Kas ir pakāpeniskais kiberuzbrukums?

2011. gadā Lockheed Martin ieviesa militāro koncepciju kiberdrošības jomā, kas tika nosaukta par pakāpenisko kiberuzbrukumu. Pakāpeniskā kiberuzbrukuma modelis identificē uzbrukuma posmus un sniedz aizsargiem ieskatu pretinieku tipiskajā taktikā un tehnikā katrā no posmiem. Šie modeļi ir lineāri, sagaidot, ka uzbrucēji ievēros posmu secību.

Kopš pakāpeniskā kiberuzbrukuma modeļa ieviešanas kiberuzbrucēji ir uzlabojuši savu taktiku un ne vienmēr ievēro katru pakāpeniskā kiberuzbrukuma modeļa posmu. Reaģējot uz to, drošības nozare ir mainījusi savu pieeju un izstrādājusi jaunus modeļus. MITRE ATT&CK® matrica ir unikāls detalizēts taktiku un metožu saraksts, kas ir balstīts īstos uzbrukumos. Tas izmanto līdzīgus posmus kā pakāpeniskā kiberuzbrukuma modelis, bet tam nav lineāra secība.

2017. gadā Pauls Pols (Paul Pols sadarbībā ar Fox-IT un Leidenes universitāti izveidoja citu modeli, kas ir vienotais pakāpeniskā kiberuzbrukuma modelis, kas apvieno gan MITRE ATT&CK matricu, gan pakāpeniskā kiberuzbrukuma modeli vienā, un šajā modelī ir 18 posmi.

Izlūkošana

Pakāpeniskā kiberuzbrukuma modelis definē kiberuzbrukuma posmus ar mērķi izprast kiberuzbrukumu domu gājienu, tostarp viņu motīvus, rīkus, metodes un tehnikas, lēmumu pieņemšanas procesu un to, kā viņi izvairās no atklāšanas. Pakāpeniskā kiberuzbrukuma ķēdes izpratne palīdz aizsargiem apturēt kiberuzbrukumus to agrākajos posmos.

Ļaunpratīgas izmantošanas fāzē uzbrucēji izmanto izlūkošanas posmā, lai izveidotu vai modificētu ļaunprogrammatūru, lai labākajā veidā izmantotu mērķa organizācijas vājības.

Pēc ļaunprogrammatūras izveides kiberuzbrucēji mēģina uzbrukt. Viena no visbiežāk izmantotajām metodēm ir sociālā inženierija, piemēram, pikšķerēšana, lai piemānītu darbiniekus, liekot tiem atklāt pierakstīšanās datus. Uzbrucēji var iegūt piekļuvi, izmantojot publiskos bezvada tīklu savienojumus, kas nav īpaši droši, vai izmanto programmatūras vai aparatūras ievainojamības, kas tika atklātas izlūkošanas laikā.

Pēc iekļūšanas organizācijā, uzbrucēji izmanto šo piekļuvi, lai pārietu no sistēmas uz sistēmu. Viņu mērķis ir atrast sensitīvus datus, papildu ievainojamības, administratīvos kontus vai e-pasta serverus, kurus viņi var izmantot, lai radītu zaudējumus organizācijai.

Instalēšanas posmā uzbrucēji instalē ļaunprogrammatūru, kas ļauj tiem iegūt kontroli pār lielāku sistēmu un kontu skaitu.

Pēc tam, kad kiberuzbrucēji ir ieguvuši kontroli pār būtisku sistēmu skaitu, viņi izveido vadības centru, kas ļauj tiem darboties attālināti. Šajā posmā viņi slēpj savas pēdas un izvairās no atklāšanas. Viņi izmanto arī pakalpojuma atteices uzbrukumus, lai novērstu drošības speciālistu uzmanību no saviem patiesajiem mērķiem.

Šajā posmā kiberuzbrucēji veic darbības, lai sasniegtu savu primāro mērķi, kas var būt uzbrukumi piegādes ķēdēm, datu eksfiltrācija, datu šifrēšana vai datu iznīcināšana.

Kaut arī Lockhead Martin sākotnējā pakāpeniskā kiberuzbrukuma modelis ietvēra tikai septiņus soļus, daudzi kiberdrošības speciālisti to paplašināja līdz astoņiem, lai iekļautu darbības, kuras uzbrucēji veic, lai gūtu peļņu no uzbrukuma, piemēram, izspiedējprogrammatūra, lai saņemtu samaksu no saviem upuriem, vai sensitīvu datu pārdošana tumšajā tīmeklī.

Saprast, kā kiberuzbrucēji plāno un veic kiberuzbrukumus, palīdz kiberdrošības speciālistiem atklāt un mazināt ievainojamības organizācijā. Tāpat šī pieeja palīdz atpazīst kiberuzbrukuma pazīmes agrīnos kiberuzbrukuma posmos. Daudzas organizācijas izmanto pakāpeniskā kiberuzbrukuma modeli, lai proaktīvi ieviestu drošības pasākumus un vadītu reaģēšanu uz incidentiem.

Draudu informācija

Viens no svarīgākajiem rīkiem organizācijas aizsardzībai pret kiberapdraudējumiem ir draudu informācija. Labi draudu informācijas risinājumi sintezē datus no visas organizācijas vides un sniedz rīcības ieskatus, kas palīdz drošības speciālistiem agri atklāt kiberuzbrukumus.

Bieži vien uzbrucēji iekļūst organizācijā, uzminot vai nozogot paroles. Pēc iekļūšanas, viņi mēģina eskalēt privilēģijas, lai iegūtu piekļuvi sensitīviem datiem un sistēmām. Identitātes un piekļuves pārvaldības risinājumi palīdz atklāt anomālas darbības, kas var liecināt par to, ka nevēlams lietotājs ir ieguvis piekļuvi. Tāpat viņi piedāvā kontroles un drošības pasākumus, piemēram, divfaktoru autentifikācija, kas apgrūtina pierakstīšanos cilvēkiem ar zagtiem akreditācijas datiem.

Daudzas organizācijas ir soli priekšā jaunākajiem kiberapdraudējumiem, izmantojot drošības informācijas un notikumu pārvaldības (SIEM) risinājumu. SIEM risinājumi apkopo datus no visas organizācijas un trešo pušu avotiem, lai informētu drošības komandas par kritiskiem kiberapdraudējumiem to tālākai pārbaudei un novēršanai. Daudzi SIEM risinājumi automātiski reaģē uz dažiem zināmiem draudiem, samazinot incidentu skaitu, kas komandai ir jāizmeklē.

Jebkurā organizācijā pastāv simti vai tūkstoši galapunktu. Runājot par serveriem, datoriem, mobilajām ierīcēm un lietu interneta (IoT) ierīcēm, kuras uzņēmumi izmanto uzņēmējdarbībai, ir gandrīz neiespējami visas šīs ierīces atjaunināt laicīgi. Uzbrucēji to zina, un tieši tāpēc daudzi kiberuzbrukumi sākas ar uzbrukumu galapunktam. Galapunktu atklāšanas un reaģēšanas risinājumi palīdz drošības komandām uzraudzīt galapunktu apdraudējumus un ātri reaģēt, kad tiek atklātas drošības problēmas ierīcē.

Paplašinātās atklāšanas un reaģēšanas (XDR) risinājumi paplašina galapunktu atklāšanu un reaģēšanu ar vienu risinājumu, kas aizsargā galapunktus, identitātes, mākoņa programmas un e-pastus.

Ne visiem uzņēmumiem ir pieejami iekšējie resursi, lai efektīvi atklātu un reaģētu uz apdraudējumiem. Lai uzlabotu esošu drošības komandu, šīs organizācijas vēršas pie pakalpojumu sniedzējiem, kas piedāvā pārvaldīto atklāšanu un reaģēšanu. Šie pakalpojumu sniedzēji uzņemas atbildību par organizācijas vides uzraudzīšanu un reaģēšanu uz apdraudējumiem.

Kaut arī pakāpeniskā kiberuzbrukuma modelis var palīdzēt uzņēmumiem un valdībām proaktīvi sagatavoties un reaģēt uz sarežģītiem vairāku posmu kiberapdraudējumiem, paļaujoties uz to, organizācija var kļūt ievainojuma pret citiem kiberuzbrukumu veidiem. Pakāpeniskais kiberuzbrukuma modelis bieži vien tiek kritizēts par:

• Koncentrācija uz ļaunprogrammatūru. Sākotnējā pakāpeniskā kiberuzbrukuma modeļa struktūra tika veidota, lai atklātu un reaģētu ļaunprogrammatūru, tāpēc tā nav tikpat efektīva pret citiem uzbrukumu veidiem, piemēram, piekļuves iegūšana ar nozagtiem akreditācijas datiem.

• Ideāls risinājums perimetra drošībai. Liekot uzsvaru uz galapunktu aizsardzību, pakāpeniskais kiberuzbrukuma modelis labi darbojās, ja tam bija jāaizsargā viena tīkla perimetrs. Tagad, tāpēc, ka daudzi darbinieki strādā attālināti, tiek izmantots mākonis un uzņēmuma aktīviem piekļūst aizvien lielāks ierīču skaits, novērst katru galapunkta ievainojamību ir gandrīz neiespējami.

• Nav paredzēts iekšējiem apdraudējumiem. Uzņēmuma personālu, kam jau ir piekļuve atsevišķām sistēmām, ir grūtāk atklāt, izmantojot pakāpenisko kiberuzbrukumu modeli. Tā vietā organizācijām ir jāuzrauga un jāatklāj izmaiņas lietotāju darbībās.

• Pārāk lineārs. Kaut arī daudziem kiberuzbrukumiem ir raksturīgi pakāpeniskā kiberuzbrukuma modelī aprakstītie astoņi posmi, ir daudzi kiberuzbrukumi, kas neizmanto vai neapvieno vairākas darbības vienā. Organizācijas, kas pārmērīgi koncentrējas uz katru posmu, var palaist garām šos kiberapdraudējumus.

Kopš 2011. gada, kad Lockhead Martin pirmo reizi ieviesa pakāpenisko kiberuzbrukumu modeli, ir notikušas lielas izmaiņās tehnoloģiju un kiberapdraudējumu jomās. Mākoņdatošana, mobilās ierīces un lietiskais internets mainīja veidu, kā strādā cilvēki un uzņēmumi. Kiberapdraudējumu īstenotāji reaģē uz šīm jaunajām tehnoloģijām ar savām inovācijām, ieskaitot automatizācijas un AI izmantošanu, lai paātrinātu un uzlabotu savus kiberuzbrukumus. Pakāpeniskais kiberuzbrukuma modelis ir lielisks sākumpunkts proaktīvas drošības stratēģijas izstrādei, kas ņem vēra kiberuzbrucēju domu gājienu un mērķus. Microsoft Security piedāvā vienotu SecOps platformu, kas apvieno XDR un SIEM vienā pielāgojamā risinājumā, lai palīdzētu organizācijām izveidot vairāku slāņu aizsardzību, kas aizsargā visos pakāpeniskā kiberuzbrukuma modeļa posmos. Turklāt organizācijas arī gatavojas jauniem mākslīgā intelekta kiberapdraudējumiem, ieguldot mākslīgā intelekta kiberdrošības risinājumos, piemēram, Microsoft drošības Copilot.