Mis on küberründe tapuahel?

2011. aastal kohandas Lockheed Martin küberturbetööstuse jaoks varem sõjalise mõistena kasutusel olnud „tapuahela“ ja nimetas selle küberründe tapuahelaks. Sarnaselt tapuahelaga tuvastab ka küberründe tapuahel ründe etapid ja aitab kaitsjatel mõista nende vastaste tüüpilisi taktikaid ja tehnikaid igas ründeetapis. Mõlemad mudelid on lineaarsed: eeldus on, et ründajad läbivad etapid järjest.

Alates küberründe tapuahela mõiste kasutuselevõtust on küberohustajad oma taktikat edasi arendanud ning alati ei pruugi nad küberründe tapuahela iga etappi järgida. Sellele arengule reageerimiseks on ka turbevaldkond oma lähenemist värskendanud ja töötanud välja uued mudelid. MITRE ATT&CK®-i maatriks kujutab endast tegelikel rünnetel põhinevat üksikasjalikku loendit taktikatest ja tehnikatest. See kasutab küberründe tapuahelaga sarnaseid etappe, kuid ei järgi lineaarset järjestust.

2017. aastal töötas Paul Pols koostöös Fox-IT ja Leideni ülikooliga välja teise raamistiku – ühtse tapuahela, mis kombineerib nii MITRE ATT&CK-i maatriksi kui ka küberründe tapuahela elemendid 18 etapist koosnevaks mudeliks.

Luure

Küberründe tapuahel määratleb küberründe etappide järjestuse. Selle eesmärk on mõista küberründajate mõtteviisi, sealhulgas nende motiive, tööriistu, meetodeid ja tehnikaid, kuidas nad otsuseid langetavad ja kuidas nad tuvastamisest mööda hiilivad. Küberründe tapuahela mõistmine aitab kaitsjatel küberründed peatada juba varaseimates etappides.

Relvana kasutamise etapis kasutavad ründajad luure käigus kogutud teavet ründevara loomiseks või muutmiseks, et sihikule võetud organisatsiooni nõrkusi kõige tõhusamalt ära kasutada.

Pärast ründevara loomist proovivad küberründajad rünnet käivitada. Üks levinumaid meetodeid on manipuleerimistehnikate, näiteks andmepüügi kasutamine, et saada töötajatelt pettusega kätte nende sisselogimisandmed. Ründajad võivad juurdepääsu saamiseks ära kasutada ka näiteks avalikku raadiovõrguühendust, mis pole väga turvaline, või luure käigus tuvastatud tarkvara- või riistvaranõrkust.

Pärast seda, kui küberohustajad on organisatsiooni sisse imbunud, kasutavad nad saadud juurdepääsu ühest süsteemist teise liikumiseks. Nende eesmärk on leida delikaatseid andmeid, täiendavaid nõrkusi, administraatorikontosid või meiliservereid, mida nad saaksid kasutada organisatsioonile kahju tekitamiseks.

Installietapis installivad ründajad ründevara, mis annab neile kontrolli enamate süsteemide ja kontode üle.

Pärast seda, kui küberründajad on saanud kontrolli olulise hulga süsteemide üle, loovad nad juhtimiskeskuse, mis võimaldab neil kaugühenduse kaudu töötada. Selles etapis kasutavad nad oma jälgede varjamiseks ja tuvastamise vältimiseks hägustamist. Samuti kasutavad nad teenusetõkestus- ehk ummistusründeid, et viia turbetöötajate tähelepanu nende tegelikult eesmärgilt eemale.

Selles etapis asuvad küberründajad tegutsema oma peamise eesmärgi saavutamiseks. See võib hõlmata tarneahela ründeid, andmete väljaviimist, andmete krüptimist või andmete hävitamist.

Ehkki Lockheed Martini algne küberründe tapuahel hõlmas ainult seitset etappi, on paljud küberturbe asjatundjad seda laiendanud kaheksale, et kaasata ka need tegevused, mida ründajad teevad ründest tulu teenimiseks – näiteks lunavara kasutamine ohvritelt maksete väljapressimiseks või delikaatsete andmete müümine pimeveebis.

Arusaamine sellest, kuidas küberohustajad oma ründeid plaanivad ja korraldavad, aitab küberturbespetsialistidel kogu organisatsioonis nõrkusi paremini üles leida ja leevendada. Samuti aitab see neil tuvastada turbemurdele viitavaid märke küberründe varajastes etappides. Paljud organisatsioonid kasutavad küberründe tapuahela mudelit turbemeetmete ennetavaks rakendamiseks ja intsidentidele reageerimise juhtimiseks.

Ohuanalüüs

Üks olulisemaid tööriistu organisatsiooni kaitsmiseks küberohtude eest on ohuanalüüs. Head ohuanalüüsi lahendused sünteesivad andmeid kogu organisatsiooni keskkonnast ja pakuvad tegutsemist võimaldavaid praktilisi ülevaateid, mis aitavad turbespetsialistidel küberründeid varakult tuvastada.

Sageli õnnestub ründajatel organisatsiooni sisse tungida paroole ära arvates või varastades. Pärast sisse pääsemist proovivad nad õigusi eskaleerida, et pääseda juurde delikaatsetele andmetele ja süsteemidele. Kasutaja- ja juurdepääsuhalduse lahendused aitavad tuvastada anomaalset tegevust, mis võib osutada volitamata kasutaja juurdepääsu saamisele. Lisaks pakuvad need mitmesuguseid kontrolli- ja turbemeetmeid, näiteks kahekordset autentimist, mis muudab varastatud identimisteabe abil sisselogimise ründajale keerulisemaks.

Paljud organisatsioonid kasutavad uusimatest küberohtudest sammu võrra ees püsimiseks turbeteabe ja -sündmuste halduse (SIEM) lahendusi. SIEM-i lahendused koondavad kogu organisatsiooni ja teiste allikate andmed, et tuua päevavalgele olulised küberohud, mida turbemeeskonnad saavad seejärel prioriseerida ja kõrvaldada. Paljud SIEM-i lahendused reageerivad ka teatud teadaolevatele ohtudele automaatselt, vähendades intsidentide arvu, mida meeskond peab uurima.

Igas organisatsioonis on sadu või tuhandeid lõpp-punkte. Ettevõtetes kasutatakse servereid, arvuteid, nutiseadmeid ja asjade Interneti (IoT) – kõigi nende seadmete ajakohasena hoidmine võib olla peaaegu võimatu. Seda teavad ka ründajad ning just seetõttu saavadki paljud küberründed alguse ründe ohvriks langenud lõpp-punktist. Lõpp-punkti ohutuvastuse ja -kõrvalduse lahendused aitavad turbemeeskondadel seadmeid ohtude leidmiseks jälgida ja mõnes seadmes turbeprobleemi leidmisel kiiresti reageerida.

Laiendatud ohutuvastuse ja -kõrvalduse (XDR) lahendused viivad lõpp-punkti ohutuvastuse ja -kõrvalduse veel sammu võrra edasi, kaitstes ühe lahenduse abil nii lõpp-punkte, kasutajaidentiteete, pilvrakendusi kui ka meilikontosid.

Kõigil ettevõtetel pole saadaval ettevõttesiseseid ressursse ohtude tõhusaks tuvastamiseks ja neile reageerimiseks. Olemasoleva turbemeeskonna täiendamiseks pöörduvad need organisatsioonid teenusepakkujate poole, kes pakuvad hallatavat ohutuvastust ja -kõrvaldust. Need teenusepakkujad võtavad enda kanda vastutuse organisatsiooni keskkonna jälgimise ja ohtudele reageerimise eest.

Ehkki küberründe tapuahela mõistmine aitab ettevõtetel ja riigiasutustel keerukateks mitmeetapilisteks küberrünneteks ennetavalt valmistuda ja neile reageerida, võib ainuüksi sellele toetumine jätta organisatsiooni haavatavaks muud tüüpi küberrünnetele. Küberründe tapuahelat kritiseeritakse muu hulgas järgmiste probleemide eest.

• See on keskendunud ründevarale. Küberründe tapuahela raamistik on algselt loodud ründevara tuvastamiseks ja sellele reageerimiseks ning see ei ole sama tõhus muud tüüpi ründe korral (nt siis, kui ründaja saab juurdepääsu ründe ohvriks langenud identimisteavet kasutades).

• See sobib ideaalselt perimeetri turvamiseks. Lõpp-punktide kaitset rõhutades toimis küberründe tapuahela mudel väga hästi seni, kuni kaitset vajas üksnes konkreetne võrguperimeeter. Kuna tänapäeval teevad aga paljud inimesed kaugtööd, suur rõhk on pilvkeskkonnal ning ettevõtte varadele on juurdepääs aina enamatel seadmetel, võib iga lõpp-punkti nõrkusega tegelemine olla sama hästi kui võimatu.

• See pole mõeldud siseohtude jaoks. Ründeid korraldavaid sisetöötajaid, kellel on juurdepääs mõnele süsteemile juba olemas, on küberründe tapuahela mudeli abil keeruline tuvastada. Selle asemel peavad ettevõtted jälgima ja tuvastama muudatusi kasutajate tegevuses.

• See on liiga lineaarne. Ehkki paljud küberründed järgivad neid kaheksat küberründe tapuahelas kirjeldatud etappi, on palju ka neid, mis ei tee seda või kombineerivad mitu etappi üheks toiminguks. Organisatsioonides, kus keskendutakse liigselt igale individuaalsele etapile, võivad need küberohud kahe silma vahele jääda.

Alates 2011. aastast, kui Lockheed Martin võttis küberründe tapuahela mõiste esmakordselt kasutusele, on tehnoloogia ja küberohtude vallas palju muutunud. Pilvandmetöötlus, nutiseadmed ja IoT-seadmed on muutnud nii inimeste kui ka ettevõtete tööharjumusi. Küberohustajad on neile uutele tehnoloogiatele reageerinud omapoolsete uuendustega, mille seas on näiteks automatiseerimine ning tehisintellekti kasutamine küberrünnete kiirendamiseks ja täiustamiseks. Küberründe tapuahel on suurepärane lähtepunkt proaktiivse turbestrateegia väljatöötamiseks, mis võtab arvesse nii küberründaja mõtteviisi kui ka eesmärke. Microsofti turbeteenus pakub ühtset SecOpsi platvormi, mis koondab XDR-i ja SIEM-i üheks kohandatavaks lahenduseks – see aitab ettevõtetel töötada välja mitmekihilise turbe, mis pakub kaitset kõigis küberründe tapuahela etappides. Samuti valmistavad organisatsioonid end ette tärkavateks tehisintellektipõhisteks küberrünneteks, investeerides tehisintellektipõhistesse küberturbelahendustesse, mille seas on näiteks Microsofti turbeteenuse Copilot.