Bezpieczeństwo

Etapy łańcucha cyberzabójstw

Etapy łańcucha cyberzabójstw

Cyber ​​​​zabójczy łańcuch

Cyber ​​Kill Chain (CKC) to tradycyjny model bezpieczeństwa, który opisuje scenariusz ze starej szkoły, w którym atakujący z zewnątrz podejmuje kroki w celu penetracji sieci i kradzieży jej danych, przełamując kroki ataku, aby pomóc organizacjom w przygotowaniu się. CKC jest rozwijany przez zespół znany jako zespół odpowiedzi na pytania dotyczące bezpieczeństwa komputerowego. Łańcuch cyberzabójstw opisuje atak zewnętrznego napastnika, który próbuje uzyskać dostęp do danych w obrębie zabezpieczeń

Każdy etap łańcucha cyberzabójstw pokazuje konkretny cel wraz z celem atakującego Way. Zaprojektuj swój plan monitorowania łańcucha zabijania Cyber ​​Model i plan reagowania jest skuteczną metodą, ponieważ koncentruje się na tym, jak dochodzi do ataków. Etapy obejmują:

Poniżej zostaną opisane etapy łańcucha cyberzabójstw:

Krok 1: Rekonesans

Obejmuje zbieranie adresów e-mail, informacji o konferencji itp. Atak rozpoznawczy oznacza, że ​​jest to wysiłek zagrożeń, aby zebrać jak najwięcej danych o systemach sieciowych przed rozpoczęciem innych, bardziej autentycznych wrogich rodzajów ataków. Atakujący rozpoznawczy są dwojakiego rodzaju: rozpoznanie pasywne i rozpoznanie aktywne. Rozpoznawanie Atakujący koncentruje się na „kto” lub sieci: Kto prawdopodobnie skupi się na uprzywilejowanych osobach, jeśli chodzi o dostęp do systemu lub dostęp do poufnych danych „sieci”, koncentruje się na architekturze i układzie; narzędzie, sprzęt i protokoły; i infrastruktury krytycznej. Zrozum zachowanie ofiary i włam się do domu dla ofiary.

Krok 2: Uzbrojenie

Dostarcz ładunek, łącząc exploity z tylnymi drzwiami.

Następnie osoby atakujące wykorzystają zaawansowane techniki do przeprojektowania podstawowego złośliwego oprogramowania, które odpowiada ich celom. Złośliwe oprogramowanie może wykorzystywać nieznane wcześniej luki w zabezpieczeniach, znane również jako exploity „zero-day” lub kombinację luk, aby po cichu pokonać mechanizmy obronne sieci, w zależności od potrzeb i umiejętności napastnika. Poprzez przeprojektowanie złośliwego oprogramowania osoby atakujące zmniejszają szanse na wykrycie go przez tradycyjne rozwiązania zabezpieczające. „Hakerzy wykorzystali tysiące urządzeń internetowych, które były wcześniej zainfekowane złośliwym kodem – znanym jako „botnet” lub, żartobliwie, „armia zombie” – wymuszając szczególnie potężną rozproszoną odmowę usługi Angriff (DDoS).

Krok 3: Dostawa

Atakujący wysyła ofierze szkodliwy ładunek za pomocą poczty e-mail, co jest tylko jedną z wielu metod włamań, które atakujący może wykorzystać. Istnieje ponad 100 możliwych metod dostawy.

Cel:
Atakujący rozpoczynają wtargnięcie (broń opracowana w poprzednim kroku 2). Podstawowe dwie metody to:

Ten etap pokazuje pierwszą i najważniejszą okazję dla obrońców do utrudnienia operacji; jednak niektóre kluczowe możliwości i inne cenne informacje o danych są w ten sposób pokonane. Na tym etapie mierzymy opłacalność prób włamania ułamkowego, które są utrudnione w punkcie transportu.

Krok 4: Wyzysk

Gdy atakujący zidentyfikują zmianę w twoim systemie, wykorzystują słabość i wykonują swój atak. Na etapie eksploatacji ataku atakujący i maszyna hosta są zagrożone. Mechanizm dostarczania zazwyczaj podejmuje jeden z dwóch środków:

W ostatnich latach stało się to obszarem ekspertyzy w społeczności hakerskiej, która jest często demonstrowana na wydarzeniach takich jak Blackhat, Defcon i tym podobne.

Krok 5: Instalacja

Na tym etapie instalacja trojana zdalnego dostępu lub backdoora w systemie ofiary pozwala rywalowi zachować wytrwałość w środowisku. Zainstalowanie złośliwego oprogramowania na zasobie wymaga zaangażowania użytkownika końcowego poprzez nieświadome włączenie złośliwego kodu. Działanie może być w tym momencie postrzegane jako krytyczne. Sposobem na to byłoby wdrożenie systemu zapobiegania włamaniom opartego na hoście (HIPS), aby zapewnić ostrożność lub na przykład stawiać bariery na wspólnych ścieżkach:. Praca w NSA, RECYCLER. Zrozumienie, czy złośliwe oprogramowanie wymaga uprawnień od administratora, czy tylko od użytkownika do wykonania celu, ma kluczowe znaczenie. Obrońcy muszą zrozumieć proces audytu punktów końcowych, aby wykryć nieprawidłowe tworzenie plików. Muszą wiedzieć, jak skompilować czas złośliwego oprogramowania, aby określić, czy jest stary, czy nowy.

Krok 6: Dowodzenie i kontrola

Ransomware używa połączeń do kontroli. Pobierz klucze do szyfrowania, zanim przejmiesz pliki. Na przykład, trojany zdalnego dostępu otwierają polecenia i kontrolują połączenie, dzięki czemu można zdalnie uzyskać dostęp do danych systemowych. Pozwala to na ciągłą łączność ze środowiskiem i aktywnością detektywistyczną w obronie.

Jak to działa?

Plan dowodzenia i kontroli jest zwykle wykonywany za pomocą sygnalizatora poza siecią na dozwolonej ścieżce. Beacony przybierają różne formy, ale w większości przypadków są to:

HTTP lub HTTPS

Wygląda na łagodny ruch przez sfałszowane nagłówki HTTP be

W przypadkach, gdy komunikacja jest szyfrowana, beacony zwykle używają automatycznie podpisanych certyfikatów lub niestandardowego szyfrowania.

Krok 7: Działania dotyczące celów

Akcja odnosi się do sposobu, w jaki atakujący osiąga swój ostateczny cel. Ostatecznym celem atakującego może być cokolwiek, aby wyciągnąć od ciebie okup w celu odszyfrowania plików do informacji o kliencie z sieci. W treści ten ostatni przykład może powstrzymać eksfiltrację rozwiązań zapobiegających utracie danych, zanim dane opuszczą Twoją sieć. W przeciwnym razie ataki mogą służyć do identyfikowania działań, które odbiegają od ustalonych linii bazowych i powiadamiania IT, że coś jest nie tak. Jest to skomplikowany i dynamiczny proces szturmowy, który może trwać miesiące i setki małych kroków do wykonania. Po zidentyfikowaniu tego etapu w środowisku konieczne jest rozpoczęcie realizacji przygotowanych planów reakcji reaction. Przynajmniej należy zaplanować całościowy plan komunikacji, który obejmuje szczegółowe dowody informacji, które należy przekazać najwyższemu urzędnikowi lub zarządowi, wdrożenie urządzeń zabezpieczających punkty końcowe w celu zablokowania utraty informacji oraz przygotowanie do grupa CIRT. Posiadanie tych zasobów dobrze ugruntowanych z wyprzedzeniem jest „MUSI” w dzisiejszym szybko zmieniającym się krajobrazie zagrożeń cyberbezpieczeństwa.

Gry Jak korzystać z GameConqueror Cheat Engine w systemie Linux
Jak korzystać z GameConqueror Cheat Engine w systemie Linux
Artykuł zawiera przewodnik dotyczący korzystania z silnika oszukującego GameConqueror w systemie Linux. Wielu użytkowników, którzy grają w gry w syste...
Gry Najlepsze emulatory konsoli do gier dla systemu Linux
Najlepsze emulatory konsoli do gier dla systemu Linux
W tym artykule wymienimy popularne oprogramowanie do emulacji konsoli do gier dostępne dla systemu Linux. Emulacja to warstwa kompatybilności oprogram...
Gry Najlepsze dystrybucje Linuksa do gier w 2021 r
Najlepsze dystrybucje Linuksa do gier w 2021 r
System operacyjny Linux przeszedł długą drogę od pierwotnego, prostego, serwerowego wyglądu. Ten system operacyjny znacznie się poprawił w ostatnich l...