Vad är cyber kill chain?

2011 anpassade Lockheed Martin till ett amerikanskt begrepp som kallas kill chain för cybersäkerhetsbranschen och gav det namnet cyber kill chain. Precis som kill chain identifierar cyber kill chain stegen i en attack och ger försvararna insikt i sina angripares typiska taktiker och tekniker under varje steg. Båda modellerna är också linjära med förväntningen att angripare kommer att följa varje steg sekventiellt.

Sedan cyber kill chain först introducerades har cyberhotade aktörer utvecklat sina taktiker och följer inte alltid alla steg i cyber kill chain. Som svar har säkerhetsbranschen uppdaterat sin metod och utvecklat nya modeller. Matrisen MITRE ATT&CK® är en detaljerad lista över taktiker och tekniker som baseras på verkliga attacker. Den använder liknande faser som cyber kill chain, men följer inte en linjär ordning.

År 2017 utvecklade Paul Pols i samarbete med Fox-IT och Leiden University ett annat ramverk, den enhetliga kill chain, som kombinerar element från både MITRE ATT&CK-matrisen och cyber kill chain till en modell med 18 steg.

Spaning

Cyber kill chain definierar en sekvens av cyberattackfaser med målet att förstå cyberattackers tankesätt, inklusive deras motiv, verktyg, metoder och tekniker, hur de fattar beslut och hur de undviker identifiering. Att förstå hur cyber kill chain fungerar hjälper försvar att stoppa cyberattacker i de tidigaste stegen.

Under beväpningsfasen använder dåliga aktörer den information som avslöjas under rekognoseringen för att skapa eller ändra skadlig kod Läs mer om skadlig kod och hur du skyddar dig mot cyberattacker.skadlig kod för att på bästa sätt utnyttja organisationens svagheter.

När de har skapat skadlig kod försöker cyberattacker starta sin attack. En av de vanligaste metoderna är att använda sociala tekniker som nätfiske för att lura anställda att lämna över sina inloggningsuppgifter. Dåliga aktörer kan också komma in genom att dra nytta av en offentlig trådlös anslutning som inte är särskilt säker eller utnyttjar en säkerhetsrisk för programvara eller maskinvara som upptäcks under rekognoseringen.

När cyberhotade aktörer har infiltrerat organisationen använder de sin åtkomst för att flytta i sidled från system till system. Målet är att hitta känsliga data, ytterligare sårbarheter, administrativa konton eller e-postservrar som de kan använda för att skada organisationen.

I installationsfasen installerar dåliga aktörer skadlig kod som ger dem kontroll över fler system och konton.

När cyberattacker har fått kontroll över ett stort antal system skapar de ett kontrollcenter som gör att de kan fjärrstyra. Under det här steget använder de fördunkling för att täcka sina spår och undvika identifiering. De använder också överbelastningsattacker för att distrahera säkerhetspersonal från deras verkliga mål.

I det här skedet vidtar cyberattacker åtgärder för att uppnå sitt primära mål, vilket kan omfatta attacker i leveranskedjan, dataexfiltrering, datakryptering eller datadestruktion.

Även om Lockhead Martins ursprungliga cyber kill chain bara innehöll sju steg har många cybersäkerhetsexperter utökat den till åtta för att ta hänsyn till de aktiviteter som dåliga aktörer tar för att generera intäkter från attacken, till exempel att använda utpressningstrojaner för att extrahera en betalning från sina offer eller sälja känsliga data på den mörka webben.

Att förstå hur cyberhotade aktörer planerar och utför sina attacker hjälper cybersäkerhetspersonal att hitta och minska sårbarheter i hela organisationen. Det hjälper dem också att identifiera indikatorer på komprometterande under de tidiga faserna av en cyberattack. Många organisationer använder modellen för cyber kill chain för att proaktivt införa säkerhetsåtgärder och för att vägleda incidenthantering.

Hotinformation

Ett av de viktigaste verktygen för att skydda en organisation från cyberhot är hotinformation. Bra lösningar för hotinformation syntetiserar data från en organisations miljö och levererar användbara insikter som hjälper säkerhetspersonal att upptäcka cyberattacker tidigt.

Ofta infiltrerar dåliga aktörer en organisation genom att gissa eller stjäla lösenord. När de kommer in försöker de eskalera behörigheter för att få åtkomst till känsliga data och system. Lösningar för Identitets- och åtkomsthantering: Lär dig hur IAM skyddar, hanterar och definierar användarroller och åtkomstprivilegierIdentitets- och åtkomsthantering hjälper till att identifiera avvikande aktivitet som kan vara en indikation på att en obehörig användare har fått åtkomst. De erbjuder också kontroller och säkerhetsåtgärder, till exempel tvåfaktorautentisering, som gör det svårare för någon att använda stulna autentiseringsuppgifter för att logga in.

Många organisationer ligger före de senaste cyberhoten med hjälp av en SIEM-lösning (säkerhetsinformation och händelsehantering). SIEM-lösningar sammanställer data från hela organisationen och från tredjepartskällor för att visa kritiska cyberhot för säkerhetsteam att sortera och hantera. Många SIEM-lösningar svarar också automatiskt på vissa kända hot, vilket minskar antalet incidenter som ett team behöver undersöka.

I en organisation finns det hundratals eller tusentals slutpunkter. Mellan servrar, datorer, mobila enheter och Sakernas Internet-enheter (IoT) som företag använder för att göra affärer kan det vara nästan omöjligt att hålla dem uppdaterade. Dåliga aktörer vet detta, vilket är anledningen till att många cyberattacker börjar med en komprometterad slutpunkt. Lösningar för Slutpunktsidentifiering och svar. Utforska hur EDR-teknik hjälper organisationer att skydda mot allvarliga cyberhot som utpressningstrojaner.Slutpunktsidentifiering och svar hjälper säkerhetsteam att övervaka dem efter hot och svara snabbt när de upptäcker ett säkerhetsproblem med en enhet.

Utökad identifiering och svar (XDR) Lär dig hur XDR-lösningar (extended detection and response) ger skydd mot hot och minskar svarstiden mellan arbetsbelastningar.XDR(Extended Detection and Response) lösningar tar slutpunktsidentifiering och svar ett steg längre med en enda lösning som skyddar slutpunkter, identiteter, molnappar och e-postmeddelanden.

Alla företag har inte interna resurser som är tillgängliga för att effektivt identifiera och reagera på hot. För att utöka sitt befintliga säkerhetsteam vänder sig dessa organisationer till tjänstleverantörer som erbjuder hanterad identifiering och svar. Dessa tjänstleverantörer tar på sig ansvaret att övervaka en organisations miljö och svara på hot.

Även om förståelsen av cyber kill chain kan hjälpa företag och myndigheter att proaktivt förbereda sig för och reagera på komplexa cyberhot med flera gångar, men att förlita sig på den exklusivt kan göra en organisation sårbar för andra typer av cyberattacker. Några av de vanligaste orsakerna till cyber kill chain är att det är:

• Fokuserat på skadlig kod. Det ursprungliga ramverket för cyberhot har utformats för att identifiera och svara på skadlig kod och är inte lika effektivt mot andra typer av attacker, till exempel en obehörig användare som får åtkomst med komprometterade autentiseringsuppgifter.

• Perfekt för perimetersäkerhet. Med fokus på att skydda slutpunkter fungerade modellen för cyber kill chain bra när det fanns en enda nätverksperimeter att skydda. Nu när så många distansarbetare, molnet och ett ständigt växande antal enheter har åtkomst till ett företags tillgångar kan det vara nästan omöjligt att åtgärda alla sårbarheter i slutpunkten.

• Inte utrustad för insiderhot. Insiders, som redan har åtkomst till vissa system, är svårare att identifiera med en modell för cyber kill chain. I stället måste organisationer övervaka och identifiera ändringar i användaraktiviteten.

• För linjär. Även om många cyberattacker följer de åtta faserna som beskrivs i cyber kill chain finns det också många som inte eller kombinerar flera steg i en enda åtgärd. Organisationer som är för fokuserade på var och en av faserna kan missa dessa cyberhot.

Sedan 2011, när Lockheed Martin först introducerade cyber kill chain, har mycket förändrats inom teknik- och cyberhotlandskapet. Molnbaserad databehandling, mobila enheter och IoT-enheter har omvandlat hur människor arbetar och företag fungerar. Cyberhotade aktörer har svarat på dessa nya tekniker med sina egna innovationer, inklusive att använda automatisering och AI för att påskynda och förbättra sina cyberattacker. Cyber kill chain är en bra utgångspunkt för att utveckla en proaktiv säkerhetsstrategi som tar hänsyn till cyberattackerns tankesätt och mål. Microsoft Security erbjuder en enhetlig SecOps-plattform som sammanför XDR och SIEM till en anpassningsbar lösning som hjälper organisationer att utveckla ett skydd med flera lager som skyddar alla steg i cyber kill chain. Och organisationer förbereder sig också för nya, AI-drivna cyberhot genom att investera i AI för cybersäkerhetslösningar, som Microsoft Security Copilot.