Sicurezza

Fasi della catena di cyber kill

Fasi della catena di cyber kill

Catena di uccisioni informatiche

La cyber kill chain (CKC) è un modello di sicurezza tradizionale che descrive uno scenario della vecchia scuola, un aggressore esterno che si adopera per penetrare in una rete e rubarne i dati, abbattendo i passaggi di attacco per aiutare le organizzazioni a prepararsi. CKC è sviluppato da un team noto come team di risposta alla sicurezza informatica. La cyber kill chain descrive un attacco da parte di un aggressore esterno che cerca di ottenere l'accesso ai dati all'interno del perimetro della sicurezza

Ogni fase della catena di cyber kill mostra un obiettivo specifico insieme a quello dell'attaccante Way. Progettare il piano di sorveglianza e risposta della catena di uccisioni del modello informatico è un metodo efficace, poiché si concentra su come si verificano gli attacchi. Le fasi includono:

Verranno ora descritti i passaggi della catena di cyber kill:

Fase 1: ricognizione

Include la raccolta di indirizzi e-mail, informazioni sulla conferenza, ecc. Attacco di ricognizione significa che è uno sforzo delle minacce per raccogliere i dati sui sistemi di rete il più possibile prima di iniziare altri tipi di attacchi ostili più genuini. Gli attaccanti da ricognizione sono di due tipi: ricognizione passiva e ricognizione attiva. L'attaccante di riconoscimento si concentra su "chi" o rete: chi probabilmente si concentrerà sulle persone privilegiate per l'accesso al sistema o l'accesso ai dati riservati della "rete" si concentra sull'architettura e sul layout; strumento, attrezzatura e protocolli; e l'infrastruttura critica. Comprendi il comportamento della vittima e fai irruzione in una casa per la vittima.

Passaggio 2: armamento

Fornisci il carico utile accoppiando gli exploit con una backdoor.

Successivamente, gli aggressori utilizzeranno tecniche sofisticate per riprogettare alcuni malware di base adatti ai loro scopi. Il malware può sfruttare vulnerabilità precedentemente sconosciute, note anche come exploit "zero-day", o una combinazione di vulnerabilità per sconfiggere silenziosamente le difese di una rete, a seconda delle esigenze e delle capacità dell'attaccante. Reingegnerizzando il malware, gli aggressori riducono le possibilità che le soluzioni di sicurezza tradizionali lo rilevino. “Gli hacker hanno utilizzato migliaia di dispositivi Internet infettati in precedenza con un codice dannoso - noto come "botnet" o, scherzosamente, "esercito di zombie" - forzando un denial of service Angriff (DDoS) distribuito particolarmente potente.

Passaggio 3: consegna

L'attaccante invia alla vittima un payload dannoso tramite e-mail, che è solo uno dei tanti metodi di intrusione che l'attaccante può. Ci sono oltre 100 possibili metodi di consegna.

Bersaglio:
Gli aggressori avviano un'intrusione (armi sviluppate nel passaggio precedente 2). I due metodi fondamentali sono:

Questa fase mostra la prima e più significativa opportunità per i difensori di ostacolare un'operazione; tuttavia, in questo modo vengono vanificate alcune capacità chiave e altre preziose informazioni sui dati. In questa fase si misura la fattibilità dei tentativi di intrusione frazionata, che risultano ostacolati nel punto di convogliamento.

Passaggio 4: sfruttamento

Una volta che gli aggressori identificano un cambiamento nel tuo sistema, sfruttano la debolezza ed eseguono il loro attacco. Durante la fase di sfruttamento dell'attacco, l'attaccante e la macchina host vengono compromessi. Il meccanismo di consegna generalmente adotta una delle due misure seguenti:

Negli ultimi anni, questa è diventata un'area di competenza all'interno della comunità degli hacker che viene spesso dimostrata in eventi come Blackhat, Defcon e simili.

Passaggio 5: installazione

In questa fase, l'installazione di un trojan di accesso remoto o backdoor sul sistema della vittima consente al contendente di mantenere la perseveranza nell'ambiente. L'installazione di malware sulla risorsa richiede il coinvolgimento dell'utente finale abilitando inconsapevolmente il codice dannoso. L'azione può essere considerata critica a questo punto. Una tecnica per farlo sarebbe quella di implementare un sistema di prevenzione delle intrusioni basato su host (HIPS) per dare cautela o mettere una barriera ai percorsi comuni, ad esempio. Lavoro NSA, RICICLATORE. Capire se il malware richiede i privilegi dell'amministratore o solo dell'utente per eseguire il target è fondamentale. I difensori devono comprendere il processo di controllo degli endpoint per scoprire creazioni anomale di file. Devono sapere come compilare i tempi del malware per determinare se è vecchio o nuovo.

Passaggio 6: comando e controllo

Il ransomware utilizza le connessioni per controllare. Scarica le chiavi per la crittografia prima di sequestrare i file. L'accesso remoto dei trojan, ad esempio, apre un comando e controlla la connessione in modo da poter accedere ai dati del sistema in remoto. Ciò consente una connettività continua per l'ambiente e l'attività di misura investigativa sulla difesa.

Come funziona?

Il piano di comando e controllo viene solitamente eseguito tramite un faro fuori dalla griglia sul percorso consentito. I beacon assumono molte forme, ma nella maggior parte dei casi tendono ad essere:

HTTP o HTTPS

Sembra traffico benigno attraverso intestazioni HTTP falsificate

Nei casi in cui la comunicazione è crittografata, i beacon tendono a utilizzare certificati firmati automaticamente o crittografia personalizzata.

Passaggio 7: azioni sugli obiettivi

L'azione si riferisce al modo in cui l'attaccante raggiunge il suo obiettivo finale. L'obiettivo finale dell'attaccante potrebbe essere qualsiasi cosa per estrarre un riscatto da te per decrittografare i file in informazioni sui clienti dalla rete. Nel contenuto, quest'ultimo esempio potrebbe interrompere l'esfiltrazione delle soluzioni di prevenzione della perdita di dati prima che i dati lascino la rete. In caso contrario, gli attacchi possono essere utilizzati per identificare le attività che deviano dalle linee di base stabilite e notificare all'IT che qualcosa non va. Questo è un processo di assalto intricato e dinamico che può aver luogo in mesi e centinaia di piccoli passi da compiere. Una volta identificata questa fase all'interno di un ambiente, è necessario avviare l'implementazione di piani di reazione preparati. Per lo meno, dovrebbe essere pianificato un piano di comunicazione inclusivo, che preveda l'evidenza dettagliata delle informazioni che dovrebbero essere presentate al funzionario di grado più elevato o al consiglio di amministrazione, l'implementazione di dispositivi di sicurezza degli endpoint per bloccare la perdita di informazioni e la preparazione per informare un gruppo CIRT. Avere queste risorse ben consolidate in anticipo è un "MUST" nell'odierno panorama delle minacce alla sicurezza informatica in rapida evoluzione.

Giochi I 10 migliori giochi da giocare su Ubuntu
I 10 migliori giochi da giocare su Ubuntu
La piattaforma Windows è stata una delle piattaforme dominanti per i giochi a causa dell'enorme percentuale di giochi che si stanno sviluppando oggi p...
Giochi I 5 migliori giochi arcade per Linux
I 5 migliori giochi arcade per Linux
Al giorno d'oggi, i computer sono macchine serie utilizzate per i giochi. Se non riesci a ottenere il nuovo punteggio più alto, saprai cosa intendo. I...
Giochi Battaglia per Wesnoth 1.13.6 Sviluppo rilasciato
Battaglia per Wesnoth 1.13.6 Sviluppo rilasciato
Battaglia per Wesnoth 1.13.6 rilasciato il mese scorso, è la sesta versione di sviluppo nella 1.13.x e offre una serie di miglioramenti, in particolar...