Co je řetězec kybernetických útoků?

V roce 2011 Lockheed Martin přizpůsobil vojenskou koncepci označovanou jako řetězec útoků v odvětví kybernetické bezpečnosti a pojmenovala ho řetězec kybernetických útoků. Podobně jako v případě řetězce útoků identifikuje řetězec kybernetických útoků fáze útoku a poskytuje obráncům přehled o obvyklých taktikách a technikách útočníků v každé fázi. Oba modely jsou také lineární s očekáváním, že útočníci budou postupovat po jednotlivých fázích postupně.

Od doby, kdy byl řetězec kybernetických útoků poprvé představen, se taktiky kybernetických hrozeb vyvíjejí a ne vždy dodržují všechny fáze řetězce kybernetických útoků. V reakci na to odvětví zabezpečení aktualizovalo svůj přístup a vyvinulo nové modely. Matice MITRE ATT&CK® je podrobný seznam taktik a technik založených na skutečných útocích. Používá podobné fáze jako řetězec kybernetických útoků, ale neřídí se lineárním pořadím.

V roce 2017 vyvinul Paul Pols ve spolupráci s Fox-IT a Leidenskou univerzitou další rámec, tzv. univerzální řetězec útoků, který kombinuje prvky matice MITRE ATT&CK a kybernetického řetězce do modelu s 18 stupni.

Průzkum

Řetězec kybernetického zabíjení definuje posloupnost fází kybernetického útoku s cílem pochopit myšlení kybernetických útočníků, včetně jejich motivů, nástrojů, metod a technik, způsobu jejich rozhodování a způsobu, jakým se vyhýbají odhalení. Pochopení fungování řetězce kybernetických útoků pomáhá obráncům zastavit kybernetické útoky v nejranějších fázích.

Ve fázi vyzbrojování používají špatní aktéři informace zjištěné během průzkumu k vytvoření nebo úpravě malwaru, aby co nejlépe využili slabin cílové organizace.

Po sestavení malwaru se kyberútočníci pokusí spustit svůj útok. Jednou z nejběžnějších metod je použití technik sociálního inženýrství, jako je phishing, které zaměstnancům umožňují předat přihlašovací údaje. Nepoctivci mohou také získat přístup tím, že využijí veřejné bezdrátové připojení, které není příliš zabezpečené nebo zneužívá ohrožení zabezpečení softwaru nebo hardwaru, které se objevilo během rekognoskace.

Poté, co aktéři kybernetické hrozby proniknou do organizace, využívají svůj přístup k laterálnímu pohybu ze systému do systému. Jejich cílem je najít citlivá data, další zranitelnosti, administrátorské účty nebo e-mailové servery, které mohou využít ke způsobení škody organizaci.

Ve fázi instalace nainstalují nepoctivci malware, který jim dává kontrolu nad více systémy a účty.

Poté, co kybernetičtí útočníci získají kontrolu nad značným počtem systémů, vytvoří řídicí centrum, které jim umožní pracovat na dálku. V této fázi používají obfuskaci, aby pokryli své stopy a vyhnuli se detekci. Využívají také útoky na dostupnost služby (DOS) k odvrácení odborníků na zabezpečení od skutečných cílů.

V této fázi kybernetické útoky podniknou kroky k dosažení svého primárního cíle, což může zahrnovat útoky dodavatelského řetězce, exfiltraci dat, šifrování dat nebo zničení dat.

Ačkoli původní řetězec kybernetických útoků společnosti Lockhead Martin zahrnoval pouze sedm kroků, mnozí odborníci na kybernetickou bezpečnost jej rozšířili na osm, aby zohlednili činnosti, které špatní aktéři provádějí, aby z útoku získali příjem, jako je použití ransomwaru k získání platby od svých obětí nebo prodej citlivých dat na temném webu.

Pochopení toho, jak aktéři kybernetických hrozeb plánují a provádějí své útoky, pomáhají odborníkům na kybernetické zabezpečení vyhledávat a zmírňovat ohrožení zabezpečení v celé organizaci. Pomáhá jim také identifikovat indikátory ohrožení v raných fázích kybernetického útoku. Řada organizací používá model řetězce kybernetických útoků k proaktivnímu zavedení bezpečnostních opatření a vedení reakce na incidenty.

Analýza hrozeb

Jedním z nejdůležitějších nástrojů pro ochranu organizace před kybernetickými hrozbami je analýza hrozeb. Dobrá řešení analýzy hrozeb syntetizují data z prostředí organizace a poskytují užitečné přehledy, které pomáhají odborníkům na zabezpečení včas detekovat kybernetické útoky.

Často zlovolní aktéři infiltrují organizaci tím, že uhodí nebo ukradnou hesla. Jakmile se dostanou dovnitř, pokusí se eskalovat oprávnění k získání přístupu k citlivým datům a systémům. Řešení správy identit a přístupu pomáhají zjišťovat neobvyklé aktivity, které můžou indikovat, že neoprávněný uživatel získal přístup. Nabízejí také kontrolní mechanismy a bezpečnostní opatření, jako je dvojúrovňové ověřování, které někomu znesnadní přihlášení pomocí odcizených přihlašovacích údajů.

Řada organizací si díky řešení správy akcí a informací o zabezpečení (SIEM) udržela náskok před nejnovějšími kybernetickými hrozbami. Řešení SIEM agregují data z celé organizace a ze zdrojů třetích stran, aby vysvětlují kritické kybernetické hrozby pro bezpečnostní týmy, aby je mohly roztřídit a řešit. Řada řešení SIEM také automaticky reaguje na určité známé hrozby a snižuje počet incidentů, které tým potřebuje prošetřit.

V každé organizaci jsou stovky nebo tisíce koncových bodů. Mezi servery, počítači, mobilními zařízeními a zařízeními Internet věcí (IoT), které společnosti používají k podnikání, může být téměř nemožné je udržovat v aktualizovaném stavu. To ví zlovolní aktéři, a proto řada kybernetických útoků začíná ohroženým koncovým bodem. Detekce koncových bodů a reakce na ně pomáhají bezpečnostním týmům monitorovat hrozby a rychle reagovat, když zjistí problém se zabezpečením zařízení.

Rozšířená detekce a reakce (XDR), řešení posouvá detekci koncových bodů a odpověď o krok dál díky jedinému řešení, které chrání koncové body, identity, cloudové aplikace a e-maily.

Ne všechny společnosti mají k dispozici interní prostředky, které umožňují efektivně detekovat hrozby a reagovat na ně. Za účelem rozšíření stávajícího týmu zabezpečení se tyto organizace obracejí na poskytovatele služeb, kteří nabízejí spravovanou detekci a odezvu. Tito poskytovatelé služeb přebírají odpovědnost za monitorování prostředí organizace a reakce na hrozby.

Přestože pochopení řetězce kybernetických útoků může společnostem a vládám pomoci proaktivně se připravit na komplexní, vícestupňové kybernetické hrozby a reagovat na ně, spoléhání se výhradně na něj může organizaci učinit zranitelnou vůči jiným typům kybernetických útoků. Mezi běžná hodnocení řetězce kybernetických útoků patří:

• Zaměření na malware. Původní architektura řetězce kybernetických útoků byla navržena tak, aby detekovala malware a reagovala na ně, a není tak účinná proti jiným typům útoků, jako je neoprávněný uživatel, který získá přístup pomocí ohrožených přihlašovacích údajů.

• Ideální pro zabezpečení perimetru. Model řetězce kybernetických útoků, který klade důraz na ochranu koncových bodů, dobře fungoval, když existoval jediný síťový perimetr, který bylo třeba chránit. Vzhledem k velkému počtu vzdálených pracovníků, cloudu a neustále se rozšiřujícímu počtu zařízení přistupujících k firemním prostředkům může být téměř nemožné řešit všechna ohrožení koncových bodů.

• Není vybavený pro insiderové hrozby. Účastníci programu Insider, kteří už mají přístup k některým systémům, se obtížněji detekují pomocí modelu řetězu kybernetických útoků. Místo toho musí organizace monitorovat a detekovat změny v aktivitě uživatelů.

• Příliš lineární. Přestože mnoho kybernetických útoků probíhá podle osmi fází popsaných v řetězci kybernetických útoků, existuje také mnoho takových, u kterých tomu tak není, nebo kombinují několik kroků do jediné akce. Organizace, které jsou příliš zaměřené na každou z fází, můžou tyto kybernetické hrozby vynechat.

Od roku 2011, kdy Lockhead Martin poprvé představil řetězec kybernetických útoků, se v oblasti technologií a kybernetických hrozeb hodně změnilo. Cloud computing, mobilní zařízení a zařízení IoT transformují způsob fungování lidí a firem. Aktéři kybernetických hrozeb na tyto nové technologie reagovali vlastními inovacemi, včetně využití automatizace a umělé inteligence k urychlení a zdokonalení svých kybernetických útoků. Řetězec kybernetických útoků je skvělým výchozím bodem pro vytvoření proaktivní bezpečnostní strategie, která zohledňuje myšlení a cíle kybernetických útočníků. Microsoft Security nabízí sjednocenou platformu SecOps, která spojuje XDR a SIEM do jednoho přizpůsobitelného řešení, které pomáhá organizacím vyvinout vícevrstvou obranu, která chrání všechny fáze v řetězci kybernetických útoků. Organizace se také připravují na vznikající kybernetické hrozby využívající umělou inteligenci tím, že investují do AI pro řešení kybernetického zabezpečení, jako je Microsoft Security Copilot.