Trinn i cyberdrepekjede

Trinn i cyberdrepekjede

Cyber ​​Kill Chain

Cyber ​​Kill Chain (CKC) er en tradisjonell sikkerhetsmodell som beskriver et old-school-scenario, en ekstern angriper som tar skritt for å trenge gjennom et nettverk og stjele dets databrytende angrepstrinnene for å hjelpe organisasjoner med å forberede seg. CKC er utviklet av et team kjent som Computer Security Response Team. Cyber ​​Kill -kjeden beskriver et angrep fra en ekstern angriper som prøver å få tilgang til data i omkretsen av sikkerheten

Hvert trinn i cyberdrapkjeden viser et spesifikt mål sammen med angriperens måte. Design cybermodellen Killing Chain Surveillance and Response Plan er en effektiv metode, ettersom den fokuserer på hvordan angrepene skjer. Stadier inkluderer:

  • Rekognosering
  • Våpenisering
  • Leveranse
  • Utnyttelse
  • Installasjon
  • Kommandere og kontrollere
  • Handlinger på mål

Trinnene i Cyber ​​Kill -kjeden vil nå bli beskrevet:

Trinn 1: Rekognosering

Det inkluderer høsting av e -postadresser, informasjon om konferansen osv. Rekognoseringsangrep betyr at det er en innsats av trusler for å hente data om nettverkssystemer så mye som mulig før du starter andre mer ekte fiendtlige typer angrep. Rekognoseringsangrepere er av to typer passiv rekognosering og aktiv rekognosering. Anerkjennelsesangriper fokuserer på "hvem" eller nettverk: Hvem vil sannsynligvis fokusere på de privilegerte menneskene enten for systemtilgang, eller tilgang til "nettverk" konfidensielle data fokuserer på arkitektur og layout; verktøy, utstyr og protokollene; og den kritiske infrastrukturen. Forstå offerets oppførsel, og bryte inn i et hus for offeret.

Trinn 2: Våpenisering

Forsynings nyttelast ved koblingsutnyttelse med bakdør.

Deretter vil angripere bruke sofistikerte teknikker for å gjenopprette en viss kjernevesen som passer deres formål. Den skadelige programvaren kan utnytte tidligere ukjente sårbarheter, også "null-dagers" utnyttelse, eller en kombinasjon av sårbarheter for å rolig beseire forsvaret i et nettverk, avhengig av angriperens behov og evner. Ved å gjenopprette malware, reduserer angripere sjansene for at tradisjonelle sikkerhetsløsninger vil oppdage den. "Hackerne brukte tusenvis av internettenheter som tidligere er infisert med en ondsinnet kode - kjent som et" botnet "eller, spøkefullt, en" zombiehær " - og tvang en spesielt kraftig distribuert nektelse av tjeneste -angriff (DDOS).

Trinn 3: Levering

Angriperen sender offeret ondsinnet nyttelast ved hjelp av e -post, som bare er en av mange mange angriperen kan bruke inntrengingsmetoder. Det er over 100 mulige leveringsmetoder.

Mål:
Angripere starter inntrenging (våpen utviklet i forrige trinn 2). De grunnleggende to metodene er:

  • Kontrollert levering, som representerer direkte levering, og hacker en åpen port.
  • Levering frigjøres til motstanderen, som overfører skadelig programvare til målet ved å phishing.

Dette stadiet viser den første og mest betydningsfulle muligheten for forsvarere til å hindre en operasjon; Noen nøkkelfunksjoner og annen høyt verdsatt informasjon om data blir imidlertid beseiret ved å gjøre dette. På dette stadiet måler vi levedyktigheten til forsøkene på brøkinntrengingen, som er hindret ved transportpunktet.

Trinn 4: Utnyttelse

Når angripere identifiserer en endring i systemet ditt, utnytter de svakheten og utfører angrepet sitt. Under utnyttelsesstadiet av angrepet vil angriperen og vertsmaskinen kompromittert leveringsmekanisme typisk ta ett av to tiltak:

  • Installer malware (en dropper), som tillater utførelse av angriperkommandoen.
  • Installer og last ned malware (en nedlaster)

De siste årene har dette blitt et kompetanseområde innen hackingssamfunnet som ofte demonstreres på arrangementer som Blackhat, Defcon og lignende.

Trinn 5: Installasjon

På dette stadiet tillater installasjonen av en ekstern tilgangstrojan eller bakdør på offerets system at utfordreren kan opprettholde utholdenhet i miljøet. Å installere skadelig programvare på eiendelen krever sluttbrukerinvolvering ved uforvarende å aktivere den ondsinnede koden. Handling kan sees på som kritisk på dette tidspunktet. En teknikk for å gjøre dette ville være å implementere et vertsbasert inntrengingsforebyggende (HIPS) -system for å gi forsiktighet eller sette en barriere for felles veier, for eksempel. NSA Job, gjenvinning. Å forstå om skadelig programvare krever privilegier fra administratoren eller bare fra brukeren for å utføre målet er kritisk. Forsvarere må forstå endepunktrevisjonsprosessen for å avdekke unormale kreasjoner av filer. De trenger å vite hvordan de skal kompilere timing av malware for å avgjøre om den er gammel eller ny.

Trinn 6: Kommando og kontroll

Ransomware bruker tilkoblinger for å kontrollere. Last ned tastene for å kryptere før du griper inn filene. Trojanere ekstern tilgang, for eksempel, åpner en kommando og kontrollerer tilkoblingen slik at du kan nærme deg systemdataene eksternt. Dette gir mulighet for kontinuerlig tilkobling for miljøet og detektivmålingsaktiviteten på forsvaret.

Hvordan virker det?

Kommando- og kontrollplan utføres vanligvis via et fyrtårn ut av nettet over den tillatte banen. Beacons har mange former, men de har en tendens til å være i de fleste tilfeller:

Http eller https

Virker godartet trafikk gjennom forfalskede HTTP -overskrifter

I tilfeller der kommunikasjonen er kryptert, har beacons en tendens til å bruke autosignerte sertifikater eller tilpasset kryptering.

Trinn 7: Handlinger på mål

Handling refererer til måten angriperen oppnår sitt endelige mål. Angriperens endelige mål kan være hva som helst å hente ut løsepenger fra deg til dekrypter filer til kundeinformasjon fra nettverket. I innholdet kan det sistnevnte eksemplet stoppe eksfiltrering av forebyggingsløsninger for tap av data før data forlater nettverket ditt. Ellers kan angrep brukes til å identifisere aktiviteter som avviker fra faste baselinjer og varsler om at noe er galt. Dette er en intrikat og dynamisk angrepsprosess som kan finne sted i måneder og hundrevis av små trinn for å oppnå. Når dette stadiet er identifisert i et miljø, er det nødvendig å sette i gang implementeringen av forberedte reaksjonsplaner. I det minste bør det planlegges en inkluderende kommunikasjonsplan, som innebærer detaljert bevis på informasjon som bør heves til det høyest rangerte tjenestemannen eller administrerende styret, distribusjonen av endepunktsikkerhetsenheter for å blokkere informasjonstap, og forberedelsene til å orientere en CIRT -gruppe. Å ha disse ressursene godt etablert på forhånd er et "must" i dagens raskt utviklende cybersikkerhetstrusselandskap.