Što je lanac stupnjeva računalnih napada?

Godine 2011. Lockheed Martin prilagodio je vojni koncept koji se zove stupnjevi napada za industriju računalne sigurnosti i zove ga lanac stupnjeva računalnih napada. Kao i stupnjevi napada, lanac stupnjeva računalnih napada identificira faze napada i daje braniteljima uvid u tipične taktike i tehnike njihovih suparnika tijekom svake faze. Oba su modela također linearna s očekivanjem da će napadači pratiti svaku fazu uzastopno.

Budući da je lanac stupnjeva računalnih napada prvi put uveden, zlonamjerni akteri razvili su svoje taktike i ne prate uvijek svaku fazu lanca stupnjeva računalnih napada. Kao odgovor na to, sigurnosna je djelatnost ažurirala svoj pristup i razvila nove modele. Matrica MITRE ATT&CK® detaljan je popis taktika i tehnika utemeljenih na stvarnim napadima. Upotrebljava slične faze kao lanac stupnjeva računalnih napada, ali ne slijedi linearni redoslijed.

Godine 2017. Paul Pols u suradnji s Fox-IT-jem i Leiden Universityjem razvio je drugi okvir, objedinjeni lanac korisnika koji objedinjuje elemente matrice MITRE ATT&CK i lanac stupnjeva računalnih napada u model s 18 faza.

Izvidnica

Lanac stupnjeva računalnih napada definira niz faza računalnih napada s ciljem razumijevanja načina na koji se oslanjaju na računalne napade, uključujući njihove napade, alate, metode i tehnike, način na koji donose odluke i način na koji izbjegavaju otkrivanje. Razumijevanje načina na koji funkcionira lanac stupnjeva računalnih napada pomaže korisnicima da zaustave računalne napade u najranijim fazama.

Tijekom razdoblja vizualizacije zlonamjerni akteri upotrebljavaju informacije otkrivene tijekom izvidnice kako bi stvorili ili izmijenili zlonamjerni softveri kako bi na najbolji način iskoristili prednosti ciljane tvrtke ili ustanove.

Kada izrade zlonamjerni softver, računalni napadači pokušavaju pokrenuti napad. Jedan od najčešćih načina jest primjena tehnika društvenog inženjeringa, kao što je krađa identiteta kako bi prevarili zaposlenike da predaju vjerodajnice za prijavu. Zlonamjerni akteri također mogu dobiti pristup tako što će iskoristiti prednosti javne bežične veze koja nije vrlo sigurna ili iskorištava ranjivost softvera ili hardvera otkrivenu tijekom izvidnice.

Nakon što računalne prijetnje oštete tvrtku ili ustanovu, oni svoj pristup upotrebljavaju za kasnije bočne kretanje iz sustava u sustav. Njihov je cilj pronaći osjetljive podatke, dodatne slabe točke, administrativne račune ili poslužitelje e-pošte koje mogu iskoristiti za nanošenje štete u tvrtki ili ustanovi.

U fazi instalacije zlonamjerni akteri instaliraju zlonamjerni softver koji im daje kontrolu nad više sustava i računa.

Nakon što računalni napadi steknu kontrolu nad znatnim brojem sustava, stvaraju kontrolni centar koji im omogućuje daljinski rad. Tijekom ove faze upotrebljavaju skrivanje za skrivanje svojih tragova i izbjegavanje otkrivanja. Uz to, oni primjenjuju napade uskraćivanja usluga kako bi odvukli sigurnosne stručnjake od stvarnog cilja.

U ovoj fazi računalni napadači poduzimaju korake kako bi postigli svoj primarni cilj, što može obuhvaćati napade opskrbnog lanca, izvlačenje podataka, šifriranje podataka ili krađu podataka.

Iako je izvorni lanac stupnjeva računalnih napada Lockheada Martina obuhvaćao samo sedam koraka, mnogi stručnjaci za računalnu sigurnost proširili su ga na osam na račun aktivnosti koje zlonamjerni napadači poduzimaju kako bi generirali prihode od napada, kao što je upotreba ucjenjivačkog softvera izvlačenje uplate od svojih žrtva ili prodaja povjerljivih podataka na tamnoj mreži.

Razumijevanje načina na koji zlonamjerni akteri planiraju i provode svoje napade pomaže stručnjacima u računalnoj sigurnosti da pronađu i ublaže slabe točke u cijeloj tvrtki ili ustanovi. Također im pomaže prepoznati pokazatelje kompromitiranja tijekom ranih faza računalnog napada. Mnoge tvrtke i ustanove primjenjuju lanac stupnjeva računalnih napada kako bi proaktivno postavile sigurnosne mjere i vodile odgovor na incidente.

Obavještavanje o prijetnjama

Jedan od najvažnijih alata za zaštitu tvrtke ili ustanove od računalnih prijetnji jest  obavještavanje o prijetnjama. Dobra rješenja za obavještavanje o prijetnjama sintetiziraju podatke iz okruženja tvrtke ili ustanove i omogućuju uvide na temelju kojih je moguće poduzeti radnje, što sigurnosnim stručnjacima omogućuje rano otkrivanje računalnih napada.

Zlonamjerni akteri često pogađaju ili ukradu lozinke. Kada uđu u sustav, pokušavaju eskalirati ovlasti kako bi dobili pristup povjerljivim podacima i sustavima. Rješenja za upravljanje identitetima i pristupom pomažu pri otkrivanju neuobičajenih aktivnosti koje mogu označavati da je neovlašteni korisnik dobio pristup. Također nude kontrole i sigurnosne mjere, kao što je dvostruka provjera autentičnosti, koje drugim korisnicima otežavaju prijavu s pomoću ukradenih vjerodajnica.

Mnoge tvrtke i ustanove ostaju ispred najnovijih internetskih prijetnji uz pomoć sigurnosnog rješenja za informacije i upravljanje događajima (SIEM). SIEM rješenja zbrajaju podatke iz cijele tvrtke ili ustanove i iz izvora trećih strana kako bi pronašli ključne računalne prijetnje za sigurnosne timove radi razvrstavanja i adrese. Mnoga SIEM rješenja automatski reagiraju i na određene poznate prijetnje, čime se smanjuje broj incidenata koje tim mora istražiti.

U bilo kojoj tvrtki ili ustanovi postoje stotine ili tisuće krajnjih točaka. Između poslužitelja, računala, mobilnih uređaja i interneta stvari (IoT) uređaja koje tvrtke upotrebljavaju za vođenje poslovanja može biti gotovo nemoguće sve ih održavati ažurnima. To znaju zlonamjerni akteri, zbog čega mnogi računalni napadi počinju s kompromitiranom krajnjom točkom. Prepoznavanje krajnjih točaka i odgovor pomažu sigurnosnim timovima da ih nadziru radi otkrivanja prijetnji i brzog reagiranja kada otkriju sigurnosni problem s uređajem.

Rješenja proširenog otkrivanja i odgovora (XDR) idu korak dalje s otkrivanjem krajnjih točaka i odgovorom korak dalje s pomoću jednog rješenja koje štiti krajnje točke, identitete, aplikacije u oblaku i poruke e-pošte.

Nemaju sve tvrtke ugrađene resurse za učinkovito otkrivanje prijetnji i odgovaranje na njih. Da bi povećale postojeći sigurnosni tim, te se tvrtke ili ustanove okreću davateljima usluga koji nude upravljano otkrivanje i odgovor. Ti davatelji usluga preuzimaju odgovornost za nadzor okruženja tvrtke ili ustanove i odgovaranje na prijetnje.

Iako razumijevanje lanca stupnjeva računalnih napada pomaže tvrtkama i vladama da se proaktivno pripreme za složene računalne prijetnje i reagiraju na njih, oslanjanje isključivo na njih može učiniti tvrtku ili ustanovu ranjivom na druge vrste računalnih napada. Nekoliko čestih kritika lanca stupnjeva računalnih napada:

• Fokusiran na zlonamjerni softver. Izvorni okvir lanca stupnjeva računalnih napada osmišljen je tako da otkriva zlonamjerni softver i odgovara na taj softver te nije jednako učinkovit u odnosu na druge vrste napada, kao što je neovlašteni korisnik koji ima pristup s ugroženim vjerodajnicama.

• Idealan za sigurnost perimetra. S naglaskom na zaštitu krajnjih točaka, model lanca stupnjeva računalnih napada dobro je radio kada je bilo potrebno zaštititi samo jedan mrežni perimetar. Sada s toliko udaljenih zaposlenika, oblakom i sve širim brojem uređaja koji pristupaju resursima tvrtke, gotovo je nemoguće riješiti svaku ranjivost krajnje točke.

• Nije opremljen za interne prijetnje. Insajderi, koji već imaju pristup nekim sustavima, teže se otkrivaju s pomoću modela lanca stupnjeva računalnih napada. Umjesto toga tvrtke ili ustanove moraju nadzirati i otkrivati promjene u korisničkim aktivnostima.

• Previše linearan. Iako mnogi računalni napadi prate osam faza opisanih u lancu stupnjeva računalnih napada, mnogo ih je i koji ne kombiniraju nekoliko koraka u jednu akciju. Tvrtke ili ustanove koje su previše fokusirane na svaku od faza mogu propustiti te računalne prijetnje.

Od 2011., kada je Lockhead Martin prvi put uveo lanac stupnjeva računalnih napada, mnogo se toga promijenilo u tehnologiji i krajoliku računalnih prijetnji. Računalstvo u oblaku, mobilni uređaji i IoT uređaji pretvorili su način na koji rade ljudi i tvrtke. Zlonamjerni akteri odgovorili su na te nove tehnologije vlastitim inovacijama, uključujući upotrebu automatizacije i umjetne inteligencije radi ubrzavanja i poboljšanja sigurnosnih napada. Stupnjevi računalnih napada odličan su početak razvoja proaktivne sigurnosne strategije, pri čemu se uzimaju u obzir način razmišljanja i ciljevi računalnog napadača. Microsoft Security pruža objedinjenu SecOps platformu koja povezuje XDR i SIEM u jedno prilagodljivo rješenje koje tvrtkama ili ustanovama omogućuje razvoj višeslojne zaštite svih faza stupnjeva računalnih napada. Tvrtke ili ustanove također se pripremaju za nove računalne prijetnje pogonjene umjetnom inteligencijom ulaganjem u AI rješenja za računalnu sigurnost kao što je Microsoft Security Copilot.