Цепочка убийств - Kill chain

Период, термин убить цепь изначально использовался как военный понятие, связанное со структурой атака; состоящий из идентификации цели, принудительной отправки к цели, принятия решения и приказа атаковать цель и, наконец, уничтожения цели.[1] И наоборот, идея «разорвать» цепочку убийств противника - это метод защита или упреждающее действие.[2] В последнее время, Локхид Мартин адаптировал эту концепцию к информационная безопасность, используя его как метод моделирования вторжений на компьютерная сеть.[3] Модель цепочки кибер-убийств получила некоторое распространение в сообществе информационной безопасности.[4] Однако признание не является универсальным, и критики указывают на то, что, по их мнению, является фундаментальными недостатками модели.[5]

Цепочка военных убийств

F2T2EA

Одной из моделей военной цепочки убийств является «F2T2EA», которая включает в себя следующие фазы:

  • Найти: определить цель. Найдите цель в данных наблюдения или разведки или с помощью средств разведки.
  • Исправление: исправить местоположение цели. Получите конкретные координаты цели либо из существующих данных, либо путем сбора дополнительных данных.
  • Трек: отслеживайте движение цели. Следите за целью до тех пор, пока не будет принято решение не поражать цель или пока цель не будет успешно поражена.
  • Цель: выберите подходящее оружие или актив для использования на цели для создания желаемых эффектов. Используйте возможности командования и управления, чтобы оценить ценность цели и наличие подходящего оружия для поражения.
  • Вступление: примените оружие к цели.
  • Оценка: оцените последствия атаки, включая любую информацию, собранную на месте.

Это интегрированный, непрерывный процесс, описываемый как «цепочка», поскольку прерывание на любом этапе может прервать весь процесс.[6][7]

Предыдущая терминология

«Четыре F» - это военный термин, используемый в вооруженных силах Соединенных Штатов, особенно во время Второй мировой войны.

Разработанные так, чтобы их было легко запомнить, "Четыре F" заключаются в следующем:

  • Найди врага - Найди врага
  • Почини врага - прижми его подавляющим огнем
  • Сражайтесь с врагом - Вступайте в бой с противником или обходите его с фланга - Отправляйте солдат в стороны или в тыл врага
  • Прикончите врага - уничтожьте всех вражеских бойцов

Предлагаемая терминология

«Пять F» - военный термин, описанный майором Майком «Пако» Бенитесом, офицером по системам вооружения F-15E Strike Eagle, служившим в ВВС США и морской пехоте США.

Разработанные для обновления цепочки убийств, чтобы отразить обновленные, автономные и полуавтономные системы оружия, «Пять F» описаны в книге «О ВРЕМЕНИ: НАПРЯЖЕННАЯ НЕОБХОДИМОСТЬ ДЛЯ РАЗВИТИЯ ЦЕПИ УБИЙСТВ» [8] следующее:

  • Find воплощает в себе единство усилий совместной разведки по подготовке операционной среды, согласовывая активы сбора с намерениями командира и целевыми областями интересов. Это неизбежно приводит к обнаружению, которое в дальнейшем может быть классифицировано как появляющаяся цель, если она соответствует замыслу.
  • В доктрине Fix описывается как «определение появляющейся цели как достойной взаимодействия и определение ее положения и других данных с достаточной точностью, чтобы разрешить взаимодействие».
  • Огонь включает в себя использование сил или ресурсов (т.е. выпуск боеприпаса / полезной нагрузки / расходного материала)
  • Завершение подразумевает работу с органами по утверждению удара (т. Е. Поражение цели / стрельба направленной энергией / разрушающая электронная атака). Это похоже на наземный элемент, выполняющий маневры для соприкосновения, но затем придерживающийся предписанных правил ведения боя, когда он достигает точки трения.
  • Обратная связь замыкает рабочий цикл OODA с помощью оценочного шага, в некоторых случаях называемого «оценкой ущерба от бомбы».

Ядерный потенциал Северной Кореи

Новый американский военный план на случай непредвиденных обстоятельств под названием «Цепочка убийств», как сообщается, является первым шагом в новой стратегии использования спутниковых снимков для определения северокорейских стартовых площадок, ядерных объектов и производственных мощностей и их упреждающего уничтожения, если конфликт кажется неизбежным. Об этом плане говорится в совместном заявлении США и Южной Кореи.[9][10]

Цепочка кибер-убийств

Цепочка вторжений для защиты информации[11]

Фазы атаки и контрмеры

В 2011 году компьютерные ученые из корпорации Lockheed-Martin описали новую структуру или модель «цепочки уничтожения вторжений» для защиты компьютерных сетей.[6] Они написали, что атаки могут происходить поэтапно и могут быть прерваны посредством контроля, установленного на каждой фазе. С тех пор "цепочка кибер-убийств" была принята организациями по безопасности данных для определения этапов кибератаки.[12]

Цепочка кибер-убийств раскрывает этапы кибератаки: от ранней разведки до цели кражи данных.[13] Цепочку уничтожения также можно использовать в качестве инструмента управления для постоянного улучшения защиты сети. Согласно Lockheed Martin, угрозы должны проходить в модели несколько этапов, в том числе:

  1. Разведка: злоумышленник выбирает цель, исследует ее и пытается определить уязвимости в целевой сети.
  2. Создание оружия: злоумышленник создает вредоносное оружие для удаленного доступа, такое как вирус или червь, с учетом одной или нескольких уязвимостей.
  3. Доставка: злоумышленник передает оружие цели (например, через вложения электронной почты, веб-сайты или USB-накопители)
  4. Эксплуатация: запускает программный код вредоносного оружия, который предпринимает действия в целевой сети для использования уязвимости.
  5. Установка: Вредоносное оружие устанавливает точку доступа (например, «бэкдор»), которую может использовать злоумышленник.
  6. Управление и контроль. Вредоносное ПО позволяет злоумышленнику «держать в руках клавиатуру» постоянный доступ к целевой сети.
  7. Действия по достижению цели: злоумышленник предпринимает действия для достижения своих целей, например кражу данных, уничтожение данных или шифрование с целью получения выкупа.

Защитные действия могут быть предприняты против этих фаз:[14]

  1. Обнаружить: определить, ковыряется ли злоумышленник
  2. Запретить: предотвратить раскрытие информации и несанкционированный доступ
  3. Disrupt: остановить или изменить исходящий трафик (злоумышленнику)
  4. Degrade: управление контратакой и контроль
  5. Обманывать: мешать командованию и управлению
  6. Содержать: изменения сегментации сети

Расследование сенатом США утечки данных Target Corporation в 2013 году включало анализ, основанный на схеме цепочки убийств Lockheed-Martin. Он выявил несколько этапов, на которых средства контроля не предотвратили или не обнаружили развития атаки.[11]

Альтернативные цепочки убийств

Различные организации создали свои собственные цепочки уничтожения, чтобы попытаться смоделировать различные угрозы. FireEye предлагает линейную модель, аналогичную модели Lockheed-Martin. В цепочке убийств FireEye подчеркивается постоянство угроз. Эта модель подчеркивает, что угроза не исчезает после одного цикла.[15]

  1. Разведка
  2. Первоначальное вторжение в сеть
  3. Установите бэкдор в сеть
  4. Получить учетные данные пользователя
  5. Установите различные утилиты
  6. Повышение привилегий / боковое перемещение / кража данных
  7. Сохраняйте настойчивость

МИТРА поддерживает структуру цепочки уничтожения, известную как MITRE ATT & CK®. Структура моделирует тактики, методы и процедуры, используемые злоумышленниками, и является полезным ресурсом как для красные команды и синие команды. Пентестеры может имитировать такое поведение во время взаимодействия, чтобы представить реальные сценарии и помочь своим клиентам определить эффективность защитных контрмер.[16] Фреймворк ATT & CK имеет 3 основные матрицы: Enterprise, Mobile и ICS. В Enterprise Matrix есть категории для Windows, macOS, Linux и Cloud. Категории Enterprise Windows:

  1. Разведка - противник пытается собрать информацию, которую он может использовать для планирования будущих операций.
  2. Разработка ресурсов - противник пытается найти ресурсы, которые он может использовать для поддержки операций.
  3. Первоначальный доступ - используется для закрепления в сети.
  4. Выполнение - техника, которая приводит к выполнению кода в локальной или удаленной системе.
  5. Постоянство - метод, используемый для поддержания присутствия в системе
  6. Повышение привилегий - результат действий, используемых для получения более высокого уровня разрешения
  7. Defense Evasion - метод, используемый для уклонения от обнаружения или защиты безопасности
  8. Учетный доступ - использование законных учетных данных для доступа к системе
  9. Обнаружение - техника пост-компрометации, используемая для получения внутренних знаний о системе
  10. Боковое движение - движение от одной системы по сети к другой.
  11. Сбор - процесс сбора информации, такой как файлы, до эксфильтрации.
  12. Управление и контроль - поддержание связи в целевой сети
  13. Exfiltration - обнаружение и удаление конфиденциальной информации из системы.
  14. Воздействие - методы, используемые для нарушения бизнес-процессов и операционных процессов.[17]

Критика цепочки кибер-убийств

Среди критических замечаний к модели цепочки кибер-убийств компании Lockheed Martin как к инструменту оценки и предотвращения угроз можно выделить то, что первые фазы происходят вне защищенной сети, что затрудняет выявление действий на этих этапах или защиту от них.[18] Точно так же считается, что эта методология усиливает традиционные защитные стратегии на основе периметра и предотвращения вредоносных программ.[19] Другие отметили, что традиционная цепочка кибер-убийств не подходит для моделирования внутренней угрозы.[20] Это особенно неприятно с учетом вероятности успешных атак, которые нарушают периметр внутренней сети, поэтому организациям «необходимо разработать стратегию борьбы с злоумышленниками внутри брандмауэра. Им нужно думать о каждом злоумышленнике как о потенциальном инсайдере».[21]

Единая цепочка убийств

Унифицированная цепочка уничтожений состоит из 18 уникальных фаз атаки, которые могут возникать при сложных кибератаках.

Унифицированная версия цепочки убийств была разработана для преодоления общей критики традиционной цепочки убийств в киберпространстве путем объединения и расширения цепочки убийств Lockheed Martin и МИТРА Структура ATT & CK. Унифицированная цепочка уничтожений - это упорядоченная структура из 18 уникальных фаз атаки, которые могут происходить при сквозных кибератаках, которые охватывают действия, происходящие вне и внутри защищаемой сети. Таким образом, унифицированная цепочка уничтожений улучшается по сравнению с ограничениями объема традиционной цепочки уничтожений и не зависящей от времени характером тактики в ATT & CK MITRE. Унифицированную модель можно использовать для анализа, сравнения и защиты от сквозных кибератак со стороны сложных постоянных угроз (APT).[22]

Рекомендации

  1. ^ "Подход с цепочкой убийств". Начальник военно-морских операций. 23 апреля 2013 г. Архивировано с оригинал 13 июня 2013 г.
  2. ^ Джонатан Гринерт; Марк Уэлш (17 мая 2013 г.). «Разрыв цепи убийств». Внешняя политика. Получено 30 июня, 2016.
  3. ^ Хиггинс, Келли Джексон (12 января 2013 г.). "Как Lockheed Martin" Kill Chain "остановила атаку SecurID". ТЕМНОЕЧтение. Получено 30 июня, 2016.
  4. ^ Мейсон, Шон (2 декабря 2014 г.). «Использование цепочки убийств для крутого». ТЕМНОЕЧтение. Получено 30 июня, 2016.
  5. ^ Майерс, Лиса (4 октября 2013 г.). «Практичность подхода Cyber ​​Kill Chain к безопасности». CSO Online. Получено 30 июня, 2016.
  6. ^ а б Lockheed-Martin Corporation-Hutchins, Cloppert и Amin-Защита компьютерных сетей на основе разведданных на основе анализа противоборствующих кампаний и цепочек убийств вторжением-2011
  7. ^ Журнал ВВС, Тирпак-2000
  8. ^ Бенитес, Майк (17 мая 2017 г.). «ПРИШЛО ВРЕМЯ: НЕОБХОДИМО НАПРЯЖЕНИЕ ДЛЯ РАЗВИТИЯ ЦЕПИ УБИЙСТВ». Война на камнях. Получено 28 апреля, 2020.
  9. ^ Сэнгер, Дэвид Э. (6 июля 2017 г.). «Крошечные спутники из Кремниевой долины могут помочь отслеживать ракеты Северной Кореи». Нью-Йорк Таймс. Получено 7 июля, 2017.
  10. ^ «30.06.17 - Совместное заявление между США и Республикой Корея | Посольство и консульство США в Корее». Посольство и консульство США в Корее. 2017-06-30. Получено 2017-07-07.
  11. ^ а б Комитет Сената США по торговле, науке и транспорту - Анализ "цепочки убийств" целевого взлома данных 2013 г. - 26 марта 2014 г. В архиве 6 октября 2016 г. Wayback Machine
  12. ^ Грин, Тим. «Зачем нужна модернизация сети убийств в киберпространстве». Получено 2016-08-19.
  13. ^ «Cyber ​​Kill Chain или: как я научился не беспокоиться и любить утечки данных». 2016-06-20. Получено 2016-08-19.
  14. ^ «Архивная копия» (PDF). Архивировано из оригинал (PDF) в 2018-09-10. Получено 2017-05-15.CS1 maint: заархивированная копия как заголовок (связь)
  15. ^ Ким, Хеоб; Квон, Хёкджун; Ким, Кён Гю (февраль 2019). «Модифицированная модель цепочки кибер-убийств для сред мультимедийных услуг». Мультимедийные инструменты и приложения. 78 (3): 3153–3170. Дои:10.1007 / s11042-018-5897-5. ISSN  1380-7501.
  16. ^ Наттинг, Рэй (2019). Комплексное руководство по экзамену CompTIA PenTest + для сертификации (PT-001). Нью-Йорк: McGraw-Hill Education. п. 75. ISBN  978-1-260-13594-7.
  17. ^ Наттинг, Рэй (2019). Комплексное руководство по экзамену CompTIA PenTest + для сертификации (PT-001). Нью-Йорк: McGraw-Hill Education. п. 76. ISBN  978-1-260-13594-7.
  18. ^ Лалиберте, Марк (21 сентября 2016 г.). «Поворот в цепочке кибер-убийств: защита от атаки вредоносного ПО на JavaScript». ТЕМНОЕЧтение.
  19. ^ Энгель, Гиора (18 ноября 2014 г.). «Разбор цепи кибер-убийств». ТЕМНОЕЧтение. Получено 30 июня, 2016.
  20. ^ Рейди, Патрик. «Борьба с инсайдерской угрозой в ФБР» (PDF). BlackHat США 2013.
  21. ^ Девост, Мэтт (19 февраля 2015 г.). «Каждый кибер-злоумышленник - инсайдер». Цикл OODA.
  22. ^ Польс, Пол (7 декабря 2017 г.). "Единая цепочка убийств" (PDF). Академия кибербезопасности.

внешняя ссылка