Cyber kill chain je adaptací vojenského řetězce zabíjení, což je postupný přístup, který identifikuje a zastavuje nepřátelskou aktivitu. Řetězec kybernetického zabíjení, původně vyvinutý společností Lockheed Martin v roce 2011, nastiňuje různé fáze několika běžných kybernetických útoků a v širším smyslu body, ve kterých může tým pro bezpečnost informací zabránit, odhalit nebo zachytit útočníky.
Řetězec kybernetického zabíjení je určen k obraně proti sofistikovaným kybernetickým útokům, známým také jako pokročilé perzistentní hrozby (APT), kdy protivníci tráví značný čas sledováním a plánováním útoku. Nejčastěji tyto útoky zahrnují kombinaci malwaru, ransomwaru, trojských koní, spoofingu a technik sociálního inženýrství k provedení jejich plánu.
Zpráva o globální hrozbě CrowdStrike 2023
Projekt Zpráva o globálních hrozbách za rok 2023 zdůrazňuje některé z nejplodnějších a nejpokročilejších aktérů kybernetických hrozeb po celém světě. Patří mezi ně odpůrci národního státu, eCrime a hacktivist. Přečtěte si o nejpokročilejších a nejnebezpečnějších kyberzločincích.
8 fází procesu Cyber Kill Chain
Původní model řetězce kybernetického zabíjení Lockheed Martin obsahoval sedm po sobě jdoucích kroků:
Fáze 1: Průzkum
Během průzkumné fáze identifikuje zlomyslný aktér cíl a prozkoumá zranitelnosti a slabiny, které lze v rámci sítě zneužít. V rámci tohoto procesu může útočník získat přihlašovací údaje nebo shromáždit další informace, jako jsou e-mailové adresy, ID uživatelů, fyzické umístění, softwarové aplikace a podrobnosti o operačním systému, což vše může být užitečné při phishingových nebo spoofingových útocích. Obecně řečeno, čím více informací je útočník schopen shromáždit během průzkumné fáze, tím sofistikovanější a přesvědčivější bude útok, a tím vyšší je pravděpodobnost úspěchu.
Fáze 2: Ozbrojení
Během fáze Weaponization útočník vytvoří vektor útoku, jako je malware pro vzdálený přístup, ransomware, virus nebo červ, který může zneužít známou zranitelnost. Během této fáze může útočník také nastavit zadní vrátka, aby mohl pokračovat v přístupu do systému, pokud je jeho původní vstupní bod identifikován a uzavřen správci sítě.
Fáze 3: Dodávka
V kroku Delivery zahájí vetřelec útok. Konkrétní kroky budou záviset na typu útoku, který hodlají provést. Útočník může například odeslat přílohy e-mailu nebo škodlivý odkaz, aby podnítil aktivitu uživatele a pokročil v plánu. Tato aktivita může být kombinována s technikami sociálního inženýrství pro zvýšení efektivity kampaně.
Fáze 4: Využití
Ve fázi zneužití je škodlivý kód spuštěn v systému oběti.
Fáze 5: Instalace
Bezprostředně po fázi Využití bude malware nebo jiný vektor útoku nainstalován do systému oběti. Toto je zlomový bod v životním cyklu útoku, protože aktér hrozby vstoupil do systému a nyní může převzít kontrolu.
Fáze 6: Velení a řízení
V Command & Control je útočník schopen použít malware k převzetí vzdálené kontroly nad zařízením nebo identitou v cílové síti. V této fázi může útočník také pracovat na tom, aby se pohyboval laterálně po síti, rozšiřoval svůj přístup a vytvořil další vstupní body pro budoucnost.
Fáze 7: Cílová opatření
V této fázi útočník podnikne kroky k uskutečnění zamýšlených cílů, které mohou zahrnovat krádež dat, zničení, šifrování nebo exfiltraci.
Postupem času mnoho odborníků na informační bezpečnost rozšířilo řetězec zabíjení o osmý krok: Monetizaci. V této fázi se kyberzločinec zaměřuje na získávání příjmů z útoku, ať už prostřednictvím nějaké formy výkupného, které má oběť zaplatit, nebo prodejem citlivých informací, jako jsou osobní údaje nebo obchodní tajemství, na temném webu.
Obecně řečeno, čím dříve může organizace zastavit hrozbu v rámci životního cyklu kybernetického útoku, tím menší riziko organizace podstoupí. Útoky, které dosáhnou fáze velení a řízení, obvykle vyžadují mnohem pokročilejší úsilí o nápravu, včetně hloubkových průzkumů sítě a koncových bodů, aby se určil rozsah a hloubka útoku. Organizace by jako takové měly podniknout kroky k identifikaci a neutralizaci hrozeb co nejdříve v životním cyklu, aby se minimalizovalo jak riziko útoku, tak náklady na vyřešení události.
Evoluce Cyber Kill Chain
Jak bylo uvedeno výše, řetězec kybernetického zabíjení se stále vyvíjí, protože útočníci mění své techniky. Od vydání modelu kybernetického řetězce v roce 2011 se kyberzločinci stali mnohem sofistikovanějšími ve svých technikách a drzejšími ve své činnosti.
I když je životní cyklus kybernetických útoků stále užitečným nástrojem, je dnes mnohem méně předvídatelný a jasný, než tomu bylo před deseti lety. Například není neobvyklé, že kybernetičtí útočníci přeskakují nebo kombinují kroky, zejména v první polovině životního cyklu. To dává organizacím méně času a příležitostí k odhalení a neutralizaci hrozeb v rané fázi životního cyklu. Rozšíření modelu řetězce zabíjení navíc může kyberútočníkům poskytnout určitý náznak toho, jak organizace strukturují svou obranu, což by jim mohlo nechtěně pomoci vyhnout se odhalení v klíčových bodech životního cyklu útoku.
Kritika a obavy související s Cyber Kill Chain
I když je řetězec kybernetického zabíjení oblíbeným a běžným rámcem, z něhož mohou organizace začít vyvíjet strategii kybernetické bezpečnosti, obsahuje několik důležitých a potenciálně zničujících nedostatků.
Bezpečnost obvodu
Jednou z nejčastějších kritik modelu cyber kill chain je, že se zaměřuje na zabezpečení perimetru a prevenci malwaru. To je obzvláště naléhavé, protože organizace odcházejí od tradičních on-prem sítí ve prospěch cloudu.
Podobně zrychlení trendu práce na dálku a rozšíření osobních zařízení, technologie internetu věcí a dokonce i pokročilých aplikací, jako je robotická automatizace procesů (RPA), exponenciálně zvýšilo prostor pro útoky mnoha podnikových organizací. To znamená, že kyberzločinci mají mnohem více přístupových bodů ke zneužití – a společnosti budou mít složitější čas zabezpečit každý koncový bod.
Útok na zranitelnosti
Dalším potenciálním nedostatkem řetězce zabíjení je to, že je omezený, pokud jde o typy útoků, které lze detekovat. Původní framework například není schopen detekovat vnitřní hrozby, což patří mezi nejzávažnější rizika pro organizaci a jeden z typů útoků s nejvyšší úspěšností. Útoky, které využívají kompromitovaná pověření neoprávněnými stranami, také nelze v rámci původního řetězce zabíjení detekovat.
Webové útoky mohou také zůstat neodhaleny rámcem kybernetického zabíjení. Příklady takových útoků zahrnují Cross Site Scripting (XSS), SQL Injection, DoS/DDoS a některé Zero Day Exploits. Masivní narušení Equifax v roce 2017, ke kterému došlo částečně kvůli kompromitované opravě softwaru, je významným příkladem webového útoku, který kvůli nedostatečnému zabezpečení nebyl odhalen.
A konečně, zatímco rámec je určen k detekci sofistikovaných, vysoce prozkoumaných útoků, řetězec kybernetického zabíjení často postrádá ty útočníky, kteří neprovádějí významný průzkum. Například ti, kteří používají techniku „sprej a modli se“, se často čirou náhodou vyhýbají pečlivě položeným detekčním nástrahám.
Role Cyber Kill Chain v kybernetické bezpečnosti
Přes některé nedostatky hraje Cyber Kill Chain důležitou roli v tom, že pomáhá organizacím definovat jejich strategii kybernetické bezpečnosti. V rámci tohoto modelu musí organizace přijmout služby a řešení, která jim umožní:
- Detekujte útočníky v každé fázi životního cyklu hrozby pomocí technik hrozeb
- Zabraňte přístupu neoprávněným uživatelům
- Zabraňte sdílení, ukládání, pozměňování, exfiltraci nebo šifrování citlivých dat neoprávněnými uživateli
- Reagujte na útoky v reálném čase
- Zastavte boční pohyb útočníka v síti
Více informací
Zjistěte více o tom, jak může Falcon Identity Protection zabránit bočnímu pohybu a neoprávněnému přístupu k doméně kvůli zneužití síťových přihlašovacích údajů a další!Stáhnout: Narušení Cyber Kill Chain: Jak omezit používání nástrojů a protokolů
POZNEJTE AUTORA
Bart je Senior Product Marketing Manager pro Threat Intelligence ve společnosti CrowdStrike a má více než 20 let zkušeností v oblasti monitorování, detekce a zpravodajství hrozeb. Poté, co začal svou kariéru jako provozní analytik síťové bezpečnosti v belgické finanční organizaci, se Bart přestěhoval na východní pobřeží USA, aby se připojil k několika společnostem zabývajícím se kybernetickou bezpečností, včetně 3Com/Tippingpoint, RSA Security, Symantec, McAfee, Venafi a FireEye-Mandiant, kde zastával oba produkty managementu. , stejně jako role produktového marketingu.
Rychlá definice: Šest fází životního cyklu kybernetického útoku jsou průzkum, zbrojení a doručení, využití, instalace a velení a řízení. Narušením životního cyklu prostřednictvím proaktivních opatření, školení v oblasti kybernetické bezpečnosti a solidních bezpečnostních plánů mohou organizace zmírnit rizika kybernetických útoků a posílit svou celkovou kybernetickou odolnost.
Kybernetická bezpečnost a úniky dat jsou všudypřítomnou hrozbou pro naše digitální životy. S hrozící možností kybernetického útoku se může zdát, že můžeme udělat jen málo, abychom tomu zabránili. Bez proaktivního přístupu to může být pravda.
Navzdory destilovaným informacím, které získáme poté, co společnost utrpí kybernetický útok, tento proces probíhá v několika fázích, včetně životního cyklu kybernetického útoku. Znalost fází životního cyklu kybernetického útoku (a jeho prolomení) může znamenat velký rozdíl v zabránění špatným aktérům v získání přístupu k síti nebo systému.
Podle Palo Alto Networks existuje šest fází životního cyklu kybernetického útoku. Každý špatný hráč, který chce zahájit úspěšný kybernetický útok, musí projít každou fází. Selhání v kterékoli fázi má za následek neúspěšný kybernetický útok.
Pokud si však společnost neuvědomuje, že její síť nebo systémy jsou pod útokem, mohlo by to umožnit jejím protivníkům pokračovat ve snaze získat přístup.
Pojďme prozkoumat životní cyklus kybernetických útoků a naučit se, jak zmařit potenciální útoky.
6 fází životního cyklu kybernetického útoku
Zde je rychlý přehled šesti fází životního cyklu kybernetického útoku, po kterém následuje příklad z reálného světa v akci.
1. Průzkum
Jak název napovídá, jedná se o fázi, kdy potenciální kybernetický protivník shromažďuje zpravodajské informace a informace, které potřebuje, aby mohl začít plánovat svůj útok. Špatní herci často shromažďují informace z oblíbených a široce používaných webových stránek, jako je Facebook a Linkedin.
Kybernetičtí protivníci by také mohli shromažďovat informace na webových stránkách specifických pro jejich cíl nebo shromažďovat e-maily zaměstnancům a od zaměstnanců. Průzkumná fáze zahrnuje výzkum a shromažďování zpravodajských informací v síti, zabezpečení dat a v rámci příslušných aplikací nebo kódování webových stránek.
2. Vyzbrojení a dodání
Po dokončení průzkumné fáze je dalším krokem použití těchto informací jako zbraně. Fáze doručení ve fázi zbrojení se může lišit, ale obecně zahrnuje phishing e-mailů, virové odkazy nebo škodlivé přílohy. V mnoha případech stačí k otevření špatného odkazu nebo stažení a instalaci škodlivého malwaru k poskytnutí přístupu do systému pouze jednomu uživateli.
3. Vykořisťování
Další fází životního cyklu kybernetického útoku po fázi zbrojení je využití zranitelnosti, jakmile je exploit nasazen v síti, systému nebo kódu. Úspěch této fáze je prvním vstupem protivníka do organizace, podobně jako získat oporu na průlomu a přeměnit ho na místo pro vystupování.
4. Instalace
Podobně jako na konci fáze vykořisťování je instalace, když doručovací zařízení a škodlivý malware odvedou svou práci a ohrozí požadovanou oblast. Primárním cílem fáze instalace není získat přístup k požadovaným datům, ale poskytnout bezpečné připojení k síti nebo systému pro protivníky, aby mohli zahájit útok.
5. Příkaz a řízení
Stejně jako zbrojení a doručování jsou velení a řízení někdy odděleny, ale úzce spolu souvisí. I když název této fáze může vyvolat vojenský podtext, tato fáze dělá přesně to, co zní. Protivníci nyní velí na každé straně navázaného spojení a provádějí své útočné plány. Nyní mají efektivně pod kontrolou síť, systém nebo aplikaci své zamýšlené oběti. Útočníci začnou získávat soukromé informace nebo citlivá data a shromažďovat je na svém konci.
6. Akce
Možná to není nejlépe pojmenovaná scéna; to je, když protivníci podniknou kroky k dosažení svého původního záměru. Existuje mnoho způsobů, jak mohou protivníci jednat na narušení, které vytvořili. Někdy se jedná o vysoce medializované útoky, kdy je prominentní webová stránka změněna nebo znehodnocena za účelem prosazení agendy, uvedení osoby nebo společnosti do rozpaků nebo zadržení odcizených dat za účelem výkupného. Jindy se široká veřejnost dozví o narušení dat až týdny nebo měsíce po útoku.
Příklad kybernetického útoku v reálném světě
Nedávno Apple vydal kritickou aktualizaci zabezpečení pro svůj operační systém iOS, aby napravil bezpečnostní chybu, která zneužila významnou chybu. Aktualizace zabezpečení řešila možnost zero-day, zero-exploit virus Pegasus získat téměř neomezený přístup k zařízení Apple se systémem iOS verze 14.7.1.
Nejznepokojivějším aspektem tohoto viru bylo, že uživatel nemusel (aktivně nebo náhodně) na svém zařízení nic dělat, aby došlo k zneužití. Jakmile se virus Pegasus nakazí, bude mít přístup k souborům a datům v zařízení a dokáže zachytit texty, e-maily a telefonní hovory a poté je sdílet s jakýmkoli špatným hercem po celém světě. Nejhorší na tom bylo, že žádný uživatel s infikovaným zařízením by o tom neměl tušení.
Virus Pegasus je ukázkovým příkladem úspěšné implementace životního cyklu kybernetického útoku. Je to také ostrá připomínka, že odborníci na kybernetickou bezpečnost musí být vždy ostražití. Nešikovní jednotlivci nebo organizace neustále hledají způsoby, jak vytvořit nebo objevit a následně zneužít slabá místa zabezpečení.
Prolomení životního cyklu kybernetických útoků
Navzdory rizikům a ničivým dopadům, které může mít kybernetický útok na jednotlivce, korporace nebo organizaci, to není všechno jen zkázy a temnoty. Ano, úspěšný kybernetický útok může mít dalekosáhlé nepříznivé dopady, z nichž v neposlední řadě je otřesení důvěry veřejnosti v očích klientů nebo předplatitelů.
Dobrou zprávou je, že protivníci musí uspět v každé fázi životního cyklu kybernetického útoku. Aby potenciální oběť zabránila špatným aktérům v provádění jejich hanebných plánů, musí zastavit narušení pouze v kterékoli fázi životního cyklu kybernetického útoku.
Investice do kybernetické odolnosti je jedním z nejlepších způsobů, jak bojovat proti životnímu cyklu kybernetických útoků. Většina společností již praktikuje nějakou formu kybernetické bezpečnosti nebo má zaveden robustní plán. Nastolení a udržování kybernetické odolnosti zahrnuje školení a vzdělávání v oblasti kybernetické bezpečnosti pro každého, kdo má přístup k systémům nebo sítím, bez ohledu na jejich citlivost.
Neexistuje nic jako příliš mnoho školení v oblasti kybernetické bezpečnosti. Uživateli stačí jedenkrát, než klikne na škodlivý odkaz nebo si nevědomky stáhne malware, aby potenciální protivník zahájil životní cyklus kybernetického útoku. Dalšími pilíři kybernetické odolnosti jsou holistický a robustní plán, procesy a zásady kybernetické bezpečnosti v kombinaci s aktuálními, a pokud je to možné, nezastaralými systémy a softwarem.
Při zvažování nasazení programu kybernetické bezpečnosti existuje spousta možností zabezpečení pro jednotlivce, malé podniky nebo korporace. Například brány Palo Alto Firewalls jsou součástí rozsáhlejší platformy Enterprise Security Platform, která je navržena tak, aby bránila a prolomila životní cyklus kybernetických útoků v každé fázi.
Platforma Enterprise Security Platform zaujímá proaktivní přístup k ochraně a zabezpečení sítí a aplikací tím, že snižuje povrch útoku a výrazně omezuje zneužití zranitelnosti.
Závěrečné úvahy o životních cyklech kybernetických útoků
Kybernetický útok je v našem stále více propojeném a digitálním světě všudypřítomnou hrozbou. Nejde o to jestli ale kdy stanete se obětí kybernetického útoku. Pokud by došlo k nejhoršímu scénáři a kybernetičtí protivníci by získali kontrolu nad vaší sítí, systémy nebo aplikacemi, pochopení a znalost toho, jak prolomit životní cyklus kybernetického útoku, může pomoci minimalizovat, omezit nebo dokonce zmařit potenciální kybernetický útok.
