Čo je reťazec kybernetických útokov?

V roku 2011 Sala Martin prispôsobil vojenskému konceptu, ktorý sa nazýva reťazec vysídľovania pre odvetvie kybernetickej bezpečnosti, a označil ho za reťazec kybernetických útokov. Rovnako ako reťazec útokov, aj reťazec kybernetických útokov identifikuje fázy útoku a poskytuje obrancom prehľad o typických taktikách a technikách protivníka v každej fáze. Oba modely sú tiež lineárne s očakávaním, že útočníci budú postupne sledovať jednotlivé fázy.

Od prvého zavedenia reťazca kybernetických útokov sa taktiky aktérov kybernetických hrozieb vyvíjali a nie vždy dodržiavajú všetky fázy reťazca kybernetických útokov. V reakcii na to odvetvie zabezpečenia aktualizovalo svoj prístup a vyvinulo nové modely. Matica MITRE ATT&CK® je podrobný zoznam taktik a techník založených na skutočných útokoch. Používa podobné fázy ako reťazec kybernetických útokov, ale nesleduje lineárne poradie.

V roku 2017 vytvoril Paul Pols v spolupráci s fox-IT a Nathden University ďalší rámec, zjednotený reťazec útokov, ktorý kombinuje prvky matice MITRE ATT&CK a reťazce kybernetických útokov, do modelu s 18 fázami.

Prieskum

Reťazec kybernetických útokov definuje postupnosť fáz kybernetických útokov s cieľom pochopiť myslenie kybernetických útokov vrátane ich útokov, nástrojov, metód a techník, spôsobu prijímania rozhodnutí a spôsobu, akým sa vyhýbajú detekcii. Pochopenie fungovania reťazca kybernetických útokov pomáha defenderom zastaviť kybernetické útoky v najskorších fázach.

Počas fázy weaponizácie používajú zlí aktéri informácie odkryté počas prieskumu na vytvorenie alebo úpravu malvér Ďalšie informácie o malvéri a o tom, ako sa chrániť pred kybernetickými útokmi.malvéru na čo najlepšie využitie slabých stránok cieľovej organizácie.

Po vytvorení malvéru sa kyberútočníci pokúsia spustiť svoj útok. Jednou z najbežnejších metód je použitie techník sociálneho inžinierstva, ako napríkladphishing, nalákať zamestnancov na odovzdanie prihlasovacích poverení. Zlí aktéri tiež môžu získať prístup využitím verejného bezdrôtového pripojenia, ktoré nie je veľmi bezpečné alebo zneužíva nedostatočné zabezpečenie softvéru alebo hardvéru, ktoré sa odhalí počas prieskumu.

Po tom, ako kyberútočníci infiltrujú organizáciu, používajú svoj prístup na laterálny prechod zo systému do systému. Ich cieľom je nájsť citlivé údaje, ďalšie zraniteľnosti, správcovské kontá alebo e-mailové servery, ktoré môžu použiť na poškodenie organizácie.

V inštalačnej fáze nainštalujú zlí aktéri malvér, ktorý im poskytuje kontrolu nad viacerými systémami a kontami.

Po tom, ako kyberútočníci získajú kontrolu nad významným počtom systémov, vytvoria kontrolné centrum, ktoré im umožní pracovať na diaľku. Počas tejto fázy používajú maskovanie, aby zakryli svoje stopy a vyhli sa odhaleniu. Využívajú tiež útoky typu odopretie služby, aby odvrátili pozornosť bezpečnostných odborníkov od ich skutočného cieľa.

V tejto fáze kyberútočníci podnikajú kroky na dosiahnutie svojho primárneho cieľa, ktorý môže zahŕňať útoky dodávateľského reťazca, exfiltráciu údajov, šifrovanie údajov alebo deštrukciu údajov.

Hoci pôvodný reťazec kybernetických útokov Lockhead Martina obsahoval len sedem krokov, mnohí odborníci na kybernetickú bezpečnosť ho rozšírili na osem, aby sa zohľadňovali aktivity, ktoré zlí aktéri využívajú na generovanie príjmov z útoku, ako je napríklad použitie ransomwaru na extrahovanie platby od ich zákazníkov alebo predaj citlivých údajov na dark webe.

Pochopenie toho, ako kyberútočníci plánujú a vykonávajú svoje útoky, pomáha odborníkom v oblasti kybernetickej bezpečnosti nájsť a zmierniť zraniteľnosti v rámci organizácie. Pomáha im tiež identifikovať indikátory ohrozenia v počiatočných fázach kybernetického útoku. Mnohé organizácie používajú model reťazca kybernetických útokov na proaktívne založenie bezpečnostných opatrení a na usmernenie reakcie na incidenty.

Analýza hrozieb

Jedným z najdôležitejších nástrojov na ochranu organizácie pred kybernetickými hrozbami je analýza hrozieb. Vhodné riešenia na analýzu hrozieb synchronizujú údaje z celého prostredia organizácie a poskytujú prehľady, ktoré pomôžu odborníkom v oblasti zabezpečenia včas rozpoznať kybernetické útoky.

Zlí aktéri často infiltrujú organizáciu uhádnutím alebo krádežou hesiel. Keď sa dostanú dovnútra, pokúsia sa eskalovať oprávnenia na získanie prístupu k citlivým údajom a systémom. Riešenia správy identít a prístupu pomáha zisťovať nezvyčajné aktivity, ktoré môžu naznačovať, že neoprávnený používateľ získal prístup. Ponúkajú tiež ovládacie prvky a bezpečnostné opatrenia, ako sú napríklad dvojfaktorové overovanie, ktoré sťažuje používateľovi používanie odcudzených poverení na prihlásenie.

Mnohé organizácie majú pred sebou najnovšie kybernetické hrozby s pomocou riešenia s informáciami o zabezpečení a správou udalostí (SIEM). Riešenia SIEM agregujú údaje z celej organizácie a zo zdrojov tretích strán až po kritické kybernetické hrozby pre bezpečnostné tímy na triedenie a riešenie. Mnohé riešenia SIEM tiež automaticky reagujú na určité známe hrozby, čím znižujú počet incidentov, ktoré tím potrebuje preskúmať.

V ľubovoľnej organizácii existujú stovky alebo tisíce koncových bodov. Medzi servermi, počítačmi, mobilnými zariadeniami a zariadeniami so Internet vecí (IoT), ktoré spoločnosti používajú na podnikanie, môže byť takmer nemožné udržiavať ich všetky aktuálne. Toto vedia nevhodní herci, preto mnohé kybernetické útoky začínajú ohrozeným koncovým bodom. Detekcia koncových bodov a reakcia na ne (EDR) Preskúmajte, ako technológia EDR pomáha organizáciám chrániť sa pred závažnými kybernetickými hrozbami, ako je napríklad ransomvér.EDR pomáhajú bezpečnostným tímom monitorovať hrozby a rýchlo reagovať, keď zistia problém so zabezpečením zariadenia.

Riešenia rozšírenej detekcie a reakcie (XDR) Zistite, akú ochranu poskytujú riešenia rozšírenej detekcie a reakcie (XDR) pred bezpečnostnými hrozbami a ako skracujú čas odozvy vo workloadoch.Riešenia XDR posúvajú detekciu koncových bodov a reakciu na ne o krok ďalej pomocou jediného riešenia, ktoré chráni koncové body, identity, cloudové aplikácie a e-maily.

Nie všetky spoločnosti majú k dispozícii interné zdroje na efektívne zisťovanie hrozieb a reagovanie na ne. S cieľom rozšíriť svoj existujúci bezpečnostný tím sa tieto organizácie obracajú na poskytovateľov služieb, ktorí ponúkajúriadenú detekciu a reakciu. Títo poskytovatelia služieb preberajú zodpovednosť za monitorovanie prostredia organizácie a reagovanie na hrozby.

Hoci pochopenie reťazca kybernetických útokov môže pomôcť spoločnostiam a vládam proaktívne pripraviť sa na zložité kybernetické hrozby s viacerými zobrazeniami a reagovať na ne, spoliehať sa na ne vo výhradnom režime môže byť pre organizáciu zraniteľná voči iným typom kybernetických útokov. Niekoľko bežných kritík reťazca kybernetických útokov:

• Zamerané na malvér. Pôvodná architektúra reťazca kybernetických útokov bola navrhnutá tak, aby zisťovala malvér a reagovala na ne a nie je taká účinná voči iným typom útokov, ako je napríklad neoprávnený používateľ, ktorý získa prístup s ohrozenými prihlasovacími údajmi.

• Ideálne na zabezpečenie perimetra. S dôrazom na ochranu koncových bodov model reťazca kybernetických útokov fungoval dobre, keď bolo potrebné chrániť jediný perimeter siete. S toľkými vzdialenými pracovníkmi, cloudom a neustále sa rozširujúcim počtom zariadení, ktoré pristupujú k podnikovým položkám, je takmer nemožné riešiť všetky nedostatočné zabezpečenie koncových bodov.

• Nie je vybavená na hrozby zvnútra. Insideri, ktorí už majú prístup k niektorým systémom, je ťažšie odhaliť pomocou modelu kybernetického reťazca. Namiesto toho musia organizácie monitorovať a zisťovať zmeny v aktivite používateľa.

• Príliš lineárne. Hoci mnoho kybernetických útokov prebieha podľa ôsmich fáz uvedených v reťazci kybernetického zabíjania, existuje aj mnoho takých, ktoré takto neprebiehajú alebo spájajú niekoľko krokov do jednej akcie. Organizáciám, ktoré sú príliš zamerané na každú fázu, môžu ujsť tieto kybernetické hrozby.

Od roku 2011, keď Lockhead Martin prvýkrát predstavil reťazec kybernetických útokov, sa v oblasti technológií a kybernetických útokov veľa zmenilo. Cloud computing, mobilné zariadenia a IoT zariadenia zmenili spôsob fungovania ľudí a podnikov. Kyberútočníci reagovali na tieto nové technológie vlastnými inováciami vrátane používania automatizácie a umelej inteligencie na urýchlenie a zlepšenie kybernetických útokov. Štruktúra kybernetického útoku ponúka skvelý východiskový bod pre vývoj proaktívnej stratégie zabezpečenia, ktorá berie do úvahy myslenie a ciele kybernetických útočníkov. Zabezpečenie od spoločnosti Microsoft ponúka zjednotenú platformu SecOps, ktorá spája XDR a SIEM do jedného adaptívneho riešenia, ktoré pomôže organizáciám vyvinúť viacvrstvovú ochranu, ktorá chráni všetky fázy v štruktúre kybernetického útoku. Organizácie sa tiež pripravujú na nové kybernetické hrozby využívajúce umelú inteligenciu tým, že investujú do AI pre riešenia kybernetickej bezpečnosti, ako je napríkladMicrosoft Security Copilot.