Что такое Kill Chain?

Опубликовано:

Кибернетическая цепочка поражения (Kill Chain) помогает понять и предсказать различные стадии кибератаки. Знание того, как работают хакеры, позволяет компании выбрать правильные инструменты и стратегии для ограничения бреши, реагирования на готовящиеся атаки и минимизации рисков.

В этой статье объясняется роль кибернетических цепочек поражения в кибербезопасности. Мы рассмотрим каждый этап атаки и покажем, почему цепочки поражения жизненно важны для стратегий защиты.

Что такое Kill Chain?

Kill Chain - это модель безопасности, которая описывает этапы кибератаки. Киберцепочка охватывает все этапы взлома сети, от раннего планирования и шпионажа до конечной цели хакера.

Понимание этапов атаки позволяет компаниям планировать тактику предотвращения и обнаружения злоумышленников. Цепочка киберубийств помогает подготовиться ко всем распространенным онлайн-угрозам, включая:

Термин "kill chain" имеет военное происхождение. Первоначальная концепция определяла структуру армейской операции и включала в себя:

  • Определение цели.
  • Направление сил к цели.
  • Приказ нанести удар по цели.
  • Уничтожение цели.

Другим термином для обозначения "kill chain" является цепь кибератак.

7 этапов цепи "kill chain"

Семь этапов "kill chain" - это различные шаги успешной атаки. У команды безопасности есть шанс остановить злоумышленников на каждом этапе, но в идеале компания должна выявить и остановить угрозы на первой половине цепочки.

Этап 1: Разведка

На этапе разведки злоумышленник собирает необходимую информацию. Хакеры выбирают жертву, проводят глубокое исследование компании и ищут слабые места в целевой сети.

Существует два типа разведки:

  • Пассивная разведка: Хакер ищет информацию, не взаимодействуя с целью. Жертва не имеет возможности узнать или зафиксировать действия злоумышленника.
  • Активная разведка: Хакер получает несанкционированный доступ к сети и напрямую взаимодействует с системой для сбора информации.

На этом этапе злоумышленники оценивают следующие аспекты системы:

  • Уязвимости и слабые места в системе безопасности.
  • Возможность использования инсайдерского сообщника.
  • Инструменты, устройства, протоколы проверки и иерархия пользователей.

Распространенной тактикой при проведении разведки является сбор адресов электронной почты сотрудников и учетных записей в социальных сетях. Эта информация пригодится, если злоумышленник решит использовать социальную инженерию для получения доступа к сети.

Защитные меры на этапе разведки:

  • Установите брандмауэры для усиления защиты периметра.
  • Отслеживайте точки входа и журналы регистрации посетителей на предмет пдозрительного поведения.
  • Убедитесь, что сотрудники сообщают о подозрительных электронных письмах, звонках и сообщениях в социальных сетях.
  • Приоритет отдавайте защите лиц и систем, которые являются основными целями для разведки.
  • Ограничьте объем общедоступных данных компании.

Этап 2: Вооружение

Команда злоумышленников нашла слабое место в системе и знает, как создать точку входа. Теперь преступная группа разрабатывает вирус или червя, чтобы использовать слабое место. Если злоумышленники нашли уязвимость нулевого дня, они обычно работают быстро, пока жертва не обнаружила и не устранила уязвимость.

Как только вредоносная программа готова, хакеры обычно помещают ее в обычные документы, такие как PDF или файл Office.

Защитные меры на этапе создания оружия:

  • Проводите тренинги по повышению осведомленности в вопросах безопасности.
  • Анализируйте артефакты вредоносного ПО на предмет подозрительных временных рамок и сходства.
  • Создайте инструменты обнаружения оружейников (автоматизированные инструменты, которые объединяют вредоносные программы с эксплойтами).

Этап 3: Доставка

Преступники запускают атаку в целевую среду. Методы заражения различны, но наиболее распространенными являются следующие:

  • Фишинговые атаки.
  • Зараженные USB-устройства.
  • Использование недостатков аппаратного или программного обеспечения.
  • Компрометация учетных записей пользователей.
  • Загрузка с диска, при которой вредоносное ПО устанавливается вместе с обычной программой.
  • Прямой взлом через открытый порт или другую внешнюю точку доступа.

Цель этого этапа - проникнуть в систему и бесшумно закрепиться в ней. Популярной тактикой является одновременная DDoS-атака, чтобы отвлечь защитников и заразить сеть, не потревожив системы безопасности.

Защитные меры на этапе доставки:

  • Защититесь от фишинговых атак.
  • Используйте инструменты управления исправлениями.
  • Отмечайте и исследуйте изменения в файлах и папках с помощью мониторинга целостности файлов (FIM).
  • Отслеживайте странное поведение пользователей, например, странное время или место входа в систему.
  • Проводите тесты на проникновение для активного выявления рисков и слабых мест.

Этап 4: Установка

Вредоносное ПО находится внутри системы, а администраторы не знают об угрозе. Четвертый этап цепочки киберубийств - это установка вредоносного ПО в сети.

После установки вредоносного ПО злоумышленники получают доступ к сети (так называемый бэкдор). Теперь, получив открытый доступ, злоумышленники могут:

  • Установить необходимые инструменты.
  • Изменять сертификаты безопасности.
  • Создавать файлы сценариев.
  • Искать дополнительные уязвимости, чтобы лучше закрепиться перед началом основной атаки.

Для злоумышленников очень важно сохранить свое присутствие в тайне. Злоумышленники обычно стирают файлы и метаданные, перезаписывают данные ложными временными метками и изменяют документы, чтобы остаться незамеченными.

Защитные меры на этапе установки:

  • Поддерживайте устройства в актуальном состоянии.
  • Используйте антивирусное программное обеспечение.
  • Установите систему обнаружения вторжений на хосте, чтобы предупреждать или блокировать распространенные пути установки.
  • Регулярно проводите сканирование уязвимостей.

Стадия 5: Латеральное перемещение

Злоумышленники переходят к другим системам и учетным записям в сети. Цель - получить более высокие разрешения и получить доступ к большему количеству данных. Стандартными приемами на этом этапе являются:

  • Эксплуатация уязвимостей пароля.
  • Атаки грубой силы.
  • Извлечение учетных данных.
  • Нацеливание на дополнительные уязвимости системы.

Защитные меры на этапе латерального перемещения:

  • Внедрите систему безопасности Zero Trust, чтобы ограничить доступ скомпрометированных учетных записей и программ.
  • Используйте сегментацию сети для изоляции отдельных систем.
  • Исключите использование общих учетных записей.
  • Применяйте передовые методы защиты паролей.
  • Проверяйте все подозрительные действия привилегированных пользователей.

Этап 6: Командование и управление (C2)

Сложные вредоносные программы уровня APT требуют ручного взаимодействия для работы, поэтому злоумышленникам необходим доступ к целевой среде с клавиатуры. Последним шагом перед этапом выполнения является установление канала командования и управления (C2) с внешним сервером.

Хакеры обычно достигают C2 через маяк по внешнему сетевому каналу. Маяки обычно основаны на HTTP или HTTPS и выглядят как обычный трафик благодаря фальсифицированным HTTP-заголовкам.

Если целью атаки является эксфильтрация данных, злоумышленники начинают помещать целевые данные в пакеты на этапе C2. Типичным местом расположения пачек данных является часть сети с низким или нулевым уровнем активности или трафика.

Защитные меры на этапе командования и контроля:

  • Ищите инфраструктуры C2 при анализе вредоносного ПО.
  • Требуйте прокси-серверы для всех типов трафика (HTTP, DNS).
  • Постоянное сканирование на предмет угроз.
  • Настройте системы обнаружения вторжений на оповещение обо всех новых программах, входящих в сеть.

Этап 7: Исполнение

Злоумышленники предпринимают действия для выполнения цели атаки. Цели могут быть разными, но наиболее распространенными являются следующие:

  • Шифрование данных.
  • Эксфильтрация данных.
  • Уничтожение данных.

Непосредственно перед началом атаки злоумышленники заметают следы, создавая хаос в сети. Цель состоит в том, чтобы запутать и замедлить работу группы безопасности и криминалистов путем:

  • Очистка журналов для маскировки активности.
  • Удаления файлов и метаданных.
  • Перезаписи данных с неверными временными метками и вводящей в заблуждение информацией.
  • Изменения жизненно важных данных, чтобы они выглядели нормально даже при наличии атаки.

Некоторые преступники также запускают еще одну DDoS-атаку, чтобы отвлечь контроль безопасности при извлечении данных.

Защитные меры на этапе выполнения:

  • Создайте план действий на случай инцидента, в котором будет изложен четкий план коммуникаций и оценки ущерба в случае атаки.
  • Используйте инструменты для обнаружения признаков продолжающейся утечки данных.
  • Немедленное реагирование аналитиков на все предупреждения.

Что представляет собой пример цепочки Kill Chain?

Приведенный ниже пример цепочки киберубийств показывает различные этапы, на которых команда безопасности может обнаружить и предотвратить пользовательскую атаку вымогательского ПО:

  1. Хакеры проводят разведывательные операции, чтобы найти слабое место в целевой системе.
  2. Преступники создают эксплойт ransomware и помещают его во вложение электронной почты. Затем хакеры отправляют фишинговое письмо одному или нескольким сотрудникам.
  3. Пользователь совершает ошибку, открывая и запуская программу из почтового ящика.
  4. Ransomware устанавливается в целевой сети и создает бэкдор.
  5. Программа обращается к вредоносной инфраструктуре и уведомляет злоумышленника об успешном заражении.
  6. Злоумышленники перемещаются по системе в поисках конфиденциальных данных.
  7. Злоумышленники достигают контроля над C2 и начинают шифровать целевые файлы.

Недостатки модели Kill Chain

Цепочка Kill Chain - это основа, на которой компания может разработать тактику и процесс обеспечения безопасности. Однако у "цепей уничтожения" есть и несколько недостатков, на которые стоит обратить внимание.

Фокус на периметре

Оригинальная цепочка киберубийств появилась в то время, когда большинство угроз исходило извне организации. В современном ландшафте безопасности рассмотрение периметра как основной поверхности атаки имеет две проблемы:

  • Использование облака и микросегментации устранило концепцию безопасности "замок и крепость".
  • Внутренние угрозы так же опасны, как и внешние.

Как решить эту проблему: Создайте хорошо продуманную цепь поражения, учитывая опасности как внутри периметра, так и за его пределами. Настройте мониторинг облака, чтобы убедиться, что ваши активы находятся в безопасности как на территории предприятия, так и в облаке.

Выявление угроз на первом и втором этапах

Этапы разведки и применения оружия в кибернетической цепи поражения происходят за пределами прямой видимости компании. Обнаружить атаки на этих этапах очень сложно. Даже если вы заметили странное поведение, определить степень угрозы невозможно.

Как решить эту проблему: Не игнорируйте ранние признаки потенциальной атаки, рассматривая их как единичный случай. Анализируйте каждое действие, которое выглядит как активная разведка или испытание оружия.

Отсутствие адаптации

Первая цепочка Kill Chain появилась в 2011 году, когда компания Lockheed-Martin создала модель безопасности для защиты своей сети. С тех пор характер и состав кибератак значительно изменились, поэтому некоторые считают, что "цепочки поражения" не могут подготовить компанию к современным угрозам.

Как решить эту проблему: Не создавайте цепь киберугроз и никогда не обновляйте ее модель. Надежная цепь поражения должна развиваться, чтобы оставаться эффективной в борьбе с новейшими угрозами, особенно с APT. По мере роста компании пересматривайте цепочку, чтобы учесть новые поверхности атак и потенциальные опасности.

Основа любой стратегии безопасности

Хотя цепочка поражения не является инструментом или механизмом безопасности, она помогает выбрать правильные стратегии и технологии для остановки атак на разных стадиях. Используйте "цепь поражения" в качестве основы для эффективной стратегии безопасности и продолжайте развивать свою компанию, не беспокоясь о дорогостоящих неудачах.

Смотрите также:
  1. Что такое адрес IPv6?
  2. Диапазоны частных (приватных) ip-адресов
  3. Что означает IP-адрес 0.0.0.0 и почему он используется?
  4. Уровни модели OSI
  5. Модель TCP/IP
  6. Пирамида боли
  7. Строгие лицензии OSS: Понимание SSPL, ELv2, BSL и положения об авторских правах
Понравилась статья? Поделиться с друзьями:
Комментарии: 1
  1. Avatar for advisor
    Advisor

    Конечно, я могу объяснить концепцию "Kill Chain" простыми словами.

    "Kill Chain" - это модель, которая описывает последовательность событий и действий, необходимых для успешного проведения атаки на информационную систему или сеть. Эта модель была разработана Национальным институтом стандартов и технологий США (NIST) и с тех пор стала стандартом для многих организаций в области информационной безопасности.

    Основная идея "Kill Chain" заключается в том, что успешная атака на информационную систему требует выполнения ряда шагов или этапов, каждый из которых имеет свои цели и задачи. Эти этапы или шаги называются "цепочки убийств" или просто "kill chain".

    1. Вербовка: Первый этап "Kill Chain" включает в себя поиск и вербовку людей, которые могут предоставить доступ к целевой системе. Это может быть кто-то внутри организации или же внешний злоумышленник, который использует социальную инженерию или другие методы для доступа к системе.

    2. Разработка: На этом этапе злоумышленники разрабатывают план атаки, определяют цели и разрабатывают необходимые инструменты и технологии для проведения атаки.

    3. Получение доступа: На третьем этапе злоумышленники получают физический доступ к целевой системе или сети. Это может включать в себя использование уязвимостей в системе безопасности, обход систем контроля доступа или использование социальной инженерии для получения доступа к системам.

    4. Установка: После того как злоумышленники получили физический доступ к системе, они устанавливают на нее вредоносное программное обеспечение или бэкдоры, которые позволят им контролировать систему изнутри.

    5. Выполнение: Четвертый этап "Kill Chain" предполагает выполнение атаки на систему. Злоумышленники могут использовать различные методы, включая кражу данных, нарушение работы системы или даже распространение вирусов.

    6. Сохранение: На шестом этапе злоумышленники пытаются сохранить следы своей активности, чтобы избежать обнаружения и минимизировать ущерб от атаки. Они могут удалять следы своей активности или использовать методы маскировки, чтобы скрыть свои действия.

    7. Уничтожение: Последний этап "Kill Chain" подразумевает уничтожение всех следов атаки и удаление всех доказательств своей деятельности. Это может включать удаление файлов, форматирование дисков или даже физическое уничтожение устройств, на которых хранилась информация.

    Понимание "Kill Chain" помогает организациям лучше понимать, каким образом злоумышленники могут атаковать их информационные системы и сети, а также позволяет разработать более эффективные стратегии защиты и обнаружения атак.

    Ответить
Добавить комментарий