Cyber -Kill -Kette
Die Cyber Kill-Kette (CKC) ist ein traditionelles Sicherheitsmodell, das ein Szenario der alten Schule beschreibt, ein externer Angreifer, der Schritte unternimmt. CKC wird von einem Team entwickelt, das als Computer -Sicherheitsteam bekannt ist. Die Cyber -Kill -Kette beschreibt einen Angriff eines externen Angreifers, der versucht, Zugriff auf Daten innerhalb des Umfangs der Sicherheit zu erhalten
Jede Stufe der Cyber -Kill -Kette zeigt ein spezifisches Ziel zusammen mit dem des Angreiferwegs. Entwerfen Sie Ihr Cyber -Überwachung und Reaktionsplan für Cybermodell -Kettenketten sind eine effektive Methode, da sie sich darauf konzentriert, wie die Angriffe auftreten. Zu den Phasen gehören:
Stufen der Cyber -Kill -Kette werden nun beschrieben:
Schritt 1: Aufklärung
Es enthält die Ernte von E -Mail -Adressen, Informationen zur Konferenz usw. Aufklärungsangriff bedeutet, dass es eine Anstrengung der Bedrohungen ist, Daten über Netzwerksysteme so weit wie möglich aufzunehmen, bevor Sie andere echte feindliche Arten von Angriffen starten. Aufklärungsangriffe sind zwei Arten passive Aufklärung und aktive Aufklärung. Der Erkennungsangriff konzentriert sich auf „WHO“ oder Netzwerk: Wer wird sich wahrscheinlich auf die privilegierten Personen für den Systemzugriff oder den Zugriff auf „Netzwerk“ -Kontrolldaten konzentrieren sich auf Architektur und Layout. Werkzeug, Geräte und Protokolle; und die kritische Infrastruktur. Verstehe das Verhalten des Opfers und brich in ein Haus für das Opfer.
Schritt 2: Waffe
Versorgung der Nutzlast durch Kopplung von Exploits mit einer Hintertür.
Als nächstes werden Angreifer ausgefeilte Techniken anwenden, um eine Kernmalware zu überarbeiten, die ihren Zwecken entspricht. Die Malware kann bisher unbekannte Schwachstellen, AKA-Zero-Day-Exploits oder eine Kombination von Schwachstellen ausnutzen, um die Verteidigung eines Netzwerks abhängig von den Anforderungen und Fähigkeiten des Angreifers leise zu besiegen. Durch die Wiedergängerung der Malware reduzieren Angreifer die Chancen, dass herkömmliche Sicherheitslösungen sie erkennen werden. „Die Hacker verwendeten Tausende von Internet -Geräten, die zuvor mit einem böswilligen Code infiziert sind - als„ Botnetz “oder scherzhaft eine„ Zombie -Armee “ - eine besonders leistungsstarke verteilte Verweigerung des Dienstes Angriff (DDOs) erzwingen,.
Schritt 3: Lieferung
Der Angreifer sendet die böswillige Nutzlast des Opfers mit E -Mail, was nur einer von vielen, den der Angreifer möglicherweise in Eindringungsmethoden einsetzt. Es gibt über 100 mögliche Liefermethoden.
Ziel:
Angreifer beginnen mit dem Eindringen (Waffen, die im vorherigen Schritt 2 entwickelt wurden). Die zwei grundlegenden Methoden sind:
Diese Stufe zeigt die erste und bedeutendste Gelegenheit für Verteidiger, eine Operation zu behindern. Dadurch werden jedoch einige wichtige Funktionen und andere hoch geschätzte Dateninformationen besiegt. In diesem Stadium messen wir die Lebensfähigkeit der Versuche beim fraktionalen Eindringen, die am Beförderpunkt behindert werden.
Schritt 4: Ausbeutung
Sobald Angreifer eine Änderung Ihres Systems identifizieren, nutzen sie die Schwäche und führen ihren Angriff aus. Während der Ausbeutungsphase des Angriffs erfolgt der Angreifer und die Wirtsmaschine in der Regel eines von zwei Maßnahmen:
In den letzten Jahren ist dies zu einem Fachgebiet in der Hacking -Community geworden, das bei Veranstaltungen wie Blackhat, Defcon und dergleichen häufig demonstriert wird.
Schritt 5: Installation
Zu diesem Zeitpunkt ermöglicht die Installation eines Fernzugriffs -Trojaner oder Hintertür auf dem System des Opfers den Anwärter, die Beharrlichkeit in der Umgebung aufrechtzuerhalten. Die Installation von Malware am Asset erfordert die Einbeziehung der Endbenutzer. Aktion kann an dieser Stelle als kritisch angesehen werden. Eine Technik dafür wäre die Implementierung eines Host-basierten Intrusion Prevention (HIPS) -System. NSA -Job, Recycler. Es ist kritisch. Verteidiger müssen den Endpunktprüfprozess verstehen, um abnormale Kreationen von Dateien aufzudecken. Sie müssen wissen, wie man das Malware -Timing kompiliert, um festzustellen, ob es alt oder neu ist.
Schritt 6: Befehl und Kontrolle
Ransomware verwendet Verbindungen zur Steuerung. Laden Sie die Schlüssel zur Verschlüsselung herunter, bevor Sie die Dateien beschlagnahmen. Die Trojaner -Remote -Zugriff öffnet beispielsweise einen Befehl und steuern die Verbindung, sodass Sie Ihre Systemdaten remote angehen können. Dies ermöglicht eine kontinuierliche Konnektivität für die Umwelt und die Aktivität der Detektivmessung in der Verteidigung.
Wie funktioniert es?
Befehls- und Steuerplan wird normalerweise über ein Leuchtfeuer aus dem Netz über dem zulässigen Pfad durchgeführt. Beacons nehmen viele Formen an, aber sie sind in den meisten Fällen in der Regel:
Http oder https
Scheint gutartiger Verkehr durch gefälschte HTTP -Header
In Fällen, in denen die Kommunikation verschlüsselt ist.
Schritt 7: Aktionen zu Zielen
Aktion bezieht sich auf die Art und Weise, in der der Angreifer sein endgültiges Ziel erreicht. Das ultimative Ziel des Angreifers könnte alles sein, um ein Lösegeld von Ihnen zu extrahieren, um Dateien für Kundeninformationen aus dem Netzwerk zu entschlüsseln. In dem Inhalt könnte das letztere Beispiel das Exfiltration von Lösungen zur Prävention von Datenverlusten stoppen, bevor Daten Ihr Netzwerk verlassen. Andernfalls können Angriffe verwendet werden. Dies ist ein komplizierter und dynamischer Angriffsprozess, der in Monaten und Hunderten von kleinen Schritten stattfinden kann. Sobald diese Phase in einer Umgebung identifiziert ist, müssen die Umsetzung vorbereiteter Reaktionspläne eingeleitet werden. Zum meisten eine Cirt -Gruppe. Diese Ressourcen, die im Voraus gut etabliert sind.