Какво представляват етапите на кибератака?

През 2011 г. Lockheed Martin адаптира военна концепция, наречена „етапи на атака“, за индустрията за киберсигурност и я нарече „етапи на кибератака“. Подобно на „етапите на етака“, „етапите на кибератака“ определят етапите на атаката и дава на защитниците представа за типичните тактики и техники на техните противници по време на всеки етап. И двата модела са линейни, като се очаква, че нападателите ще следват последователно всеки етап.

Откакто етапите на кибератаката са въведени за първи път, участниците в киберзаплахите развиват тактиките си и не винаги следват всички етапи на етапите на кибератака. В отговор отрасълът на защитата актуализира подхода си и разработи нови модели. Матрицата MITRE ATT&CK® е подробен списък на тактики и техники, базирани на реални атаки. Тя използва подобни етапи като етапите на кибератака, но не следва линеен ред.

През 2017 г. Пол Полс в сътрудничество с Fox-IT и Лайденския университет разработи друга рамка - обединени етапи на атака, която съчетава елементи от матрицата на MITRE ATT&CK и етапите на кибератака в модел с 18 етапа.

Разузнаване

Етапите на кибератаките дефинират последователност от фази на кибератаки с цел да се разбере начинът на мислене на кибератаките, включително техните мотиви, инструменти, методи и техники, как те вземат решения и как избягват откриването им. Разбирането на начина, по който функционират етапите на кибератака, помага на защитниците да спрат кибератаките на най-ранен етап.

По време на фазата на въоръжаване лошите действащи лица използват информацията, открита по време на разузнаването, за да създадат или модифицират злонамерен софтуер, който най-добре да се възползва от слабостите на целевата организация.

След като са създали злонамерен софтуер, кибератакуващите се опитват да стартират атаката си. Един от най-разпространените методи е използването на техники за социално инженерство, като например фишинг, за да бъдат подмамени служителите да предадат своите идентификационни данни за вход. Лошите действащи лица могат да влязат в системата и като се възползват от публична безжична връзка, която не е много сигурна, или като използват софтуерна или хардуерна уязвимост, открита по време на разузнаване.

След като действащите лица в киберзаплахата проникнат в организацията, те използват достъпа си, за да се придвижват латерално от система към система. Целта им е да откриват поверителни данни, допълнителни уязвимости, административни акаунти или имейл сървъри, които могат да използват за нанасяне на щети на организацията.

На етапа на инсталиране лошите действащи лица инсталират зловреден софтуер, който им дава възможност да контролират повече системи и акаунти.

След като кибератакуващите придобият контрол над значителен брой системи, те създават контролен център, който им позволява да работят от разстояние. На този етап те използват замаскиране, за да прикрият следите си и да избегнат откриване. Те използват и атаки за отказ на услуга, за да отклонят вниманието на специалистите по защита от истинската им цел.

На този етап кибератакуващите предприемат стъпки за постигане на основната си цел, която може да включва атаки по веригата за доставки, ексфилтрация на данни, криптиране на данни или унищожаване на данни.

Въпреки че първоначалните етапи на кибератака на Lockhead Martin включваха само седем стъпки, много експерти по киберсигурност ги разшириха до осем, за да отчетат действията, които лошите действащи лица предприемат, за да генерират доходи от атаката, като например използването на софтуер за откуп, за да получат плащане от жертвите си, или продажбата на чувствителни данни в тъмната мрежа.

Разбирането на начина, по който участниците в киберзаплахите планират и провеждат своите атаки, помага на специалистите по киберсигурност да откриват и намаляват уязвимостите в цялата организация. Също така им помага да идентифицират индикатори за компрометиране по време на ранните етапи на кибератака. Много организации използват модела на етапи на кибератака, за да въведат проактивно мерки за защита и да насочват реакцията при инциденти.

Разузнаване за заплахи

Един от най-важните инструменти за защита на организацията от киберзаплахи е разузнаването за заплахи. Добрите решения за разузнаване за заплахи синтезират данни от цялата среда на организацията и предоставят полезни прозрения, които помагат на специалистите по защита да откриват кибератаки на ранен етап.

Често лошите действащи лица проникват в организацията чрез отгатване или кражба на пароли. След като влязат вътре, те се опитват да увеличат привилегиите си, за да получат достъп до чувствителни данни и системи. Решенията за управление на самоличности и достъп помагат да се открие аномална дейност, която може да е индикация, че неупълномощен потребител е получил достъп. Те също така предлагат мерки за контрол и защита, като например двустепенно удостоверяване, които затрудняват използването на откраднати идентификационни данни за влизане.

Много организации изпреварват най-новите киберзаплахи с помощта на решение за информация за защита и управление на събития (SIEM). Решенията SIEM обобщават данни от цялата организация и от източници на трети страни, за да разкрият критични киберзаплахи, които екипите по защита да преценят и отстранят. Много решения SIEM също така отговарят автоматично на определени познати заплахи, като намаляват броя на инцидентите, които екипът трябва да разследва.

Във всяка една организация има стотици или хиляди крайни точки. Между сървърите, компютрите, мобилните устройства и устройствата от интернет на нещата (IoT), които компаниите използват за осъществяване на дейността си, може да се окаже почти невъзможно всички те да бъдат актуализирани. Лошите действащи лица знаят това и затова много кибератаки започват с компрометирана крайна точка. Решенията за откриване и реакция в крайна точка помагат на екипите по защита да ги наблюдават за заплахи и да отговарят бързо, когато открият проблем със защитата на дадено устройство.

Решенията за разширено откриване и реакция (XDR) правят още една крачка напред в откриването и реакцията в крайна точка с едно решение, което защитава крайни точки, идентичности, облачни приложения и имейли.

Не всички фирми имат вътрешни ресурси за ефективно откриване и отговор на заплахи. За да допълнят съществуващия си екип по защита, тези организации се обръщат към доставчици на услуги, които предлагат управлявано откриване и отговор. Тези доставчици на услуги поемат отговорността да наблюдават средата на организацията и да реагират на заплахи.

Въпреки че разбирането на етапите на кибератака може да помогне на фирмите и правителствата да се подготвят проактивно и да отговарят на сложни, многоетапни киберзаплахи, разчитането единствено на това разбиране може да направи организацията уязвима към други видове кибератаки. Няколко от често срещаните критики към етапите на кибератака са, че те са:

• Фокусирани върху злонамерен софтуер. Първоначалната рамка на етапите на кибератака е създадена за откриване и отговор на зловреден софтуер и не е толкова ефективна срещу други видове атаки, като например неоторизиран потребител, който получава достъп с компрометирани идентификационни данни.

• Идеални за периметрова охрана. С акцент върху защитата на крайните точки моделът на етапите на кибератака работеше добре, когато имаше един-единствен мрежов периметър за защита. Сега, когато има толкова много отдалечени действащи лица, облак и постоянно нарастващ брой устройства, които имат достъп до активите на компанията, може да се окаже почти невъзможно да се обърне внимание на всички уязвимости на крайните точки.

• Не са подготвени за вътрешни заплахи. Вътрешните лица, които вече имат достъп до някои системи, е по-трудно да бъдат открити с модела на етапите на кибератака. Вместо това организациите трябва да наблюдават и откриват промени в активността на потребителите.

• Прекалено линейни. Въпреки че много кибератаки следват осемте етапа, описани в етапите на кибератака, има и много такива, които не ги следват или съчетават няколко етапа в едно действие. Организациите, които са прекалено фокусирани върху всеки един от етапите, могат да пропуснат тези киберзаплахи.

От 2011 г. насам, когато Lockhead Martin за първи път представи етапите на кибератаки, много неща се промениха в технологичния пейзаж и в сферата на киберзаплахите. Компютрите в облак, мобилните устройства и устройствата на интернет на нещата промениха начина, по който работят хората и функционират предприятията. Участниците в киберзаплахите реагират на тези нови технологии със собствени иновации, включително използване на автоматизация и изкуствен интелект за ускоряване и подобряване на кибератаките си. Етапите на кибератака предлагат чудесна отправна точка за разработване на проактивна стратегия за защита, която отчита начина на мислене и целите на кибератаките. Microsoft Security предлага обединена платформа SecOps, която обединява XDR и SIEM в едно адаптивно решение, за да помогне на организациите да разработят многопластова защита, която защитава всички етапи от кибератаката. Организациите се подготвят и за нововъзникващи киберзаплахи с подкрепата на ИИ, като инвестират в решения за киберсигурност с ИИ, като Microsoft Security Copilot.