Ce este lanțul de atacuri cibernetice?

În 2011, Lockheed Martin a adaptat un concept de tip „kill chain” pentru industria de securitate cibernetică și l-a numit „cyber kill chain”, lanțul de atacuri cibernetice. Precum lanțul de tip „kill chain”, lanțul de atacuri cibernetice identifică etapele unui atac și le oferă apărătorilor detalii despre tacticile și tehnicile tipice ale adversarilor lor pe parcursul fiecărei etape. Ambele modele sunt, de asemenea, liniare, în speranța că atacatorii vor urma fiecare etapă succesiv.

De când a fost introdus pentru prima dată lanțul de atacuri cibernetice, actorii de amenințări cibernetice și-au dezvoltat tacticile și nu urmează întotdeauna fiecare etapă a lanțului de atacuri cibernetice. Ca răspuns, sectorul securității și-a actualizat abordarea și a dezvoltat noi modele. Matricea MITRE ATT&CK® este o listă detaliată de tactici și tehnici bazate pe atacuri reale. Utilizează etape similare lanțului de atacuri cibernetice, dar nu urmează o ordine liniară.

În 2017, Paul Pols, în colaborare cu Fox-IT și Leiden University, a dezvoltat un alt cadru, lanțul de tip „kill chain” unificat, care combină elementele matricei MITRE ATT&CK și ale lanțului de atacuri cibernetice într-un model cu 18 etape.

Recunoaștere

Lanțul de atacuri cibernetice definește o secvență de etape ale atacului cibernetic, cu scopul de a înțelege modul de gândire al atacatorilor cibernetici, inclusiv motivele, instrumentele, metodele și tehnicile lor, modul în care iau decizii și modul în care evită detectarea. Înțelegerea modului în care funcționează lanțul de atacuri cibernetice ajută apărătorii să oprească atacurile cibernetice în stadiile incipiente.

În timpul etapei de înarmare, actorii rău intenționați utilizează informațiile descoperite în timpul recunoașterii pentru a crea sau a modifica malware, Aflați mai multe despre malware și despre cum să vă protejați împotriva atacurilor cibernetice.malware, pentru a exploata la maximum punctele slabe ale organizației vizate.

După ce au creat malware, atacatorii cibernetici încearcă să își lanseze atacul. Una dintre cele mai comune metode este utilizarea tehnicilor de inginerie socială, precum phishing, pentru a-i păcăli pe angajați să-și dea acreditările de conectare. De asemenea, este posibil ca actori rău intenționați să obțină acces, profitând de o conexiune wireless publică care nu este foarte sigură sau exploatând o vulnerabilitate software sau hardware descoperită în timpul recunoașterii.

După infiltrarea în organizație, autorii de amenințări cibernetice își utilizează accesul pentru deplasare laterală, de la un sistem la altul. Scopul lor este să găsească date confidențiale, vulnerabilități suplimentare, conturi administrative sau servere de e-mail pe care le pot utiliza pentru a provoca daune organizației.

În etapa de instalare, actorii rău intenționați instalează malware care le oferă control asupra mai multor sisteme și conturi.

După ce obțin controlul asupra unui număr semnificativ de sisteme, atacatorii cibernetici creează un centru de control care le permite să funcționeze de la distanță. În această etapă, aceștia utilizează confuzia pentru a-și acoperi urmele și a evita detectarea. De asemenea, aceștia utilizează atacuri de tip „blocarea accesului” pentru a distrage atenția profesioniștilor din domeniul securității de la obiectivul lor real.

În această etapă, atacatorii cibernetici iau măsuri pentru a-și atinge obiectivul principal, care ar putea include atacuri asupra lanțurilor de distribuție, furt de date, criptarea datelor sau distrugerea datelor.

Deși lanțul original de atacuri cibernetice al lui Lockhead Martin includea doar șapte pași, un număr mare de experți în securitate cibernetică l-au extins la opt, pentru a ține cont de activitățile întreprinde se actorii rău intenționați pentru a genera venituri din atac, cum ar fi utilizarea ransomware-ului pentru a obține o plată de la victime sau pentru a vinde date confidențiale pe piața web ilegală.

Înțelegerea modului în care autorii de amenințări cibernetice își planifică și își desfășoară atacurile ajută profesioniștii în domeniul securității cibernetice să descopere și să atenueze vulnerabilitățile din cadrul organizației. De asemenea, îi ajută să identifice indicatorii de compromis în timpul etapelor timpurii ale unui atac cibernetic. Multe organizații utilizează modelul lanțului de atacuri cibernetice pentru a pune în aplicare proactiv măsuri de securitate și pentru a îndruma răspunsul la incidente.

Investigarea amenințărilor

Unul dintre cele mai importante instrumente pentru protejarea unei organizații împotriva amenințărilor cibernetice este investigarea amenințărilor. Soluțiile bune de investigare a amenințărilor sintetizează date din mediul unei organizații și oferă detalii utile, care ajută specialiștii în securitate să detecteze mai devreme atacurile cibernetice.

Adeseori, actori rău intenționați se infiltrează într-o organizație, ghicind sau furând parole. După ce pătrund în interior, încearcă să escaladeze privilegiile pentru a obține acces la date confidențiale și la sisteme. Gestionarea identităților și accesului: Aflați cum securizează, gestionează și definește IAM rolurile de utilizator și privilegiile de accesSoluțiile de gestionare a identităților și accesului ajută la detectarea activităților anormale, care pot fi un indiciu că un utilizator neautorizat a obținut acces. De asemenea, oferă controale și măsuri de securitate, precum autentificarea pe două niveluri, care îngreunează conectarea unei persoane cu acreditări furate.

Multe organizații sunt protejate de cele mai noi amenințări cibernetice cu ajutorul unei soluții de management al evenimentelor și al informațiilor de securitate (SIEM). Soluțiile SIEM agregă date din întreaga organizație și de la surse terțe, pentru a aduce la suprafață amenințările cibernetice critice, de triat și abordat de către echipele de securitate. Multe soluții SIEM răspund automat și la anumite amenințări cunoscute, reducând numărul de incidente pe care o echipă trebuie să le investigheze.

În orice organizație există sute sau mii de puncte finale. Între atâtea servere, computere, dispozitive mobile și dispozitive Internet of Things (IoT) utilizate de firme pentru a-și desfășura activitatea, menținerea tuturor acestora actualizate poate fi aproape imposibilă. Actorii rău intenționați știu acest lucru, motiv pentru care numeroase atacuri cibernetice încep cu un punct final compromis. Soluțiile de Detectarea punctelor finale și răspunsul Explorați modul în care tehnologia EDR ajută organizațiile să se protejeze împotriva amenințărilor cibernetice grave, de exemplu, ransomware.detectare și răspuns pentru punctele finale ajută echipele de securitate să le monitorizeze pentru amenințări și să răspundă rapid atunci când descoperă o problemă de securitate cu un dispozitiv.

Soluțiile de Detectare și răspuns extinse (XDR), Aflați cum soluțiile de detectare și răspuns extinse (XDR) oferă protecție împotriva amenințărilor și reduc timpul de răspuns în toate sarcinile de lucru.detectare și răspuns extinse(XDR) duc detectarea și răspunsul pentru punctele finale cu un pas mai departe, cu o soluție unică, ce protejează punctele finale, identitățile, aplicațiile în cloud și e-mailurile.

Nu toate firmele au resurse interne disponibile pentru a detecta și a răspunde eficient la amenințări. Pentru a-și mări echipa de securitate existentă, aceste organizații apelează la furnizori de servicii care oferă detectare și răspuns gestionate. Acești furnizori de servicii își asumă responsabilitatea de a monitoriza mediul unei organizații și de a răspunde la amenințări.

Deși înțelegerea lanțului de atacuri cibernetice poate ajuta companiile și guvernele să se pregătească proactiv și să răspundă la atacuri cibernetice complexe, cu mai multe etape, bazarea exclusivă pe acesta poate vulnerabiliza o organizație în fața altor tipuri de atacuri cibernetice. Iată critici tipice aduse lanțului de atacuri cibernetice:

• Concentrat pe malware. Cadrul inițial al lanțului de atacuri cibernetice a fost proiectat să detecteze și să răspundă la malware și nu este la fel de eficient împotriva altor tipuri de atacuri, precum un utilizator neautorizat care obține acces cu acreditări compromise.

• Ideal pentru securitatea perimetrală. Cu accent pe protejarea punctelor finale, modelul lanțului de atacuri cibernetice a funcționat bine atunci când exista un singur perimetru de rețea de protejat. Acum, cu atât de mulți angajați la distanță, mediul cloud și un număr tot mai mare de dispozitive care accesează activele unei firme, tratarea fiecărei vulnerabilități de punct final poate fi aproape imposibilă.

• Nu este echipat pentru amenințările din interior. Utilizatorii interni, care au deja acces la unele sisteme, sunt mai greu de detectat cu un model de lanț de atacuri cibernetice. În schimb, organizațiile trebuie să monitorizeze și să detecteze modificările din activitatea utilizatorilor.

• Prea liniar. Deși multe atacuri cibernetice urmează cele opt etape prezentate în lanțul de atacuri cibernetice, există, de asemenea, multe care nu fac acest lucru sau care combină mai mulți pași într-o singură acțiune. Organizațiile care acordă o atenție exagerată fiecărei etape pot rata aceste amenințări cibernetice.

Din 2011, când Lockhead Martin a introdus pentru prima dată lanțul de atacuri cibernetice, multe lucruri s-au schimbat în tehnologie și în mediul amenințărilor cibernetice. Calculul în cloud, dispozitivele mobile și dispozitivele IoT au transformat modul în care lucrează oamenii și firmele. Autorii amenințările cibernetice au răspuns la aceste tehnologii noi cu propriile inovații, inclusiv utilizarea automatizării și a inteligenței artificiale pentru a accelera și a-și îmbunătăți atacurile cibernetice. Lanțul de atac cibernetic oferă un punct de pornire excelent pentru dezvoltarea unei strategii de securitate proactive, care ține cont de mentalitatea și obiectivele atacatorilor cibernetici. Microsoft Security oferă o platformă SecOps unificată, ce reunește XDR și SIEM într-o soluție unică, adaptabilă, pentru a ajuta organizațiile să dezvolte o apărare multi-stratificată, ce protejează toate etapele din lanțul de atac cibernetic. De asemenea, organizațiile se pregătesc pentru amenințări cibernetice emergente, susținute de inteligența artificială, investind în inteligență artificială pentru soluțiile de securitate cibernetică, precum Copilot de securitate Microsoft.