Jump to content

Цепочка киберубийств

Цепочка уничтожения вторжений для информационной безопасности [1]

Цепочка киберубийств – это процесс, с помощью которого злоумышленники осуществляют кибератаки. [2] Компания Lockheed Martin адаптировала концепцию цепочки убийств из военной среды в сферу информационной безопасности , используя ее в качестве метода моделирования вторжений в компьютерную сеть . [3] Модель кибер-убийственной цепочки получила некоторое распространение в сообществе информационной безопасности. [4] Однако признание не является универсальным: критики указывают на, по их мнению, фундаментальные недостатки модели. [5]

Фазы атаки и контрмеры [ править ]

Ученые-компьютерщики из корпорации Lockheed-Martin описали новую структуру или модель «цепочки уничтожения вторжений» для защиты компьютерных сетей в 2011 году. [6] Они написали, что атаки могут происходить поэтапно и могут быть пресечены с помощью мер контроля, установленных на каждом этапе. С тех пор организации, занимающиеся безопасностью данных, стали использовать «цепочку кибер-убийств» для определения этапов кибератак . [7]

Цепочка кибер-убийств показывает этапы кибератаки : от ранней разведки до цели кражи данных . [8] Цепочку уничтожения также можно использовать в качестве инструмента управления, помогающего постоянно улучшать защиту сети. По мнению Lockheed Martin, угрозы должны пройти несколько этапов модели, в том числе:

  1. Разведка: злоумышленник выбирает цель, исследует ее и пытается выявить уязвимости в целевой сети.
  2. Использование оружия: злоумышленник создает вредоносное программное обеспечение удаленного доступа, такое как вирус или червь, адаптированное к одной или нескольким уязвимостям.
  3. Доставка: злоумышленник передает оружие цели (например, через вложения электронной почты, веб-сайты или USB-накопители).
  4. Эксплуатация: срабатывает программный код вредоносного оружия, который предпринимает действия в целевой сети для использования уязвимости.
  5. Установка: вредоносное ПО устанавливает точку доступа (например, «черный ход»), которую может использовать злоумышленник.
  6. Командование и контроль: вредоносное ПО позволяет злоумышленнику иметь постоянный доступ «руки на клавиатуре» к целевой сети.
  7. Действия по цели: Злоумышленник предпринимает действия для достижения своих целей, такие как кража данных , уничтожение данных или шифрование с целью выкупа .

На этих этапах можно предпринять защитные действия: [9]

  1. Обнаружение: Определите, присутствует ли злоумышленник.
  2. Запретить: предотвратить раскрытие информации и несанкционированный доступ.
  3. Нарушение: остановить или изменить исходящий трафик (злоумышленнику).
  4. Деградация: командование и контроль контратаки.
  5. Обман: Мешать командованию и контролю.
  6. Содержит: изменения сегментации сети.

Расследование Сената США по факту утечки данных Target Corporation в 2013 году включало анализ, основанный на схеме цепочки убийств Lockheed-Martin. Было выявлено несколько этапов, на которых средства контроля не предотвратили и не обнаружили развитие атаки. [1]

Альтернативы [ править ]

Различные организации создали свои собственные цепочки действий, чтобы попытаться смоделировать различные угрозы. FireEye предлагает линейную модель, аналогичную модели Lockheed-Martin. В цепочке убийств FireEye подчеркивается постоянство угроз. Эта модель подчеркивает, что угроза не исчезает после одного цикла. [10]

  1. Разведка: это начальный этап, на котором злоумышленник собирает информацию о целевой системе или сети. Это может включать сканирование уязвимостей, исследование потенциальных точек входа и определение потенциальных целей внутри организации.
  2. Первоначальное вторжение: как только злоумышленник собрал достаточно информации, он пытается взломать целевую систему или сеть. Это может включать использование уязвимостей в программном обеспечении или системах, использование методов социальной инженерии для обмана пользователей или использование других методов для получения первоначального доступа.
  3. Установите бэкдор. Получив первоначальный доступ, злоумышленник часто создает бэкдор или постоянную точку входа в скомпрометированную систему. Это гарантирует, что даже если первоначальное нарушение будет обнаружено и устранено, злоумышленник все равно сможет восстановить доступ.
  4. Получить учетные данные пользователя. Закрепившись в системе, злоумышленник может попытаться украсть учетные данные пользователя. Это может включать в себя такие методы, как кейлоггинг, фишинг или использование слабых механизмов аутентификации.
  5. Установка различных утилит. Злоумышленники могут установить в скомпрометированную систему различные инструменты, утилиты или вредоносное ПО, чтобы облегчить дальнейшее перемещение, сбор данных или контроль. Эти инструменты могут включать в себя трояны удаленного доступа (RAT), кейлоггеры и другие типы вредоносного программного обеспечения.
  6. Повышение привилегий/латеральное перемещение/эксфильтрация данных. Попав внутрь системы, злоумышленник пытается повысить свои привилегии, чтобы получить больший контроль над сетью. Они могут перемещаться по сети, пытаясь получить доступ к более ценным системам или конфиденциальным данным. Эксфильтрация данных предполагает кражу и передачу ценной информации из сети.
  7. Поддержание устойчивости: на этом этапе подчеркивается цель злоумышленника — поддерживать долгосрочное присутствие в скомпрометированной среде. Они делают это, постоянно уклоняясь от обнаружения, обновляя свои инструменты и адаптируясь к любым принятым мерам безопасности.

Отзывы [ править ]

Среди критических замечаний по поводу модели кибер-убийственной цепочки Lockheed Martin как инструмента оценки и предотвращения угроз можно назвать то, что первые этапы происходят за пределами защищаемой сети, что затрудняет выявление действий на этих этапах или защиту от них. [11] Аналогичным образом, эта методология, как говорят, усиливает традиционные защитные стратегии, основанные на периметре и предотвращении вредоносного ПО. [12] Другие отметили, что традиционная цепочка кибер-убийств не подходит для моделирования внутренней угрозы. [13] Это особенно проблематично, учитывая вероятность успешных атак, нарушающих внутренний периметр сети, поэтому организациям «необходимо разработать стратегию борьбы с злоумышленниками внутри брандмауэра. Они должны думать о каждом злоумышленнике как о потенциальном инсайдере». [14]

Единая цепочка убийств [ править ]

Единая цепочка уничтожений состоит из 18 уникальных этапов атаки, которые могут возникать при сложных кибератаках.

Единая цепочка убийств была разработана в 2017 году Полом Полсом в сотрудничестве с Fox-IT и Лейденским университетом для преодоления общей критики в адрес традиционной цепочки киберубийств путем объединения и расширения Lockheed Martin цепочки убийств MITRE и структуры ATT&CK (обе которые основаны на модели «Войди, оставайся и действуй», разработанной Джеймсом Таббервиллем и Джо Вестом). Унифицированная версия цепочки уничтожения представляет собой упорядоченную структуру из 18 уникальных этапов атаки, которые могут возникнуть при сквозной кибератаке , которая охватывает действия, происходящие снаружи и внутри защищаемой сети. Таким образом, унифицированная цепочка убийств превосходит ограничения по объему традиционной цепочки убийств и не зависящий от времени характер тактики в ATT&CK MITRE. Единую модель можно использовать для анализа, сравнения и защиты от сквозных кибератак со стороны современных постоянных угроз (APT). [15] Последующий технический документ об единой цепочке убийств был опубликован в 2021 году. [16]

Ссылки [ править ]

  1. ^ Jump up to: Перейти обратно: а б «Комитет Сената США по торговле, науке и транспорту – Анализ «цепочки убийств» утечки целевых данных на 2013 год – 26 марта 2014 г.» (PDF) . Архивировано из оригинала (PDF) 6 октября 2016 г.
  2. ^ Скопик и Пахи 2020 , с. 4.
  3. ^ Хиггинс, Келли Джексон (12 января 2013 г.). «Как «Цепочка убийств» Lockheed Martin остановила атаку SecurID» . ТЕМНОЧтение . Архивировано из оригинала 19 января 2024 г. Проверено 30 июня 2016 г.
  4. ^ Мейсон, Шон (2 декабря 2014 г.). «Использование цепочки убийств для достижения успеха» . ТЕМНОЧтение . Архивировано из оригинала 19 января 2024 г. Проверено 30 июня 2016 г.
  5. ^ Майерс, Лиза (4 октября 2013 г.). «Практичность подхода Cyber ​​Kill Chain к безопасности» . ЦСО онлайн . Архивировано из оригинала 19 марта 2022 года . Проверено 30 июня 2016 г.
  6. ^ «Корпорация Lockheed-Martin – Хатчинс, Клопперт и Амин, основанная на разведке, защита компьютерных сетей на основе анализа противоборствующих кампаний и цепочек убийств вторжений-2011» (PDF) . Архивировано (PDF) из оригинала 27 июля 2021 г. Проверено 26 августа 2021 г.
  7. ^ Грин, Тим (5 августа 2016 г.). «Почему «цепочка киберубийств» нуждается в обновлении» . Архивировано из оригинала 20 января 2023 г. Проверено 19 августа 2016 г.
  8. ^ «Cyber ​​Kill Chain, или: как я научился не волноваться и полюбил утечки данных» . 20 июня 2016 г. Архивировано из оригинала 18 сентября 2016 г. Проверено 19 августа 2016 г.
  9. ^ Джон Франко. «Обзор киберзащиты: модели атак» (PDF) . Архивировано (PDF) из оригинала 10 сентября 2018 г. Проверено 15 мая 2017 г.
  10. ^ Ким, Хёб; Квон, Хёкджун; Ким, Кён Гю (февраль 2019 г.). «Модифицированная модель кибер-цепочки уничтожения для сред мультимедийных услуг» . Мультимедийные инструменты и приложения . 78 (3): 3153–3170. дои : 10.1007/s11042-018-5897-5 . ISSN   1380-7501 .
  11. ^ Лалиберте, Марк (21 сентября 2016 г.). «Поворот в цепочке киберубийств: защита от атаки вредоносного ПО на JavaScript» . ТЕМНОЧтение . Архивировано из оригинала 13 декабря 2023 г.
  12. ^ Энгель, Гиора (18 ноября 2014 г.). «Деконструкция цепочки киберубийств» . ТЕМНОЧтение . Архивировано из оригинала 15 декабря 2023 г. Проверено 30 июня 2016 г.
  13. ^ Рейди, Патрик. «Борьба с инсайдерской угрозой в ФБР» (PDF) . Блэкхэт США 2013 . Архивировано (PDF) из оригинала 15 августа 2019 г. Проверено 15 октября 2018 г.
  14. ^ Девост, Мэтт (19 февраля 2015 г.). «Каждый кибер-злоумышленник является инсайдером» . Петля ООДА . Архивировано из оригинала 26 августа 2021 года . Проверено 26 августа 2021 г.
  15. ^ Полс, Пол (7 декабря 2017 г.). «Единая цепочка убийств» (PDF) . Академия кибербезопасности. Архивировано (PDF) из оригинала 17 мая 2021 г. Проверено 17 мая 2021 г.
  16. ^ Полс, Пол (17 мая 2021 г.). «Единая цепочка убийств» . UnifiedKillChain.com. Архивировано из оригинала 17 мая 2021 года . Проверено 17 мая 2021 г.

Дальнейшее чтение [ править ]

Retrieved from "https://en.wikipedia.org/w/index.php?title=Cyber_kill_chain&oldid=1227190743"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: dd92b36ac48fc6044706ed2c4e93d794__1717478640
URL1:https://arc.ask3.ru/arc/aa/dd/94/dd92b36ac48fc6044706ed2c4e93d794.html
Заголовок, (Title) документа по адресу, URL1:
Cyber kill chain - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)