Cyber Kill Chain
La chaîne Cyber Kill (CKC) est un modèle de sécurité traditionnel qui décrit un scénario à l'ancienne, un attaquant externe prenant des mesures pour pénétrer un réseau et voler ses étapes d'attaque pour aider les organisations à préparer les organisations. CKC est développé par une équipe connue sous le nom d'équipe de réponse à la sécurité informatique. La chaîne de cyber-kill décrit une attaque d'un attaquant externe essayant d'avoir accès aux données dans le périmètre de la sécurité
Chaque étape de la chaîne de cyber-kill montre un objectif spécifique avec celui de l'attaquant. Concevoir votre plan de surveillance et de réponse de la chaîne de tueurs de cyber est une méthode efficace, car elle se concentre sur la façon dont les attaques se produisent. Les étapes comprennent:
Les étapes de la chaîne de cyber-kill seront désormais décrites:
Étape 1: reconnaissance
Il comprend la récolte des adresses e-mail, des informations sur la conférence, etc. L'attaque de reconnaissance signifie qu'il s'agit d'un effort de menaces pour ramasser autant que possible des données sur les systèmes de réseau avant de commencer d'autres types d'attaques hostiles plus authentiques. Les attaquants de reconnaissance sont de deux types de reconnaissance passive et de reconnaissance active. Reconnction Attateur se concentre sur «Who» ou le réseau: qui se concentrera probablement sur les personnes privilégiées pour l'accès au système, soit l'accès à des données confidentielles «réseau» se concentre sur l'architecture et la mise en page; outil, équipement et protocoles; et l'infrastructure critique. Comprendre le comportement de la victime et pénétrer dans une maison pour la victime.
Étape 2: armement
Fournir la charge utile en couplant les exploits avec une porte dérobée.
Ensuite, les attaquants utiliseront des techniques sophistiquées pour réorganiser certains logiciels malveillants de base qui conviennent à leurs objectifs. Le malware peut exploiter des vulnérabilités inconnues auparavant, des exploits «zéro-jour», ou une combinaison de vulnérabilités pour vaincre tranquillement les défenses d'un réseau, en fonction des besoins et des capacités de l'attaquant. En régénérant les logiciels malveillants, les attaquants réduisent les chances que les solutions de sécurité traditionnelles le détectent. «Les pirates ont utilisé des milliers d'appareils Internet qui sont précédemment infectés par un code malveillant - connu sous le nom de« botnet »ou, en plaisantant, une« armée de zombies »- forçant un déni de service distribué particulièrement puissant (DDOS).
Étape 3: Livraison
L'attaquant envoie la charge utile malveillante de la victime en utilisant le courrier électronique, qui n'est qu'un grand nombre de nombreux l'attaquant peut utiliser des méthodes d'intrusion. Il existe plus de 100 méthodes de livraison possibles.
Cible:
Les attaquants commencent l'intrusion (armes développées à l'étape précédente 2). Les deux méthodes de base sont:
Cette étape montre la première et la plus importante opportunité pour les défenseurs d'entraver une opération; Cependant, certaines capacités clés et autres informations très appréciées des données sont vaincues en faisant cela. À ce stade, nous mesurons la viabilité des tentatives d'intrusion fractionnaire, qui sont entravées au point de transport.
Étape 4: Exploitation
Une fois que les attaquants ont identifié un changement dans votre système, ils exploitent la faiblesse et exécutent leur attaque. Pendant le stade d'exploitation de l'attaque, l'attaquant et la machine hôte sont un mécanisme de livraison compromis prendront généralement l'une des deux mesures:
Ces dernières années, cela est devenu un domaine d'expertise au sein de la communauté du piratage qui est souvent démontré lors d'événements comme Blackhat, Defcon, etc.
Étape 5: installation
À ce stade, l'installation d'un cheval de Troie ou d'une porte dérobée d'accès à distance sur le système de la victime permet au concurrent de maintenir la persévérance dans l'environnement. L'installation de logiciels malveillants sur l'actif nécessite une implication de l'utilisateur final en permettant involontairement le code malveillant. L'action peut être considérée comme critique à ce stade. Une technique pour ce faire consisterait à mettre en œuvre un système de prévention des intrusions (HIPS) basée sur l'hôte pour faire preuve de prudence ou mettre une barrière aux chemins communs, par exemple. Job NSA, recycler. Comprendre si les logiciels malveillants nécessitent des privilèges de l'administrateur ou tout simplement de l'utilisateur pour exécuter la cible est critique. Les défenseurs doivent comprendre le processus d'audit de point final pour découvrir des créations anormales de fichiers. Ils ont besoin de savoir comment compiler le timing des logiciels malveillants pour déterminer s'il est ancien ou nouveau.
Étape 6: commande et contrôle
Ransomware utilise des connexions pour contrôler. Téléchargez les clés du chiffrement avant de saisir les fichiers. L'accès à distance des chevaux de Troie, par exemple, ouvre une commande et contrôlez la connexion afin que vous puissiez aborder à distance les données du système. Cela permet une connectivité continue pour l'environnement et l'activité de mesure du détective sur la défense.
Comment ça marche?
Le plan de commande et de contrôle est généralement effectué via une balise hors de la grille sur le chemin autorisé. Les balises prennent de nombreuses formes, mais elles ont tendance à être dans la plupart des cas:
HTTP ou HTTPS
Semble un trafic bénin à travers des en-têtes HTTP falsifiés
Dans les cas où la communication est cryptée, les balises ont tendance à utiliser des certificats signés automobiles ou un chiffrement personnalisé.
Étape 7: Actions sur les objectifs
L'action fait référence à la manière dont l'attaquant atteint sa cible finale. L'objectif ultime de l'attaquant pourrait être n'importe quoi pour extraire une rançon de vous pour décrypter les fichiers aux informations clients du réseau. Dans le contenu, ce dernier exemple pourrait arrêter l'exfiltration de solutions de prévention de la perte de données avant que les données ne quittent votre réseau. Sinon, les attaques peuvent être utilisées pour identifier. Il s'agit d'un processus d'assaut complexe et dynamique qui peut avoir lieu en mois et des centaines de petites étapes pour accomplir. Une fois cette étape identifiée dans un environnement, il est nécessaire d'initier la mise en œuvre de plans de réaction préparés. À tout le moins, un plan de communication inclusif doit être planifié, ce qui implique les preuves détaillées des informations qui devraient être relevées au fonctionnaire le mieux rangée ou à l'administration, le déploiement de dispositifs de sécurité des terminaux pour bloquer la perte d'informations et la préparation à brèche Un groupe CIRT. Avoir ces ressources bien établi à l'avance est un «incontournable» dans le paysage des menaces de cybersécurité en évolution rapide d'aujourd'hui.