Что такое цепочка киберугроз?

В 2011 году компания Lockheed Martin адаптировала военную концепцию под названием "этапы атаки" для сферы кибербезопасности и назвала ее цепочкой киберугроз. Как и этапы атаки, цепочка киберугроз определяет этапы атаки и дает защитникам представление о типичных тактиках и приемах противника на каждом этапе. Обе модели также являются линейными, и предполагается, что злоумышленники будут последовательно следовать каждому этапу.

С тех пор, как впервые была представлена ​​цепочка киберугроз, киберпреступники усовершенствовали свою тактику и не всегда следуют каждому этапу цепочки киберугроз. В ответ на это индустрия безопасности обновила свой подход и разработала новые модели. Матрица MITRE ATT&CK® представляет собой подробный список тактик и приемов, основанных на реальных атаках. Они используют те же этапы, что и цепочка киберугроз, но не следуют линейному порядку.

В 2017 году Пол Полс (Paul Pols) в сотрудничестве с Fox-IT и Лейденским университетом разработал еще одну структуру — унифицированную цепочку атак, которая объединяет элементы матрицы MITRE ATT&CK и этапы атаки в модель с 18 этапами.

Рекогносцировка

Цепочка киберугроз определяет последовательность фаз кибератак с целью понимания образа мышления киберпреступников, включая их мотивы, инструменты, методы и приемы, то, как они принимают решения и как они избегают обнаружения. Понимание того, как работает цепочка киберугроз, помогает защитникам останавливать кибератаки на самых ранних стадиях.

На этапе создания оружия злоумышленники используют информацию, полученную в ходе рекогносцировки, для создания или модификации вредоносной программы, которая наилучшим образом использует слабые стороны целевой организации.

Создав вредоносную программу, киберпреступники пытаются осуществить атаку. Одним из наиболее распространенных методов является использование приемов социальной инженерии, таких как фишинг, с целью обмана сотрудников для получения их учетных данных. Злоумышленники также могут получить доступ, воспользовавшись общедоступным беспроводным соединением, которое не очень защищено, или эксплуатируя уязвимость программного или аппаратного обеспечения, обнаруженную в ходе рекогносцировки.

Проникнув в организацию, субъекты киберугроз используют свой доступ для горизонтального перемещения из системы в систему. Их цель — найти конфиденциальные данные, дополнительные уязвимости, административные учетные записи или серверы электронной почты, которые они могут использовать для нанесения ущерба организации.

На этапе установки злоумышленники устанавливают вредоносную программу, которая предоставляет им управление большим количеством систем и учетных записей.

Получив контроль над значительным количеством систем, киберпреступники создают центр управления, позволяющий им действовать удаленно. На этом этапе они прибегают к обфускации информации, чтобы скрыть следы и избежать обнаружения. Они также используют атаки типа "отказ в обслуживании", чтобы отвлечь специалистов по безопасности от их истинной цели.

На этом этапе киберпреступники предпринимают шаги для достижения своей основной цели, которая может включать атаки на цепочки поставок, кражу данных, шифрование данных или уничтожение данных.

Хотя начальные этапы атаки Lockhead Martin включали всего семь шагов, многие эксперты по кибербезопасности расширили их до восьми, чтобы учесть действия злоумышленников, направленные на получение дохода от атаки, например, использование программ-вымогателей для получения денег от своих жертв или продажу конфиденциальных данных в dark web.

Понимание того, как злоумышленники планируют и осуществляют свои атаки, помогает специалистам по кибербезопасности находить и устранять уязвимости во всей организации. Это также помогает им выявлять признаки взлома на ранних стадиях кибератаки. Многие организации используют модель "цепочки киберугроз" для упреждающего принятия мер безопасности и руководства реагированием на инциденты.

Аналитика угроз

Одним из важнейших инструментов защиты организации от киберугроз является анализ угроз. Хорошие решения аналитики угроз обобщают данные из всей среды организации и предоставляют действенную аналитику, которая помогает специалистам по безопасности обнаруживать кибератаки на ранних стадиях.

Часто злоумышленники проникают в организацию, угадывая или похищая пароли. Проникнув внутрь, они пытаются повысить привилегии, чтобы получить доступ к конфиденциальным данным и системам. Решения по управлению идентификацией и доступом помогают обнаружить аномальную активность, которая может быть признаком того, что неавторизованный пользователь получил доступ. Они также предлагают средства контроля и меры безопасности, такие как двухфакторная проверка подлинности, которые затрудняют использование украденных учетных данных для входа в систему.

Многие организации опережают новейшие киберугрозы с помощью решения по управлению информацией и событиями безопасности (SIEM). Решения SIEM собирают данные со всей организации и из сторонних источников для выявления критических киберугроз, которые специалисты по безопасности могут классифицировать и устранить. Многие решения SIEM также автоматически реагируют на определенные известные угрозы, сокращая количество инцидентов, которые необходимо исследовать группе.

В любой организации есть сотни или тысячи конечных точек. Учитывая количество серверов, компьюте­ров, мобильных устройств и устройств Интернета вещей (IoT), которые компании используют для ведения бизнеса, поддерживать их все в актуальном состоянии может оказаться практически невозможным. Злоумышленники знают это, поэтому многие кибератаки начинаются со взломанной конечной точки. Решения по обнаружению и нейтрализации атак на конечные точки помогают службам безопасности отслеживать угрозы и быстро реагировать при обнаружении проблем безопасности на устройстве.

Решения по обнаружению и нейтрализации атак на конечные точки (XDR) выводят обнаружение и нейтрализацию атак на конечные точки на новый уровень с помощью единого решения, которое защищает конечные точки, идентификационные данные, облачные приложения и электронную почту.

Не все компании располагают внутренними ресурсами для эффективного обнаружения угроз и реагирования на них. Чтобы усилить свою существующую группу безопасности, эти организации обращаются к поставщикам услуг, которые предлагают управляемое обнаружение и реагирование. Эти поставщики услуг берут на себя ответственность за мониторинг среды организации и реагирование на угрозы.

Хотя понимание цепочки киберугроз может помочь компаниям и правительствам заблаговременно подготовиться к сложным, многоэтапным киберугрозам и отреагировать на них, опора исключительно на это может сделать организацию уязвимой для других типов кибератак. Некоторые из распространенных критических замечаний в адрес цепочки киберугроз сводятся к следующему:

• Фокус на вредоносных программах. Начальная инфраструктура цепочки киберугроз разработана для обнаружения и реагирования на вредоносные программы и не столь эффективна против других типов атак, таких как несанкционированный доступ пользователя с использованием скомпрометированных учетных данных.

• Идеально подходит для защиты периметра. Модель цепочки киберугроз, ориентированная на защиту конечных точек, хорошо работала, когда требовалось защитить единый сетевой периметр. Теперь, когда все больше сотрудников работают удаленно, используются облака и постоянно растет число устройств, получающих доступ к ресурсам компании, становится практически невозможно устранить все уязвимости конечных точек.

• Не оборудовано для предотвращения внутренних угроз. Инсайдеров, у которых уже есть доступ к некоторым системам, сложнее обнаружить с помощью модели цепочки киберугроз. Вместо этого организациям необходимо отслеживать и выявлять изменения в действиях пользователей.

• Слишком линейно. Хотя многие кибератаки следуют восьми этапам, описанным в цепочке киберугроз, есть также много таких, которые их не выполняют или объединяют несколько этапов в одно действие. Организации, которые слишком сосредоточены на каждом из этапов, могут упустить из виду эти киберугрозы.

С 2011 года, когда компания Lockheed Martin впервые представила цепочку киберугроз, в сфере технологий и киберугроз многое изменилось. Облачные вычисления, мобильные устройства и устройства Интернета вещей изменили то, как работают люди и функционируют предприятия. Субъекты киберугроз отреагировали на эти новые технологии собственными инновациями, включая использование автоматизации и ИИ для ускорения и улучшения своих кибератак. Цепочка киберугроз предлагает прекрасную отправную точку для разработки упреждающей стратегии безопасности, учитывающей образ мышления и цели кибератак. Microsoft Security предлагает единую платформу SecOps, объединяющую XDR и SIEM в одно адаптируемое решение, помогающее организациям разработать многоуровневую защиту, которая защищает все этапы цепочки кибератак. Организации также готовятся к новым киберугрозам на базе искусственного интеллекта, инвестируя в решения на основе искусственного интеллекта для обеспечения кибербезопасности, такие как Microsoft Security Copilot.