Kaj so stopnje izvedbe napada?

Leta 2011 je družba Lockheed Martin uvedla vojaški koncept, imenovan stopnje izvedbe napada, v panogo kibernetske varnosti, ter jo poimenovala stopnje izvedbe kibernetskega napada. Tako kot stopnje izvedbe napada tudi stopnje izvedbe kibernetskega napada navajajo stopnje napada in tistim, ki se branijo, dajejo vpogled v napadalčeve tipične taktike in tehnike v posameznih fazah. Oba modela sta linearna in predvidevata, da bodo napadalci izvedli stopnje zaporedoma.

Odkar so bile prvič uvedene stopnje izvedbe napada, so kibernetski kriminalci razvili svoje taktike in ne sledijo vedno vsaki stopnji izvedbe napada. Varnostna panoga se je na to odzvala tako, da je posodobila svoj pristop in razvila nove modele. Matrika MITRE ATT&CK® je podroben seznam taktik in tehnik, ki temeljijo na resničnih napadih. Uporablja podobne stopnje kot so v stopnjah izvedbe napada, vendar ne sledi linearnemu zaporedju.

Leta 2017 je Paul Pols v sodelovanju s Fox-IT in Univerzo Leiden razvil še eno ogrodje, poenotene stopnje izvedbe napada, ki združuje elemente matrike MITRE ATT&CK in stopenj izvedbe kibernetskega napada v model z 18 stopnjami.

Izvidništvo

Stopnje izvedbe napada določajo zaporedje faz kibernetskega napada s ciljem razumevanja miselnosti kibernetskih napadalcev, vključno z njihovimi motivi, orodji, metodami in tehnikami, načinom sprejemanja odločitev in načinom izmikanja zaznavanju. Če razumete, kako delujejo stopnje izvedbe kibernetskega napada, lahko zaustavite kibernetske napada v najzgodnejših fazah.

Med fazo oborožitve zlonamerni akterji uporabijo informacije, odkrite med izvidništvom, za ustvarjanje ali spreminjanje zlonamerne programske opreme, da najbolje izkoristijo šibkosti organizacije, ki jo ciljajo.

Ko je zlonamerna programska oprema ustvarjena, kibernetski napadalci poskusijo zagnati napad. Eden od najpogostejših načinov je uporaba tehnik socialnega inženiringa, kot je lažno predstavljanje, s katerimi želijo ukaniti zaposlene, da jim predajo podatke za vpis. Zlonamerni akterji lahko dostop pridobijo tudi tako, da izkoristijo javno brezžično povezavo, ki ni zelo varna, ali ranljivost programske ali strojne opreme, odkrite med izvidništvom.

Ko kibernetski napadalci vdrejo v organizacijo, uporabijo svoj dostop za lateralno premikanje iz sistema v sistem. Njihov cilj je najti občutljive podatke, dodatne ranljivosti, skrbniške račune ali e-poštne strežnike, ki jih lahko uporabijo za povzročitev škode organizaciji.

V fazi namestitve zlonamerni akterji namestijo zlonamerno programsko opremo, ki jim da nadzor nad več sistemi in računi.

Ko kibernetski napadalci prevzamejo nadzor nad velikim številom sistemov, ustvarijo nadzorno središče, ki jim omogoča delovanje na daljavo. V tej fazi uporabljajo zamegljevanje, da prikrijejo svoje sledi in se izognejo zaznavanju. Uporabljajo tudi napade z zavrnitvijo storitve, da varnostne strokovnjake odvrnejo od njihovega resničnega cilja.

V tej fazi kibernetski napadalci dosežejo svoj primarni cilj, ki lahko vključuje napade na dobavno verigo, nepooblaščeno filtriranje podatkov, šifriranje podatkov ali uničenje podatkov.

Čeprav so na začetku stopnje izvedbe kibernetskega napada družbe Lockhead Martin vključevale le sedem korakov, so jih številni strokovnjaki za kibernetsko varnost razširili na osem, da so vključili dejavnosti, ki jih zlonamerni akterji izvajajo za ustvarjanje prihodkov od napada, na primer uporabo izsiljevalske programske opreme za prejem plačila od svojih žrtev ali prodajo občutljivih podatkov v temnem spletu.

Če strokovnjaki kibernetske varnosti razumejo, kako kibernetski napadalci načrtujejo in izvajajo napade, lažje najdejo in zmanjšajo ranljivosti v celotni organizaciji. Prav tako jim to pomaga prepoznati indikatorje ogroženosti v zgodnjih fazah kibernetskega napada. Številne organizacije uporabljajo model stopenj izvedbe napada za proaktivno uvedbo varnostnih ukrepov in vodenje odziva na dogodek.

Obveščanje o grožnjah

Eno od najpomembnejših orodij za zaščito organizacije pred kibernetskimi grožnjami je obveščanje o grožnjah. Dobre rešitve za obveščanje o grožnjah sintetizirajo podatke iz okolja organizacije in zagotavljajo dejavnostne vpoglede, ki varnostnim strokovnjakom pomagajo pri zgodnjem zaznavanju kibernetskih napadov.

Pogosto zlonamerni akterji vdrejo v organizacijo tako, da uganejo ali ukradejo gesla. Po vdoru poskusijo povečati pravice, da pridobijo dostop do občutljivih podatkov in sistemov. Rešitve za upravljanje identitet in dostopa pomagajo pri zaznavanju nenavadnih dejavnosti, ki so lahko znak, da je nepooblaščeni uporabnik pridobil dostop. Nudijo tudi kontrolnike in varnostne ukrepe, kot so dvojno preverjanje pristnosti (TFA), ki otežuje vpis z ukradenimi podatki za vpis.

Številne organizacije so z rešitvijo za upravljanje varnostnih informacij in dogodkov (SIEM) vedno na tekočem z najnovejšimi kibernetskimi grožnjami. Rešitve SIEM združijo podatke iz celotne organizacije in virov tretjih oseb, da odkrijejo kritične kibernetske grožnje, ki jih lahko varnostne ekipe razvrstijo po prednosti in obravnavajo. Številne rešitve SIEM se prav tako samodejno odzivajo na določene znane grožnje, kar zmanjša število dogodkov, ki jih mora ekipa raziskati.

V vsaki organizaciji je na stotine ali tisoče končnih točk. Med vsemi strežniki, računalniki, prenosnimi napravami in napravami interneta stvari (IoT), ki jih podjetja uporabljajo za poslovanje, je skoraj nemogoče poskrbeti, da so vse posodobljene. Zlonamerni akterji to vedo, zato se številni kibernetski napadi začnejo z ogroženo končno točko. Rešitve za zaznavanje končnih točk in odzivanje nanje pomagajo varnostnim ekipam, da lažje spremljajo končne točke z namenom odkrivanja groženj in se hitreje odzovejo, ko v napravi odkrijejo varnostno težavo.

Rešitve za razširjeno odzivanje in zaznavanje (XDR) dodatno izboljšajo zaznavanje končnih točk in odzivanje nanje z eno rešitvijo, ki ščiti končne točke, identitete, aplikacije v oblaku in e-poštna sporočila.

Vsa podjetja nimajo internih sredstev za učinkovito zaznavanje groženj in odzivanje nanje. Te organizacije se za povečanje obstoječe varnostne ekipe obračajo na ponudnike storitev, ki ponujajo upravljano zaznavanje in odzivanje. Ti ponudniki storitev prevzamejo odgovornost za nadzor okolja organizacije in odzivanje na grožnje.

Čeprav lahko razumevanje stopenj izvedbe napada podjetjem in vladam pomaga, da se proaktivno pripravijo na zapletene večstopenjske kibernetske grožnje in se odzovejo nanje, lahko organizacije, ki se zanašajo izključno nanje, postanejo ranljive za druge vrste kibernetskih napadov. Nekatere od pogostih kritik stopenj izvedbe napada so:

• Osredotočenost na zlonamerno programsko opremo. Prvotno ogrodje stopenj izvedbe napada je bilo zasnovano tako, da zazna zlonamerno programsko opremo in se odzove nanjo, ter ni tako učinkovito proti drugim vrstam napadov, kot je dostop nepooblaščenega uporabnika z ogroženimi podatki za vpis.

• Idealno za varnost perimetra. Ker se model stopenj izvedbe napada osredotoča na zaščito končnih točk, je dobro deloval, ko je bilo treba zaščititi samo eno omrežje. Ker je danes število delavcev na daljavo tako veliko in ker obstaja okolje v oblaku in lahko vedno več naprav dostopa do sredstev podjetja, je skoraj nemogoče obravnavati ranljivost vsake končne točke.

• Ni opremljeno za notranje grožnje. Insajderje, ki že imajo dostop do nekaterih sistemov, je težje zaznati z modelom stopenj izvedbe napada. Organizacije morajo namesto tega nadzorovati in zaznati spremembe v dejavnosti uporabnika.

• Preveč linearno. Čeprav številni kibernetski napadi sledijo osmim stopnjam, navedenim v stopnjah izvedbe napada, obstaja tudi veliko napadov, ki tem ne sledijo ali združijo več stopenj v eno dejanje. Organizacije, ki so preveč osredotočene na posamezne stopnje, lahko spregledajo te kibernetske grožnje.

Od leta 2011, ko je družba Lockhead Martin uvedla stopnje izvedbe napada, se je na področju tehnologije in kibernetskih groženj veliko spremenilo. Računalništvo v oblaku, prenosne naprave in naprave IoT so spremenile, kako ljudje in podjetja delajo. Kibernetski napadalci so se na te nove tehnologije odzvali s svojimi inovacijami, vključno z avtomatizacijo in UI za pospeševanje in izboljšanje kibernetskih napadov. Stopnje izvedbe napada ponujajo odlično izhodišče za razvoj proaktivne varnostne strategije, ki upošteva miselnost in cilje kibernetskega napadalca. Microsoftova varnost nudi poenoteno platformo za postopke SecOps, ki združuje XDR in SIEM v eno prilagodljivo rešitev, s katero lahko organizacije razvijejo večplastno zaščito, ki ščiti v vseh stopnjah izvedbe napada. Poleg tega se organizacije pripravljajo tudi na nove kibernetske grožnje, ki uporabljajo UI, tako da vlagajo v umetno inteligenco za rešitve kibernetske varnosti, kot je Copilot za Microsoftovo varnost.