Šta su to kibernetički stepeni napada?

Preduzeće Lockheed Martin je 2011. godine prilagodilo vojni koncept koji se zove stepen napada za kibernetičku industriju i nazvao ga kibernetičkim stepenima napada. Kao stepeni napada, kibernetički stepeni napada identifikuju faze napada i pružaju uvid u tipične taktike protivnika i tehnike tokom svake faze. Oba modela su takođe linearna sa očekivanjima da će napadači pratiti svaku fazu sekvencijalno.

Od kada su kibernetički stepeni napada prvi put uvedeni, akteri kibernetičkih pretnji su razvili taktiku i ne prate uvek svaku fazu kibernetičkih stepena napada. Kao odgovor na to, bezbednosna industrija je ažurirala pristup i razvila nove modele. MITRE ATT&CK® matrica je detaljna lista taktika i tehnika zasnovana na stvarnim napadima. Koristi slične faze kao kibernetički stepeni napada, ali ne prati linearnu porudžbinu.

Paul Pols je 2017. godine u saradnji sa preduzećem Fox-IT i univerzitetom Leiden University razvio drugi okvir, objedinjene stepene napada, koji kombinuju elemente MITRE ATT&CK matrice i kibernetičkih stepena napada u model sa 18 faza.

Izviđanje

Kibernetički stepeni napada definišu niz faza kibernetičkih napada sa ciljem razumevanja skupa kibernetičkih napadača, uključujući njihove motive, alatke, metode i tehnike, način na koji donose odluke i kako izbegavaju otkrivanje. Razumevanje načina na koji kibernetički stepeni napada funkcionišu pomaže zaštitnicima da zaustave kibernetičke napade u najranijim fazama.

Tokom faze naoružanja, zlonamerni akteri koriste informacije koje su otkrivene tokom izviđanja da bi kreirali ili izmenili malver, kako bi na najbolji način iskoristili slabosti ciljane organizacije.

Jednom kada naprave malver, kibernetički napadači pokušavaju da pokrenu napad. Jedan od najčešćih metoda je korišćenje tehnike društvenog inženjeringa kao što je phishing kako bi zaposlenima pružili akreditive za prijavljivanje. Zlonamerni akteri mogu i da dobiju pristup tako što će iskoristiti javnu bežičnu vezu koja nije veoma bezbedna ili ne iskorišćava ranjivost softvera ili hardvera otkrivenu tokom izviđanja.

Kada akteri kibernetičkih pretnji infiltriraju organizaciju, oni koriste svoj pristup kako bi se kasnije premeštali sa sistema na sistem. Cilj im je da pronađu osetljive podatke, dodatne ranjivosti, administrativne naloge ili servere e-pošte koje mogu da koriste za nanošenje štete organizaciji.

U fazi instalacije, zlonamerni akteri instaliraju malver koji im pruža kontrolu nad više sistema i naloga.

Kada kibernetički napadači dobiju kontrolu nad značajnim brojem sistema, oni kreiraju kontrolni centar koji im omogućava da rade na daljinu. Tokom ove faze oni koriste maskiranje da bi prikrili svoje tragove i izbegli otkrivanje. Oni koriste i napade poricanja usluge da bi odvratili stručnjake za bezbednost od njihovog stvarnog cilja.

U ovoj fazi, kibernetički napadači preduzimaju korake za postizanje glavnog cilja, što može da obuhvata napade lanca snabdevanja, eksfiltraciju podataka, šifrovanje podataka ili uništavanje podataka.

Iako su kibernetički stepeni napada preduzeća Lockhead Martin obuhvatali samo sedam koraka, mnogi stručnjaci za kibernetičke bezbednosti su ih proširili na osam kako bi naveli aktivnosti koje zlonamerni akteri počinju da generišu prihode od napada, kao što je korišćenje ransomvera za izdvajanje plaćanja iz njihovog preduzeća ili prodavanje osetljivih podataka na tamnoj mreži.

Razumevanje načina na koji akteri kibernetičkih pretnji planiraju i sprovode svoje napade pomažu stručnjacima kibernetičke bezbednosti da pronađu i ublaže ranjivosti u celoj organizaciji. Takođe im pomaže da identifikuju indikatore ugrožavanja u ranim fazama kibernetičkih napada. Mnoge organizacije koriste model kibernetičkih stepena napada za proaktivno postavljanje bezbednosnih mera na licu mesta i usmeravanje odgovora na incidente.

Informacije o pretnjama

Jedna od najvažnijih alatki za zaštitu organizacije od kibernetičkih pretnji su informacije o pretnjama. Dobra rešenja za informacije o pretnjama sinhronizuju podatke iz okruženja organizacije i pružaju akcione uvide koji pomažu stručnjacima bezbednosti da rano otkriju kibernetičke napade.

Zlonamerni akteri često infiltriraju organizaciju tako što pogode ili ukradu lozinke. Kada dobiju pristup, oni pokušavaju da eskaliraju privilegije kako bi dobili pristup osetljivim podacima i sistemima. Rešenja za upravljanje identitetom i pristupom pomažu u otkrivanju anomalnih aktivnosti koje mogu da ukazuju na to da je neovlašćeni korisnik stekao pristup. Takođe nude kontrole i bezbednosne mere, kao što jedvostruka potvrda identiteta, koja otežava nekome da koristi ukradene akreditive za prijavljivanje.

Mnoge organizacije ostaju u toku sa najnovijim kibernetičkim pretnjama uz pomoć rešenja za bezbednosne informacije i upravljanje događajima (SIEM). SIEM rešenja prikupljaju podatke iz cele organizacije i iz izvora nezavisnih proizvođača do kritičnih kibernetičkih pretnji za bezbednosne timove do trijaže i adrese. Mnoga SIEM rešenja automatski odgovaraju i na određene poznate pretnje, što smanjuje broj incidenata koje tim treba da ispita.

U bilo kojoj organizaciji postoji stotine ili hiljade krajnjih tačaka. Između servera, računara, mobilnih uređaja i uređaja Internet stvari (IoT) koje preduzeća koriste za poslovanje, gotovo je nemoguće da ih sve ažurirate. Zlonamerni akteri to znaju, zbog čega mnogi kibernetički napadi počinju ugroženom krajnjom tačkom. Otkrivanje i odgovor na krajnjim tačkama pomažu bezbednosnim timovima da ih nadgledaju u potrazi za pretnjama i da brzo odgovore kada otkriju bezbednosni problem sa uređajem.

Rešenja za prošireno otkrivanje i reagovanje (XDR) vode otkrivanje krajnjih tačaka i odgovore korak dalje pomoću jednog rešenja koje štiti krajnje tačke, identitete, aplikacije u oblaku i e-poruke.

Nisu sva preduzeća dostupna za efikasno otkrivanje pretnji i odgovaranje na njih. Kako bi se ažurirao postojeći bezbednosni tim, ove organizacije se okreću dobavljačima usluga koji nude kontrolisano otkrivanje i odgovor. Ovi dobavljači usluga preuzimaju odgovornost nadgledanja okruženja organizacije i odgovaranja na pretnje.

Iako razumevanje kibernetičkih stepena napada može da pomogne preduzećima i vladama da se proaktivno pripreme za složene kibernetičke pretnje i odgovore na njih, oslanjanje na njih isključivo može učiniti organizaciju ranjivom na druge tipove kibernetičkih napada. Neke od uobičajenih kritika kibernetičkih stepena napada su sledeće:

• Fokusiraju se na malver. Originalni okvir kibernetičkih stepena napada dizajniran je tako da otkrije i odgovori na malver i nije toliko efikasan u odnosu na druge tipove napada, kao što je neovlašćeni korisnik koji dobija pristup ugroženim akreditivima.

• Idealni su za bezbednost perimetara. Sa naglaskom na zaštitu krajnjih tačaka, model kibernetičkih stepena napada dobro je funkcionisao kada je bio jedan mrežni perimetar koji treba zaštititi. Sada sa toliko udaljenih radnika, oblakom i sve većim brojem uređaja koji pristupaju resursima preduzeća, skoro je nemoguće otkloniti svaku ranjivost krajnje tačke.

• Nisu opremljeni za insajderske pretnje. Insajdere, koji već imaju pristup nekim sistemima, teže je otkriti pomoću modela kibernetičkih stepena napada. Umesto toga, organizacije treba da nadgledaju i otkriju promene u aktivnostima korisnika.

• Previše su linearni. Iako mnogi kibernetički napadi prate osam faza navedenih u kibernetičkim stepenima napada, postoji i mnogo njih koji ne kombinuju ili kombinuju nekoliko koraka u jednu radnju. Organizacije koje su previše fokusirane na svaku fazu mogu propustiti ove kibernetičke pretnje.

Od 2011. godine kada je preduzeće Lockhead Martin prvi put uvelo kibernetičke stepene napada, mnogo toga se promenilo u tehnologiji i kibernetičkim pejzažima. Računarstvo u oblaku, mobilni uređaji i IoT uređaji transformisali su način rada ljudi i preduzeća. Akteri kibernetičkih pretnji su na ove nove tehnologije odgovorili sopstvenim inovacijama, uključujući korišćenje automatizacije i veštačke inteligencije za ubrzavanje i poboljšanje kibernetičkih napada. Kibernetički stepeni napada nude sjajnu početnu tačku za razvoj proaktivne bezbednosne strategije koja uzima u obzir način razmišljanja i ciljeve kibernetičkog napadača. Microsoft bezbednost nudi objedinjenu SecOps platformu koja objedinjuje XDR i SIEM u jedno prilagodljivo rešenje kako bi pomogla organizacijama da razviju višeslojnu odbranu koja štiti sve faze u kibernetičkim stepenima napada. A organizacije se takođe pripremaju za nove kibernetičke pretnje koje koriste veštačku inteligenciju tako što ulažu u AI za rešenja za kibernetičku bezbednost, kao što je Microsoft Security Copilot.