Кибернетическая цепочка поражения (Kill Chain) помогает понять и предсказать различные стадии кибератаки. Знание того, как работают хакеры, позволяет компании выбрать правильные инструменты и стратегии для ограничения бреши, реагирования на готовящиеся атаки и минимизации рисков.
В этой статье объясняется роль кибернетических цепочек поражения в кибербезопасности. Мы рассмотрим каждый этап атаки и покажем, почему цепочки поражения жизненно важны для стратегий защиты.
Что такое Kill Chain?
Kill Chain - это модель безопасности, которая описывает этапы кибератаки. Киберцепочка охватывает все этапы взлома сети, от раннего планирования и шпионажа до конечной цели хакера.
Понимание этапов атаки позволяет компаниям планировать тактику предотвращения и обнаружения злоумышленников. Цепочка киберубийств помогает подготовиться ко всем распространенным онлайн-угрозам, включая:
- Атаки вымогательского ПО.
- Взломы сетей.
- Кражи данных.
- Усовершенствованные постоянные атаки (APT).
Термин "kill chain" имеет военное происхождение. Первоначальная концепция определяла структуру армейской операции и включала в себя:
- Определение цели.
- Направление сил к цели.
- Приказ нанести удар по цели.
- Уничтожение цели.
Другим термином для обозначения "kill chain" является цепь кибератак.
7 этапов цепи "kill chain"
Семь этапов "kill chain" - это различные шаги успешной атаки. У команды безопасности есть шанс остановить злоумышленников на каждом этапе, но в идеале компания должна выявить и остановить угрозы на первой половине цепочки.
Этап 1: Разведка
На этапе разведки злоумышленник собирает необходимую информацию. Хакеры выбирают жертву, проводят глубокое исследование компании и ищут слабые места в целевой сети.
Существует два типа разведки:
- Пассивная разведка: Хакер ищет информацию, не взаимодействуя с целью. Жертва не имеет возможности узнать или зафиксировать действия злоумышленника.
- Активная разведка: Хакер получает несанкционированный доступ к сети и напрямую взаимодействует с системой для сбора информации.
На этом этапе злоумышленники оценивают следующие аспекты системы:
- Уязвимости и слабые места в системе безопасности.
- Возможность использования инсайдерского сообщника.
- Инструменты, устройства, протоколы проверки и иерархия пользователей.
Распространенной тактикой при проведении разведки является сбор адресов электронной почты сотрудников и учетных записей в социальных сетях. Эта информация пригодится, если злоумышленник решит использовать социальную инженерию для получения доступа к сети.
Защитные меры на этапе разведки:
- Установите брандмауэры для усиления защиты периметра.
- Отслеживайте точки входа и журналы регистрации посетителей на предмет пдозрительного поведения.
- Убедитесь, что сотрудники сообщают о подозрительных электронных письмах, звонках и сообщениях в социальных сетях.
- Приоритет отдавайте защите лиц и систем, которые являются основными целями для разведки.
- Ограничьте объем общедоступных данных компании.
Этап 2: Вооружение
Команда злоумышленников нашла слабое место в системе и знает, как создать точку входа. Теперь преступная группа разрабатывает вирус или червя, чтобы использовать слабое место. Если злоумышленники нашли уязвимость нулевого дня, они обычно работают быстро, пока жертва не обнаружила и не устранила уязвимость.
Как только вредоносная программа готова, хакеры обычно помещают ее в обычные документы, такие как PDF или файл Office.
Защитные меры на этапе создания оружия:
- Проводите тренинги по повышению осведомленности в вопросах безопасности.
- Анализируйте артефакты вредоносного ПО на предмет подозрительных временных рамок и сходства.
- Создайте инструменты обнаружения оружейников (автоматизированные инструменты, которые объединяют вредоносные программы с эксплойтами).
Этап 3: Доставка
Преступники запускают атаку в целевую среду. Методы заражения различны, но наиболее распространенными являются следующие:
- Фишинговые атаки.
- Зараженные USB-устройства.
- Использование недостатков аппаратного или программного обеспечения.
- Компрометация учетных записей пользователей.
- Загрузка с диска, при которой вредоносное ПО устанавливается вместе с обычной программой.
- Прямой взлом через открытый порт или другую внешнюю точку доступа.
Цель этого этапа - проникнуть в систему и бесшумно закрепиться в ней. Популярной тактикой является одновременная DDoS-атака, чтобы отвлечь защитников и заразить сеть, не потревожив системы безопасности.
Защитные меры на этапе доставки:
- Защититесь от фишинговых атак.
- Используйте инструменты управления исправлениями.
- Отмечайте и исследуйте изменения в файлах и папках с помощью мониторинга целостности файлов (FIM).
- Отслеживайте странное поведение пользователей, например, странное время или место входа в систему.
- Проводите тесты на проникновение для активного выявления рисков и слабых мест.
Этап 4: Установка
Вредоносное ПО находится внутри системы, а администраторы не знают об угрозе. Четвертый этап цепочки киберубийств - это установка вредоносного ПО в сети.
После установки вредоносного ПО злоумышленники получают доступ к сети (так называемый бэкдор). Теперь, получив открытый доступ, злоумышленники могут:
- Установить необходимые инструменты.
- Изменять сертификаты безопасности.
- Создавать файлы сценариев.
- Искать дополнительные уязвимости, чтобы лучше закрепиться перед началом основной атаки.
Для злоумышленников очень важно сохранить свое присутствие в тайне. Злоумышленники обычно стирают файлы и метаданные, перезаписывают данные ложными временными метками и изменяют документы, чтобы остаться незамеченными.
Защитные меры на этапе установки:
- Поддерживайте устройства в актуальном состоянии.
- Используйте антивирусное программное обеспечение.
- Установите систему обнаружения вторжений на хосте, чтобы предупреждать или блокировать распространенные пути установки.
- Регулярно проводите сканирование уязвимостей.
Стадия 5: Латеральное перемещение
Злоумышленники переходят к другим системам и учетным записям в сети. Цель - получить более высокие разрешения и получить доступ к большему количеству данных. Стандартными приемами на этом этапе являются:
- Эксплуатация уязвимостей пароля.
- Атаки грубой силы.
- Извлечение учетных данных.
- Нацеливание на дополнительные уязвимости системы.
Защитные меры на этапе латерального перемещения:
- Внедрите систему безопасности Zero Trust, чтобы ограничить доступ скомпрометированных учетных записей и программ.
- Используйте сегментацию сети для изоляции отдельных систем.
- Исключите использование общих учетных записей.
- Применяйте передовые методы защиты паролей.
- Проверяйте все подозрительные действия привилегированных пользователей.
Этап 6: Командование и управление (C2)
Сложные вредоносные программы уровня APT требуют ручного взаимодействия для работы, поэтому злоумышленникам необходим доступ к целевой среде с клавиатуры. Последним шагом перед этапом выполнения является установление канала командования и управления (C2) с внешним сервером.
Хакеры обычно достигают C2 через маяк по внешнему сетевому каналу. Маяки обычно основаны на HTTP или HTTPS и выглядят как обычный трафик благодаря фальсифицированным HTTP-заголовкам.
Если целью атаки является эксфильтрация данных, злоумышленники начинают помещать целевые данные в пакеты на этапе C2. Типичным местом расположения пачек данных является часть сети с низким или нулевым уровнем активности или трафика.
Защитные меры на этапе командования и контроля:
- Ищите инфраструктуры C2 при анализе вредоносного ПО.
- Требуйте прокси-серверы для всех типов трафика (HTTP, DNS).
- Постоянное сканирование на предмет угроз.
- Настройте системы обнаружения вторжений на оповещение обо всех новых программах, входящих в сеть.
Этап 7: Исполнение
Злоумышленники предпринимают действия для выполнения цели атаки. Цели могут быть разными, но наиболее распространенными являются следующие:
- Шифрование данных.
- Эксфильтрация данных.
- Уничтожение данных.
Непосредственно перед началом атаки злоумышленники заметают следы, создавая хаос в сети. Цель состоит в том, чтобы запутать и замедлить работу группы безопасности и криминалистов путем:
- Очистка журналов для маскировки активности.
- Удаления файлов и метаданных.
- Перезаписи данных с неверными временными метками и вводящей в заблуждение информацией.
- Изменения жизненно важных данных, чтобы они выглядели нормально даже при наличии атаки.
Некоторые преступники также запускают еще одну DDoS-атаку, чтобы отвлечь контроль безопасности при извлечении данных.
Защитные меры на этапе выполнения:
- Создайте план действий на случай инцидента, в котором будет изложен четкий план коммуникаций и оценки ущерба в случае атаки.
- Используйте инструменты для обнаружения признаков продолжающейся утечки данных.
- Немедленное реагирование аналитиков на все предупреждения.
Что представляет собой пример цепочки Kill Chain?
Приведенный ниже пример цепочки киберубийств показывает различные этапы, на которых команда безопасности может обнаружить и предотвратить пользовательскую атаку вымогательского ПО:
- Хакеры проводят разведывательные операции, чтобы найти слабое место в целевой системе.
- Преступники создают эксплойт ransomware и помещают его во вложение электронной почты. Затем хакеры отправляют фишинговое письмо одному или нескольким сотрудникам.
- Пользователь совершает ошибку, открывая и запуская программу из почтового ящика.
- Ransomware устанавливается в целевой сети и создает бэкдор.
- Программа обращается к вредоносной инфраструктуре и уведомляет злоумышленника об успешном заражении.
- Злоумышленники перемещаются по системе в поисках конфиденциальных данных.
- Злоумышленники достигают контроля над C2 и начинают шифровать целевые файлы.
Недостатки модели Kill Chain
Цепочка Kill Chain - это основа, на которой компания может разработать тактику и процесс обеспечения безопасности. Однако у "цепей уничтожения" есть и несколько недостатков, на которые стоит обратить внимание.
Фокус на периметре
Оригинальная цепочка киберубийств появилась в то время, когда большинство угроз исходило извне организации. В современном ландшафте безопасности рассмотрение периметра как основной поверхности атаки имеет две проблемы:
- Использование облака и микросегментации устранило концепцию безопасности "замок и крепость".
- Внутренние угрозы так же опасны, как и внешние.
Как решить эту проблему: Создайте хорошо продуманную цепь поражения, учитывая опасности как внутри периметра, так и за его пределами. Настройте мониторинг облака, чтобы убедиться, что ваши активы находятся в безопасности как на территории предприятия, так и в облаке.
Выявление угроз на первом и втором этапах
Этапы разведки и применения оружия в кибернетической цепи поражения происходят за пределами прямой видимости компании. Обнаружить атаки на этих этапах очень сложно. Даже если вы заметили странное поведение, определить степень угрозы невозможно.
Как решить эту проблему: Не игнорируйте ранние признаки потенциальной атаки, рассматривая их как единичный случай. Анализируйте каждое действие, которое выглядит как активная разведка или испытание оружия.
Отсутствие адаптации
Первая цепочка Kill Chain появилась в 2011 году, когда компания Lockheed-Martin создала модель безопасности для защиты своей сети. С тех пор характер и состав кибератак значительно изменились, поэтому некоторые считают, что "цепочки поражения" не могут подготовить компанию к современным угрозам.
Как решить эту проблему: Не создавайте цепь киберугроз и никогда не обновляйте ее модель. Надежная цепь поражения должна развиваться, чтобы оставаться эффективной в борьбе с новейшими угрозами, особенно с APT. По мере роста компании пересматривайте цепочку, чтобы учесть новые поверхности атак и потенциальные опасности.
Основа любой стратегии безопасности
Хотя цепочка поражения не является инструментом или механизмом безопасности, она помогает выбрать правильные стратегии и технологии для остановки атак на разных стадиях. Используйте "цепь поражения" в качестве основы для эффективной стратегии безопасности и продолжайте развивать свою компанию, не беспокоясь о дорогостоящих неудачах.