Czym jest cybernetyczna struktura ataku?

W 2011 roku firma Lockheed Martin dostosowała wojskową koncepcję zwaną strukturą ataku do potrzeb branży cyberbezpieczeństwa i nadała jej nazwę cybernetycznej struktury ataku. Podobnie jak struktura ataku, cybernetyczna struktura ataku identyfikuje etapy ataku i daje obrońcom szczegółowe informacje na temat typowych taktyk i technik stosowanych przez przeciwników na każdym etapie. Oba modele są liniowe i zakładają, że atakujący będą kolejno wykonywać każdy etap.

Od czasu wprowadzenia cybernetycznej struktury ataku hakerzy udoskonalili swoje taktyki i nie zawsze przestrzegają każdego etapu cybernetycznej struktury ataku. W odpowiedzi branża zabezpieczeń zaktualizowała swoje podejście i opracowała nowe modele. Macierz MITRE ATT&CK® to szczegółowa lista taktyk i technik oparta na prawdziwych atakach. Wykorzystuje ona podobne etapy jak cybernetyczna struktura ataku, ale nie postępuje w liniowej kolejności.

W 2017 r. Paul Pols we współpracy z firmą Fox-IT i Uniwersytetem w Lejdzie opracował kolejną strukturę – ujednoliconą strukturę ataku, która łączy elementy macierzy MITRE ATT&CK i cybernetyczną strukturę ataku w model obejmujący 18 etapów.

Rozpoznanie

Cybernetyczna struktura ataku definiuje sekwencję faz cyberataku, której celem jest zrozumienie sposobu myślenia cyberprzestępców, w tym ich motywów, narzędzi, metod i technik, sposobu podejmowania decyzji i unikania wykrycia. Zrozumienie, jak działa cybernetyczna struktura ataku, pomaga obrońcom powstrzymać cyberataki na najwcześniejszych etapach.

W fazie uzbrojenia hakerzy wykorzystują informacje odkryte w trakcie rozpoznania do tworzenia lub modyfikowania złośliwego oprogramowania w celu jak najlepszego wykorzystania słabości docelowej organizacji.

Po stworzeniu złośliwego oprogramowania cyberprzestępcy próbują przeprowadzić atak. Jedną z najpopularniejszych metod jest wykorzystywanie technik inżynierii społecznej, takich jak wyłudzanie informacji, w celu nakłonienia pracowników do podania swoich poświadczeń. Hakerzy mogą również uzyskać dostęp do systemu, wykorzystując publiczne połączenie bezprzewodowe, które nie jest zbyt bezpieczne, lub wykorzystując lukę w zabezpieczeniach oprogramowania lub sprzętu odkrytą podczas rozpoznania.

Po infiltracji organizacji hakerzy wykorzystują swój dostęp, aby poruszać się między systemami. Ich celem jest znalezienie danych poufnych, dodatkowych luk w zabezpieczeniach, kont administracyjnych lub serwerów poczty e-mail, które mogą wykorzystać do wyrządzenia szkód w organizacji.

Na etapie instalacji hakerzy instalują złośliwe oprogramowanie, które daje im kontrolę nad większą liczbą systemów i kont.

Po przejęciu kontroli nad znaczną liczbą systemów cyberprzestępcy tworzą centrum sterowania, które umożliwia im zdalne działanie. Na tym etapie stosują zaciemnianie kodu, aby zatrzeć ślady i uniknąć wykrycia. Stosują również ataki typu „odmowa usługi” w celu odwrócenia uwagi specjalistów ds. zabezpieczeń od ich prawdziwego celu.

Na tym etapie cyberprzestępcy podejmują kroki mające na celu osiągnięcie swojego głównego celu, do którego mogą należeć ataki na łańcuch dostaw, eksfiltracja danych, szyfrowanie danych lub ich niszczenie.

Chociaż pierwotna cybernetyczna struktura ataku firmy Lockhead Martin obejmowała zaledwie siedem kroków, wielu ekspertów ds. cyberbezpieczeństwa rozszerzyło ją do ośmiu, aby uwzględnić działania podejmowane przez hakerów w celu uzyskania dochodu z ataku, takie jak używanie oprogramowania ransomware do wyłudzania pieniędzy od ofiar lub sprzedaż danych poufnych w darknecie.

Zrozumienie, w jaki sposób osoby dokonujące cyberataków planują i przeprowadzają ataki, pomaga specjalistom ds. cyberbezpieczeństwa znajdować i ograniczać luki w zabezpieczeniach w całej organizacji. Pomaga im również identyfikować oznaki zagrożenia już na wczesnym etapie cyberataku. Wiele organizacji używa modelu cybernetycznej struktury ataku, aby proaktywnie wdrażać środki w zakresie zabezpieczeń i działać poprzez reagowanie na zdarzenia.

Analiza zagrożeń

Jednym z najważniejszych narzędzi ochrony organizacji przed cyberzagrożeniami jest analiza zagrożeń. Dobre rozwiązania do analizy zagrożeń syntetyzują dane z całego środowiska organizacji i dostarczają praktycznych szczegółowych informacji, które pomagają specjalistom ds. zabezpieczeń wcześnie wykrywać cyberataki.

Często hakerzy infiltrują organizację poprzez zgadywanie lub kradzież haseł. Po dostaniu się do środka próbują podnieść uprawnienia, aby uzyskać dostęp do poufnych danych i systemów. Rozwiązania dotyczące zarządzania tożsamościami i dostępem pomagają wykrywać nietypowe działania, które mogą wskazywać na to, że dostęp uzyskał nieautoryzowany użytkownik. Oferują one również funkcje kontroli i środki w zakresie zabezpieczeń, takie jak uwierzytelnianie dwuskładnikowe, które utrudniają osobom trzecim zalogowanie się przy użyciu skradzionych poświadczeń.

Wiele organizacji jest o krok przed najnowszymi zagrożeniami cybernetycznymi dzięki rozwiązaniom z zakresu zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM). Rozwiązania SIEM agregują dane z całej organizacji oraz ze źródeł zewnętrznych, aby wykrywać krytyczne zagrożenia cybernetyczne, które zespoły ds. zabezpieczeń mogą następnie klasyfikować i usuwać. Wiele rozwiązań SIEM automatycznie reaguje także na pewne znane zagrożenia, zmniejszając tym samym liczbę zdarzeń, które zespół musi zbadać.

W każdej organizacji istnieją setki lub tysiące punktów końcowych. Biorąc pod uwagę liczbę serwerów, komputerów, urządzeń przenośnych i urządzeń Internetu rzeczy (IoT) wykorzystywanych przez firmy do prowadzenia działalności, niemal niemożliwe jest ich ciągłe uaktualnianie. Hakerzy o tym wiedzą, dlatego wiele cyberataków rozpoczyna się od naruszenia zabezpieczeń punktu końcowego. Rozwiązania dotyczące wykrywania i reagowania w punktach końcowych pomagają zespołom ds. zabezpieczeń monitorować urządzenia pod kątem zagrożeń i szybko reagować w przypadku wykrycia problemu związanego z zabezpieczeniem urządzenia.

Rozwiązania dotyczące rozszerzonych możliwości wykrywania zagrożeń i reagowania na nie (XDR) przenoszą wykrywanie zagrożeń i reagowanie na nie na wyższy poziom dzięki pojedynczemu rozwiązaniu chroniącemu punkty końcowe, tożsamości, aplikacje w chmurze i wiadomości e-mail.

Nie wszystkie firmy dysponują wewnętrznymi zasobami umożliwiającymi skuteczne wykrywanie zagrożeń i reagowanie na nie. Aby wzmocnić swój istniejący zespół ds. zabezpieczeń, organizacje te zwracają się do dostawców usług oferujących zarządzane możliwości wykrywania zagrożeń i reagowania na nie. Dostawcy usług biorą na siebie odpowiedzialność monitorowania środowiska organizacji i reagowania na zagrożenia.

Chociaż zrozumienie cybernetycznej struktury ataku może pomóc firmom i rządom proaktywnie przygotowywać się i reagować na złożone, wieloetapowe cyberzagrożenia, poleganie wyłącznie na nim może narazić organizację na inne rodzaje cyberataków. Oto kilka typowych zarzutów wobec cybernetycznej struktury ataku:

• Skupia się na złośliwym oprogramowaniu. Pierwotna struktura cybernetycznej struktury ataku została zaprojektowana w celu wykrywania i reagowania na złośliwe oprogramowanie. Nie jest ona jednak tak skuteczna w przypadku innych typów ataków, np. gdy nieautoryzowany użytkownik uzyskuje dostęp przy użyciu poświadczeń z naruszonymi zabezpieczeniami.

• Idealna do zabezpieczeń obwodowych. Kładąc nacisk na ochronę punktów końcowych, model cybernetycznej struktury ataku sprawdził się, gdy ochroną objęty był pojedynczy obwód sieci. Teraz, gdy tak wielu pracowników pracuje zdalnie, mamy do czynienia z chmurą i stale rosnącą liczbą urządzeń uzyskujących dostęp do zasobów firmy, niemal niemożliwe staje się zajęcie się wszystkimi lukami w zabezpieczeniach punktów końcowych.

• Brak przygotowania na zagrożenia wewnętrzne. Osoby mające już dostęp do niektórych systemów są trudniejsze do wykrycia za pomocą modelu cybernetycznej struktury ataku. Zamiast tego organizacje muszą monitorować i wykrywać zmiany w aktywności użytkowników.

• Zbyt liniowe. Choć wiele cyberataków przebiega według ośmiu etapów opisanych w cybernetycznej strukturze ataku, istnieje też wiele takich, które nie przebiegają według tych etapów lub łączą kilka etapów w jedną akcję. Organizacje, które skupiają się zbyt mocno na każdym z etapów, mogą przegapić te cyberzagrożenia.

Od 2011 r., kiedy firma Lockhead Martin po raz pierwszy przedstawiła cybernetyczną strukturę ataku, wiele zmieniło się w obszarze technologii i zagrożeń cybernetycznych. Przetwarzanie w chmurze, urządzenia przenośne i urządzenia IoT zmieniły sposób, w jaki ludzie pracują i jak działają firmy. Hakerzy specjalizujący się w cyberzagrożeniach odpowiedzieli na te nowe technologie własnymi innowacjami, m.in. wykorzystując automatyzację i sztuczną inteligencję do przyspieszenia i udoskonalenia cyberataków. Cybernetyczna struktura ataku stanowi doskonały punkt wyjścia do opracowywania proaktywnej strategii zabezpieczeń, uwzględniającej sposób myślenia i cele cyberprzestępców. Rozwiązania zabezpieczające firmy Microsoft oferują ujednoliconą platformę SecOps, która łączy technologie XDR i SIEM w jedno elastyczne rozwiązanie, pomagając organizacjom opracować wielowarstwową obronę zabezpieczającą wszystkie etapy cybernetycznej struktury ataku. Organizacje przygotowują się również na nowe cyberzagrożenia obsługiwane przez sztuczną inteligencję, inwestując w rozwiązania z zakresu cyberbezpieczeństwa wykorzystujące sztuczną inteligencję, takie jak Copilot rozwiązań zabezpieczających firmy Microsoft.