מהי שרשרת התקפת הסייבר?

בשנת 2011, Lockheed Martin סיגלה תפיסה צבאית בשם שרשרת התקפה לתעשיית אבטחת הסייבר וקראה לה שרשרת התקפת הסייבר. בדומה לשרשרת ההתקפה, שרשרת התקפת הסייבר מזהה את שלבי המתקפה ונותנת למגינים תובנה לגבי הטקטיקות והטכניקות האופייניות ליריביהם במהלך כל שלב. שני הדגמים גם ליניאריים עם ציפייה שתוקפים יעקבו אחרי כל שלב ברצף.

מאז ששרשרת התקפת הסייבר הוצגה לראשונה, שחקני איומי סייבר פיתחו את הטקטיקה שלהם ולא תמיד עוקבים אחר כל שלב בשרשרת התקפת הסייבר. בתגובה, תעשיית האבטחה עדכנה את הגישה שלה ותפתח מודלים חדשים. מטריצת MITRE ATT&CK® היא רשימה מפורטת של שיטות וטקטיקות המבוססות על מתקפות ממשיות. היא משתמשת בשלבים דומים לשרשרת התקפת הסייבר באינטרנט, אך אינו פועל לפי סדר ליניארי.

בשנת 2017, פול פולס, בשיתוף פעולה עם Fox-IT ו- Leiden University פיתח מסגרת נוספת, שרשרת ההתקפה המאוחדת, המשלבת רכיבים של מטריצה MITRE ATT&CK ושרשרת התקפת הסייבר למודל עם 18 שלבים.

איסוף

שרשרת התקפת הסייבר מגדירה רצף של שלבי התקפות סייבר במטרה להבין את הלך הרוח של תוקפי סייבר, כולל המניעים, הכלים, השיטות והטכניקות שלהם, כיצד הם מקבלים החלטות וכיצד הם מתחמקים מזיהוי. הבנת אופן הפעולה של שרשרת התקפת הסייבר עוזרת למגינים להפסיק מתקפות סייבר בשלבים המוקדמים ביותר.

במהלך שלב החימוש, שחקנים רעים משתמשים במידע שנחשף במהלך האיסוף כדי ליצור או לשנות תוכנות זדוניות כדי לנצל בצורה הטובה ביותר את חולשות הארגון המותקף.

לאחר שהם בנו תוכנות זדוניות, תוקפי סייבר מנסים להפעיל את המתקפה שלהם. אחת השיטות הנפוצות ביותר היא שימוש בטכניקות הנדסה חברתית כגון דיוג כדי להערים על עובדים למסור את אישורי הכניסה שלהם. שחקנים רעים עשויים גם לזכות בכניסה על-ידי ניצול חיבור אלחוטי ציבורי שאינו מאובטח במיוחד או ניצול פגיעות תוכנה או חומרה שנחשפה במהלך האיסוף.

לאחר ששחקני איומי סייבר חודרים לארגון, הם משתמשים בגישה שלהם כדי לעבור באופן רוחבי ממערכת למערכת. המטרה שלהם היא למצוא נתונים רגישים, פגיעויות נוספות, חשבונות מנהליים או שרתי דואר אלקטרוני שבהם הם יכולים להשתמש כדי לגרום נזק לארגון.

בשלב ההתקנה, שחקנים רעים מתקינים תוכנות זדוניות שמספקות להם שליטה במערכות ובחשבונות נוספים.

לאחר שתוקפי סייבר השיגו שליטה על מספר משמעותי של מערכות, הם יוצרים מרכז בקרה המאפשר להם לפעול מרחוק. במהלך שלב זה הם משתמשים בהסוואה כדי לכסות את עקבותיהם ולהימנע מזיהוי. בנוסף, הם משתמשים בתקיפות מסוג מניעת שירות כדי להסיח את דעתם של מומחי אבטחה מהיעד האמיתי שלהם.

בשלב זה, תוקפי סייבר נוקטים צעדים להשגת מטרתם העיקרית, שיכולים לכלול התקפות שרשרת אספקה, חילוץ נתונים, הצפנת נתונים או השמדת נתונים.

למרות ששרשרת התקפת הסייבר המקורית של Lockhead Martin כללה רק שבעה שלבים, מומחי אבטחת סייבר רבים הרחיבו אותה לשמונה כדי לטפל בפעילויות ששחקנים רעים משתתפים בה כדי ליצור הכנסה מהמתקפה, כגון שימוש בתוכנות כופר כדי לחלץ תשלום מהקורבנות או למכור נתונים רגישים ברשת האפלה.

הבנת האופן שבו שחקני איומי סייבר מתכננים ומנהלים את ההתקפות שלהם מסייעת למומחי אבטחת סייבר למצוא ולצמצם פגיעויות ברחבי הארגון. זה גם עוזר להם לזהות סימנים של פגיעה בשלבים המוקדמים של מתקפת סייבר. ארגונים רבים משתמשים במודל שרשרת התקפת הסייבר כדי להציב אמצעי אבטחה באופן יזום ולהנחות תגובה לאירועים.

בינת איומים

אחד הכלים החשובים ביותר להגנה על ארגון מפני איומי סייבר הוא בינת איומים. פתרונות מודיעין איומים טובים מסנתזים נתונים מכל סביבת הארגון ומספקים תובנות מעשיות המסייעות לאנשי אבטחה לזהות מתקפות סייבר בשלב מוקדם.

לעתים קרובות שחקנים רעים מסתננים לארגון על ידי ניחוש או גניבת סיסמאות. לאחר שהם יתקבלו, הם מנסים להפנות הרשאות כדי לקבל גישה לנתונים ומערכות רגישים. פתרונות ניהול זהויות וגישה עוזרים לזהות פעילות אנומלית שעשויה להיות אינדיקציה לכך שמשתמש לא מורשה קיבל גישה. הם גם מציעים אמצעי בקרה ואבטחה, כגון אימות דו-גורמי, שמקשה על מישהו להשתמש באישורים גנובים כדי להיכנס.

ארגונים רבים מקדימים את איומי הסייבר האחרונים בעזרת פתרון ניהול מידע ואירועי אבטחה (SIEM). פתרונות SIEM צוברים נתונים מכל רחבי הארגון וממקורות צד שלישי כדי להציף איומי סייבר קריטיים שצוותי אבטחה יכולים לקבוע להם סדר עדיפויות ולטפל בהם. פתרונות SIEM רבים גם מגיבים באופן אוטומטי לאיומים ידועים מסוימים, ומפחיתים את מספר האירועים שצוות צריך לחקור.

בכל ארגון יש מאות נקודות קצה או אלפי נקודות קצה. בין השרתים, המחשבים, המכשירים הניידים ומכשירי האינטרנט של הדברים (IoT) שחברות משתמשות בהם כדי לנהל עסקים, זה יכול להיות כמעט בלתי אפשרי לשמור על כולם מעודכנים. שחקנים רעים יודעים זאת, בגלל זה מתקפות סייבר רבות מתחילות בנקודות קצה שנחשפו לסכנה. פתרונותזיהוי ותגובה של נקודת קצה עוזרים לצוותי אבטחה לעקוב אחר איומים ולהגיב במהירות כשהם מגלים בעיית אבטחה במכשיר.

פתרונות זיהוי ותגובה מורחבים (XDR) משתתפים בזיהוי נקודות קצה ובתגובה צעד אחד קדימה באמצעות פתרון יחיד המגן על נקודות קצה, זהויות, אפליקציות ענן והודעות דואר אלקטרוני.

לא לכל החברות יש משאבים פנימיים הזמינים לזיהוי יעיל של איומים ולהגיב להם. כדי להגדיל את צוות האבטחה הקיים שלהם, ארגונים אלה פונים לספקי שירות המציעים איתור ותגובה מנוהלים. ספקי שירות אלה משתתפים באחריות לניטור סביבת הארגון ולתגובה לאיומים.

על אף שהבנת שרשרת התקפת הסייבר באינטרנט יכולה לסייע לחברות ולממשלות להתכונן באופן יזום לאיומי סייבר מורכבים ורב-שלביים ולהגיב להם, הסתמכות עליה באופן בלעדי עלולה להפוך את הארגון לפגיע לסוגים אחרים של מתקפות סייבר. כמה מהביקורות הנפוצות של שרשרת התקפת הסייבר הן:

• ממוקד בתוכנות זדוניות. מסגרת שרשרת התקפת הסייבר המקורית תוכננה לזהות תוכנות זדוניות ולהגיב להן, והיא פחות יעילה נגד סוגים אחרים של התקפות, כגון משתמש לא מורשה שמקבל גישה עם אישורים שנפרצו.

• אידיאלי לאבטחה היקפית. עם דגש על הגנה על נקודות קצה, מודל שרשרת ההורגות באינטרנט פעל היטב כאשר היה היקף רשת יחיד כדי להגן עליו. כעת, עם כל כך הרבה עובדים מרוחקים, הענן ומספר הולך וגדל של מכשירים הניגשים לנכסי החברה, זה יכול להיות כמעט בלתי אפשרי לטפל בכל נקודת תורפה של נקודות קצה.

• לא מצויד עבור איומים פנימיים. משתתפי Insider, שכבר יש להם גישה למערכות מסוימות, קשה יותר לזהות אותם באמצעות מודל שרשרת התקפת הסייבר. במקום זאת, ארגונים צריכים לנטר ולזהות שינויים בפעילות המשתמשים.

• ליניארי מדי. למרות שתקיפות סייבר רבות עוקבות אחר שמונת השלבים המתוארים בשרשרת התקפת הסייבר, ישנם גם רבים שאינם משלבים או משלבים כמה שלבים בפעולה אחת. ארגונים הממוקדים מדי בכל אחד מהשלבים עלולים להחמיץ את איומי הסייבר הללו.

מאז 2011, כאשר Lockhead Martin הציגה לראשונה את שרשרת התקפת הסייבר, הרבה השתנה בטכנולוגיה ובנוף איומי הסייבר. מחשוב ענן, מכשירים ניידים ומכשירי IoT שינו את אופן הפעולה של אנשים ועסקים. שחקני איומי סייבר הגיבו לטכנולוגיות חדשות אלה עם חידושים משלהם, כולל שימוש באוטומציה ובבינה מלאכותית כדי להאיץ ולשפר את מתקפות הסייבר שלהם. שרשרת התקפת הסייבר מציעה נקודת התחלה מצוינת לפיתוח אסטרטגיית אבטחה יזומה הלוקחת בחשבון את הלך הרוח והיעדים של תוקפי הסייבר. האבטחה של Microsoft מציעה פלטפורמת SecOps מאוחדת שמשלבת XDR ו- SIEM לפתרון אחד הניתן להתאמה כדי לעזור לארגונים לפתח הגנה רב-שכבתית המגנה על כל השלבים בשרשרת התקפת הסייבר. וארגונים גם נערכים לאיומי סייבר מתעוררים מבוססי בינה מלאכותית על ידי השקעה בבינה מלאכותית לפתרונות אבטחת סייבר, כמו Copilot האבטחה של Microsoft.