Od svého vzniku představoval koncept kybernetického řetězce zásadní nástroj pro odhalování a neutralizaci komplexních kybernetických hrozeb. Nicméně, v současné době mnozí odborníci na kybernetickou bezpečnost zpochybňují, zda tato metodologie stále poskytuje dostatečnou ochranu před kybernetickými útoky v dnešním dynamicky se rozvíjejícím prostředí.
Pojďme se podívat na to, co přesně je rámec kybernetického řetězce, jakým způsobem funguje a jaké jsou jeho limitace. Čtěte dále a dozvíte se více.
Co je to rámec Cyber Kill Chain?
Rámec kybernetického řetězce, který vyvinula společnost Lockheed Martin, vychází z modelu vojenského řetězce zabíjení a jeho cílem je identifikovat a bránit se nepřátelské aktivitě.
Bezpečnostním týmům pomáhá pochopit a bojovat proti průnikům, a to tak, že popisuje jednotlivé fáze kybernetických útoků. Rovněž specifikuje body v těchto fázích, ve kterých mohou odborníci na kybernetickou bezpečnost útočníky identifikovat, detekovat a zachytit.
Cyber kill chain je efektivní při ochraně před pokročilými trvalými hrozbami (APT), kde útočníci tráví dlouhou dobu monitorováním svých obětí a plánováním kybernetických útoků. Tyto útoky často kombinují malware, trojské koně, útoky sociálního inženýrství a další metody.
Model kybernetického řetězce zahrnuje sedm kroků: průzkum, přípravu útoku, doručení, zneužití, instalaci, velení a řízení a akce na cíle.
Každá fáze představuje krok na cestě, kterou útočník absolvuje.
Fáze rámce Cyber Kill Chain
Rámec kybernetické bezpečnosti založený na kybernetickém řetězci umožňuje bezpečnostním týmům předvídat kroky útočníků a rychleji je eliminovat.
Kredit obrázku: Lockheed Martin
Zde je popis sedmi kroků procesu kybernetického řetězce.
#1. Průzkum
Fáze průzkumu je zaměřena na shromažďování informací o cílové oběti nebo síti.
Existují dva typy průzkumných fází.
Pasivní průzkum
V této fázi se hackeři snaží získat informace z veřejně dostupných zdrojů. To může zahrnovat kontrolu záznamů WHOIS, pracovních nabídek, profilů na LinkedIn a sociálních sítích, webových stránek společností a dalších. Mohou také využít nástroje jako ARIN a SHODAN k nalezení zranitelností a potenciálních vstupních bodů.
Protože pasivní průzkum nezahrnuje přímou interakci s organizacemi, hackeři se během této fáze snaží shromáždit co nejvíce informací o svém cíli.
Aktivní průzkum
V aktivní průzkumné fázi útočníci kontaktují vaši organizaci na určité úrovni, aby shromáždili informace, které jim mohou pomoci proniknout do vaší podnikové sítě. Používají nástroje jako NMAP, skenery zranitelností a portů, a další.
Průzkumná fáze je klíčová pro každý kybernetický útok. Čím více informací má útočník o síti svého cíle, tím lépe může naplánovat svůj útok.
Pro zabránění útočníkům v pasivním a aktivním průzkumu můžete provést následující kroky:
- Omezte vystavení veřejných informací, které mohou hackeři použít k plánování phishingových útoků.
- Vytvořte zásady pro přijatelné používání sociálních médií.
- Upravte chybové zprávy serveru, aby z nich neunikaly veřejně zásadní informace o vaší síti.
- Zakažte nepoužívané porty a služby.
- Implementujte firewall se systémem prevence narušení (IPS).
Hlavním cílem průzkumné fáze je identifikovat slabinu, kterou mohou hackeři využít pro proniknutí do vaší sítě.
Zřízení honeypotů a honeynetů je efektivní způsob, jak identifikovat zranitelnosti ve vaší síti a posílit obranu.
#2. Příprava útoku
Cílem fáze přípravy útoku je vytvořit nástroj útoku (vektor útoku), který může zneužít zranitelnost systému nebo sítě identifikovanou v průzkumné fázi.
Proces přípravy útoku může zahrnovat výběr (nebo vytvoření) vhodného malwaru pro vzdálený přístup, ransomware nebo škodlivého kódu, který odpovídá identifikované zranitelnosti.
Útočník zabalí malware do formátu souboru, který vypadá neškodně. Může se jednat o dokument Word nebo PDF. Cílem je přimět oběť, aby soubor otevřela.
Během této fáze se běžně používají nástroje jako Metasploit, SQLMAP, Exploit-DB a sady nástrojů pro sociální inženýrství.
Fáze přípravy útoku spočívá v rozhodnutí o tom, jaký vektor útoku hackeři použijí k útoku na systémy a sítě.
Posilování vaší obrany je proto rozumná strategie kybernetické bezpečnosti, která zabrání útočným vektorům proniknout do vašich systémů a sítí.
Zde je několik tipů, jak začít:
- Buďte důslední v řízení oprav ve vaší organizaci. Tím se minimalizuje potenciální plocha útoku v případě bezpečnostních chyb v softwaru a operačních systémech.
- Nainstalujte kvalitní antivirový program na všechny koncové body.
- Zakažte kancelářská makra, JavaScript a nepotřebné zásuvné moduly prohlížeče.
- Prosazujte nástroje pro zabezpečení e-mailu a používejte izolaci prohlížeče.
- Používejte protokoly auditů k identifikaci jakýchkoli anomálií v síti.
Měli byste mít také efektivní systém pro detekci a prevenci průniků. A ujistěte se, že je ve vaší organizaci implementováno vícefaktorové ověřování.
#3. Doručení
Hackeři si zvolili vhodný vektor útoku k využití zranitelnosti. Nyní nastává čas doručení, kdy se útočníci pokusí proniknout do vaší sítě.
Způsoby doručení se mohou lišit v závislosti na použitém útočném vektoru.
Typické způsoby doručení zahrnují:
- Webové stránky – Útočníci mohou infikovat webové stránky třetích stran, které potenciální cíle často navštěvují.
- E-maily – Útočníci mohou rozesílat infikované e-maily obsahující škodlivý software.
- USB – Mohou umístit infikovaná USB zařízení do veřejných prostor s nadějí, že je uživatelé zapojí do svých systémů.
- Sociální média – Kyberzločinci mohou využívat sociální média k provádění phishingových útoků, které mohou uživatele nalákat ke kliknutí na infikované odkazy.
Nejúčinnější obranou proti doručení běžných útočných vektorů je zaměření na vzdělávání zaměstnanců.
Mezi další bezpečnostní opatření, která můžete přijmout, patří implementace filtrování webového obsahu, řešení pro filtrování DNS a deaktivace USB portů na zařízeních.
#4. Zneužití
Během fáze zneužití v rámci kybernetického řetězce útočníci používají zbraň k využití slabin v cílovém systému. Jedná se o začátek skutečného útoku po doručení zbraně.
Podívejme se na to blíže:
- Útočníci vyhledávají zranitelnosti v softwaru, systému nebo síti.
- Zavádějí škodlivý nástroj nebo kód určený k využití těchto zranitelností.
- Aktivuje se exploit kód, který zneužívá zranitelnosti k získání neoprávněného přístupu nebo oprávnění.
- Po průniku do perimetru mohou útočníci dále využívat cílové systémy instalací škodlivých nástrojů, spouštěním skriptů nebo úpravou bezpečnostních certifikátů.
Tato fáze je klíčová, protože se jedná o přechod od pouhé hrozby k bezpečnostnímu incidentu. Cílem fáze zneužití je získat přístup k vašim systémům nebo síti.
Skutečný útok může probíhat formou vložení SQL, přetečení bufferu, malwaru, únosu JavaScriptu a dalších metod.
Mohou se pohybovat bočně v rámci sítě a identifikovat další vstupní body.
V této fázi se hacker nachází ve vaší síti a využívá existující zranitelnosti. Máte omezené zdroje na ochranu vašich systémů a sítě.
Můžete využít funkci prevence spouštění dat (DEP) a anti-exploit funkci vašeho antivirového programu (pokud ji má) na ochranu před zneužitím.
Některé nástroje EDR mohou také pomoci včas odhalit a reagovat na kybernetické útoky.
#5. Instalace
Fáze instalace, známá také jako fáze eskalace oprávnění, spočívá v instalaci malwaru a nasazení dalších škodlivých nástrojů, které umožní útočníkům trvalý přístup k vašim systémům a sítím i po opravě a restartování napadeného systému.
Mezi standardní techniky, které jsou součástí instalační fáze, patří:
- DLL únos
- Instalace trojského koně pro vzdálený přístup (RAT)
- Změny v registru, které umožní automatické spouštění škodlivých programů
Útočníci se také mohou pokusit vytvořit zadní vrátka pro trvalý přístup k systémům nebo sítím, i když je původní vstupní bod uzavřen bezpečnostními experty.
Pokud se kyberzločincům podařilo dosáhnout této fáze, máte omezenou ochranu. Váš systém nebo síť byla infikována.
Nyní můžete využít nástroje po infikování, jako jsou nástroje pro analýzu chování uživatelů (UBA) nebo nástroje EDR k detekci neobvyklé aktivity související s registrem a systémovými soubory. A měli byste být připraveni aktivovat svůj plán reakce na incidenty.
#6. Velení a řízení
Ve fázi velení a řízení útočník naváže spojení s napadeným systémem. Toto spojení umožňuje vzdálené ovládání cíle. Útočník nyní může odesílat příkazy, přijímat data nebo dokonce nahrávat další malware.
Dvě běžné taktiky v této fázi jsou maskování a útok typu Denial of Service (DoS).
- Maskování pomáhá útočníkům skrýt jejich přítomnost. Mohou odstraňovat soubory nebo měnit kód, aby se vyhnuli detekci. V podstatě zahlazují stopy.
- Denial of Service odvádí pozornost bezpečnostních týmů. Způsobují problémy v jiných systémech, a tím odvádějí pozornost od jejich primárního cíle. Může se jednat o narušení sítě nebo vypnutí systémů.
V této fázi je váš systém zcela kompromitován. Měli byste se zaměřit na omezení rozsahu kontroly hackerů a na detekci neobvyklé aktivity.
Segmentace sítě, systémy detekce narušení (IDS) a systémy pro správu bezpečnostních informací a událostí (SIEM) vám mohou pomoci omezit škody.
#7. Akce na cíl
Sedm kroků kybernetického řetězce vyvrcholí ve fázi „Akce na cíl“. Zde útočníci naplňují svůj primární cíl. Tato fáze může trvat týdny nebo měsíce, v závislosti na dřívějších úspěších.
Typické cíle zahrnují, mimo jiné, krádež dat, šifrování citlivých dat, útoky na dodavatelský řetězec a mnoho dalších.
Implementací řešení pro zabezpečení dat, řešení pro zabezpečení koncových bodů a zabezpečení s nulovou důvěrou můžete minimalizovat škody a zabránit hackerům v dosažení jejich cílů.
Je Cyber Kill Chain schopen čelit dnešním bezpečnostním výzvám?
Model Cyber Kill Chain pomáhá v pochopení a boji proti různým kybernetickým útokům. Jeho lineární struktura však může zaostávat za sofistikovanými multivektorovými útoky, které jsou dnes běžné.
Zde jsou nedostatky tradičního rámce kybernetického řetězce.
#1. Ignoruje vnitřní hrozby
Vnitřní hrozby pocházejí od osob uvnitř organizace, jako jsou zaměstnanci nebo dodavatelé, kteří mají legitimní přístup k vašim systémům a síti. Mohou úmyslně či neúmyslně zneužít svůj přístup, což může vést k narušení dat nebo jiným bezpečnostním incidentům.
Podle 74 % společností se domnívá, že vnitřní hrozby jsou stále častější.
Tradiční model kybernetického řetězce nezohledňuje tyto vnitřní hrozby, protože je navržen tak, aby sledoval aktivity externích útočníků.
V případě vnitřní hrozby nemusí útočník projít mnoha fázemi, které jsou součástí kybernetického řetězce, jako je průzkum, příprava útoku nebo doručení, protože již má přístup k systémům a síti.
Tento významný nedostatek brání detekci nebo zmírnění vnitřních hrozeb. Absence mechanismu pro monitorování a analýzu chování nebo vzorců přístupu osob v organizaci představuje zásadní omezení rámce kybernetického řetězce.
#2. Má omezené možnosti detekce útoků
Kybernetický řetězec má poměrně úzký rozsah při identifikaci různých kybernetických útoků. Tento rámec se primárně zaměřuje na detekci aktivit malwaru a škodlivého obsahu, což ponechává významnou mezeru v řešení jiných forem útoků.
Mezi typické příklady patří webové útoky, jako je SQL Injection, Cross-Site Scripting (XSS), různé typy útoků Denial of Service (DoS) a útoky Zero-Day. Tyto typy útoků mohou snadno proklouznout, protože neodpovídají typickým vzorům, pro které je kybernetický řetězec navržen.
Rámec také zaostává v řešení útoků iniciovaných neoprávněnými osobami pomocí kompromitovaných přihlašovacích údajů.
V takových situacích je značný nedostatek, protože tyto útoky mohou způsobit značné škody, ale mohou zůstat nepovšimnuty kvůli omezené schopnosti detekce kybernetického řetězce.
#3. Postrádá flexibilitu
Rámec kybernetického řetězce, který se zaměřuje především na malware a útoky založené na zátěži, postrádá flexibilitu.
Lineární model kybernetického řetězce neodpovídá dynamické povaze moderních hrozeb, a proto je méně efektivní.
Kromě toho se těžko přizpůsobuje novým technikám útoků a může přehlédnout klíčové aktivity po narušení, což zdůrazňuje potřebu adaptivnějších přístupů k kybernetické bezpečnosti.
#4. Zaměřuje se pouze na zabezpečení perimetru
Model Cyber Kill Chain je často kritizován za své zaměření na perimetrické zabezpečení a prevenci malwaru. To se stává problémem, když organizace přecházejí z tradičních lokálních sítí na cloudová řešení.
Vzestup práce na dálku, osobních zařízení, technologie IoT a pokročilých aplikací, jako je Robotic Process Automation (RPA), navíc rozšířil prostor pro útoky pro mnoho firem.
Toto rozšíření znamená, že kyberzločinci mají k dispozici více přístupových bodů, což ztěžuje firmám zabezpečení každého koncového bodu, což ukazuje na omezení modelu v dnešním měnícím se prostředí hrozeb.
Čtěte více: Jak Kybernetická bezpečnostní síť pomáhá v nové éře ochrany
Alternativy k modelu Cyber Kill Chain
Zde je několik alternativ k modelu kybernetického řetězce, které můžete prozkoumat a vybrat si z nich ten nejlepší rámec kybernetické bezpečnosti pro vaši organizaci.
#1. Rámec MITRE ATT&CK
Rámec MITRE ATT&CK popisuje taktiky, techniky a postupy, které útočníci používají. Berte to jako příručku pro pochopení kybernetických hrozeb. Zatímco Cyber Kill Chain se zaměřuje pouze na fáze útoku, ATT&CK poskytuje detailní pohled. Ukazuje dokonce, co útočníci dělají po proniknutí do systému, což z něj činí komplexnější nástroj.
Bezpečnostní odborníci často preferují MITER ATT&CK pro jeho hloubku. Je užitečný pro útok i obranu.
#2. Rámec kybernetické bezpečnosti NIST
Rámec kybernetické bezpečnosti NIST nabízí organizacím pokyny pro řízení a zmírňování rizik kybernetické bezpečnosti. Klade důraz na proaktivní přístup. Na rozdíl od toho se Cyber Kill Chain zaměřuje na pochopení akcí útočníků během narušení.
Rámec stanovuje pět základních funkcí: identifikovat, chránit, detekovat, reagovat a obnovit. Tyto kroky pomáhají organizacím pochopit a řídit rizika kybernetické bezpečnosti.
Širší záběr rámce NIST pomáhá zlepšit celkovou pozici v oblasti kybernetické bezpečnosti, zatímco kybernetický řetězec pomáhá hlavně při analýze a přerušování útoků.
Díky komplexnímu řešení bezpečnosti se rámec NIST často ukazuje jako účinnější při podpoře odolnosti a neustálého zlepšování.
Závěr
V době svého vzniku byl Cyber Kill Chain efektivní rámec pro kybernetickou bezpečnost sloužící k identifikaci a zmírnění hrozeb. Nicméně, v současné době se kybernetické útoky staly komplexnějšími v důsledku používání cloudu, internetu věcí a dalších technologií pro spolupráci. A co je horší, hackeři stále častěji využívají webové útoky, jako jsou SQL injekce.
Proto moderní bezpečnostní rámce, jako jsou MITER ATT&CK nebo NIST, nabízejí lepší ochranu v dnešním dynamicky se měnícím prostředí hrozeb.
Měli byste také pravidelně používat nástroje pro simulaci kybernetických útoků pro posouzení zabezpečení sítě.