Hva er cyber kill chain?

I 2011 tilpasset Lockheed Martin et militærkonsept kalt kill chain for cybersikkerhetsindustrien og kalte det cyber kill chain. I likhet med kill chain identifiserer cyber kill chain fasene av et angrep og gir forsvarerne innsikt i fiendenes typiske taktikker og teknikker i hver fase. Begge modellene er også lineære, med forventningen om at angriperne følger hver fase sekvensielt.

Siden cyber kill chain først ble introdusert, har aktørene bak datatrusler videreutviklet taktikkene sine og følger ikke alltid alle fasene av cyber kill chain. Som svar har sikkerhetsbransjen oppdatert tilnærmingen og utviklet nye modeller. MITRE ATT&CK®-matrisen er en detaljert liste over taktikker og teknikker basert på reelle angrep. Den bruker lignende faser som cyber kill chain, men følger ikke en lineær rekkefølge.

I 2017 utviklet Paul Pols i samarbeid med Fox-IT og Leiden University et annet rammeverk, unified kill chain, som kombinerer elementer av både MITRE ATT&CK-matrisen og cyber kill chain i en modell med 18 faser.

Rekognosering

Cyber kill chain definerer en sekvens av cyberangrepsfaser med mål om å forstå tankesettet til cyberangripere, inkludert motivene, verktøyene, metodene og teknikkene, hvordan de tar beslutninger og hvordan de unngår å bli oppdaget. Det å forstå hvordan cyber kill chain fungerer, kan hjelpe forsvarere med å stoppe cyberangrep i de tidligste fasene.

I utvikling av våpen-fasen bruker ondsinnede aktører informasjonen som ble avdekket under rekognoseringen, til å opprette eller endre skadelig programvare for best å utnytte svakhetene til organisasjonen som er målet.

Etter at de har bygget skadelig programvare, forsøker cyberangriperne å starte angrepet. En av de vanligste metodene er å bruke teknikker for sosial manipulering, for eksempel phishing, til å lure ansatte til å gi fra seg påloggingsinformasjon. Ondsinnede aktører kan også få tilgang ved å dra nytte av en offentlig trådløs tilkobling som ikke er veldig sikker, eller utnytter en sårbarhet i programvare eller maskinvare som avdekkes under rekognosering.

Etter at aktører innen datatrusler infiltrerer organisasjonen, bruker de tilgangen sin til å flytte seg sideveis fra system til system. Målet deres er å finne sensitive data, ytterligere sårbarheter, administrative kontoer eller e-postservere som de kan bruke til å påføre skade på organisasjonen.

I installasjonsfasen installerer dårlige aktører skadelig programvare som gir dem kontroll over flere systemer og kontoer.

Etter at cyberangriperne har fått kontroll over et betydelig antall systemer, oppretter de et kontrollsenter som gjør det mulig for dem å operere eksternt. I løpet av dette stadiet bruker de tilsløring til å dekke sporene sine og unngå å bli oppdaget. De bruker også tjenestenektangrep til å distrahere sikkerhetseksperter fra å oppdage den egentlige hensikten deres.

I dette stadiet iverksetter cyberangriperne tiltak for å oppnå sitt primære mål, som kan omfatte forsyningskjedeangrep, dataeksfiltrasjon, datakryptering eller datadestruksjon.

Selv om den opprinnelige cyber kill chain til Lockhead Martin bare hadde sju trinn, har mange cybersikkerhetseksperter utvidet den til åtte for å ta hensyn til handlingene som ondsinnede aktører gjør for å generere inntekter fra angrepet, for eksempel å bruke løsepengevirus for å få ofrene til å betale eller å selge sensitive data på det mørke nettet.

Å forstå hvordan aktører bak datatrusler planlegger og utfører angrepene sine hjelper cybersikkerhetseksperter med å finne og redusere sårbarheter på tvers av organisasjonen. Det hjelper dem også med å identifisere indikasjoner på kompromittering i de tidlige fasene av et cyberangrep. Mange organisasjoner bruker cyber kill chain-modellen til å proaktivt å få på plass sikkerhetstiltak og veilede ved svar på hendelser.

Trusselinformasjon

Et av de viktigste verktøyene for å beskytte en organisasjon mot datatrusler er trusselinformasjon. Gode løsninger for trusselinformasjon syntetiserer data fra hele organisasjonens miljø og leverer handlingsrettet innsikt som hjelper sikkerhetseksperter med å oppdage cyberangrep tidlig.

Ofte infiltrerer ondsinnede aktører en organisasjon ved å gjette eller stjele passord. Når de kommer inn, prøver de å eskalere rettigheter for å få tilgang til sensitive data og systemer. Identitets- og tilgangsstyring: Finn ut hvordan Identitets- og tilgangsstyring sikrer, administrerer og definerer brukerroller og tilgangsrettigheterIdentitets- og tilgangsstyringsløsninger bidrar til å oppdage uvanlig aktivitet som kan være en indikasjon på at en uautorisert bruker har fått tilgang. De tilbyr også kontroller og sikkerhetstiltak, for eksempel godkjenning med to faktorer, som gjør det vanskeligere å bruke stjålet legitimasjon til å logge på.

Mange organisasjoner holder seg i forkant av de nyeste datatruslene ved hjelp av en løsning for administrasjon av sikkerhetsinformasjon og -hendelser (SIEM). SIEM-løsninger samler data fra hele organisasjonen og fra tredjepartskilder for å vise kritiske datatrusler som sikkerhetsteam kan sortere og håndtere. Mange SIEM-løsninger reagerer også automatisk på visse kjente trusler, noe som reduserer antallet hendelser et team må undersøke.

I en organisasjon finnes det hundrevis eller tusenvis av endepunkter. Mellom serverne, datamaskinene, de mobile enhetene og Tingenes Internett (IoT)-enhetene som bedrifter bruker til å drive forretningen, kan det være nesten umulig å holde alle oppdatert. Ondsinnede aktører vet dette, og derfor starter mange cyberangrep med et kompromittert endepunkt. Endepunktsoppdagelse og -svar Utforsk hvordan teknologi for endepunktsoppdagelse og -svar hjelper organisasjoner med å beskytte seg mot alvorlige datatrusler som løsepengevirus.Endepunktsoppdagelse og -svarløsninger hjelper sikkerhetsteam med å overvåke enheter for trusler og reagere raskt når de oppdager et sikkerhetsproblem med en enhet.

Utvidet oppdagelse og svar (XDR) Finn ut hvordan løsninger for utvidet oppdagelse og svar (XDR) gir trusselbeskyttelse og reduserer svartiden på tvers av arbeidsbelastninger.XDR-løsninger (utvidet oppdagelse og svar) tar endepunktoppdagelse og -svar ett skritt videre med én enkelt løsning som beskytter endepunkter, identiteter, skyapper og e-postmeldinger.

Ikke alle selskaper har interne ressurser tilgjengelig for å effektivt oppdage og svare på trusler. For å styrke deres eksisterende sikkerhetsteam, henvender disse organisasjonene seg til tjenesteleverandører som tilbyr administrert oppdagelse og svar. Disse tjenesteleverandørene tar på seg ansvaret for å overvåke organisasjonens miljø og svare på trusler.

Selv om forståelse av cyber kill chain kan hjelpe bedrifter og myndigheter proaktivt med å forberede seg på og reagere på komplekse datatrusler med flere trinn, kan det å stole utelukkende på den gjøre en organisasjon sårbar for andre typer cyberangrep. Vanlig kritikk mot cyber kill chain er blant annet at den er:

• Fokusert på skadelig programvare. Det opprinnelige rammeverket for cyber kill chain ble utformet for å oppdage og reagere på skadelig programvare og er ikke like effektivt mot andre typer angrep, for eksempel en uautorisert bruker som får tilgang med kompromittert påloggingsinformasjon.

• Ideell for perimetersikkerhet. Med vekt på å beskytte endepunkter fungerte cyber kill chain bra når det var én enkelt nettverksperimeter å beskytte. Nå med så mange fjernarbeidere, skyen og et stadig økende antall enheter som har tilgang til bedriftens ressurser, kan det være nesten umulig å håndtere alle sårbarheter i endepunkter.

• Ikke utstyrt for interne trusler. Folk på innsiden, som allerede har tilgang til enkelte systemer, er vanskeligere å oppdage med en cyber kill chain-modell. I stedet må organisasjoner overvåke og oppdage endringer i brukeraktivitet.

• For lineær. Selv om mange cyberangrep følger de åtte fasene som er beskrevet i cyber kill chain, er det også mange som ikke gjør det, eller kombinerer flere trinn i én enkelt handling. Organisasjoner som er for fokusert på hver av fasene, kan gå glipp av disse datatruslene.

Siden 2011, da Lockhead Martin først introduserte cyber kill chain, har mye endret seg i teknologi- og datatrussellandskapet. Databehandling i skyen, mobile enheter og IoT-enheter har endret hvordan folk jobber og bedrifter opererer. Datatrussel-aktører har reagert på disse nye teknologiene med sine egne innovasjoner, inkludert bruk av automatisering og kunstig intelligens for å akselerere og forbedre cyberangrepene sine. Cyber kill chain tilbyr et godt utgangspunkt for å utvikle en proaktiv sikkerhetsstrategi som tar hensyn til tankesettet og målene til cyberangriperne. Microsoft Sikkerhet tilbyr en enhetlig SecOps-plattform som kombinerer XDR og SIEM i én tilpassbar løsning for å hjelpe organisasjoner med å utvikle et forsvar med flere lag som beskytter alle fasene i cyber kill chain. Og organisasjoner forbereder seg også på nye datatrusler drevet av kunstig intelligens, ved å investere i kunstig intelligens for cybersikkerhetsløsninger, for eksempel Microsoft Sikkerhet Copilot.