stringtranslate.com

Киберцепочка убийств

Цепочка действий по устранению вторжений для обеспечения информационной безопасности [1]

Киберцепочка убийств — это процесс, с помощью которого преступники осуществляют кибератаки. [2] Lockheed Martin адаптировала концепцию « цепочки убийств» из военной сферы в информационную безопасность , используя ее как метод моделирования вторжений в компьютерную сеть . [3] Модель «цепочки убийств» получила некоторое распространение в сообществе специалистов по информационной безопасности. [4] Однако ее принятие не является всеобщим, и критики указывают на то, что, по их мнению, является фундаментальными недостатками модели. [5]

Фазы атаки и контрмеры

Ученые-компьютерщики из корпорации Lockheed-Martin описали новую структуру или модель «intrusion kill chain» для защиты компьютерных сетей в 2011 году. [6] Они написали, что атаки могут происходить поэтапно и могут быть прерваны с помощью элементов управления, установленных на каждом этапе. С тех пор «cyber kill chain» была принята организациями по безопасности данных для определения этапов кибератак . [7]

Цепочка кибер-убийств раскрывает фазы кибератаки : от ранней разведки до цели эксфильтрации данных . [8] Цепочка кибер-убийств также может использоваться как инструмент управления для постоянного улучшения защиты сети. Согласно Lockheed Martin, угрозы должны проходить через несколько фаз в модели, включая:

  1. Разведка: Злоумышленник выбирает цель, исследует ее и пытается выявить уязвимости в целевой сети.
  2. Использование в качестве оружия: злоумышленник создает вредоносное ПО с удаленным доступом, например вирус или червь, предназначенное для использования одной или нескольких уязвимостей.
  3. Доставка: Злоумышленник передает оружие цели (например, через вложения электронной почты, веб-сайты или USB-накопители)
  4. Эксплуатация: активируется программный код вредоносного ПО, который выполняет действие в целевой сети для эксплуатации уязвимости.
  5. Установка: Вредоносное ПО устанавливает точку доступа (например, «бэкдор»), которую может использовать злоумышленник.
  6. Управление и контроль: вредоносное ПО позволяет злоумышленнику иметь постоянный доступ к целевой сети, не отрывая рук от клавиатуры.
  7. Действия по достижению цели: Злоумышленник предпринимает действия для достижения своих целей, такие как кража данных , уничтожение данных или шифрование с целью получения выкупа .

Защитные действия могут быть предприняты против следующих фаз: [9]

  1. Обнаружение: определение присутствия злоумышленника.
  2. Запретить: предотвратить раскрытие информации и несанкционированный доступ.
  3. Нарушение: остановка или изменение исходящего трафика (к злоумышленнику).
  4. Ухудшение: командования и управления контратакой.
  5. Обманывать: вмешиваться в управление и контроль.
  6. Содержит: изменения сегментации сети

Расследование Сенатом США утечки данных Target Corporation в 2013 году включало анализ, основанный на структуре цепочки убийств Lockheed-Martin. Он выявил несколько этапов, на которых средства контроля не предотвращали и не обнаруживали развитие атаки. [1]

Альтернативы

Различные организации создали свои собственные цепочки уничтожения, чтобы попытаться смоделировать различные угрозы. FireEye предлагает линейную модель, похожую на модель Lockheed-Martin. В цепочке уничтожения FireEye подчеркивается постоянство угроз. Эта модель подчеркивает, что угроза не заканчивается после одного цикла. [10]

  1. Разведка: Это начальная фаза, на которой злоумышленник собирает информацию о целевой системе или сети. Это может включать сканирование уязвимостей, исследование потенциальных точек входа и выявление потенциальных целей внутри организации.
  2. Первоначальное вторжение: как только злоумышленник соберет достаточно информации, он попытается взломать целевую систему или сеть. Это может включать использование уязвимостей в программном обеспечении или системах, использование методов социальной инженерии для обмана пользователей или использование других методов для получения первоначального доступа.
  3. Установить бэкдор: получив начальный доступ, злоумышленник часто создает бэкдор или постоянную точку входа в скомпрометированную систему. Это гарантирует, что даже если первоначальное нарушение будет обнаружено и устранено, злоумышленник все равно сможет восстановить доступ.
  4. Получить учетные данные пользователя: закрепившись в системе, злоумышленник может попытаться украсть учетные данные пользователя. Это может включать такие методы, как кейлоггерство, фишинг или использование слабых механизмов аутентификации.
  5. Установка различных утилит: Злоумышленники могут устанавливать различные инструменты, утилиты или вредоносное ПО на скомпрометированную систему для облегчения дальнейшего перемещения, сбора данных или контроля. Эти инструменты могут включать трояны удаленного доступа (RAT), кейлоггеры и другие типы вредоносного ПО.
  6. Повышение привилегий / Боковое перемещение / Эксфильтрация данных: Попав внутрь системы, злоумышленник стремится повысить свои привилегии, чтобы получить больший контроль над сетью. Они могут перемещаться по сети, пытаясь получить доступ к более ценным системам или конфиденциальным данным. Эксфильтрация данных подразумевает кражу и передачу ценной информации из сети.
  7. Поддерживать настойчивость: на этом этапе подчеркивается цель злоумышленника поддерживать долгосрочное присутствие в скомпрометированной среде. Они делают это, постоянно избегая обнаружения, обновляя свои инструменты и приспосабливаясь к любым принятым мерам безопасности.

Критика

Среди критических замечаний к модели киберцепочки атак Lockheed Martin как к инструменту оценки и предотвращения угроз заключается в том, что первые фазы происходят за пределами защищаемой сети, что затрудняет выявление или защиту от действий на этих фазах. [11] Аналогичным образом, эта методология, как говорят, усиливает традиционные защитные стратегии, основанные на периметре и предотвращении вредоносного ПО. [12] Другие отметили, что традиционная киберцепочка атак не подходит для моделирования внутренней угрозы. [13] Это особенно проблематично, учитывая вероятность успешных атак, которые нарушают внутренний периметр сети, поэтому организациям «необходимо разработать стратегию борьбы с нападающими внутри брандмауэра. Им нужно думать о каждом нападающем как о потенциальном нападающем». [14]

Единая цепочка убийств

Унифицированная цепочка атак состоит из 18 уникальных фаз атак, которые могут происходить в сложных кибератаках.

Unified Kill Chain была разработана в 2017 году Полом Полсом в сотрудничестве с Fox-IT и Лейденским университетом для преодоления общей критики традиционной киберцепочки убийств путем объединения и расширения kill chain Lockheed Martin и фреймворка ATT&CK MITRE (обе основаны на модели «Get In, Stay In, and Act», созданной Джеймсом Таббервиллем и Джо Вестом). Унифицированная версия kill chain представляет собой упорядоченную организацию 18 уникальных фаз атаки, которые могут происходить в сквозной кибератаке , которая охватывает действия, происходящие вне и внутри защищаемой сети. Таким образом, унифицированная kill chain улучшает ограничения по объему традиционной kill chain и независимую от времени природу тактик в ATT&CK MITRE. Унифицированную модель можно использовать для анализа, сравнения и защиты от сквозных кибератак с помощью современных постоянных угроз (APT). [15] Последующий технический документ по единой цепочке уничтожения был опубликован в 2021 году. [16]

Ссылки

  1. ^ ab "Комитет Сената США по торговле, науке и транспорту - Анализ "цепочки убийств" утечки данных Target 2013 года - 26 марта 2014 г." (PDF) . Архивировано из оригинала (PDF) 6 октября 2016 г.
  2. ^ Скопик и Пахи 2020, стр. 4.
  3. ^ Хиггинс, Келли Джексон (12 января 2013 г.). «Как „Kill Chain“ компании Lockheed Martin остановил атаку SecurID». DARKReading . Архивировано из оригинала 2024-01-19 . Получено 30 июня 2016 г. .
  4. Мейсон, Шон (2 декабря 2014 г.). «Использование Kill Chain для Awesome». DARKReading . Архивировано из оригинала 2024-01-19 . Получено 30 июня 2016 г.
  5. ^ Майерс, Лиза (4 октября 2013 г.). «Практичность подхода Cyber ​​Kill Chain к безопасности». CSO Online . Архивировано из оригинала 19 марта 2022 г. Получено 30 июня 2016 г.
  6. ^ "Lockheed-Martin Corporation-Hutchins, Cloppert, and Amin-Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains-2011" (PDF) . Архивировано (PDF) из оригинала 2021-07-27 . Получено 2021-08-26 .
  7. ^ Грин, Тим (5 августа 2016 г.). «Почему «киберцепочке убийств» нужна модернизация». Архивировано из оригинала 2023-01-20 . Получено 19-08-2016 .
  8. ^ «The Cyber ​​Kill Chain или как я научился не беспокоиться и полюбил утечки данных». 2016-06-20. Архивировано из оригинала 2016-09-18 . Получено 2016-08-19 .
  9. ^ Джон Франко. «Обзор киберзащиты: модели атак» (PDF) . Архивировано (PDF) из оригинала 2018-09-10 . Получено 2017-05-15 .
  10. ^ Ким, Хёб; Квон, Хёкджун; Ким, Кёнгкю (февраль 2019 г.). «Модифицированная модель киберцепочки убийств для сред мультимедийных услуг». Мультимедийные инструменты и приложения . 78 (3): 3153–3170. doi : 10.1007/s11042-018-5897-5 . ISSN  1380-7501.
  11. ^ Лалиберте, Марк (21 сентября 2016 г.). «Поворот в Cyber ​​Kill Chain: защита от атаки вредоносного ПО JavaScript». DARKReading . Архивировано из оригинала 2023-12-13.
  12. ^ Энгель, Джиора (18 ноября 2014 г.). «Deconstructing The Cyber ​​Kill Chain». DARKReading . Архивировано из оригинала 2023-12-15 . Получено 30 июня 2016 г. .
  13. ^ Рейди, Патрик. «Борьба с внутренней угрозой в ФБР» (PDF) . BlackHat USA 2013 . Архивировано (PDF) из оригинала 2019-08-15 . Получено 2018-10-15 .
  14. ^ Девост, Мэтт (19 февраля 2015 г.). «Каждый кибератакующий — инсайдер». Цикл OODA . Архивировано из оригинала 26 августа 2021 г. Получено 26 августа 2021 г.
  15. ^ Полс, Пол (7 декабря 2017 г.). «The Unified Kill Chain» (PDF) . Cyber ​​Security Academy. Архивировано (PDF) из оригинала 17 мая 2021 г. . Получено 17 мая 2021 г. .
  16. Полс, Пол (17 мая 2021 г.). «The Unified Kill Chain». UnifiedKillChain.com. Архивировано из оригинала 17 мая 2021 г. Получено 17 мая 2021 г.

Дальнейшее чтение