Что такое Kill Chain?

Articles Articles

Кибернетическая цепочка поражения (Kill Chain) помогает понять и предсказать различные стадии кибератаки. Знание того, как работают хакеры, позволяет компании выбрать правильные инструменты и стратегии для ограничения бреши, реагирования на готовящиеся атаки и минимизации рисков.

В этой статье объясняется роль кибернетических цепочек поражения в кибербезопасности. Мы рассмотрим каждый этап атаки и покажем, почему цепочки поражения жизненно важны для стратегий защиты.

Что такое Kill Chain?

Kill Chain - это модель безопасности, которая описывает этапы кибератаки. Киберцепочка охватывает все этапы взлома сети, от раннего планирования и шпионажа до конечной цели хакера.

Понимание этапов атаки позволяет компаниям планировать тактику предотвращения и обнаружения злоумышленников. Цепочка киберубийств помогает подготовиться ко всем распространенным онлайн-угрозам, включая:

Термин "kill chain" имеет военное происхождение. Первоначальная концепция определяла структуру армейской операции и включала в себя:

  • Определение цели.
  • Направление сил к цели.
  • Приказ нанести удар по цели.
  • Уничтожение цели.

Другим термином для обозначения "kill chain" является цепь кибератак.

7 этапов цепи "kill chain"

Семь этапов "kill chain" - это различные шаги успешной атаки. У команды безопасности есть шанс остановить злоумышленников на каждом этапе, но в идеале компания должна выявить и остановить угрозы на первой половине цепочки.

Этап 1: Разведка

На этапе разведки злоумышленник собирает необходимую информацию. Хакеры выбирают жертву, проводят глубокое исследование компании и ищут слабые места в целевой сети.

Существует два типа разведки:

  • Пассивная разведка: Хакер ищет информацию, не взаимодействуя с целью. Жертва не имеет возможности узнать или зафиксировать действия злоумышленника.
  • Активная разведка: Хакер получает несанкционированный доступ к сети и напрямую взаимодействует с системой для сбора информации.

На этом этапе злоумышленники оценивают следующие аспекты системы:

  • Уязвимости и слабые места в системе безопасности.
  • Возможность использования инсайдерского сообщника.
  • Инструменты, устройства, протоколы проверки и иерархия пользователей.

Распространенной тактикой при проведении разведки является сбор адресов электронной почты сотрудников и учетных записей в социальных сетях. Эта информация пригодится, если злоумышленник решит использовать социальную инженерию для получения доступа к сети.

Защитные меры на этапе разведки:

  • Установите брандмауэры для усиления защиты периметра.
  • Отслеживайте точки входа и журналы регистрации посетителей на предмет пдозрительного поведения.
  • Убедитесь, что сотрудники сообщают о подозрительных электронных письмах, звонках и сообщениях в социальных сетях.
  • Приоритет отдавайте защите лиц и систем, которые являются основными целями для разведки.
  • Ограничьте объем общедоступных данных компании.

Этап 2: Вооружение

Команда злоумышленников нашла слабое место в системе и знает, как создать точку входа. Теперь преступная группа разрабатывает вирус или червя, чтобы использовать слабое место. Если злоумышленники нашли уязвимость нулевого дня, они обычно работают быстро, пока жертва не обнаружила и не устранила уязвимость.

Как только вредоносная программа готова, хакеры обычно помещают ее в обычные документы, такие как PDF или файл Office.

Защитные меры на этапе создания оружия:

  • Проводите тренинги по повышению осведомленности в вопросах безопасности.
  • Анализируйте артефакты вредоносного ПО на предмет подозрительных временных рамок и сходства.
  • Создайте инструменты обнаружения оружейников (автоматизированные инструменты, которые объединяют вредоносные программы с эксплойтами).

Этап 3: Доставка

Преступники запускают атаку в целевую среду. Методы заражения различны, но наиболее распространенными являются следующие:

  • Фишинговые атаки.
  • Зараженные USB-устройства.
  • Использование недостатков аппаратного или программного обеспечения.
  • Компрометация учетных записей пользователей.
  • Загрузка с диска, при которой вредоносное ПО устанавливается вместе с обычной программой.
  • Прямой взлом через открытый порт или другую внешнюю точку доступа.

Цель этого этапа - проникнуть в систему и бесшумно закрепиться в ней. Популярной тактикой является одновременная DDoS-атака, чтобы отвлечь защитников и заразить сеть, не потревожив системы безопасности.

Защитные меры на этапе доставки:

  • Защититесь от фишинговых атак.
  • Используйте инструменты управления исправлениями.
  • Отмечайте и исследуйте изменения в файлах и папках с помощью мониторинга целостности файлов (FIM).
  • Отслеживайте странное поведение пользователей, например, странное время или место входа в систему.
  • Проводите тесты на проникновение для активного выявления рисков и слабых мест.

Этап 4: Установка

Вредоносное ПО находится внутри системы, а администраторы не знают об угрозе. Четвертый этап цепочки киберубийств - это установка вредоносного ПО в сети.

После установки вредоносного ПО злоумышленники получают доступ к сети (так называемый бэкдор). Теперь, получив открытый доступ, злоумышленники могут:

  • Установить необходимые инструменты.
  • Изменять сертификаты безопасности.
  • Создавать файлы сценариев.
  • Искать дополнительные уязвимости, чтобы лучше закрепиться перед началом основной атаки.

Для злоумышленников очень важно сохранить свое присутствие в тайне. Злоумышленники обычно стирают файлы и метаданные, перезаписывают данные ложными временными метками и изменяют документы, чтобы остаться незамеченными.

Защитные меры на этапе установки:

  • Поддерживайте устройства в актуальном состоянии.
  • Используйте антивирусное программное обеспечение.
  • Установите систему обнаружения вторжений на хосте, чтобы предупреждать или блокировать распространенные пути установки.
  • Регулярно проводите сканирование уязвимостей.

Стадия 5: Латеральное перемещение

Злоумышленники переходят к другим системам и учетным записям в сети. Цель - получить более высокие разрешения и получить доступ к большему количеству данных. Стандартными приемами на этом этапе являются:

  • Эксплуатация уязвимостей пароля.
  • Атаки грубой силы.
  • Извлечение учетных данных.
  • Нацеливание на дополнительные уязвимости системы.

Защитные меры на этапе латерального перемещения:

  • Внедрите систему безопасности Zero Trust, чтобы ограничить доступ скомпрометированных учетных записей и программ.
  • Используйте сегментацию сети для изоляции отдельных систем.
  • Исключите использование общих учетных записей.
  • Применяйте передовые методы защиты паролей.
  • Проверяйте все подозрительные действия привилегированных пользователей.

Этап 6: Командование и управление (C2)

Сложные вредоносные программы уровня APT требуют ручного взаимодействия для работы, поэтому злоумышленникам необходим доступ к целевой среде с клавиатуры. Последним шагом перед этапом выполнения является установление канала командования и управления (C2) с внешним сервером.

Хакеры обычно достигают C2 через маяк по внешнему сетевому каналу. Маяки обычно основаны на HTTP или HTTPS и выглядят как обычный трафик благодаря фальсифицированным HTTP-заголовкам.

Если целью атаки является эксфильтрация данных, злоумышленники начинают помещать целевые данные в пакеты на этапе C2. Типичным местом расположения пачек данных является часть сети с низким или нулевым уровнем активности или трафика.

Защитные меры на этапе командования и контроля:

  • Ищите инфраструктуры C2 при анализе вредоносного ПО.
  • Требуйте прокси-серверы для всех типов трафика (HTTP, DNS).
  • Постоянное сканирование на предмет угроз.
  • Настройте системы обнаружения вторжений на оповещение обо всех новых программах, входящих в сеть.

Этап 7: Исполнение

Злоумышленники предпринимают действия для выполнения цели атаки. Цели могут быть разными, но наиболее распространенными являются следующие:

  • Шифрование данных.
  • Эксфильтрация данных.
  • Уничтожение данных.

Непосредственно перед началом атаки злоумышленники заметают следы, создавая хаос в сети. Цель состоит в том, чтобы запутать и замедлить работу группы безопасности и криминалистов путем:

  • Очистка журналов для маскировки активности.
  • Удаления файлов и метаданных.
  • Перезаписи данных с неверными временными метками и вводящей в заблуждение информацией.
  • Изменения жизненно важных данных, чтобы они выглядели нормально даже при наличии атаки.

Некоторые преступники также запускают еще одну DDoS-атаку, чтобы отвлечь контроль безопасности при извлечении данных.

Защитные меры на этапе выполнения:

  • Создайте план действий на случай инцидента, в котором будет изложен четкий план коммуникаций и оценки ущерба в случае атаки.
  • Используйте инструменты для обнаружения признаков продолжающейся утечки данных.
  • Немедленное реагирование аналитиков на все предупреждения.

Что представляет собой пример цепочки Kill Chain?

Приведенный ниже пример цепочки киберубийств показывает различные этапы, на которых команда безопасности может обнаружить и предотвратить пользовательскую атаку вымогательского ПО:

  1. Хакеры проводят разведывательные операции, чтобы найти слабое место в целевой системе.
  2. Преступники создают эксплойт ransomware и помещают его во вложение электронной почты. Затем хакеры отправляют фишинговое письмо одному или нескольким сотрудникам.
  3. Пользователь совершает ошибку, открывая и запуская программу из почтового ящика.
  4. Ransomware устанавливается в целевой сети и создает бэкдор.
  5. Программа обращается к вредоносной инфраструктуре и уведомляет злоумышленника об успешном заражении.
  6. Злоумышленники перемещаются по системе в поисках конфиденциальных данных.
  7. Злоумышленники достигают контроля над C2 и начинают шифровать целевые файлы.

Недостатки модели Kill Chain

Цепочка Kill Chain - это основа, на которой компания может разработать тактику и процесс обеспечения безопасности. Однако у "цепей уничтожения" есть и несколько недостатков, на которые стоит обратить внимание.

Фокус на периметре

Оригинальная цепочка киберубийств появилась в то время, когда большинство угроз исходило извне организации. В современном ландшафте безопасности рассмотрение периметра как основной поверхности атаки имеет две проблемы:

  • Использование облака и микросегментации устранило концепцию безопасности "замок и крепость".
  • Внутренние угрозы так же опасны, как и внешние.

Как решить эту проблему: Создайте хорошо продуманную цепь поражения, учитывая опасности как внутри периметра, так и за его пределами. Настройте мониторинг облака, чтобы убедиться, что ваши активы находятся в безопасности как на территории предприятия, так и в облаке.

Выявление угроз на первом и втором этапах

Этапы разведки и применения оружия в кибернетической цепи поражения происходят за пределами прямой видимости компании. Обнаружить атаки на этих этапах очень сложно. Даже если вы заметили странное поведение, определить степень угрозы невозможно.

Как решить эту проблему: Не игнорируйте ранние признаки потенциальной атаки, рассматривая их как единичный случай. Анализируйте каждое действие, которое выглядит как активная разведка или испытание оружия.

Отсутствие адаптации

Первая цепочка Kill Chain появилась в 2011 году, когда компания Lockheed-Martin создала модель безопасности для защиты своей сети. С тех пор характер и состав кибератак значительно изменились, поэтому некоторые считают, что "цепочки поражения" не могут подготовить компанию к современным угрозам.

Как решить эту проблему: Не создавайте цепь киберугроз и никогда не обновляйте ее модель. Надежная цепь поражения должна развиваться, чтобы оставаться эффективной в борьбе с новейшими угрозами, особенно с APT. По мере роста компании пересматривайте цепочку, чтобы учесть новые поверхности атак и потенциальные опасности.

Основа любой стратегии безопасности

Хотя цепочка поражения не является инструментом или механизмом безопасности, она помогает выбрать правильные стратегии и технологии для остановки атак на разных стадиях. Используйте "цепь поражения" в качестве основы для эффективной стратегии безопасности и продолжайте развивать свою компанию, не беспокоясь о дорогостоящих неудачах.

Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий