Убийственная цепочка: что такое Cyber Kill Chain и как ее использовать

Защита данных

Cyber Kill Chain, или «убийственная цепочка», — это серия шагов, описывающих этапы кибератаки, начиная с разведки на ранних этапах и до самой эксфильтрации данных. Убийственная цепочка помогает нам понять и эффективно бороться с программами-вымогателями, нарушениями безопасности и таргетированными атаками.
Компания Lockheed Martin позаимствовала принципы «убийственной цепочки» из военной модели, изначально созданной для идентификации, подготовки к атаке, поражения и уничтожения цели. С момента своего создания убийственная цепочка развивалась, чтобы лучше предвидеть и распознавать внутренние угрозы, социальную инженерию, программы-вымогатели и целенаправленные атаки.

Как работает Cyber Kill Chain

Существует несколько ключевых этапов убийственной цепочки. Они варьируются от разведки (часто это первый этап атаки вредоносной программы) до перемещения внутри сети (горизонтальное перемещение по сети с целью получения доступа большему количеству данных) и кражи данных (эксфильтрации). Все распространенные векторы атак, будь то фишинг, брутфорс или новейшая вредоносная программа, можно разложить по этапам в убийственной цепочке.

Каждый этап связан с определенным типом действий при кибератаке, независимо от того, внутренняя это атака или внешняя:

Разведка

Этап наблюдения: злоумышленники обычно оценивают ситуацию извне, чтобы определить цели и тактику атаки.

Вторжение

На основании полученных на этапе разведки данных злоумышленники могут проникнуть в ваши системы. Нередко для этого используются вредоносные программы или уязвимости в защите.

Заражение

На этом этапе злоумышленники используют уязвимости для внедрения вредоносного кода в систему жертвы, чтобы таким образом там закрепиться.

Повышение прав

Злоумышленникам требуется больше прав в системе, чтобы получить доступ к большему количеству данных и разрешений. Для этого они нередко стремятся получить права администратора.

Перемещение по сети

Попав в систему, злоумышленники могут перейти к другим системам и учетным записям, чтобы иметь больше рычагов влияния, будь то получение более высокого уровня прав, большего количества данных или более широкого доступа к системам.

Сокрытие и запутывание

Для того, чтобы успешно провести кибератаку, злоумышленникам нужно замести следы. На этом этапе они часто оставляют ложные следы, изменяют данные и стирают журналы, чтобы запутать или замедлить работу службы безопасности или сетевой криминалистики.

Блокировка работы компании и бизнес-процессов

Нарушение нормального доступа для пользователей и систем, чтобы помешать обнаружению, отслеживанию и блокированию атаки.

Эксфильтрация

Этап извлечения полученных данных из взломанной системы.

Далее мы подробнее рассмотрим каждый этап цепочки Kill Chain.

Восемь этапов цепочки Cyber Kill Chain

На каждом этапе убийственной цепочки существует возможность остановить текущую кибератаку: с правильными инструментами для обнаружения и распознавания поведения на каждом этапе вы сможете лучше защититься от проникновения в систему или кражи данных.

Разведка

Перед каждым ограблением нужно, в первую очередь, «прощупать почву». Такой же принцип лежит в основе кибер-ограблений. Разведка — это предварительный этап атаки, миссия по сбору информации. Во время разведки злоумышленник пытается выявить уязвимости и слабые места в системе. Изучается всё: брандмауэры, системы предотвращения вторжений и обеспечения безопасности периметра. В наши дни идентифицируются и исследуются даже учетные записи в социальных сетях. Инструменты разведки сканируют корпоративные сети в поиске точек входа, а также уязвимостей, которые можно использовать.

Вторжение

Как только разведывательная информация собрана, самое время приступать к взлому. На этапе вторжения, когда атака переходит в активную фазу, злоумышленники могут отправить жертве вредоносную программу, такую как программа-вымогатель, шпионское и рекламное ПО, чтобы получить доступ к системе. Это называется этапом доставки, и он может осуществляться через фишинговое письмо, взломанный веб-сайт или даже бесплатный, но такой уязвимый Wi-Fi в отличной кофейне около вашего дома. Вторжение — это момент входа злоумышленника внутрь системы для дальнейшей реализации атаки.

Заражение

Итак, периметр нарушен, дверь открыта, и злоумышленник ступил внутрь. На этом этапе киберпреступники используют уязвимости системы, чтобы заразить ее. Они проникают в систему и разворачивают дополнительные инструменты, подменяют сертификаты безопасности и создают новые файлы сценариев для своих целей.

Повышение привилегий

Какой смысл проникать в здание, если ты застрял в вестибюле? Злоумышленники используют повышение прав, чтобы получить расширенный доступ к ресурсам. Методы повышения прав нередко включают подбор паролей методом полного перебора (брутфорс), использование уязвимостей пароля и уязвимостей нулевого дня. Киберпреступники изменяют параметры безопасности объектов групповой политики, конфигурацию файлов и разрешения, а также пытаются извлечь учетные данные.

Перемещение внутри сети

Итак, проникновение и заражение прошло успешно, но всё еще нужно найти то, ради чего и затевалась атака. Злоумышленники будут перемещаться в сети и распространяться на другие равнозначные устройства (горизонтальное перемещение), чтобы получить больше доступов и найти больше ценных данных. На этом этапе проводится расширенная разведка для обнаружения данных: злоумышленники ищут критически важные данные и конфиденциальную информацию, административные учетные записи и серверы электронной почты. Для этого они часто пользуются теми же ресурсами, что и сотрудники ИТ-отдела, а также встроенными инструментами, такими как PowerShell, чтобы нанести наибольший ущерб.

Сокрытие и запутывание

Вспомните фильмы: преступники транслируют в камеры видеонаблюдения закольцованную запись, показывающую пустые охраняемые помещения, чтобы никто не заподозрил, что происходит что-то неладное. Киберпреступники делают то же самое: скрывают свое присутствие и маскируют деятельность, чтобы как можно дольше избежать обнаружения, а также помешать расследованию, когда оно неизбежно начнется. Для этого преступники стирают файлы и метаданные, оставляют на данных ложные временны́е метки и вводящую в заблуждение информацию, а также изменяют важные данные так, чтобы казалось, что они остались нетронутыми.

Блокировка работы

Заглушите телефонные линии, обесточьте здание и посмотрите, смогут ли жертвы что-то предпринять. На этом этапе злоумышленники нацелены на сеть и инфраструктуру данных, чтобы настоящие пользователи не могли получить то, что им нужно. Атака отказа в обслуживании (DoS) прерывает и приостанавливает доступ, а также может привести к сбою в работе систем и служб.

Эксфильтрация данных

Всегда имейте пути для отступления. Злоумышленники получают желаемое: они копируют, передают или перемещают конфиденциальные данные туда, где могут сделать с ними всё, что захотят: потребовать выкуп, отправить на Wikileaks или просто продать на Ebay. На эксфильтрацию всех данных могут уйти дни, но как только дело сделано, данные будут под полным и безраздельным контролем злоумышленников.

Выводы

Различные методы безопасности предполагают разные подходы к Cyber Kill Chain. Различные компании, от Gartner до Lockheed Martin, определяют этапы немного по-своему. Альтернативные модели «убийственной цепочки» объединяют некоторые из вышеперечисленных шагов в этап C2 (этап получения контроля и управления), а другие — в этап под обобщенным названием «действия по достижению цели». Некоторые объединяют этапы перемещения по сети и эскалации прав в «стадию исследования»; другие — этапы вторжения и заражения в «стадию проникновения».

Модель «убийственной цепочки» часто критикуют за то, что она сосредоточена на безопасности периметра и в основном защищает от вредоносных программ, однако в сочетании с расширенной аналитикой и прогностическим моделированием методика Cyber Kill Chain становится решающим фактором для безопасности данных.

Структура «убийственной цепочки» создана таким образом, чтобы выявить активную утечку данных. Каждый этап цепочки требует определенных инструментов для обнаружения кибератак, и Varonis имеет уже готовые модели угроз для обнаружения атак на каждом этапе цепочки Cyber Kill Chain.

Наблюдая за внешней активностью, такой как VPN, DNS и прокси, Varonis помогает обезопасить основные пути входа и выхода в системах организации. Отслеживая активность файлов и поведение пользователей, Varonis может обнаруживать атаки на любом этапе убийственной цепочки, от атак на Kerberos до признаков деятельности вредоносных программ.

Хотите увидеть, как это работает? Запишитесь на интерактивную демонстрацию, во время которой мы покажем, как Varonis справляется с каждым этапом Cyber Kill Chainю.

 

Бесплатный аудит рисков кибербезопасности

Узнайте об уязвимостях вашей ИТ-инфраструктуры - мы проведем бесплатный аудит рисков и подготовим для вас отчет. Это займет около 90 минут вашего времени и никак не отразится на бизнес-процессах компании.