Når angripere identifiserer en endring i systemet ditt, utnytter de svakheten og utfører angrepet. I løpet av utnyttelsesfasen av angrepet er angriperen og vertsmaskinen kompromittert. Leveringsmekanismen vil vanligvis ta ett av to tiltak:

• Installer skadelig programvare (en dropper), som gjør det mulig å utføre angriperkommandoen.
• Installer og last ned skadelig programvare (en nedlasting)

I de siste årene har dette blitt et kompetanseområde innen hackingsamfunnet som ofte demonstreres ved arrangementer som Blackhat, Defcon og lignende.

Trinn 5: Installasjon

På dette stadiet tillater installasjonen av en ekstern trojan eller bakdør på offerets system at konkurrenten kan opprettholde utholdenhet i miljøet. Installering av skadelig programvare på eiendelen krever involvering av sluttbrukere ved uforvarende å aktivere den ondsinnede koden. Handling kan sees på som kritisk på dette punktet. En teknikk for å gjøre dette vil være å implementere et vertsbasert system for forebygging av inntrenging (HIPS) for å være forsiktig eller sette en barriere mot vanlige veier, for eksempel. NSA Job, GJENVINDER. Det er viktig å forstå om skadelig programvare krever rettigheter fra administratoren eller bare fra brukeren for å utføre målet. Forsvarere må forstå sluttpunktsrevisjonsprosessen for å avdekke unormale kreasjoner av filer. De trenger å vite hvordan de kan kompilere timing for skadelig programvare for å avgjøre om den er gammel eller ny.

Trinn 6: Kommando og kontroll

Ransomware bruker Connections for å kontrollere. Last ned nøkkelen til kryptering før du tar i bruk filene. Fjernadgang for trojanere åpner for eksempel en kommando og styrer tilkoblingen slik at du kan nærme deg systemdataene eksternt. Dette muliggjør kontinuerlig tilkobling for miljøet og detektivet måler aktiviteten på forsvaret.

Hvordan virker det?

Kommando- og kontrollplan utføres vanligvis via et fyrtårn ut av rutenettet over den tillatte stien. Beacons tar mange former, men de pleier å være i de fleste tilfeller:

HTTP eller HTTPS

Virker godartet trafikk gjennom forfalskede HTTP-overskrifter

I tilfeller der kommunikasjonen er kryptert, har beacons en tendens til å bruke autosignerte sertifikater eller tilpasset kryptering.

Trinn 7: Handlinger på mål

Handling refererer til måten angriperen oppnår sitt endelige mål på. Angriperens endelige mål kan være hva som helst å hente ut en løsepenger fra deg for å dekryptere filer til kundeinformasjon fra nettverket. I innholdet kan det sistnevnte eksemplet stoppe exfiltrering av løsninger for å forhindre tap av data før data forlater nettverket ditt. Ellers kan angrep brukes til å identifisere aktiviteter som avviker fra angitte grunnlinjer og varsle IT om at noe er galt. Dette er en intrikat og dynamisk overgrepsprosess som kan finne sted i måneder og hundrevis av små trinn å utføre. Når dette stadiet er identifisert i et miljø, er det nødvendig å starte implementeringen av utarbeidede reaksjonsplaner. I det minste bør det planlegges en inkluderende kommunikasjonsplan, som involverer detaljert bevis på informasjon som skal reises til den høyest rangerte tjenestemannen eller administrasjonsstyret, distribusjon av sikkerhetsinnretninger for endepunkter for å blokkere tap av informasjon, og forberedelsen til å orientere en CIRT-gruppe. Å ha disse ressursene godt etablert på forhånd er et “MUST” i dagens raskt utviklende cybersikkerhetsrisiko.