Кроки ланцюга кібер-вбивства

Ланцюг кібер-вбивства

Мережа кіберзахисту (CKC) - це традиційна модель безпеки, яка описує сценарій старої школи, зовнішній зловмисник вживає заходів, щоб проникнути в мережу та викрасти дані, що розбивають кроки атаки, щоб допомогти організаціям підготуватися. CKC розроблена командою, відомою як команда реагування на комп'ютерну безпеку. Мережа кіберзахисту описує атаку зовнішнього зловмисника, який намагається отримати доступ до даних у периметрі захисного пункту

Кожен етап ланцюга кіберзахисту демонструє певну мету разом із ціллю шляху Зловмисника. Створіть свій план спостереження та реагування на кібермоделі - це ефективний метод, оскільки він зосереджується на тому, як відбуваються атаки. Етапи включають:

• Розвідка
• Зброя
• Доставка
• Експлуатація
• Встановлення
• Командування та управління
• Дії щодо цілей

Тепер будуть описані етапи ланцюга кіберзахисту:

Крок 1: Розвідка

Він включає збір електронних адрес, інформацію про конференцію тощо. Розвідувальна атака означає, що це зусилля загроз якомога більше збирати дані про мережеві системи перед початком інших більш справжніх ворожих видів атак. Розвідувальні нападники бувають двох типів: пасивна розвідка та активна розвідка. Атака розпізнавання фокусується на "хто" або мережа: Хто, ймовірно, зосередиться на привілейованих людях або для доступу до Системи, або доступу до конфіденційних даних "Мережі" фокусується на архітектурі та компонуванні; інструмент, обладнання та протоколи; та критична інфраструктура. Зрозумійте поведінку жертви та проникніть у будинок для жертви.

Крок 2: Зброю

Постачання корисного навантаження шляхом з’єднання експлойтів із мансардою.

Далі зловмисники використовуватимуть складні методи для реконструкції деяких основних шкідливих програм, які відповідають їх цілям. Шкідливе програмне забезпечення може використовувати раніше невідомі вразливості, відомі як експлуатування "нульового дня", або деяку комбінацію вразливостей, щоб тихо перемогти захист мережі, залежно від потреб та можливостей зловмисника. Перепроектуючи шкідливе програмне забезпечення, зловмисники зменшують шанси того, що його виявлять традиційні рішення безпеки. "Хакери використовували тисячі інтернет-пристроїв, які раніше заражались шкідливим кодом - відомим як" ботнет "або, жартома," армія зомбі "- змушуючи особливо потужну розподілену відмову в обслуговуванні Angriff (DDoS).

Крок 3: Доставка

Зловмисник надсилає жертві зловмисний корисний набір за допомогою електронної пошти, що є лише одним із багатьох, які зловмисник може використовувати методи вторгнення. Існує понад 100 можливих способів доставки.

Ціль:
Зловмисники починають вторгнення (зброя, розроблена на попередньому кроці 2). Основними двома методами є:

• Контрольована доставка, яка представляє пряму доставку, злом відкритого порту.
• Доставка відпускається опоненту, який передає шкідливе програмне забезпечення цілі шляхом фішингу.

Цей етап показує першу і найважливішу можливість для захисників перешкоджати проведенню операції; проте деякі ключові можливості та інша високоцінна інформація даних перемагають цим. На цьому етапі ми вимірюємо життєздатність спроб дробового вторгнення, яким заважає точка транспортування.

Крок 4: Експлуатація

Як тільки зловмисники виявлять зміни у вашій системі, вони використовують слабкість і виконують свою атаку. На етапі експлуатації атаки зловмисник і хост-машина скомпрометовані Механізм доставки зазвичай вживає одного з двох заходів:

• Встановіть шкідливе програмне забезпечення (крапельницю), що дозволяє виконувати команду зловмисника.
• Встановіть та завантажте шкідливе програмне забезпечення (завантажувач)

В останні роки це стало областю знань у хакерському співтоваристві, що часто демонструється на таких заходах, як Blackhat, Defcon тощо.

Крок 5: Встановлення

На цьому етапі встановлення трояну віддаленого доступу або бекдору на систему жертви дозволяє супернику зберегти наполегливість у навколишньому середовищі. Встановлення шкідливого програмного забезпечення на об’єкт вимагає участі кінцевого користувача, мимоволі включаючи шкідливий код. На даний момент дія може розглядатися як критична. Метод для цього полягав би у впровадженні системи запобігання вторгнень на основі хоста (HIPS), щоб застерегти або створити бар'єр для загальних шляхів, наприклад. Робота NSA, РЕЦИКЛЕР. Розуміння того, чи вимагає шкідливе програмне забезпечення для виконання цілей привілеїв від адміністратора або просто від користувача, є критичним. Захисники повинні розуміти процес аудиту кінцевих точок, щоб виявити ненормальні створення файлів. Вони повинні знати, як скласти час зловмисного програмного забезпечення, щоб визначити, чи є воно старим чи новим.

Крок 6: Командування та управління

Ransomware використовує Connections для управління. Завантажте ключі до шифрування, перш ніж захоплювати файли. Наприклад, віддалений доступ до троянських програм відкриває команду та контролює з'єднання, щоб ви могли віддалено отримати доступ до системних даних. Це забезпечує постійний зв’язок з навколишнім середовищем та активність детективу щодо захисту.

Як це працює?

План командування і управління зазвичай виконується за допомогою маяка, що виходить за межі сітки над дозволеним шляхом. Маяки мають різну форму, але вони, як правило, бувають:

HTTP або HTTPS

Здається доброякісним трафіком через підроблені заголовки HTTP

У випадках, коли зв’язок зашифрований, маяки, як правило, використовують сертифікати з автоматичним підписом або спеціальне шифрування.

Крок 7: Дії щодо цілей

Дія стосується способу досягнення зловмисником кінцевої цілі. Кінцевою метою зловмисника може бути будь-що, щоб витягнути з вас Викуп, щоб розшифрувати файли до Інформації про клієнта з мережі. У змісті останній приклад може зупинити розповсюдження рішень щодо запобігання втраті даних до того, як дані покинуть вашу мережу. В іншому випадку атаки можна використовувати для виявлення дій, що відхиляються від встановлених базових рівнів, та сповіщення ІТ про те, що щось не так. Це складний та динамічний процес нападу, який може відбутися за місяці та здійснити сотні невеликих кроків. Після того, як цей етап визначений в середовищі, необхідно розпочати реалізацію підготовлених планів реакції. Принаймні, слід планувати інклюзивний план спілкування, який включає детальне підтвердження інформації, яка повинна бути передана найвищому чиновнику чи адміністративній раді, розгортання пристроїв захисту кінцевих точок для блокування втрати інформації та підготовку до коротких група CIRT. Наявність цих ресурсів, добре встановлених заздалегідь, є “ОБОВ’ЯЗКОМ” у сучасному швидко розвиваючомуся середовищі загроз кібербезпеки.