Що таке етапи кібератаки?

Компанія Lockheed Martin у 2011 р. адаптувала військову концепцію під назвою "ланцюжок ураження цілі" (kill chain) для потреб галузі кібербезпеки, назвавши її етапами кібератаки. Як і у випадку з ланцюжком ураження цілі, етапи кібератаки визначають стадії здійснення кібератаки, надаючи командам захисту аналітичні висновки про типові для зловмисників підходи й методи на кожному з етапів. Обидві моделі є лінійними і виходять з очікування, що зловмисники виконуватимуть етапи послідовно.

Однак з моменту представлення цієї методики тактика кіберзлочинців еволюціонувала, і зловмисники не завжди дотримуються моделі послідовного виконання етапів кібератаки. У відповідь на це галузь безпеки оновила свій підхід і розробила нові моделі. Матриця MITRE ATT&CK® – це докладний список методів і засобів, створений на основі досвіду реальних атак. Матриця розглядає ті ж самі стадії атаки, що й етапи кібератаки, але не у лінійному порядку.

У 2017 р. Пол Полс у співпраці з Fox-IT і Лейденським університетом розробили ще одну інфраструктуру – об’єднані етапи кібератаки. Це модель з 18 етапів, що поєднує елементи матриці MITRE ATT&CK і етапів кібератаки.

Інформаційна розвідка

Етапи кібератак визначають послідовність фаз кібератаки, щоб зрозуміти мислення зловмисників, що стоять за атакою: їхні мотиви, інструменти, методи та прийоми, а також те, як вони приймають рішення та як уникають виявлення. Розуміння принципу роботи етапів кібератаки допомагає захисникам зупиняти кібератаки на ранніх стадіях.

Під час фази вибору засобів для здійснення атаки зловмисники використовують інформацію, виявлену під час інформаційної розвідки, щоб створити або змінити існуючі зловмисні програми таким чином, щоб якнайкраще скористатися вразливостями організації, визначеної об’єктом атаки.

Після того, як зловмисне програмне забезпечення створено, зловмисники намагаються запустити свою атаку. Одним із найпоширеніших підходів є використання методів соціальної інженерії, таких як фішинг, щоб змусити працівників обманним шляхом надати облікові дані для входу. Зловмисники також можуть отримати доступ, скориставшись уразливостями загальнодоступного безпровідного підключення, яке є не дуже захищеним, або вразливістю програмного забезпечення чи обладнання, виявленою в ході інформаційної розвідки.

Після того, як кіберзловмисникам вдається подолати захист організації, вони використовують свій доступ для переміщення від системи до системи. Їхня мета – знайти делікатні дані, додаткові вразливості, адміністративні облікові записи або сервери електронної пошти, якими вони можуть скористатися, щоб завдати шкоди організації.

На етапі інсталяції зловмисники інсталюють зловмисні програми, які дають їм змогу керувати більшою кількістю систем та облікових записів.

Після того як кіберзломвисникам вдається захопити контроль над значною кількістю систем, вони створюють центр керування, який дає їм змогу працювати віддалено. На цьому етапі вони використовують обфускацію, тобто заплутування коду, щоб приховати сліди своєї діяльності та уникнути виявлення. Вони також використовують атаки "відмова в обслуговуванні", щоб відволікти увагу спеціалістів із безпеки від справжньої мети.

На цьому етапі кіберзловмисники вживають заходів для досягнення основної мети, яка може включати атаки ланцюжка постачання а також ексфільтрацію, шифрування або знищення даних.

Хоча початковий варіант етапів кібератаки від Lockheed містив лише сім кроків, багато експертів із кібербезпеки розширили його до восьми, додавши дії зловмисників для отримання доходу від атаки, наприклад, за допомогою зловмисних програм з вимогою викупу, щоб отримати платіж від жертви атаки, або через продаж делікатної інформації в Даркнеті.

Розуміння того, як зловмисники планують та здійснюють свої атаки, допомагає спеціалістам з кібербезпеки знаходити вразливості в організації та зводити їх до мінімуму. Це також допомагає виявляти індикатори порушення безпеки на ранніх етапах кібератаки. Багато організацій використовують модель етапів кібератаки, щоб завчасно застосовувати заходи безпеки та направляти реагування на інциденти.

Аналіз загроз

Один із найважливіших інструментів для захисту організації від кіберзагроз – це аналіз загроз. Ефективні рішення для аналізу загроз дають змогу синтезувати дані з середовища організації та отримувати корисні аналітичні висновки, які допомагають фахівцям із безпеки у ранньому виявленні кібератак.

Зловмисники часто долають захист організації, вгадуючи або викрадаючи паролі. Подолавши захист, вони намагаються делегувати права, щоб отримати доступ до конфіденційних даних і систем. Рішення длякерування ідентичностями та доступом допомагають виявляти аномальну активність, яка може вказувати на те, що неавторизований користувач отримав доступ. Вони також пропонують елементи керування та заходи безпеки, наприклад двохфакторну автентифікацію, які ускладнюють використання вкрадених облікових даних для входу.

Багато організацій випереджають останні кіберзагрози за допомогою рішення з керування захистом інформації (SIEM). Рішення SIEM об’єднує дані з усієї організації та сторонніх джерел, щоб виявляти критичні кіберзагрози, щоб команди безпеки могли їх сортувати та усувати. Багато рішень SIEM також автоматично реагують на певні відомі загрози, зменшуючи кількість інцидентів, які команда має дослідити.

У будь-якій організації є сотні або тисячі кінцевих точок. З усіма серверами, комп’ютерами, мобільними пристроями та пристроями Інтернету речей (IoT), які компанії використовують для ведення бізнесу, підтримувати усі ці кінцеві точки у актуальному стані майже неможливо. Зловмисникам це добре відомо, тому багато кібератак починаються саме з ураженої кінцевої точки. Рішення для протидії загрозам у кінцевих точках допомагають командам безпеки відстежувати наявність загроз для них, а також швидко реагувати, якщо виявлено проблему із захистом пристою.

Рішення розширеного виявлення та реагування (XDR) є суттєвим кроком вперед завдяки можливостям виявлення загроз для кінцевих точок і реагування на них за допомогою єдиного рішення, яке захищає кінцеві точки, ідентичності, хмарні програми та електронну пошту.

Не всі компанії мають внутрішні ресурси, яких достатньо для ефективного виявлення загроз і реагування на них. Щоб збільшити можливості наявних команд безпеки, такі організації звертаються до постачальників послуг, які пропонують кероване виявлення і реагування. Ці постачальники послуг беруть на себе спостереження за середовищем організації та реагування на загрози.

Хоча розуміння етапів кібератаки може допомогти компаніям і органам влади заздалегідь підготуватися до складних багатоетапних кіберзагроз і реагувати на них, покладатися лише на цю модель означає зробити організацію вразливою до інших типів кібератак. Нижче наведено кілька поширених аргументів критиків моделі етапів кібератаки.

• Зловмисні програми в центрі уваги. Вихідна модель етапів кібератак призначена для виявлення зловмисних програм і реагування на них, але є менш ефективною проти інших типів атак, наприклад, коли неавторизований користувач отримує доступ в систему за допомогою вражених облікових даних.

• Оптимальний варіант для захисту периметра. Завдяки акценту на захист кінцевих точок модель етапів кібератак добре працювала, коли існував єдиний мережевий периметр, захист якого потрібно було забезпечити. Але зараз багато працівників працюють віддалено, все більше використовуються хмарні технології, а кількість пристроїв, що отримують доступ до ресурсів компанії, постійно зростає. В цих умовах усунути вразливість кожної кінцевої точки майже неможливо.

• Не підходить для боротьби з внутрішніми загрозами. Використовуючи модель етапів кібератак, виявити потенційних зловмисників, які вже мають доступ до певних систем, значно складніше. Натомість організаціям необхідно відстежувати та виявляти зміни в діях користувачів.

• Занадто лінійна модель. Багато кібератак дійсно розвиваються за сценарієм, передбаченим моделлю етапів кібератаки, використовуючи всі вісім стадій. Але також є багато атак, які розвиваються за іншим сценарієм або об’єднують кілька етапів в одній дії. Організації, які занадто уважно слідкують за кожним з етапів, можуть не помітити такі кіберзагрози своєчасно.

Технології та кіберзагрози дуже змінилися з 2011 р., коли Lockheed Martin вперше представила модель етапів кібератак. Хмарні обчислення, мобільні пристрої та пристрої IoT трансформували роботу користувачів і компаній. Кіберзловмисники відповіли на ці нові технології власними інноваціями, зокрема, використанням автоматизації та ШІ для прискорення та покращення кібератак. Модель етапів кібератаки пропонує чудовий відправний пункт для розробки профілактичної стратегії безпеки, яка враховуватиме спосіб мислення кіберзловмисників та їхні цілі. Захисний комплекс Microsoft пропонує уніфіковану платформу заходів безпеки, яка об’єднує XDR і SIEM в одне адаптивне рішення, що допомагає організаціям розробляти багатошаровий захист для застосування на кожному з етапів кібератаки. Організації також готуються до нових кіберзагроз на основі ШІ, інвестуючи в рішення кібербезпеки на основі ШІ, наприклад, Захисний комплекс Microsoft Copilot.