Steg i cyber kill-kedjan

Cyber ​​kill-kedja

CKC (cyber kill chain) är en traditionell säkerhetsmodell som beskriver ett gammalt skolscenario, en extern angripare som vidtar åtgärder för att tränga in i ett nätverk och stjäla dess data och bryta ner attackstegen för att hjälpa organisationer att förbereda sig. CKC utvecklas av ett team som kallas datasäkerhetsteamet. Cyber ​​kill-kedjan beskriver en attack av en extern angripare som försöker få tillgång till data inom säkerhetens perimeter

Varje steg i cyber kill-kedjan visar ett specifikt mål tillsammans med angriparens Way. Designa din cybermodell som dödar kedjekontroll och svarsplan är en effektiv metod, eftersom den fokuserar på hur attackerna sker. Stegen inkluderar:

• Spaning
• Vapenisering
• Leverans
• Utnyttjande
• Installation
• Kommando och kontroll
• Åtgärder mot mål

Steg för cyber kill-kedjan kommer nu att beskrivas:

Steg 1: Reconnaissance

Det inkluderar skörd av e-postadresser, information om konferensen osv. Rekognoseringsattack innebär att det är ett försök att hota att plocka upp data om nätverkssystem så mycket som möjligt innan andra mer äkta fientliga attacker startas. Reconnaissance angripare är av två typer passiv spaning och aktiv spaning. Recognition Attacker fokuserar på "vem" eller nätverk: Vem kommer förmodligen att fokusera på de privilegierade personerna antingen för systemåtkomst, eller tillgång till "nätverk" konfidentiella data fokuserar på arkitektur och layout; verktyg, utrustning och protokoll; och den kritiska infrastrukturen. Förstå offrets beteende och bryt dig in i ett hus för offret.

Steg 2: Vapenisering

Leverera nyttolast genom att koppla exploater med en bakdörr.

Därefter kommer angripare att använda sofistikerade tekniker för att omstrukturera en del kärnprogrammer som passar deras syften. Malware kan utnyttja tidigare okända sårbarheter, aka "zero-day" exploater, eller någon kombination av sårbarheter för att tyst besegra försvaret i ett nätverk, beroende på angriparens behov och förmågor. Genom att omkonstruera skadlig programvara minskar angriparna chansen att traditionella säkerhetslösningar kommer att upptäcka den. "Hackarna använde tusentals internetenheter som tidigare har smittats med en skadlig kod - känd som ett" botnet "eller, skämtsamt, en" zombie armé "- vilket tvingar en särskilt kraftfull distribuerad förnekelse av Service Angriff (DDoS).

Steg 3: Leverans

Angriparen skickar offret skadlig nyttolast med e-post, vilket bara är en av många som angriparen kan använda intrångsmetoder. Det finns över 100 möjliga leveransmetoder.

Mål:
Angripare startar intrång (vapen utvecklade i föregående steg 2). De två grundläggande metoderna är:

• Kontrollerad leverans, som representerar direkt leverans, hackar en öppen port.
• Leverans släpps till motståndaren, som överför skadlig programvara till målet genom nätfiske.

Detta steg visar den första och viktigaste möjligheten för försvarare att hindra en operation; Men vissa viktiga funktioner och annan högt värderad information om data besegras genom att göra detta. I detta skede mäter vi livskraften för försöken till bråkintrång, som hindras vid transportpunkten.

Steg 4: Utnyttjande

När angripare identifierar en förändring i ditt system utnyttjar de svagheten och utför deras attack. Under attackens exploateringsfas äventyras angriparen och värdmaskinen. Leveransmekanismen tar vanligtvis en av två åtgärder:

• Installera skadlig programvara (en dropper), vilket gör det möjligt att utföra angriparkommandot.
• Installera och ladda ner skadlig programvara (en nedladdare)

De senaste åren har detta blivit ett expertområde inom hackingsamhället som ofta demonstreras vid evenemang som Blackhat, Defcon och liknande.

Steg 5: Installation

I detta skede tillåter installationen av en fjärråtkomsttrojan eller bakdörr på offrets system den utmanande att upprätthålla uthållighet i miljön. Installering av skadlig programvara på tillgången kräver slutanvändarinblandning genom att oavsiktligt aktivera den skadliga koden. Åtgärd kan ses som kritisk vid denna tidpunkt. En teknik för att göra detta skulle vara att implementera ett värdbaserat system för förebyggande av intrång (HIPS) för att vara försiktig eller sätta ett hinder för gemensamma vägar, till exempel. NSA Jobb, ÅTERVINDARE. Att förstå om Malware kräver behörigheter från administratören eller bara från användaren för att köra målet är kritiskt. Försvarare måste förstå slutpunktsgranskningsprocessen för att avslöja onormala skapelser av filer. De behöver veta hur man sammanställer malware för att avgöra om den är gammal eller ny.

Steg 6: Kommando och kontroll

Ransomware använder anslutningar för att kontrollera. Ladda ner nycklarna till kryptering innan du tar tag i filerna. Fjärråtkomst för trojaner öppnar till exempel ett kommando och styr anslutningen så att du kan närma dig systemdata på distans. Detta möjliggör kontinuerlig anslutning för miljön och detektivmätningsaktiviteten på försvaret.

Hur fungerar det?

Kommando- och kontrollplan utförs vanligtvis via en fyr ut ur rutnätet över den tillåtna banan. Beacons har många former, men de brukar vara i de flesta fall:

HTTP eller HTTPS

Verkar godartad trafik genom förfalskade HTTP-rubriker

I fall där kommunikationen är krypterad brukar fyrar använda autosignerade certifikat eller anpassad kryptering.

Steg 7: Åtgärder mot mål

Åtgärd hänvisar till hur angriparen når sitt slutliga mål. Angriparens slutmål kan vara vad som helst för att extrahera en lösen från dig för att dekryptera filer till kundinformation från nätverket. I innehållet kan det senare exemplet stoppa exfiltrering av lösningar för förebyggande av dataförlust innan data lämnar ditt nätverk. Annars kan attacker användas för att identifiera aktiviteter som avviker från fastställda baslinjer och meddela IT att något är fel. Detta är en invecklad och dynamisk överfallsprocess som kan äga rum i månader och hundratals små steg att utföra. När detta steg har identifierats inom en miljö är det nödvändigt att initiera genomförandet av förberedda reaktionsplaner. Åtminstone bör en inkluderande kommunikationsplan planeras, som omfattar detaljerad information om information som bör tas upp till den högsta tjänstemannen eller styrelsen, utplacering av slutpunktssäkerhetsanordningar för att blockera informationsförlust och förberedelserna för att informera en CIRT-grupp. Att ha dessa resurser väl etablerade i förväg är ett ”MÅSTE” i dagens snabbt växande cybersäkerhetslandskap.