Кораци ланца сајбер убијања

Ланац за цибер убијање

Ланац цибер убијања (ЦКЦ) традиционални је сигурносни модел који описује олд-сцхоол сценарио, спољни нападач који предузима кораке да продре у мрежу и украде његове кораке напада како би помогао организацијама да се припреме. ЦКЦ је развио тим познат као тим за одговор на рачунарску безбедност. Ланац цибер килл описује напад спољног нападача који покушава да добије приступ подацима унутар периметра заштите

Свака фаза ланца цибер убијања показује одређени циљ заједно са циљем нападачког пута. Дизајнирајте свој план надзора и реаговања на ланац убијања Цибер Модел ефикасна је метода која се фокусира на то како се напади дешавају. Фазе укључују:

• Извиђање
• Оружање
• Испорука
• Експлоатација
• Инсталација
• Команда и контрола
• Акције на циљеве

Сада ће бити описани кораци ланца цибер убијања:

Корак 1: Извиђање

Укључује прикупљање адреса е-поште, информације о конференцији итд. Извиђачки напад значи да је напор пријетњи прикупити податке о мрежним системима што је више могуће прије започињања других истински непријатељских врста напада. Извиђачи су два типа пасивно и активно извиђање. Нападач препознавања фокусира се на „ко“ или мрежу: Ко ће се вероватно фокусирати на привилеговане људе или за приступ систему, или приступ поверљивим подацима „Мреже“ фокусира се на архитектуру и изглед; алат, опрема и протоколи; и критична инфраструктура. Схватите понашање жртве и провалите у кућу за жртву.

Корак 2: Оружање

Снабдевање корисним оптерећењем спајањем експлоатационих врата са задњим двориштем.

Следеће, нападачи ће користити софистициране технике за поновни инжењеринг основног малвера који одговара њиховој намени. Злонамерни софтвер може искористити раније непознате рањивости, зване експлоатације „нултог дана“, или неку комбинацију рањивости да би тихо побиједио одбрану мреже, овисно о потребама и способностима нападача. Реинжењерингом злонамерног софтвера, нападачи смањују шансе да ће га традиционална безбедносна решења открити. „Хакери су користили хиљаде интернет уређаја који су претходно заражени злонамерним кодом - познатим као„ ботнет “или, у шали,„ зомби војска “- присиљавајући посебно снажно дистрибуирано ускраћивање услуге Ангрифф (ДДоС).

Корак 3: Испорука

Нападач шаље жртви злонамерни терет користећи е-пошту, што је само један од великог броја нападача који могу користити методе упада. Постоји преко 100 могућих начина испоруке.

Циљ:
Нападачи започињу упад (оружје развијено у претходном кораку 2). Основне две методе су:

• Контролисана испорука, која представља директну испоруку, хаковање отвореног порта.
• Испорука се ослобађа противнику, који малверзацијом преноси малвер на циљ.

Ова фаза показује прву и најзначајнију прилику за бранитеље да ометају операцију; међутим, тиме се побеђују неке кључне могућности и друге високо вредне информације о подацима. У овој фази меримо одрживост покушаја фракционог упада који су ометани на месту транспорта.

Корак 4: Експлоатација

Једном када нападачи препознају промену у вашем систему, они користе слабост и извршавају напад. Током фазе експлоатације напада, нападач и хост машина су угрожени. Механизам испоруке обично предузима једну од две мере:

• Инсталирајте злонамерни софтвер (капаљка), који омогућава извршавање наредбе нападача.
• Инсталирајте и преузмите злонамерни софтвер (преузимач)

Последњих година ово је постало област стручности унутар хакерске заједнице која се често демонстрира на догађајима као што су Блацкхат, Дефцон и слично.

Корак 5: Инсталација

У овој фази, инсталирање тројанског софтвера са удаљеним приступом на заштитном систему жртве омогућава противнику да одржи истрајност у окружењу. Инсталирање злонамерног софтвера на средство захтева укључивање крајњег корисника несвесним омогућавањем злонамерног кода. Акција се у овом тренутку може сматрати критичном. Техника за ово би била примена система за спречавање упада заснованог на хосту (ХИПС) ради пружања опреза или постављања препрека заједничким путевима, на пример. НСА Јоб, РЕЦИЦЛЕР. Разумевање да ли злонамерни софтвер захтева привилегије од администратора или само од корисника да би извршио циљ је пресудно. Заштитници морају разумети поступак ревизије крајње тачке да би открили необичне израде датотека. Морају да знају како да саставе време за злонамерни софтвер да би утврдили да ли је старо или ново.

Корак 6: Командовање и управљање

Рансомваре користи Цоннецтионс за контролу. Преузмите кључеве за шифровање пре него што преузмете датотеке. Даљински приступ тројанским вирусима, на пример, отвара команду и контролише везу тако да можете даљински приступити системским подацима. То омогућава континуирану повезаност околине и детективску меру активности на одбрани.

Како то функционише?

План командовања и управљања обично се изводи преко светионика изван мреже преко дозвољене путање. Светионици имају много облика, али у већини случајева имају тенденцију:

ХТТП или ХТТПС

Чини се бенигним саобраћајем кроз фалсификована ХТТП заглавља

У случајевима када је комуникација шифрована, светионици обично користе аутоматски потписане сертификате или прилагођену енкрипцију.

Корак 7: Акције према циљевима

Акција се односи на начин на који нападач постиже своју коначну мету. Крајњи циљ нападача може бити било шта да из вас извуче Откупнину за дешифровање датотека у информације о купцу са мреже. Садржај овог последњег примера би могао да заустави ширење решења за спречавање губитка података пре него што подаци напусте вашу мрежу. У супротном, напади се могу користити за идентификовање активности које одступају од постављених полазних вредности и обавештавање ИТ да нешто није у реду. Ово је замршен и динамичан поступак напада који се може догодити за неколико месеци и стотине малих корака које треба извршити. Једном када се ова фаза идентификује у окружењу, неопходно је започети спровођење припремљених планова реакција. У најмању руку, треба планирати инклузивни план комуникације, који укључује детаљне доказе о информацијама које треба доставити највишем званичнику или управном одбору, постављање крајњих сигурносних уређаја за блокирање губитка информација и припрему за информисање група ЦИРТ. Имати ове ресурсе добро успостављене пре времена „МОРА“ је у данашњем пределу пријетње цибер-сигурности који се брзо развија.