Τι είναι το Cyber Kill Chain;

Το 2011, η Lockheed Martin υιοθέτησε μια στρατιωτική έννοια που ονομάζεται Αλυσίδα επίθεσης (Kill Chain) για τον κλάδο της ασφάλειας από απειλές στον κυβερνοχώρο και την ονόμασε Cyber Kill Chain. Όπως και με την Αλυσίδα επίθεσης, το Cyber Kill Chain αναγνωρίζει τα στάδια μιας επίθεσης και παρέχει στους υπερασπιστές πληροφορίες σχετικά με τις τυπικές τακτικές και τεχνικές των αντιπάλων τους σε κάθε στάδιο. Και τα δύο μοντέλα είναι επίσης γραμμικά με την προσδοκία ότι οι εισβολείς θα ακολουθήσουν κάθε στάδιο διαδοχικά.

Από τότε που πρωτοπαρουσιάστηκε το Cyber Kill Chain, οι παράγοντες των επιθέσεων στον κυβερνοχώρο έχουν εξελίξει τις τακτικές τους και δεν ακολουθούν πάντα κάθε στάδιο που αναφέρετε στο πλαίσιο Cyber Kill Chain. Σε απάντηση, ο κλάδος ασφάλειας ενημέρωσε την προσέγγιση και ανέπτυξε νέα μοντέλα. Η μήτρα MITRE ATT&CK® είναι μια λεπτομερής λίστα τακτικών και τεχνικών που βασίζονται σε πραγματικές επιθέσεις. Χρησιμοποιεί παρόμοια στάδια με το Cyber Kill Chain, αλλά δεν ακολουθεί γραμμική σειρά.

Το 2017 ο Paul Pols σε συνεργασία με τη Fox-IT και το Πανεπιστήμιο του Λέιντεν ανέπτυξε ένα άλλο πλαίσιο, την Ενοποιημένη αλυσίδα επίθεσης (Unified Kill Chain), η οποία συνδυάζει στοιχεία τόσο της μήτρας MITRE ATT&CK όσο και του Cyber Kill Chain σε ένα μοντέλο με 18 στάδια.

Επίθεση υποκλοπής στοιχείων

To Cyber Kill Chain ορίζει μια αλληλουχία φάσεων επίθεσης στον κυβερνοχώρο με στόχο την κατανόηση της αντίληψης των εισβολέων του κυβερνοχώρου, συμπεριλαμβανομένων των κινήτρων, των εργαλείων, των μεθόδων και των τεχνικών, του τρόπου λήψης αποφάσεων και του τρόπου με τον οποίο διαφεύγουν τον εντοπισμό. Η κατανόηση του τρόπου λειτουργίας του Cyber Kill Chain βοηθά τους υπερασπιστές να σταματήσουν τις επιθέσεις στον κυβερνοχώρο στα πρώιμα στάδιά τους.

Κατά τη διάρκεια της φάσης οπλοποίησης, οι κακόβουλοι παράγοντες χρησιμοποιούν τις πληροφορίες που αποκαλύπτονται κατά τη διάρκεια της επίθεσης υποκλοπής στοιχείων, ώστε να δημιουργήσουν ή να τροποποιήσουν λογισμικό κακόβουλης λειτουργίας για την καλύτερη εκμετάλλευση των αδυναμιών του οργανισμού προορισμού.

Αφού δημιουργήσουν λογισμικό κακόβουλης λειτουργίας, οι εγκληματίες του κυβερνοχώρου επιχειρούν να ξεκινήσουν την επίθεση. Μία από τις πιο συνηθισμένες μεθόδους είναι η χρήση τεχνικών κοινωνικής μηχανικής, όπως το ηλεκτρονικό "ψάρεμα", ώστε να παραπλανήσουν τους υπαλλήλους να παραδώσουν τα διαπιστευτήρια εισόδου τους. Οι κακόβουλοι παράγοντες ενδέχεται επίσης να αποκτήσουν πρόσβαση αξιοποιώντας μια δημόσια ασύρματη σύνδεση, η οποία δεν είναι πολύ ασφαλής ή εκμεταλλεύονται μια ευπάθεια λογισμικού ή υλικού που εντοπίστηκε κατά τη διάρκεια της επίθεσης υποκλοπής στοιχείων.

Αφού οι παράγοντες της απειλής στον κυβερνοχώρο διεισδύσουν στον οργανισμό, χρησιμοποιούν την πρόσβασή τους για να μετακινούνται πλευρικά από σύστημα σε σύστημα. Στόχος τους είναι να εντοπίσουν ευαίσθητα δεδομένα, πρόσθετες ευπάθειες, λογαριασμούς διαχείρισης ή διακομιστές ηλεκτρονικού ταχυδρομείου που μπορούν να χρησιμοποιήσουν για να προκαλέσουν βλάβη στον οργανισμό.

Στο στάδιο εγκατάστασης, οι κακόβουλοι παράγοντες εγκαθιστούν λογισμικό κακόβουλης λειτουργίας που τους παρέχει τον έλεγχο περισσότερων συστημάτων και λογαριασμών.

Αφού οι εγκληματίες του κυβερνοχώρο αποκτήσουν τον έλεγχο ενός σημαντικού αριθμού συστημάτων, δημιουργούν ένα κέντρο ελέγχου, το οποίο τους επιτρέπει να λειτουργούν απομακρυσμένα. Κατά τη διάρκεια του εν λόγω σταδίου χρησιμοποιούν συσκότιση για να καλύψουν τα ίχνη τους και να αποφύγουν τον εντοπισμό. Χρησιμοποιούν επίσης επιθέσεις "άρνησης υπηρεσίας", ώστε να αποσπάσουν την προσοχή των επαγγελματιών ασφαλείας από τον πραγματικό στόχο τους.

Σε αυτό το στάδιο, οι εγκληματίες του κυβερνοχώρου λαμβάνουν μέτρα για να επιτύχουν τον κύριο στόχο τους, ο οποίος θα μπορούσε να περιλαμβάνει επιθέσεις στην αλυσίδα εφοδιασμού, απόσπαση δεδομένων, κρυπτογράφηση δεδομένων ή καταστροφή δεδομένων.

Παρόλο που το αρχικό πλαίσιο Cyber Kill Chain της Lockhead Martin περιλάμβανε μόλις επτά βήματα, πολλοί ειδικοί της ασφάλειας από απειλές στον κυβερνοχώρο τα επέκτειναν σε οκτώ, ώστε να λαμβάνουν υπόψη τις δραστηριότητες που χρειάζονται οι κακόβουλοι παράγοντες για τη δημιουργία εσόδων από την επίθεση, όπως τη χρήση ransomware, ώστε να αποσπάσουν μια πληρωμή από τα θύματά τους ή την πώληση ευαίσθητων δεδομένων στο σκοτεινό web.

Η κατανόηση του τρόπου με τον οποίο οι παράγοντες των απειλών στον κυβερνοχώρο σχεδιάζουν και πραγματοποιούν τις επιθέσεις τους βοηθά τους επαγγελματίες της ασφάλειας από απειλές στον κυβερνοχώρο να εντοπίζουν και να μετριάζουν ευπάθειες σε ολόκληρο τον οργανισμό. Τους βοηθά επίσης να εντοπίζουν ενδείξεις παραβίασης κατά τα πρώιμα στάδια μιας επίθεσης στον κυβερνοχώρο. Πολλοί οργανισμοί χρησιμοποιούν το μοντέλο Cyber Kill Chain, ώστε να εφαρμόσουν προληπτικά μέτρα ασφαλείας και να καθοδηγήσουν την απόκριση σε περιστατικά.

Ευφυΐα προστασίας από απειλές

Ένα από τα πιο σημαντικά εργαλεία για την προστασία ενός οργανισμού από απειλές στον κυβερνοχώρο είναι η  Ευφυΐα προστασίας από απειλές. Οι σωστές λύσεις ευφυΐας προστασίας από απειλές συνθέτουν δεδομένα από ολόκληρο το περιβάλλον ενός οργανισμού και παρέχουν αξιοποιήσιμες πληροφορίες που βοηθούν τους επαγγελματίες ασφαλείας να εντοπίζουν πρώιμα τις επιθέσεις στον κυβερνοχώρο.

Συχνά, οι κακόβουλοι παράγοντες διεισδύουν σε έναν οργανισμό, μαντεύοντας ή κλέβοντας κωδικούς πρόσβασης. Αφού εισέλθουν, επιχειρούν να κλιμακώσουν τα δικαιώματα, ώστε να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα και συστήματα. Οι λύσεις διαχείρισης ταυτοτήτων και πρόσβασης βοηθούν στον εντοπισμό ανώμαλης δραστηριότητας που μπορεί να αποτελεί ένδειξη ότι ένας μη εξουσιοδοτημένος χρήστης έχει αποκτήσει πρόσβαση. Προσφέρουν επίσης ελέγχους και μέτρα ασφαλείας, όπως έλεγχο ταυτότητας δύο παραγόντων, που καθιστούν πιο δύσκολη τη χρήση κλεμμένων διαπιστευτηρίων για την είσοδο.

Πολλοί οργανισμοί παραμένουν ένα βήμα μπροστά από τις πιο πρόσφατες απειλές στον κυβερνοχώρο με τη βοήθεια μιας λύσης πληροφοριών ασφαλείας και διαχείρισης συμβάντων (SIEM). Οι λύσεις SIEM συγκεντρώνουν δεδομένα από ολόκληρο τον οργανισμό και από πηγές τρίτων, ώστε να εμφανίσουν κρίσιμες απειλές στον κυβερνοχώρο επιτρέποντας στις ομάδες ασφαλείας να προβούν σε διαλογή και αντιμετώπισή τους. Πολλές λύσεις SIEM ανταποκρίνονται επίσης αυτόματα σε ορισμένες γνωστές απειλές, μειώνοντας τον αριθμό των περιστατικών που πρέπει να διερευνήσει μια ομάδα.

Σε οποιονδήποτε οργανισμό, υπάρχουν εκατοντάδες ή χιλιάδες τελικά σημεία. Μεταξύ των διακομιστών, των υπολογιστών, των κινητών συσκευών και των συσκευών Internet of Things (IoT) που χρησιμοποιούν οι εταιρείες για τη διεξαγωγή επιχειρηματικών δραστηριοτήτων, ενδέχεται να είναι σχεδόν αδύνατο να διατηρούνται όλες ενημερωμένες. Οι κακόβουλοι παράγοντες το γνωρίζουν αυτό, γι' αυτό πολλές επιθέσεις στον κυβερνοχώρο ξεκινούν με ένα παραβιασμένο τελικό σημείο. Οι λύσεις εντοπισμού και απόκρισης τελικών σημείων βοηθούν τις ομάδες ασφαλείας να τις παρακολουθούν για απειλές και να ανταποκρίνονται γρήγορα όταν εντοπίζουν ένα πρόβλημα ασφαλείας με μια συσκευή.

Οι λύσεις εκτεταμένου εντοπισμού και απόκρισης (XDR) αναπτύσσουν τον εντοπισμό και την απόκριση τελικού σημείου ένα βήμα παραπέρα με μια ενιαία λύση που προστατεύει τα τελικά σημεία, τις ταυτότητες, τις εφαρμογές cloud και τα μηνύματα email.

Δεν διαθέτουν όλες οι εταιρείες πόρους εσωτερικής εγκατάστασης για τον αποτελεσματικό εντοπισμό και την αντιμετώπιση απειλών. Για να αυξήσουν την υπάρχουσα ομάδα ασφαλείας τους, αυτοί οι οργανισμοί στρέφονται σε υπηρεσίες παροχής που προσφέρουν διαχειριζόμενο εντοπισμό και απόκριση. Αυτές οι υπηρεσίες παροχής αναλαμβάνουν την ευθύνη παρακολούθησης του περιβάλλοντος ενός οργανισμού και της απόκρισης σε απειλές.

Παρόλο που η κατανόηση του Cyber Kill Chain είναι σε θέση να βοηθήσει τις εταιρείες και τις κυβερνήσεις να προετοιμαστούν προληπτικά και να ανταποκριθούν σε σύνθετες απειλές στον κυβερνοχώρο πολλαπλών σταδίων, η εξάρτηση από αυτό αποκλειστικά μπορεί να καταστήσει έναν οργανισμό ευάλωτο σε άλλους τύπους απειλών στον κυβερνοχώρο. Μερικές από τις συνήθεις κριτικές όσον αφορά το Cyber Kill Chain αναφέρουν τα εξής:

• Εστιάζει σε λογισμικό κακόβουλης λειτουργίας. Το αρχικό πλαίσιο Cyber Kill Chain σχεδιάστηκε για τον εντοπισμό και την απόκριση σε λογισμικό κακόβουλης λειτουργίας και δεν είναι εξίσου αποτελεσματικό σε σχέση με άλλους τύπους επιθέσεων, όπως είναι ένας μη εξουσιοδοτημένος χρήστης που αποκτά πρόσβαση με διαπιστευτήρια που έχουν παραβιαστεί.

• Ιδανικό για περιμετρική ασφάλεια. Με έμφαση στην προστασία τελικών σημείων, το μοντέλο Cyber Kill Chain λειτούργησε σωστά όταν υπήρχε μία μόνο περίμετρος δικτύου που χρειαζόταν προστασία. Πλέον, με τόσους πολλούς απομακρυσμένους εργαζόμενους, το cloud και ένας συνεχώς διευρυνόμενος αριθμός συσκευών ο οποίος αποκτά πρόσβαση στους πόρους μιας εταιρείας, μπορεί να είναι σχεδόν αδύνατο να αντιμετωπιστεί κάθε ευπάθεια τελικού σημείου.

• Δεν διαθέτει εξοπλισμό για εσωτερικές απειλές. Οι παραβιαστές εσωτερικής εγκατάστασης, οι οποίοι έχουν ήδη πρόσβαση σε ορισμένα συστήματα, είναι πιο δύσκολο να εντοπιστούν με ένα μοντέλο Cyber Kill Chain. Αντί για αυτό, οι οργανισμοί πρέπει να παρακολουθούν και να εντοπίζουν αλλαγές στη δραστηριότητα χρήστη.

• Πολύ γραμμική. Παρόλο που πολλές επιθέσεις στον κυβερνοχώρο ακολουθούν τα οκτώ στάδια που περιγράφονται στο πλαίσιο Cyber Kill Chain, υπάρχουν επίσης πολλοί, οι οποίοι δεν συνδυάζουν ή συνδυάζουν πολλά διαφορετικά βήματα σε μία μόνο ενέργεια. Οι οργανισμοί που είναι υπερβολικά εστιασμένοι σε κάθε ένα από τα στάδια ενδέχεται να παραλείψουν αυτές τις απειλές στον κυβερνοχώρο.

Από το 2011, όταν ο Lockhead Martin παρουσίασε για πρώτη φορά το Cyber Kill Chain, πολλά έχουν αλλάξει στο τοπίο της τεχνολογίας και της επίθεσης στον κυβερνοχώρο. Το υπολογιστικό cloud, οι κινητές συσκευές και οι συσκευές IoT έχουν μεταμορφώσει τον τρόπο εργασίας των ατόμων και λειτουργίας των επιχειρήσεων. Οι παράγοντες των απειλών στον κυβερνοχώρο έχουν απαντήσει σε αυτές τις νέες τεχνολογίες με τις δικές τους καινοτομίες, συμπεριλαμβανομένης της χρήσης αυτοματισμού και AI για την επιτάχυνση και τη βελτίωση των επιθέσεών τους στον κυβερνοχώρο. Η αλυσίδα επίθεσης στον κυβερνοχώρο προσφέρει ένα εξαιρετικό σημείο εκκίνησης για την ανάπτυξη μιας προληπτικής στρατηγικής ασφάλειας, η οποία λαμβάνει υπόψη τη νοοτροπία και τους στόχους του εισβολέα του κυβερνοχώρου. Η Ασφάλεια της Microsoft προσφέρει μια ενοποιημένη πλατφόρμα SecOps η οποία συνδυάζει το XDR και το SIEM σε μία προσαρμόσιμη λύση, ώστε να βοηθήσει τους οργανισμούς να αναπτύξουν μια πολυεπίπεδη άμυνα που προστατεύει όλα τα στάδια της αλυσίδας επίθεσης στον κυβερνοχώρο. Επίσης, οι οργανισμοί προετοιμάζονται για αναδυόμενες απειλές στον κυβερνοχώρο που υποστηρίζονται από τεχνολογία AI επενδύοντας σε τεχνητή νοημοσύνη για λύσεις ασφάλειας από απειλές στον κυβερνοχώρο, όπως το Copilot Ασφάλειας της Microsoft.