Veiligheid

Stappen van de cyber-kill-keten

Stappen van de cyber-kill-keten

Cyber ​​kill-keten

De cyber kill chain (CKC) is een traditioneel beveiligingsmodel dat een ouderwets scenario beschrijft, waarbij een externe aanvaller stappen onderneemt om een ​​netwerk binnen te dringen en de gegevens te stelen, de aanvalsstappen doorbreekt om organisaties te helpen zich voor te bereiden. CKC is ontwikkeld door een team dat bekend staat als het computerbeveiligingsresponsteam. De cyber kill chain beschrijft een aanval door een externe aanvaller die probeert toegang te krijgen tot gegevens binnen de perimeter van de beveiliging

Elke fase van de cyber-kill-keten toont een specifiek doel samen met dat van de aanvaller Way. Het ontwerpen van uw cybermodel voor het doden van ketenbewaking en reactieplan is een effectieve methode, omdat het zich richt op hoe de aanvallen plaatsvinden. Stadia omvatten:

Stappen van de cyber-kill-keten worden nu beschreven:

Stap 1: Verkenning

Het omvat het verzamelen van e-mailadressen, informatie over de conferentie, enz. Verkenningsaanval betekent dat het een poging van bedreigingen is om zoveel mogelijk gegevens over netwerksystemen op te pikken voordat andere, meer echte vijandige soorten aanvallen worden gestart. Verkenningsaanvallers zijn van twee soorten passieve verkenning en actieve verkenning:. Recognition Attacker richt zich op 'wie' of netwerk: Wie zal zich waarschijnlijk richten op de bevoorrechte mensen voor systeemtoegang of toegang tot vertrouwelijke 'netwerk'-gegevens, richt zich op architectuur en lay-out; gereedschap, apparatuur en de protocollen; en de kritieke infrastructuur. Begrijp het gedrag van het slachtoffer en breek een huis in voor het slachtoffer.

Stap 2: Bewapening

Lever nuttige lading door exploits te koppelen aan een achterdeur.

Vervolgens zullen aanvallers geavanceerde technieken gebruiken om kernmalware opnieuw te ontwikkelen die geschikt is voor hun doeleinden. De malware kan misbruik maken van voorheen onbekende kwetsbaarheden, ook wel "zero-day" exploits genoemd, of een combinatie van kwetsbaarheden om stilletjes de verdediging van een netwerk te verslaan, afhankelijk van de behoeften en mogelijkheden van de aanvaller. Door de malware opnieuw te ontwerpen, verkleinen aanvallers de kans dat traditionele beveiligingsoplossingen deze detecteren. "De hackers gebruikten duizenden internetapparaten die eerder waren geïnfecteerd met een kwaadaardige code - bekend als een "botnet" of, gekscherend, een "zombieleger" - waardoor een bijzonder krachtige gedistribueerde denial of Service Angriff (DDoS) werd gedwongen.

Stap 3: Levering

De aanvaller stuurt het slachtoffer een kwaadaardige lading via e-mail, wat slechts een van de vele is die de aanvaller inbraakmethoden kan gebruiken. Er zijn meer dan 100 mogelijke bezorgmethoden.

Doelwit:
Aanvallers beginnen met inbraak (wapens ontwikkeld in de vorige stap 2). De twee basismethoden zijn:

Deze fase toont de eerste en belangrijkste kans voor verdedigers om een ​​operatie te belemmeren; sommige belangrijke mogelijkheden en andere zeer gewaardeerde informatie van gegevens worden hierdoor echter teniet gedaan. In dit stadium meten we de levensvatbaarheid van de pogingen bij de fractionele inbraak, die worden gehinderd op het overdrachtspunt.

Stap 4: Exploitatie

Zodra aanvallers een verandering in uw systeem identificeren, misbruiken ze de zwakte en voeren ze hun aanval uit. Tijdens de exploitatiefase van de aanval worden de aanvaller en de hostmachine gecompromitteerd. Het leveringsmechanisme neemt doorgaans een van de volgende twee maatregelen:

In de afgelopen jaren is dit een expertisegebied geworden binnen de hackgemeenschap dat vaak wordt gedemonstreerd op evenementen als Blackhat, Defcon en dergelijke.

Stap 5: Installatie

In dit stadium zorgt de installatie van een trojan voor externe toegang of een achterdeur op het systeem van het slachtoffer ervoor dat de deelnemer doorzettingsvermogen kan behouden in de omgeving. Het installeren van malware op het activum vereist betrokkenheid van de eindgebruiker door onbewust de schadelijke code in te schakelen. Actie kan op dit moment als cruciaal worden beschouwd. Een techniek om dit te doen zou zijn om een ​​host-based Intrusion Prevention (HIPS)-systeem te implementeren om bijvoorbeeld voorzichtig te zijn of een barrière op te werpen voor gemeenschappelijke paden, bijvoorbeeld. NSA Job, RECYCLER. Begrijpen of Malware privileges van de beheerder of alleen van de gebruiker vereist om het doel uit te voeren, is van cruciaal belang. Verdedigers moeten het eindpuntcontroleproces begrijpen om abnormale creaties van bestanden te ontdekken. Ze moeten weten hoe ze de timing van malware moeten compileren om te bepalen of het oud of nieuw is.

Stap 6: Commando en controle

Ransomware gebruikt Connections om te controleren. Download de sleutels voor codering voordat u de bestanden in beslag neemt. Trojaanse paarden openen bijvoorbeeld een opdracht en besturen de verbinding, zodat u uw systeemgegevens op afstand kunt benaderen. Dit zorgt voor continue connectiviteit voor de omgeving en de detective meetactiviteit op de verdediging.

Hoe werkt het?

Commando- en controleplan wordt meestal uitgevoerd via een baken uit het raster over het toegestane pad. Bakens hebben vele vormen, maar in de meeste gevallen zijn ze:

HTTP of HTTPS

Lijkt goedaardig verkeer via vervalste HTTP-headers

In gevallen waarin de communicatie is gecodeerd, gebruiken beacons meestal automatisch ondertekende certificaten of aangepaste codering.

Stap 7: acties op doelstellingen Object

Actie verwijst naar de manier waarop de aanvaller zijn uiteindelijke doel bereikt. Het uiteindelijke doel van de aanvaller kan van alles zijn om losgeld van u te extraheren om bestanden naar klantinformatie van het netwerk te decoderen. In de inhoud zou het laatste voorbeeld de exfiltratie van oplossingen voor het voorkomen van gegevensverlies kunnen stoppen voordat gegevens uw netwerk verlaten. Anders kunnen aanvallen worden gebruikt om activiteiten te identificeren die afwijken van de vastgestelde baselines en om IT te informeren dat er iets mis is. Dit is een ingewikkeld en dynamisch aanvalsproces dat in maanden en honderden kleine stappen kan plaatsvinden to. Zodra deze fase binnen een omgeving is geïdentificeerd, is het noodzakelijk om de implementatie van voorbereide reactieplannen te starten. Er moet op zijn minst een inclusief communicatieplan worden gepland, dat het gedetailleerde bewijs omvat van informatie die moet worden voorgelegd aan de hoogste functionaris of bestuursraad, de inzet van eindpuntbeveiligingsapparatuur om informatieverlies te voorkomen, en de voorbereiding om te briefen een CIRT-groep. Het is een "MUST" om deze middelen van tevoren goed in te richten in het snel evoluerende landschap van cyberbeveiligingsbedreigingen.

Muis Hoe de linker- en rechtermuisknop op Windows 10 pc te veranderen
Hoe de linker- en rechtermuisknop op Windows 10 pc te veranderen
Het is nogal een norm dat alle computermuisapparaten ergonomisch zijn ontworpen voor rechtshandige gebruikers. Maar er zijn muisapparaten beschikbaar ...
Muis Emuleer muisklikken door te zweven met Clickless Mouse in Windows 10
Emuleer muisklikken door te zweven met Clickless Mouse in Windows 10
Het gebruik van een muis of toetsenbord in de verkeerde houding of overmatig gebruik kan leiden tot veel gezondheidsproblemen, waaronder spanning, car...
Muis Voeg muisbewegingen toe aan Windows 10 met deze gratis tools
Voeg muisbewegingen toe aan Windows 10 met deze gratis tools
In de afgelopen jaren zijn computers en besturingssystemen sterk geëvolueerd. Er was een tijd dat gebruikers opdrachten moesten gebruiken om door best...