Kas tai yra kibernetinės grandinės sunaikinimas?

2011 m. „Lockheed Martin“ pritaikė karinę koncepciją, kibernetinės saugos sektoriuje žinomą kaip grandinės sunaikinimu, kuri buvo pavadinta kibernetinės grandinės sunaikinimu. Kaip ir grandinės sunaikinimas, kibernetinės grandinės sunaikinimas identifikuoja atakos etapus ir suteikia gynėjams įžvalgų apie jų priešininkus, būdingą taktiką ir metodus kiekviename etape. Abu modeliai taip pat yra linijiniai, numatantys, kad užpuolikai nuosekliais vykdys kiekvieną etapą.

Nuo tada, kai pirmą kartą buvo pristatyta kibernetinės grandinės sunaikinimas, kibernetinių grėsmių dalyviai patobulino savo taktiką ir ne visada nuosekliai vykdo kiekvieną kibernetinės grandinės sunaikinimo etapą. Reaguodama į tai, saugos sektorius atnaujino savo metodą ir sukūrė naujus modelius. MITRE ATT&CK® matrica yra išsamus taktikos ir metodų, pagrįstų realiomis atakomis, sąrašas. Ji naudoja panašius etapus kaip kibernetinės grandinės sunaikinimas, tačiau nesivadovauja nuosekliu atakos etapų eiliškumu.

2017 m. „Paul Pols“, bendradarbiaujant su Fox-IT ir „Leiden University“, sukūrė kitą sistemą, vieningą grandinės sunaikinimą, kuris jungia MITRE ATT&CK matricos elementus ir kibernetinės grandinės sunaikinimą į modelį, apimantį 18 etapų.

Žvalgyba

Kibernetinės grandinės sunaikinimas apibrėžia kibernetinės atakos etapų seką, siekiant suprasti kibernetinių užpuolikų mąstyseną, įskaitant jų motyvus, įrankius, metodus ir būdus, kaip jie priima sprendimus ir kokias priemones naudoja aptikimui išvengti. Suprantant, kaip veikia kibernetinės grandinės sunaikinimas, padeda gynėjams sustabdyti kibernetines atakas pradiniuose etapuose.

Priemonių parinkimo etape atakos dalyviai naudoja informaciją, aptiktą žvalgybos metu, kad sukurtų arba modifikuotų kenkėjišką programą, kad būtų galima kuo geriau išnaudoti tikslines organizacijos spragas.

Kai jie sukūrė kenkėjišką programą, kibernetiniai užpuolikai bando įvykdyti ataką. Vienas iš dažniausiai naudojamų būdų yra naudoti socialinės inžinerijos metodus, pvz., sukčiavimą apsimetant, kad iš darbuotojų apgaulės būdu gautų prisijungimo kredencialus. Atakos dalyviai taip pat gali prisijungti pasinaudoję viešuoju belaidžiu ryšiu, kuris nėra labai saugus arba išnaudoti programinę įrangą arba aparatūros pažeidžiamumą, kuris nebuvo aptiktas žvalgybos metu.

Po kibernetinės grėsmės dalyvių įsiskverbimo į organizaciją jie naudoja savo prieigą, kad pereitų iš sistemos į kitą. Jų tikslas – rasti slaptus duomenis, papildomus pažeidžiamumus, administravimo paskyras arba el. pašto serverius, kuriuos jie gali naudoti siekdami padaryti žalą organizacijai.

Diegimo etape piktavaliai įdiegia kenkėjišką programą, kuri suteikia galimybę valdyti daugiau sistemų ir paskyrų.

Kibernetinės atakos dalyviams užsitikrinus didelės dalies sistemų valdymą, jie sukuria valdymo centrą, kuris leidžia jiems veikti nuotoliniu būdu. Šiame etape jie naudoja slėpimą, kad užmaskuotų savo pėdsakus ir išvengtų aptikimo. Jie taip pat naudoja aptarnavimo perkrovos atakas, kad nukreiptų saugos specialistų dėmesį nuo tikrojo tikslo.

Šiame etape kibernetinės atakos dalyviai imasi veiksmų, kad pasiektų savo pagrindinį tikslą, kuris gali apimti tiekimo grandinės atakas, neteisėtą duomenų perkėlimą, duomenų šifravimą arba duomenų naikinimą.

Nors „Lockhead Martin“ pirminis kibernetinės grandinės sunaikinimas apima tik septynis veiksmus, daugelis kibernetinės saugos ekspertų išplėtė ją iki aštuonių, kad atsižvelgtų į veiklą, kurią atakos dalyviai vykdo siekdami gauti pajamų iš atakos, pvz., naudodami išpirkos reikalaujančią programą, kad gautų mokėjimus iš savo aukų arba pardavinėtų slaptus duomenis tamsiajame žiniatinklyje.

Perpratus, kaip kibernetinių grėsmių dalyviai planuoja ir vykdo savo atakas, leidžia kibernetinės saugos specialistams rasti ir sumažinti pažeidžiamumus visoje organizacijoje. Tai taip pat padeda nustatyti pažeidimo indikatorius ankstyvaisiais kibernetinės atakos etapais. Daugelis organizacijų naudoja kibernetinės grandinės sunaikinimo modelį, kad aktyviai galėtų taikyti saugos priemones ir tinkamai reaguoti į incidentus.

Grėsmių analizė

Vienas iš svarbiausių organizacijos apsaugos nuo kibernetinių grėsmių įrankių yra grėsmių analizė. Geri grėsmių analizės sprendimai sinchronizuoja duomenis iš visos organizacijos aplinkos ir pateikia naudingas įžvalgas, padedančias saugos specialistams anksti aptikti kibernetines atakas.

Dažnai įsilaužimo dalyviai įsiskverbia į organizaciją atspėdami arba pavogdami slaptažodžius. Patekę į vidų, jie bando perkelti teises, kad gautų prieigą prie slaptų duomenų ir sistemų. Tapatybės ir prieigos valdymas: Sužinokite, kaip IAM saugo, valdo ir apibrėžia vartotojo vaidmenis bei prieigos teisesTapatybės ir prieigos valdymo sprendimai padeda aptikti neįprastą veiklą, kuri gali reikšti, kad neįgaliotas vartotojas gavo prieigą. Jie taip pat siūlo valdiklius ir saugos priemones, pvz., dviejų dalių autentifikavimą, dėl kurių kažkam gali būti sunkiau prisijungti naudojant pavogtus kredencialus.

Daugelis organizacijų yra pasiruošę galimoms naujausioms kibernetinėms grėsmėms, nes naudojasi saugos informacijos ir įvykių valdymo (SIEM) sprendimu. SIEM sprendimai agreguoja duomenis iš visos organizacijos ir iš trečiųjų šalių šaltinių, kad saugos komandoms padėtų aptikti kritines kibernetines grėsmes, imtis veiksmų ir jas pašalinti. Daugelis SIEM sprendimų taip pat automatiškai reaguoja į tam tikras žinomas grėsmes ir sumažina incidentų, kuriuos komanda turi ištirti, skaičių.

Kiekvienoje organizacijoje yra šimtai ar net tūkstančiai galinių punktų. Tarp serverių, kompiuterių, mobiliųjų įrenginių ir internetu sąveikaujančių įrenginių (IoT), kuriuos įmonės naudoja versle, gali būti beveik neįmanoma užtikrinti, kad visi jie turėtų naujausią programinę įrangą. Atakos dalyviai tai žino, todėl daugelis kibernetinių atakų prasideda nuo pažeisto galinio punkto. Atakų prieš galinius punktus aptikimas ir reagavimas Sužinokite, kaip EDR technologija padeda organizacijoms apsisaugoti nuo rimtų kibernetinių grėsmių, pvz., išpirkos reikalaujančių programų.Atakų prieš galinius punktus aptikimo ir reagavimo sprendimai padeda saugos komandoms stebėti galinius punktus dėl grėsmių ir greitai reaguoti aptikus įrenginio saugos problemą.

Išplėstinis aptikimas ir reagavimas Sužinokite, kaip išplėstinio aptikimo ir reagavimo (XDR) sprendimai užtikrina apsaugą nuo grėsmių ir sutrumpina reagavimo laiką visuose darbo krūviuose.Išplėstinio aptikimo ir reagavimo (XDR) sprendimai galinių punktų aptikimą ir reagavimą patobulina dar labiau pasitelkdami vieną sprendimą, apsaugantį galinius punktus, tapatybes, debesies programas ir el. paštus.

Ne visos įmonės turi vidinių išteklių, kad galėtų efektyviai aptikti grėsmes ir į jas reaguoti. Kad išplėstų esamą saugos komandą, šios organizacijos kreipiasi į paslaugų teikėjus, kurie siūlo valdomą aptikimą ir reagavimą. Šie paslaugų teikėjai prisiima atsakomybę už organizacijos aplinkos stebėjimą ir reagavimą į grėsmes.

Nors kibernetinės grandinės sunaikinimo principų supratimas gali padėti įmonėms ir valstybinėms institucijoms aktyviai pasiruošti sudėtingoms, daugiapakopėms kibernetinėms atakoms ir į jas reaguoti, bet pernelyg pasikliaunant šia sistema, organizacija gali tapti pažeidžiama naudojant kitus kibernetinių atakų tipus. Keletas bendrų priekaištų kibernetinės grandinės sunaikinimui:

• Dėmesys sutelktas į kenkėjišką programinę įrangą. Pradinė kibernetinės grandinės sunaikinimo sistema buvo sukurta aptikti ir reaguoti į kenkėjiškas programas ir nėra tokia efektyvi prieš kitų tipų atakas, pvz., neteisėtą vartotoją, kuris gauna prieigą naudodamas pažeistus kredencialus.

• Puikiai tinka perimetro saugai. Dėmesį sutelkdamas į galinių punktų apsaugą, kibernetinės grandinės sunaikinimo modelis veikė gerai, kai buvo vienas tinklo perimetras, kurį reikėjo apsaugoti. Dabar su tiek daug nuotolinių darbuotojų, debesimi ir nuolat besiplečiančiu įrenginių, kurie pasiekia įmonės išteklius, skaičiumi, gali būti beveik neįmanoma pašalinti visų galinių punktų pažeidžiamumų.

• Nepritaikytas vidinėms grėsmėms. Įmonėje esančius dalyvius, kurie jau turi prieigą prie kai kurių sistemų, sunkiau aptikti naudojant kibernetinės grandinės sunaikinimo modelį. Vietoj to, organizacijos turi stebėti ir aptikti pasikeitusią vartotojo veiklą.

• Per daug nuoseklus. Nors daugelis kibernetinių atakos laikosi aštuonių kibernetinės grandinės sunaikinimo etapų, taip pat yra daug tokių atakų, kai tam tikri etapai nenaudojami arba keli veiksmai yra sujungti į vieną. Organizacijos, kurios yra per daug susitelkę į kiekvieną etapą, gali praleisti šias kibernetines grėsmes.

Nuo 2011 m., kai „Lockhead Martin“ pirmą kartą pristatė kibernetinės grandinės sunaikinimą, technologijų ir kibernetinių grėsmių aplinkoje daug kas pasikeitė. Debesų kompiuterija, mobilieji įrenginiai ir IoT įrenginiai pakeitė žmonių darbo ir įmonių veikimo principą. Kibernetinių grėsmių dalyviai reagavo į šias naujas technologijas panaudodami savo inovacijas, įskaitant automatizavimą ir DI naudojimą, kad paspartintų ir pagerintų kibernetines atakas. Kibernetinės grandinės sunaikinimas suteikia puikų atskaitos tašką kuriant aktyvią saugos strategiją, atsižvelgiančią į kibernetinės atakos dalyvių mąstyseną ir tikslus. „Microsoft“ sauga siūlo vieningą saugos operacijų platformą, sujungiančią XDR ir SIEM į vieną pritaikomą sprendimą, padedantį organizacijoms kurti kelių sluoksnių apsaugą, kuri saugo visuose kibernetinės grandinės sunaikinimo etapuose. Be to, organizacijos taip pat ruošiasi būsimoms dirbtiniu intelektu pagrįstoms kibernetinėms grėsmėms investuodamos į DI, skirto kibernetinei saugai, sprendimams, pvz., Microsoft Security Copilot.