Veriga za cyber ubijanje
Veriga kibernetskih ubijanj (CKC) je tradicionalni varnostni model, ki opisuje scenarij stare šole, zunanji napadalec pa korake, da prodre v omrežje in ukrade podatke o napadih, da pomaga organizacijam pri pripravi. CKC je razvila skupina, znana kot skupina za odziv na področju računalniške varnosti. Veriga kibernetskih napadov opisuje napad zunanjega napadalca, ki poskuša dobiti dostop do podatkov znotraj oboda zaščite
Vsaka stopnja verige kibernetskih umorov kaže poseben cilj skupaj s ciljem napadalca. Oblikujte načrt za nadzor in odzivanje verige ubijanja Cyber Model je učinkovita metoda, saj se osredotoča na to, kako se napadi zgodijo. Faze vključujejo:
- Izvidništvo
- Orožje
- Dostava
- Izkoriščanje
- Namestitev
- Ukaz in nadzor
- Ukrepi glede ciljev
Zdaj bodo opisani koraki verige cyber kill:
1. korak: izvidništvo
Vključuje zbiranje e-poštnih naslovov, informacije o konferenci itd. Izvidniški napad pomeni, da gre za prizadevanje groženj, da čim bolj poberejo podatke o omrežnih sistemih, preden začnejo druge bolj resnične sovražne vrste napadov. Izvidniški napadalci so dveh vrst pasivno in aktivno izvidovanje. Priznanje Attacker se osredotoča na "kdo" ali omrežje: Kdo se bo verjetno osredotočil na privilegirane ljudi bodisi za dostop do sistema, bodisi dostop do zaupnih podatkov "Network" se osredotoča na arhitekturo in postavitev; orodje, oprema in protokoli; in kritično infrastrukturo. Razumevanje vedenja žrtve in vdrnje v hišo za žrtev.
2. korak: Orožje
Dobavni tovor oskrbite s povezovanjem izkoriščanja z zakulisjem.
Nato bodo napadalci s prefinjenimi tehnikami preoblikovali nekaj jedrske zlonamerne programske opreme, ki ustreza njihovim namenom. Zlonamerna programska oprema lahko izkorišča prej neznane ranljivosti, imenovane "zero-day", ali neko kombinacijo ranljivosti, da tiho premaga obrambo omrežja, odvisno od napadalčevih potreb in sposobnosti. S ponovnim načrtovanjem zlonamerne programske opreme napadalci zmanjšajo možnosti, da jo bodo zaznale tradicionalne varnostne rešitve. "Hekerji so uporabili na tisoče internetnih naprav, ki so bile predhodno okužene z zlonamerno kodo - znano kot" botnet "ali, v šali," vojska zombijev "- in prisilile še posebej močno porazdeljeno zavrnitev storitve Angriff (DDoS).
3. korak: Dostava
Napadalec pošlje žrtvi zlonamerni tovor po e-pošti, kar je le ena izmed številnih napadalcev, ki lahko uporabljajo metode vdora. Obstaja več kot 100 možnih načinov dostave.
Cilj:
Napadalci začnejo vdirati (orožje, razvito v prejšnjem koraku 2). Osnovni dve metodi sta:
- Nadzorovana dostava, ki predstavlja neposredno dostavo, vdor v odprta vrata.
- Dostava se sprosti nasprotniku, ki z lažnim predstavljanjem prenese škodljivo programsko opremo na cilj.
Ta stopnja prikazuje prvo in najpomembnejšo priložnost, da branilci ovirajo operacijo; vendar pa nekatere ključne zmožnosti in druge zelo cenjene informacije o podatkih s tem premagamo. V tej fazi merimo izvedljivost poskusov delnega vdora, ki so ovirani na transportni točki.
4. korak: Izkoriščanje
Ko napadalci prepoznajo spremembo v vašem sistemu, izkoristijo šibkost in izvršijo napad. Med fazo izkoriščanja napada sta napadalec in gostiteljski stroj ogrožena. Mehanizem dostave običajno sprejme enega od dveh ukrepov:
- Namestite zlonamerno programsko opremo (kapalko), ki omogoča izvajanje ukaza napadalca.
- Namestite in prenesite zlonamerno programsko opremo (prenosnik)
V zadnjih letih je to postalo strokovno področje znotraj hekerske skupnosti, ki se pogosto pokaže na prireditvah, kot so Blackhat, Defcon in podobni.
5. korak: Namestitev
Na tej stopnji namestitev trojanca ali zakulisnega sistema na daljavo na sistem žrtve omogoča, da kandidat ohrani vztrajnost v okolju. Namestitev zlonamerne programske opreme na sredstvo zahteva sodelovanje končnega uporabnika z nenamernim omogočanjem zlonamerne kode. Na tej točki je mogoče ukrepati kot kritično. Tehnika za to bi bila uvedba sistema za preprečevanje vdorov (HIPS), ki temelji na gostitelju, da bi bil na primer previden ali ovira za skupne poti, na primer. Služba NSA, RECIKLER. Razumevanje, ali zlonamerna programska oprema za izvajanje cilja zahteva privilegije skrbnika ali le uporabnika. Zagovorniki morajo razumeti postopek revizije končne točke, da odkrijejo neobičajne kreacije datotek. Vedeti morajo, kako sestaviti čas zlonamerne programske opreme, da ugotovijo, ali je star ali nov.
6. korak: Ukaz in nadzor
Ransomware za nadzor uporablja Connections. Pred zajemom datotek prenesite ključe za šifriranje. Trojanski oddaljeni dostop na primer odpre ukaz in nadzoruje povezavo, tako da lahko na daljavo dostopate do svojih sistemskih podatkov. To omogoča neprekinjeno povezljivost okolja in detektivsko dejavnost obrambe.
Kako deluje?
Načrt vodenja in nadzora se običajno izvede prek svetilnika, ki je izven mreže nad dovoljeno potjo. Svetilniki so v različnih oblikah, vendar so v večini primerov ponavadi:
HTTP ali HTTPS
Zdi se benigni promet skozi ponarejene glave HTTP
V primerih, ko je komunikacija šifrirana, svetilniki običajno uporabljajo samodejno podpisana potrdila ali šifriranje po meri.
7. korak: Ukrepi glede ciljev
Ukrep se nanaša na način, kako napadalec doseže svojo končno tarčo. Končni cilj napadalca je lahko karkoli, da iz vas izvleče Odkupnino za dešifriranje datotek v podatke o strankah iz mreže. V vsebini lahko slednji primer ustavi širjenje rešitev za preprečevanje izgube podatkov, preden podatki zapustijo vaše omrežje. V nasprotnem primeru lahko napadi uporabite za prepoznavanje dejavnosti, ki odstopajo od nastavljenih izhodišč, in obveščanje IT, da je nekaj narobe. To je zapleten in dinamičen napad, ki se lahko zgodi v mesecih in na stotine majhnih korakov. Ko je ta stopnja prepoznana v okolju, je treba začeti izvajati pripravljene reakcijske načrte. Načrtovati je treba vsaj vključujoč komunikacijski načrt, ki vključuje podrobne dokaze o informacijah, ki jih je treba posredovati najvišjemu uradniku ali upravnemu odboru, uvedbo zaščitnih naprav končnih točk za preprečevanje izgube informacij in pripravo na kratko skupina CIRT. Če se ti viri dobro uveljavijo pred časom, je v današnjem hitro razvijajočem se okolju grožnje kibernetske varnosti »MORO«.