Mi az a kiberpusztítási lánc?

2011-ben a Lockheed Martin a kiberbiztonsági iparágra adoptálta a pusztítási lánc nevű katonai koncepciót, és elnevezte azt kiberpusztítási láncnak. A pusztítási lánchoz hasonlóan a kiberpusztítási lánc is azonosítja a támadás szakaszait, és betekintést nyújt a támadók tipikus taktikáiba és technikáiba az egyes szakaszokban. Mindkét modell lineáris, azzal az elvárással, hogy a támadók az egyes szakaszokat egymás után fogják végrehajtani.

A kiberfenyegetettséget okozó szereplők a kiberpusztítási lánc bevezetése óta továbbfejlesztették stratégiájukat, és nem mindig követik a kiberpusztítási lánc minden egyes szakaszát. Ennek megfelelően a biztonsági iparág frissítette a megközelítését, és új modelleket fejlesztett ki. A MITRE ATT&CK-mátrix® a valós támadásokon alapuló taktikák és technikák részletes listáját tartalmazza. Hasonló szakaszokat használ, mint a kiberpusztítási lánc, de nem követi a lineáris sorrendet.

2017-ben Paul Pols a Fox-IT és a Leiden University együttműködésével kifejlesztett egy másik keretrendszert, az egységesített pusztítási láncot, amely egyesíti a MITRE ATT&CK mátrix és a kiberpusztítási lánc elemeit egy 18 fázisból álló modellben.

Biztonsági rés keresése

A kiberpusztítási lánc a kibertámadás fázisainak sorozatát határozza meg azzal a céllal, hogy megértse a kibertámadók gondolkodásmódját, beleértve az indítékaikat, eszközeiket, módszereiket és technikáikat, azt, hogy hogyan hozzák meg döntéseiket, és hogyan kerülik ki a felderítést. A kiberpusztítási lánc működésének megértése segíti a védekezőket abban, hogy a kibertámadásokat már a legkorábbi szakaszukban megállítsák.

A fegyverkezési fázisban a rosszindulatú szereplők a biztonsági rés keresése során feltárt információkat használják fel a kártevő szoftverek létrehozására vagy módosítására, hogy a lehető legjobban kihasználhassák a célszervezet gyengeségeit.

Miután létrehozta egy kártevőt, a kiberbűnözők megpróbálják elindítani a támadásukat. Az egyik leggyakoribb módszer az olyan pszichológiai manipulációs módszerek használata, mint például az adathalászat, amellyel az alkalmazottakat a bejelentkezési hitelesítő adataik átadására próbálják rávenni. A rosszindulatú szereplők úgy is beléphetnek, hogy felhasználják a nyilvános vezeték nélküli kapcsolatot, amely nem túl biztonságos, vagy kihasználják a biztonsági rés keresése során feltárt szoftveres vagy hardveres biztonsági rést.

Miután a kiberfenyegetést jelentő szereplők beszivárogtak a szervezetbe, a hozzáférésüket arra használják, hogy rendszerről rendszerre mozogjanak. A céljuk az, hogy bizalmas adatokat, további biztonsági réseket, rendszergazdai fiókokat vagy e-mail-kiszolgálókat keressenek, amelyek használatával kárt okozhatnak a szervezetben.

A telepítési szakaszban a rosszindulatú szereplők kártevőket telepítenek, amelyek további rendszerek és fiókok vezérlését teszik lehetővé számukra.

Miután a kibertámadók megszerezték az irányítást számos rendszer felett, létrehoznak egy olyan irányítóközpontot, amely lehetővé teszi számukra a távoli üzemeltetést. Ebben a szakaszban maszkolást használnak a nyomaik elfedésére és az észlelés elkerülésére. Szolgáltatásmegtagadási támadásokat is használnak, hogy elvonják a biztonsági szakemberek figyelmét a valódi célkitűzésükről.

Ebben a szakaszban a kiberbűnözők lépéseket hajtanak végre az elsődleges cél elérése érdekében, például ellátásilánc-támadásokat, adatkiszivárgást, adattitkosítást vagy adatmegsemmisítést.

Bár a Lockhead Martin eredeti kiberpusztítási lánca csupán hét lépést tartalmazott, számos kiberbiztonsági szakértő nyolcra bővítette azt, hogy figyelembe vegye azokat a tevékenységeket, amelyeket a rosszindulatú szereplők a támadásból bevételhez jutnak, például zsarolóprogram használatával kifizetést kaphatnak az áldozatuktól, vagy bizalmas adatokat értékesíthetnek a sötét weben.

Annak megértése, hogy a kiberfenyegetések szereplői hogyan tervezik és hajtják végre támadásaikat, segít a kiberbiztonsági szakembereknek megtalálni és csökkenteni a biztonsági réseket az egész szervezetben. Emellett segít azonosítani a kibertámadások korai szakaszaiban a biztonsági sérülésre utaló jeleket. Számos szervezet használja a kiberpusztítási lánc modelljét a biztonsági intézkedések proaktív bevezetésére és az incidensekre való válaszadás irányítására.

Intelligens veszélyforrás-felderítés

A szervezetek kiberfenyegetésekkel szembeni védelmének egyik legfontosabb eszköze azintelligens veszélyforrás-felderítés. A jó intelligens veszélyforrás-felderítési megoldások szintetizálják a szervezet környezetéből származó adatokat, és döntéstámogató elemzéseket biztosítanak, amelyek segítenek a biztonsági szakembereknek a kibertámadások korai észlelésében.

A rosszindulatú szereplők gyakran jelszavak kitalálásával vagy ellopásával szivárognak be a szervezetbe. Miután beléptek, megpróbálják eszkalálni a jogosultságokat, hogy hozzáférjenek a bizalmas adatokhoz és rendszerekhez. Az Identitás- és hozzáférés-kezelés: Megtudhatja, hogyan védi, kezeli és definiálja az IAM a felhasználói szerepköröket és hozzáférési jogosultságokatIdentitás- és hozzáférés-kezelési megoldások segítenek észlelni azokat a rendellenes tevékenységeket, amelyek arra utalhatnak, hogy egy jogosulatlan felhasználó hozzáférést szerzett. Emellett olyan vezérlőket és biztonsági intézkedéseket is kínálnak, mint például a kétfaktoros hitelesítés, amely megnehezíti, hogy valaki ellopott hitelesítő adatokat használjon a bejelentkezéshez.

Számos szervezet egy biztonsági információ- és eseménykezelési (SIEM)-megoldással előzi meg a legújabb kibertámadásokat. A SIEM-megoldások a szervezet egészéből és a külső forrásokból származó adatokat összesítik, így a biztonsági csapatok kritikus kiberfenyegetéseket tárhatnak fel az osztályozáshoz és a problémák kezeléséhez. Számos SIEM-megoldás automatikusan is reagál bizonyos ismert fenyegetésekre, csökkentve a csapat által kivizsgálandó incidensek számát.

Egy adott szervezet több száz vagy több ezer végpontot is tartalmazhat. A vállalatok által az üzletvitelhez használt kiszolgálók, számítógépek, mobileszközök és az eszközök internetes hálózata (IoT) által használt eszközök magas száma miatt szinte lehetetlen mindet naprakészen tartani. Ezt a rosszindulatú szereplők tudják, ezért számos kibertámadás egy feltört végponttal kezdődik. A Végponti észlelés és reagálás Ismerje meg, hogyan segíti az EDR technológia a szervezeteket a súlyos kibertámadások, például a zsarolóprogramok elleni védekezésben.végpontészlelési és -válaszadási megoldások segítségével a biztonsági csapatok figyelhetik a fenyegetéseket, és gyorsan reagálhatnak, ha biztonsági problémát észlelnek egy eszközzel kapcsolatban.

A Kiterjesztett észlelés és válasz (XDR) További információ arról, hogy a kiterjesztett észlelési és válasz- (XDR-) megoldások hogyan biztosítanak veszélyforrások elleni védelmet, és miként csökkentik a tevékenységprofilok válaszidejét.kiterjesztett észlelési és válaszadási (XDR) megoldások egy lépéssel előrébb járnak a végpontészlelés és a válaszadás terén, egyetlen olyan megoldásként, amely védi a végpontokat, az identitásokat, a felhőalkalmazásokat és az e-maileket.

Nem minden vállalat rendelkezik elérhető belső erőforrásokkal a fenyegetések hatékony észleléséhez és elhárításához. A meglévő biztonsági csapat bővítése érdekében ezek a szervezetek olyan szolgáltatókhoz fordulnak, amelyek Felügyelt észlelés és reagálás Megismerheti a felügyelt észlelést és reagálást (MDR), valamint azt, hogy miként védheti meg szervezetét a kiberfenyegetésektől.felügyelt észlelést és reagálást kínálnak. Ezek a szolgáltatók vállalják a szervezet környezetének figyelését és a fenyegetésekre történő válaszadást.

Bár a kibertpusztítási lánc megértése segíthet a vállalatoknak és a kormányoknak proaktívan felkészülni az összetett, többlépcsős kibertámadásokra, és válaszolni rájuk, ha kizárólag erre támaszkodnak, sebezhetővé tehetik a szervezetet más típusú kibertámadásokkal szemben. A kiberpusztítási lánc néhány gyakori bírálata a következő:

• A kártevő szoftverekre összpontosít. Az eredeti kiberpusztítási lánc keretrendszerét úgy tervezték, hogy észlelje és reagáljon a kártevőkre, de kevésbé hatékony más típusú támadások ellen, mint például egy illetéktelen felhasználó, aki feltört hitelesítő adatokkal fér a rendszerhez.

• Ideális a szegélyhálózat biztonságához. A végpontok védelmére összpontosítva a kiberpusztítási lánc modellje jól működött, amikor egyetlen hálózati szegélyhálózatot kellett védeni. A sok távmunkás, a felhő és a vállalati eszközökhöz hozzáférő eszközök egyre növekvő száma miatt szinte lehetetlen minden végpont biztonsági rését szem előtt tartani.

• Nem alkalmas a belső fenyegetések kezelésére. Azok a belső tagok, akik már hozzáférnek bizonyos rendszerekhez, nehezebben észlelhetők a kiberpusztítási lánc modelljével. Ehelyett a szervezeteknek figyelnie és észlelnie kell a felhasználói tevékenységek változásait.

• Túl lineáris. Bár számos kibertámadás követi a kiberpusztítási lánc nyolc szakaszát, sok olyan is van, amely nem vagy egyetlen műveletben egyesít több lépést. Azok a szervezetek, amelyek túlságosan az egyes szakaszokra összpontosítanak, figyelmen kívül hagyhatják ezeket a kiberfenyegetéseket.

2011 óta, amikor a Lockhead Martin először mutatta be a kiberpusztítási láncot, sok minden változott a technológia és a kiberfenyegetettség terén. A felhőalapú számítástechnika, a mobileszközök és az IoT-eszközök átalakították az emberek munkáját és a vállalatok működését. A kiberfenyegetések szereplői ezekre az új technológiákra saját innovációikkal reagáltak, többek között automatizálással és mesterséges intelligenciával gyorsítják és javítják kibertámadásaikat. A kiberpusztítási lánc remek kiindulási pontot kínál egy olyan proaktív biztonsági stratégia kialakításához, amely figyelembe veszi a kibertámadások szemléletét és célkitűzéseit. A Microsoft Biztonság egy egyesített SecOps-platform Az AI-alapú platformmal egységesítheti a biztonsági műveleteket (SecOps) a megelőzés, az észlelés és a válasz terén.egységes SecOps-platform, amely egyetlen, adaptálható megoldásban egyesíti az XDR-t és az SIEM-et, így a szervezetek olyan többrétegű védelmet fejleszthetnek, amely a kiberpusztítási lánc minden fázisában védelmet nyújt. A szervezetek is igyekeznek felkészülni az új, mesterséges intelligencia által vezérelt kibertámadásokra azáltal, hogy kiberbiztonsági AI-megoldásokba, például a Microsoft Security Copilot szolgáltatásba fektetnek be.