Kibernetinė žudymo grandinė
Kibernetinių žudynių grandinė (CKC) yra tradicinis saugumo modelis, apibūdinantis senosios mokyklos scenarijų, kai išorinis užpuolikas imasi veiksmų, norėdamas prasiskverbti į tinklą ir pavogti jo duomenis, suskaidydamas atakos veiksmus, kad padėtų organizacijoms pasirengti. CKC sukūrė komanda, žinoma kaip kompiuterio saugumo reagavimo komanda. Kibernetinių žudynių grandinė apibūdina išorinio užpuoliko išpuolį, bandantį gauti prieigą prie duomenų per saugumo perimetrą
Kiekvienas kibernetinių žudynių grandinės etapas parodo konkretų tikslą kartu su užpuoliko Way. Sukurkite savo kibernetinio modelio žudymo grandinės stebėjimo ir reagavimo planą - tai efektyvus metodas, nes daugiausia dėmesio skiriama išpuolių įvykiui. Etapai apima:
- Žvalgas
- Ginklavimas
- Pristatymas
- Išnaudojimas
- Montavimas
- Vadovavimas ir kontrolė
- Veiksmai siekiant tikslų
Dabar bus aprašyti kibernetinių žudynių grandinės žingsniai:
1 žingsnis: žvalgyba
Tai apima el. Pašto adresų rinkimą, informaciją apie konferenciją ir kt. Žvalgybinė ataka reiškia, kad grėsmėmis stengiamasi kuo labiau surinkti duomenis apie tinklo sistemas prieš pradedant kitas tikresnes priešiškas atakas. Žvalgybiniai užpuolikai yra dviejų tipų - pasyvūs ir aktyvūs. „Atpažinimo puolėjas“ daugiausia dėmesio skiria „kam“ arba tinklui: kas tikriausiai sutelks dėmesį į privilegijuotus žmones prieigai prie sistemos, arba prieiga prie „Tinklo“ konfidencialių duomenų orientuota į architektūrą ir išdėstymą; įrankis, įranga ir protokolai; infrastruktūra. Suprasti aukos elgesį ir įsilaužti į aukos namus.
2 žingsnis: ginklavimas
Tiekti naudingąją apkrovą susiejant išnaudojimus su užpakalinėmis durimis.
Toliau užpuolikai naudos sudėtingus metodus, kad iš naujo suprojektuotų pagrindinę kenkėjišką programą, kuri atitiktų jų tikslus. Kenkėjiška programa gali išnaudoti anksčiau nežinomus pažeidimus, dar vadinamus „nulio dienos“ išnaudojimais, arba kai kuriuos pažeidžiamumų derinius, kad tyliai nugalėtų tinklo gynybą, atsižvelgiant į užpuoliko poreikius ir galimybes. Pertvarkydami kenkėjišką programą, užpuolikai sumažina tikimybę, kad tradiciniai saugos sprendimai ją aptiks. „Įsilaužėliai naudojo tūkstančius interneto įrenginių, kurie anksčiau buvo užkrėsti kenksmingu kodu - žinomu kaip„ botnet “arba, juokais sakant,„ zombių armija “- privertę ypač galingą paskirstytą„ Angriff “paslaugų atsisakymą (DDoS).
3 žingsnis: pristatymas
Užpuolikas siunčia aukai kenksmingą naudingąją apkrovą naudodamas el. Paštą, kuris yra tik vienas iš daugelio, kuriuos užpuolikas gali naudoti įsibrovimo metodus. Yra daugiau nei 100 galimų pristatymo būdų.
Tikslas:
Užpuolikai pradeda įsilaužti (ginklai sukurti ankstesniame 2 žingsnyje). Pagrindiniai du metodai yra šie:
- Kontroliuojamas pristatymas, kuris reiškia tiesioginį pristatymą, įsilaužimas į atvirą uostą.
- Pristatymas išduodamas priešininkui, kuris perduoda kenkėjišką programą tikslui sukčiaujant.
Šis etapas rodo pirmąją ir svarbiausią galimybę gynėjams trukdyti operacijai; tačiau kai kurios pagrindinės galimybės ir kita labai vertinama duomenų informacija yra nugalėta tai darant. Šiame etape mes išmatuojame bandymų įsibrovimo į gyvybingumą, kuriems trukdoma perdavimo taške, gyvybingumą.
4 žingsnis: išnaudojimas
Kai užpuolikai nustato jūsų sistemos pokyčius, jie išnaudoja silpnybę ir įvykdo savo ataką. Išpuolio išnaudojimo etape užpuolikas ir pagrindinė mašina yra pažeisti. Pristatymo mechanizmas paprastai imsis vienos iš dviejų priemonių:
- Įdiekite kenkėjišką programą (lašintuvą), kuri leidžia vykdyti užpuoliko komandą.
- Įdiekite ir atsisiųskite kenkėjišką programą (atsisiuntimo programą)
Pastaraisiais metais tai tapo įsilaužėlių bendruomenės kompetencijos sritimi, kuri dažnai demonstruojama tokiuose renginiuose kaip „Blackhat“, „Defcon“ ir panašiuose renginiuose.
5 žingsnis: diegimas
Šiame etape įdiegus nuotolinės prieigos trojaną ar užpakalinę duris aukos sistemoje, varžovas gali išlaikyti atkaklumą aplinkoje. Norint į turtą įdiegti kenkėjišką programą, reikia galutinio vartotojo įsitraukimo, netyčia įjungiant kenkėjišką kodą. Šiuo metu veiksmas gali būti vertinamas kaip kritinis. Metodas tai padaryti būtų įdiegti pagrindinio kompiuterio įsilaužimų prevencijos (HIPS) sistemą, kad būtų užtikrintas atsargumas arba kliūtis bendriems keliams, pavyzdžiui,. NSA darbas, perdirbėjas. Suprasti, ar kenkėjiška programa reikalauja privilegijų iš administratoriaus, ar tik iš vartotojo, kad įvykdytų tikslą, yra labai svarbu. Gynėjai turi suprasti galinių taškų audito procesą, kad atskleistų nenormalius failų kūrinius. Jie turi žinoti, kaip sudaryti kenkėjiškų programų laiką, kad nustatytų, ar tai sena, ar nauja.
6 žingsnis: komanda ir valdymas
„Ransomware“ kontrolei naudoja „Connections“. Prieš naudodamiesi failais, atsisiųskite šifravimo raktus. Pavyzdžiui, nuotolinė prieiga prie Trojos arklys atveria komandą ir valdo ryšį, kad galėtumėte nuotoliniu būdu pasiekti sistemos duomenis. Tai leidžia nuolat jungtis prie aplinkos ir detektyvas matuoja aktyvumą gynyboje.
Kaip tai veikia?
Valdymo ir valdymo planas paprastai atliekamas per švyturį iš tinklelio per leistiną kelią. Švyturiai yra įvairių formų, tačiau dažniausiai jie būna:
HTTP arba HTTPS
Atrodo gerybinis srautas per suklastotas HTTP antraštes
Tais atvejais, kai ryšys yra užšifruotas, švyturiai dažniausiai naudoja automatiškai pasirašytus sertifikatus arba pasirinktinį šifravimą.
7 žingsnis: Veiksmai siekiant tikslų
Veiksmas reiškia būdą, kuriuo užpuolikas pasiekia savo galutinį tikslą. Galutinis užpuoliko tikslas gali būti bet koks, kad iš jūsų gautumėte „Ransom“, kad iššifruotumėte failus iš klientų informacijos iš tinklo. Turinyje šis pastarasis pavyzdys gali sustabdyti duomenų praradimo prevencijos sprendimų filtravimą prieš duomenims paliekant jūsų tinklą. Kitu atveju „Attacks“ gali būti naudojamas veiklai, nukrypstančiai nuo nustatytų bazinių linijų, nustatyti ir informuoti IT, kad kažkas negerai. Tai sudėtingas ir dinamiškas užpuolimo procesas, kuris gali įvykti per kelis mėnesius ir atlikti šimtus mažų žingsnių. Nustačius šį etapą aplinkoje, būtina pradėti įgyvendinti parengtus reakcijos planus. Turėtų būti suplanuotas bent jau įtraukus komunikacijos planas, apimantis išsamius informacijos, kuri turėtų būti pateikta aukščiausio rango pareigūnui ar administracijos valdybai, įrodymus, galinių taškų apsaugos įtaisų, skirtų informacijos praradimui blokuoti, dislokavimą ir pasirengimą trumpai CIRT grupė. Šiuos išteklius gerai įsitvirtinti anksčiau laiko yra „PRIVALOMA“ šiandien sparčiai besikeičiančioje kibernetinio saugumo grėsmių aplinkoje.