Mikä on kyberhyökkäysketju?

Vuonna 2011 Martin muokkasi kyberturvallisuusalan hyökkäysketju-nimistä sotilaskäsitteitä ja antoi sille nimeksi kyberhyökkäysketju. Kuten hyökkäysketjussa, kyberhyökkäysketju tunnistaa hyökkäyksen vaiheet ja antaa puolustautujalle tietoa heidän hyökkääjiensä tyypillisistä taktiikoista ja tekniikoista jokaisen vaiheen aikana. Molemmat mallit ovat myös lineaarisia, ja oletuksena on, että hyökkääjät noudattavat kutakin vaihetta peräkkäin.

Kyberhyökkäysketjun käyttöönoton jälkeen kyberuhkia käyttävät tahot ovat kehittäneet taktiikoitaan eivätkä aina seuraa kyberhyökkäysketjun jokaista vaihetta. Vastauksena tietoturva-ala on päivittänyt lähestymistapaansa ja kehittänyt uusia malleja. MITRE ATT&CK® -matriisi on yksityiskohtainen luettelo todellisiin hyökkäyksiin perustuvista taktiikoista ja tekniikoista. Se käyttää samanlaisia vaiheita kuin kybertallennuksen ketju, mutta ei noudata lineaarista järjestystä.

Vuonna 2017 Paul Pols kehitti yhteistyössä Fox-IT:n ja Leiden Universityn kanssa toisen kehyksen, yhtenäisen hyökkäysketjun, joka yhdistää sekä MITRE ATT&CK -matriisin että kybertuhoketjun elementit malliin, jossa on 18 vaihetta.

Tiedustelu

Kyberhyökkäysketju määrittää kyberhyökkäysvaiheiden sarjan, jonka tavoitteena on ymmärtää kyberhyökkäysten ajatusjoukkoa, mukaan lukien heidän esimiehensä, työkalunsa, menetelmänsä ja tekniikkansa, tapansa tehdä päätöksiä ja miten he välttävät tunnistamisen. Kun ymmärrät, miten kyberhyökkäysketju toimii, puolustautujat voivat pysäyttää kyberhyökkäykset varhaisimmissa vaiheissa.

Aseistamisvaiheessa pahantekijät käyttävät tiedustelun aikana paljastuneita tietoja luodakseen tai muokatakseen haittaohjelmia hyödyntääkseen parhaiten kohdeorganisaation heikkouksia.

Kun he ovat luoneet haittaohjelmia, kyberhyökkääjät yrittävät käynnistää hyökkäyksen. Yksi yleisimmistä menetelmistä on käyttää käyttäjän manipulointi -tekniikoita, kuten tietojenkalastelua, jotta työntekijät voivat antaa kirjautumistunnistetietonsa. Pahantekijät voivat päästä sisään myös hyödyntämällä julkista langatonta yhteyttä, joka ei ole kovin turvallinen, tai hyödyntämällä tiedustelun aikana paljastunutta ohjelmisto- tai laitteistohaavoittuvuutta.

Kun kyberuhan toimijat ovat tunkeutuneet organisaatioon, he käyttävät pääsyä siirtyäkseen järjestelmästä toiseen. Heidän tavoitteenaan on löytää arkaluonteisia tietoja, muita haavoittuvuuksia, hallintatilejä tai sähköpostipalvelimia, joita he voivat käyttää organisaation vahingoittamiseen.

Asennusvaiheessa pahantekijät asentavat haittaohjelman, jonka avulla he saavat hallintaansa useampia järjestelmiä ja tilejä.

Kun kyberhyökkääjät ovat saaneet hallintaansa merkittävän määrän järjestelmiä, he luovat valvontakeskuksen, jonka avulla he voivat toimia etänä. Tässä vaiheessa he käyttävät hämäystä peittääkseen jälkensä ja välttääkseen havaitsemisen. He käyttävät myös palvelunestohyökkäyksiä harhauttaakseen tietoturva-ammattilaiset pois heidän todellisesta tavoitteestaan.

Tässä vaiheessa verkkohyökkääjät ryhtyvät toimiin saavuttaakseen ensisijaisen tavoitteensa, johon voi kuulua toimitusketjuun kohdistuvia hyökkäyksiä, tietojen poistamista, tietojen salaamista tai tietojen tuhoamista.

Vaikka Lockhead Martinin alkuperäinen kybertappoketju sisälsi vain seitsemän vaihetta, monet kyberturva-asiantuntijat ovat laajentaneet sen kahdeksaan vaiheeseen ottaakseen huomioon toimet, joilla pahat toimijat pyrkivät hankkimaan tuloja hyökkäyksestä, kuten lunnasohjelmien käyttäminen maksun saamiseksi uhreilta tai arkaluontoisten tietojen myyminen pimeässä verkossa.

Ymmärrys siitä, miten verkkouhkaajat suunnittelevat ja toteuttavat hyökkäyksensä, auttaa tietoturva-alan ammattilaisia löytämään ja lieventämään haavoittuvuuksia koko organisaatiossa. Se auttaa heitä myös tunnistamaan vaarantumisen indikaattorit verkkohyökkäyksen alkuvaiheessa. Monet organisaatiot käyttävät kyberhyökkäysketjumallia turvatoimien ennakoivaan käyttöönottoon ja vaaratilanteisiin reagoimisen ohjaamiseen.

Uhkatietämys

Yksi tärkeimmistä työkaluista organisaation suojaamiseksi kyberuhilta on uhkatietämys. Hyvät uhkatietoratkaisut syntetisoivat tietoja organisaation ympäristöstä ja tarjoavat toiminnallisia tietoja, jotka auttavat tietoturva-ammattilaisia havaitsemaan kyberhyökkäykset ajoissa.

Usein huonot toimijat kaappaavat organisaation arvailemalla tai varastamalla salasanoja. Kun he pääsevät sisään, he yrittävät eskaloida oikeuksia, jotta he voivat käyttää luottamuksellisia tietoja ja järjestelmiä. Käyttäjätietojen ja käyttöoikeuksien hallinta: Lue, miten IAM suojaa, hallitsee ja määrittää käyttäjärooleja ja käyttöoikeuksiaKäyttäjätietojen ja käyttöoikeuksien hallinnan ratkaisut auttavat tunnistamaan epätavallista toimintaa, joka saattaa olla osoitus siitä, että luvaton käyttäjä on saanut käyttöoikeuden. Ne tarjoavat myös hallinta- ja suojaustoimia, kuten kaksiosaisen todentamismenetelmän, jotka tekevät varastettujen tunnistetietojen sisäänkirjautumisesta vaikeampaa.

Monet organisaatiot pysyvät edellä uusimpia kyberuhkia suojaustietojen ja tapahtumienhallintaratkaisun (SIEM) avulla. SIEM-ratkaisut kokoavat tietoja koko organisaatiosta ja kolmansien osapuolten lähteistä tietoturvatiimien tärkeiden kyberuhkien näyttämiseksi tärkeysjärjestykseen ja niiden ratkaisemiseen. Monet SIEM-ratkaisut reagoivat myös automaattisesti tiettyihin tunnettuihin uhkiin, mikä vähentää ryhmän tutkittavien tapausten määrää.

Missä tahansa organisaatiossa on satoja tai tuhansia päätepisteitä. Yritysten liiketoimintaan käyttämien palvelimien, tietokoneiden, mobiililaitteiden ja esineiden Internet (IoT) laitteiden välillä voi olla lähes mahdotonta pitää ne kaikki ajan tasalla. Pahantekijät tietävät tämän, minkä vuoksi monet verkkohyökkäykset alkavat vaarantuneesta päätelaitteesta. Päätepisteen havaitseminen ja reagointi Tutustu siihen, miten EDR-tekniikka auttaa organisaatioita suojautumaan vakavilta kyberuhilta, kuten kiristysohjelmilta.Päätepisteen tunnistamisen ja reagoinnin ratkaisut auttavat tietoturvatiimejä tarkkailemaan niitä uhkien varalta ja reagoimaan nopeasti, kun ne havaitsevat laitteessa tietoturvaongelman.

Laajennettu tunnistus ja reagointi (XDR) Lue, miten laajennetut tunnistus- ja reagointiratkaisut tarjoavat uhkien torjuntaa ja lyhentävät kuormitusten vasteaikaa.Laajennetun tunnistuksen ja vastauksen (XDR) ratkaisut vievät päätepisteen tunnistamisen ja vastauksen askeleen pidemmälle yhdellä ratkaisulla, joka suojaa päätepisteet, käyttäjätiedot, pilvisovellukset ja sähköpostit.

Kaikilla yrityksillä ei ole käytettävissään sisäisiä resursseja uhkien tehokkaaseen tunnistamiseen ja niihin vastaamiseen. Nämä organisaatiot voivat laajentaa olemassa olevaa suojaustiimiään ottamalla yhteyttä palveluntarjoajiin, jotka tarjoavat hallitun tunnistamisen ja vastauksen. Nämä palveluntarjoajat ovat vastuussa organisaation ympäristön valvonnasta ja uhkiin vastaamisesta.

Vaikka kyberhyökkäysketjun ymmärtäminen voi auttaa yrityksiä ja hallituksia valmistautumaan ennakoivasti monimutkaisiin, monivaiheisiin kyberuhkiin ja reagoimaan niihin, niiden yksinomainen luottaminen voi altistaa organisaation muuntyyppisille kyberhyökkäyksille. Kyberhyökkäysketjun yleisiä arvosteluja ovat seuraavat:

• Keskittyy haittaohjelmiin. Alkuperäisen kyberhyökkäysketjun puitteet on suunniteltu havaitsemaan haittaohjelmia ja reagoimaan niihin, eikä se ole yhtä tehokas muuntyyppisille hyökkäyksille, kuten luvattomalle käyttäjälle, joka pääsee käsiksi vaarantuneilla tunnistetiedoilla.

• Ihanteellinen alueen turvaamiseen. Painottamalla päätepisteiden suojaamista kyberhyökkäysketjumalli toimi hyvin, kun suojattavana oli yksi verkon alue. Nyt kun etätyöntekijöitä, pilvipalveluja ja jatkuvasti kasvava määrä laitteita käyttää yrityksen resursseja, voi olla lähes mahdotonta korjata jokaista päätepisteen haavoittuvuutta.

• Ei ole varustettu sisäpiiriuhkia varten. Sisäpiiriläisiä, joilla on jo pääsy joihinkin järjestelmiin, on vaikeampi havaita kyberhyökkäysketjumallilla. Sen sijaan organisaatioiden on valvottava ja havaittava käyttäjän toiminnan muutoksia.

• Liian lineaarinen. Vaikka monet verkkohyökkäykset noudattavat kyberhyökkäysketjussa esitettyjä kahdeksaa vaihetta, on myös monia sellaisia, jotka eivät noudata niitä tai joissa useita vaiheita yhdistetään yhdeksi toimeksi. Organisaatiot, jotka keskittyvät liikaa kuhunkin vaiheeseen, saattavat jättää nämä verkkouhat huomaamatta.

Vuodesta 2011, jolloin Lockhead Martin esitteli ensimmäisen kerran kyberhyökkäysketjun, teknologia- ja kyberuhkakentässä on tapahtunut paljon muutoksia. Pilvitekniikka, mobiililaitteet ja IoT-laitteet ovat muuttaneet sitä, miten ihmiset työskentelevät ja yritykset toimivat. Kyberuhkien aiheuttajat ovat vastanneet näihin uusiin teknologioihin omilla innovaatioillaan, joihin kuuluu muun muassa automaation ja tekoälyn käyttö kyberhyökkäysten nopeuttamiseksi ja parantamiseksi. Kyberhyökkäysketju on erinomainen lähtökohta ennakoivan tietoturvastrategian kehittämiselle, jossa huomioidaan kyberhyökkäysajattelua ja tavoitteita. Microsoft Security tarjoaa yhtenäisen SecOps-ympäristön, joka yhdistää XDR:n ja SIEM:n yhdeksi mukautuvaksi ratkaisuksi, jonka avulla organisaatiot voivat kehittää monikerroksisen suojauksen, joka suojaa kyberhyökkäysketjun kaikkia vaiheita. Organisaatiot valmistautuvat myös uusiin tekoälypohjaisiin kyberuhkiin investoimalla tekoälyn kyberturvallisuusratkaisuihin, kuten Microsoft Security Copilotiin.