Passi della catena di uccisioni informatiche

Felicia Giuliani
Passi della catena di uccisioni informatiche

Catena di uccisioni informatiche

La Cyber ​​Kill Chain (CKC) è un modello di sicurezza tradizionale che descrive uno scenario di vecchia scuola, un aggressore esterno che prende provvedimenti per penetrare in una rete e rubare la sua rottura dei dati per aiutare le organizzazioni a prepararsi. CKC è sviluppato da un team noto come team di risposta alla sicurezza informatica. La catena di uccisioni informatiche descrive un attacco di un utente malintenzionato esterno che cerca di accedere ai dati all'interno del perimetro della sicurezza

Ogni fase della catena di uccisioni cyber mostra un obiettivo specifico insieme a quello del modo degli attaccanti. Progetta il tuo modello di sorveglianza e risposta della catena di cyber modello è un metodo efficace, in quanto si concentra su come si verificano gli attacchi. Le fasi includono:

  • Ricognizione
  • Arma
  • Consegna
  • Sfruttamento
  • Installazione
  • Comando e controllo
  • Azioni sugli obiettivi

I passaggi della catena di uccisioni informatiche saranno ora descritti:

Passaggio 1: ricognizione

Include la raccolta di indirizzi e -mail, informazioni sulla conferenza, ecc. L'attacco di ricognizione significa che è uno sforzo di minacce raccogliere i dati sui sistemi di rete il più possibile prima di iniziare altri tipi più genuini ostili di attacchi. Gli aggressori di ricognizione sono di due tipi di ricognizione passiva e ricognizione attiva. L'attaccante di riconoscimento si concentra su "Who" o Network: chi probabilmente si concentrerà sulle persone privilegiate per l'accesso al sistema o l'accesso a dati riservati "rete" si concentra su architettura e layout; strumento, attrezzatura e protocolli; e l'infrastruttura critica. Comprendere il comportamento della vittima e entrare in una casa per la vittima.

Passaggio 2: arma

Payload di fornitura di exploit di accoppiamento con un backdoor.

Successivamente, gli aggressori useranno tecniche sofisticate per riprogettare alcuni malware di base adatti ai loro scopi. Il malware può sfruttare vulnerabilità precedentemente sconosciute, ovvero exploit "zero-day" o una combinazione di vulnerabilità per sconfiggere silenziosamente le difese di una rete, a seconda delle esigenze e delle capacità dell'attaccante. Ri-ingegneria del malware, gli aggressori riducono le possibilità che le soluzioni di sicurezza tradizionali lo rilevano. "Gli hacker hanno usato migliaia di dispositivi Internet che sono stati infettati in precedenza con un codice dannoso - noto come" botnet "o, scherzosamente, un" esercito di zombi " - costringendo una negazione di servizio distribuita particolarmente potente Angriff (DDOS).

Passaggio 3: consegna

L'attaccante invia il payload malizioso della vittima utilizzando la posta elettronica, che è solo uno dei grandi che l'attaccante può impiegare metodi di intrusione. Ci sono oltre 100 possibili metodi di consegna.

Bersaglio:
Gli aggressori iniziano l'intrusione (armi sviluppate nel passaggio 2 precedente). I due metodi di base sono:

  • Consegna controllata, che rappresenta la consegna diretta, hackerando una porta aperta.
  • La consegna viene rilasciata all'avversario, che trasmette il malware al target da phishing.

Questa fase mostra la prima e più significativa opportunità per i difensori di ostacolare un'operazione; Tuttavia, alcune funzionalità chiave e altre informazioni molto apprezzate dei dati vengono sconfitte facendo questo. In questa fase, misuriamo la vitalità dei tentativi di intrusione frazionaria, che sono ostacolati nel punto di trasporto.

Passaggio 4: sfruttamento

Una volta che gli aggressori identificano un cambiamento nel tuo sistema, sfruttano la debolezza ed eseguono il loro attacco. Durante la fase di sfruttamento dell'attacco, l'attaccante e la macchina ospite sono il meccanismo di consegna compromesso in genere adotterà una delle due misure:

  • Installa il malware (un contagocce), che consente l'esecuzione del comando attaccante.
  • Installa e scarica malware (un downloader)

Negli ultimi anni, questa è diventata un'area di competenza all'interno della comunità di hacking che è spesso dimostrata in eventi come Blackhat, Defcon e simili.

Passaggio 5: installazione

In questa fase, l'installazione di un Trojan o backdoor di accesso remoto sul sistema della vittima consente al contendente di mantenere la perseveranza nell'ambiente. L'installazione di malware sull'asset richiede il coinvolgimento dell'utente finale abilitando inconsapevolmente il codice dannoso. L'azione può essere vista come critica a questo punto. Una tecnica per farlo sarebbe quella di implementare un sistema di prevenzione delle intrusioni (HIPS) basata su host per presentare cautela o mettere una barriera ai percorsi comuni, ad esempio. Lavoro NSA, riciclar. Comprendere se il malware richiede i privilegi dall'amministratore o semplicemente dall'utente per eseguire l'obiettivo è fondamentale. I difensori devono comprendere il processo di audit endpoint per scoprire creazioni anormali dei file. Devono sapere come compilare i tempi di malware per determinare se è vecchio o nuovo.

Passaggio 6: comando e controllo

Ransomware utilizza connessioni per controllare. Scarica le chiavi per la crittografia prima di cogliere i file. Accesso remoto di Trojans, ad esempio, apre un comando e controlla la connessione in modo da poter affrontare i dati del sistema in remoto. Ciò consente una connettività continua per l'ambiente e l'attività di misura investigativa sulla difesa.

Come funziona?

Il piano di comando e controllo viene solitamente eseguito tramite un faro fuori dalla griglia sul percorso consentito. I beacon assumono molte forme, ma tendono ad essere nella maggior parte dei casi:

Http o https

Sembra traffico benigno attraverso intestazioni HTTP falsificate

Nei casi in cui la comunicazione è crittografata, i beacon tendono a utilizzare certificati firmati automatici o crittografia personalizzata.

Passaggio 7: azioni sugli obiettivi

L'azione si riferisce al modo in cui l'attaccante raggiunge il suo obiettivo finale. L'obiettivo finale dell'attaccante potrebbe essere qualsiasi cosa per estrarre un riscatto da te per decifrare i file alle informazioni dei clienti dalla rete. Nel contenuto, quest'ultimo esempio potrebbe interrompere l'esfiltrazione di soluzioni di prevenzione delle perdite di dati prima che i dati lasciassero la rete. Altrimenti, gli attacchi possono essere utilizzati per identificare le attività che si discostano dalle baseline impostate e avvisarlo che qualcosa non va. Questo è un processo d'assalto intricato e dinamico che può avvenire in mesi e centinaia di piccoli passaggi per realizzare. Una volta identificata questa fase all'interno di un ambiente, è necessario avviare l'implementazione di piani di reazione preparati. Per lo meno, dovrebbe essere pianificato un piano di comunicazione inclusivo, che prevede la prova dettagliata di informazioni che dovrebbero essere aumentate al massimo livello ufficiale o amministratore, la distribuzione dei dispositivi di sicurezza endpoint per bloccare la perdita di informazioni e la preparazione a BREVE un gruppo CIRT. Avere queste risorse ben consolidate in anticipo è un "must" nel panorama delle minacce alla sicurezza informatica in rapida evoluzione di oggi.

MySQL MariaDB
Come trovare un personaggio specifico in mysql?
Un carattere specifico può essere trovato in MySQL utilizzando gli operatori simili e regexp o le fu...
Artemide Ricci
Idiota
Come funziona Git?
Il lavoro GIT consiste nella area di lavoro per l'aggiunta di modifiche, l 'indice di gestione tempo...
Felicia Giuliani
Salesforce
Apice batch in Salesforce
Tutorial su come eseguire le operazioni DML di massa come inserto, aggiornamento ed eliminare con l'...
Domiziano Conte
Pitone
MATPLOTLIB BOLD TESTO
Domiziano Conte
Pitone
Python Chmod
Dr. Evita Damico
PHP
Come utilizzare la funzione Array_Reverse in PHP
Dr. Evita Damico
html
Come utilizzare la proprietà Mouseevent Pagey?
Felicia Giuliani
JavaScript
Come utilizzare la proprietà screenx mouseevent in javascript
Sarita Negri
Giava
Quali sono espressioni, dichiarazioni e blocchi in Java
Sarita Negri
Golang
Cosa è eredità nel golang
Dr. Folco Leone
Oracle Database
Il database Oracle è simile al database MySQL? | Spiegato
Dante Palumbo
JavaScript
Come controllare la versione dattiloscritto
Sig. Valdo Marchetti
Powershell
Come utilizzare il cmdlet write-output in PowerShell?
Dr. Evita Damico