Цепочка убийств - Kill chain
Период, термин убить цепь изначально использовался как военный понятие, связанное со структурой атака; состоящий из идентификации цели, принудительной отправки к цели, принятия решения и приказа атаковать цель и, наконец, уничтожения цели.[1] И наоборот, идея «разорвать» цепочку убийств противника - это метод защита или упреждающее действие.[2] В последнее время, Локхид Мартин адаптировал эту концепцию к информационная безопасность, используя его как метод моделирования вторжений на компьютерная сеть.[3] Модель цепочки кибер-убийств получила некоторое распространение в сообществе информационной безопасности.[4] Однако признание не является универсальным, и критики указывают на то, что, по их мнению, является фундаментальными недостатками модели.[5]
Цепочка военных убийств
F2T2EA
Одной из моделей военной цепочки убийств является «F2T2EA», которая включает в себя следующие фазы:
- Найти: определить цель. Найдите цель в данных наблюдения или разведки или с помощью средств разведки.
- Исправление: исправить местоположение цели. Получите конкретные координаты цели либо из существующих данных, либо путем сбора дополнительных данных.
- Трек: отслеживайте движение цели. Следите за целью до тех пор, пока не будет принято решение не поражать цель или пока цель не будет успешно поражена.
- Цель: выберите подходящее оружие или актив для использования на цели для создания желаемых эффектов. Используйте возможности командования и управления, чтобы оценить ценность цели и наличие подходящего оружия для поражения.
- Вступление: примените оружие к цели.
- Оценка: оцените последствия атаки, включая любую информацию, собранную на месте.
Это интегрированный, непрерывный процесс, описываемый как «цепочка», поскольку прерывание на любом этапе может прервать весь процесс.[6][7]
Предыдущая терминология
«Четыре F» - это военный термин, используемый в вооруженных силах Соединенных Штатов, особенно во время Второй мировой войны.
Разработанные так, чтобы их было легко запомнить, "Четыре F" заключаются в следующем:
- Найди врага - Найди врага
- Почини врага - прижми его подавляющим огнем
- Сражайтесь с врагом - Вступайте в бой с противником или обходите его с фланга - Отправляйте солдат в стороны или в тыл врага
- Прикончите врага - уничтожьте всех вражеских бойцов
Предлагаемая терминология
«Пять F» - военный термин, описанный майором Майком «Пако» Бенитесом, офицером по системам вооружения F-15E Strike Eagle, служившим в ВВС США и морской пехоте США.
Разработанные для обновления цепочки убийств, чтобы отразить обновленные, автономные и полуавтономные системы оружия, «Пять F» описаны в книге «О ВРЕМЕНИ: НАПРЯЖЕННАЯ НЕОБХОДИМОСТЬ ДЛЯ РАЗВИТИЯ ЦЕПИ УБИЙСТВ» [8] следующее:
- Find воплощает в себе единство усилий совместной разведки по подготовке операционной среды, согласовывая активы сбора с намерениями командира и целевыми областями интересов. Это неизбежно приводит к обнаружению, которое в дальнейшем может быть классифицировано как появляющаяся цель, если она соответствует замыслу.
- В доктрине Fix описывается как «определение появляющейся цели как достойной взаимодействия и определение ее положения и других данных с достаточной точностью, чтобы разрешить взаимодействие».
- Огонь включает в себя использование сил или ресурсов (т.е. выпуск боеприпаса / полезной нагрузки / расходного материала)
- Завершение подразумевает работу с органами по утверждению удара (т. Е. Поражение цели / стрельба направленной энергией / разрушающая электронная атака). Это похоже на наземный элемент, выполняющий маневры для соприкосновения, но затем придерживающийся предписанных правил ведения боя, когда он достигает точки трения.
- Обратная связь замыкает рабочий цикл OODA с помощью оценочного шага, в некоторых случаях называемого «оценкой ущерба от бомбы».
Ядерный потенциал Северной Кореи
Новый американский военный план на случай непредвиденных обстоятельств под названием «Цепочка убийств», как сообщается, является первым шагом в новой стратегии использования спутниковых снимков для определения северокорейских стартовых площадок, ядерных объектов и производственных мощностей и их упреждающего уничтожения, если конфликт кажется неизбежным. Об этом плане говорится в совместном заявлении США и Южной Кореи.[9][10]
Цепочка кибер-убийств
Фазы атаки и контрмеры
В 2011 году компьютерные ученые из корпорации Lockheed-Martin описали новую структуру или модель «цепочки уничтожения вторжений» для защиты компьютерных сетей.[6] Они написали, что атаки могут происходить поэтапно и могут быть прерваны посредством контроля, установленного на каждой фазе. С тех пор "цепочка кибер-убийств" была принята организациями по безопасности данных для определения этапов кибератаки.[12]
Цепочка кибер-убийств раскрывает этапы кибератаки: от ранней разведки до цели кражи данных.[13] Цепочку уничтожения также можно использовать в качестве инструмента управления для постоянного улучшения защиты сети. Согласно Lockheed Martin, угрозы должны проходить в модели несколько этапов, в том числе:
- Разведка: злоумышленник выбирает цель, исследует ее и пытается определить уязвимости в целевой сети.
- Создание оружия: злоумышленник создает вредоносное оружие для удаленного доступа, такое как вирус или червь, с учетом одной или нескольких уязвимостей.
- Доставка: злоумышленник передает оружие цели (например, через вложения электронной почты, веб-сайты или USB-накопители)
- Эксплуатация: запускает программный код вредоносного оружия, который предпринимает действия в целевой сети для использования уязвимости.
- Установка: Вредоносное оружие устанавливает точку доступа (например, «бэкдор»), которую может использовать злоумышленник.
- Управление и контроль. Вредоносное ПО позволяет злоумышленнику «держать в руках клавиатуру» постоянный доступ к целевой сети.
- Действия по достижению цели: злоумышленник предпринимает действия для достижения своих целей, например кражу данных, уничтожение данных или шифрование с целью получения выкупа.
Защитные действия могут быть предприняты против этих фаз:[14]
- Обнаружить: определить, ковыряется ли злоумышленник
- Запретить: предотвратить раскрытие информации и несанкционированный доступ
- Disrupt: остановить или изменить исходящий трафик (злоумышленнику)
- Degrade: управление контратакой и контроль
- Обманывать: мешать командованию и управлению
- Содержать: изменения сегментации сети
Расследование сенатом США утечки данных Target Corporation в 2013 году включало анализ, основанный на схеме цепочки убийств Lockheed-Martin. Он выявил несколько этапов, на которых средства контроля не предотвратили или не обнаружили развития атаки.[11]
Альтернативные цепочки убийств
Различные организации создали свои собственные цепочки уничтожения, чтобы попытаться смоделировать различные угрозы. FireEye предлагает линейную модель, аналогичную модели Lockheed-Martin. В цепочке убийств FireEye подчеркивается постоянство угроз. Эта модель подчеркивает, что угроза не исчезает после одного цикла.[15]
- Разведка
- Первоначальное вторжение в сеть
- Установите бэкдор в сеть
- Получить учетные данные пользователя
- Установите различные утилиты
- Повышение привилегий / боковое перемещение / кража данных
- Сохраняйте настойчивость
МИТРА поддерживает структуру цепочки уничтожения, известную как MITRE ATT & CK®. Структура моделирует тактики, методы и процедуры, используемые злоумышленниками, и является полезным ресурсом как для красные команды и синие команды. Пентестеры может имитировать такое поведение во время взаимодействия, чтобы представить реальные сценарии и помочь своим клиентам определить эффективность защитных контрмер.[16] Фреймворк ATT & CK имеет 3 основные матрицы: Enterprise, Mobile и ICS. В Enterprise Matrix есть категории для Windows, macOS, Linux и Cloud. Категории Enterprise Windows:
- Разведка - противник пытается собрать информацию, которую он может использовать для планирования будущих операций.
- Разработка ресурсов - противник пытается найти ресурсы, которые он может использовать для поддержки операций.
- Первоначальный доступ - используется для закрепления в сети.
- Выполнение - техника, которая приводит к выполнению кода в локальной или удаленной системе.
- Постоянство - метод, используемый для поддержания присутствия в системе
- Повышение привилегий - результат действий, используемых для получения более высокого уровня разрешения
- Defense Evasion - метод, используемый для уклонения от обнаружения или защиты безопасности
- Учетный доступ - использование законных учетных данных для доступа к системе
- Обнаружение - техника пост-компрометации, используемая для получения внутренних знаний о системе
- Боковое движение - движение от одной системы по сети к другой.
- Сбор - процесс сбора информации, такой как файлы, до эксфильтрации.
- Управление и контроль - поддержание связи в целевой сети
- Exfiltration - обнаружение и удаление конфиденциальной информации из системы.
- Воздействие - методы, используемые для нарушения бизнес-процессов и операционных процессов.[17]
Критика цепочки кибер-убийств
Среди критических замечаний к модели цепочки кибер-убийств компании Lockheed Martin как к инструменту оценки и предотвращения угроз можно выделить то, что первые фазы происходят вне защищенной сети, что затрудняет выявление действий на этих этапах или защиту от них.[18] Точно так же считается, что эта методология усиливает традиционные защитные стратегии на основе периметра и предотвращения вредоносных программ.[19] Другие отметили, что традиционная цепочка кибер-убийств не подходит для моделирования внутренней угрозы.[20] Это особенно неприятно с учетом вероятности успешных атак, которые нарушают периметр внутренней сети, поэтому организациям «необходимо разработать стратегию борьбы с злоумышленниками внутри брандмауэра. Им нужно думать о каждом злоумышленнике как о потенциальном инсайдере».[21]
Единая цепочка убийств
Унифицированная версия цепочки убийств была разработана для преодоления общей критики традиционной цепочки убийств в киберпространстве путем объединения и расширения цепочки убийств Lockheed Martin и МИТРА Структура ATT & CK. Унифицированная цепочка уничтожений - это упорядоченная структура из 18 уникальных фаз атаки, которые могут происходить при сквозных кибератаках, которые охватывают действия, происходящие вне и внутри защищаемой сети. Таким образом, унифицированная цепочка уничтожений улучшается по сравнению с ограничениями объема традиционной цепочки уничтожений и не зависящей от времени характером тактики в ATT & CK MITRE. Унифицированную модель можно использовать для анализа, сравнения и защиты от сквозных кибератак со стороны сложных постоянных угроз (APT).[22]
Рекомендации
- ^ "Подход с цепочкой убийств". Начальник военно-морских операций. 23 апреля 2013 г. Архивировано с оригинал 13 июня 2013 г.
- ^ Джонатан Гринерт; Марк Уэлш (17 мая 2013 г.). «Разрыв цепи убийств». Внешняя политика. Получено 30 июня, 2016.
- ^ Хиггинс, Келли Джексон (12 января 2013 г.). "Как Lockheed Martin" Kill Chain "остановила атаку SecurID". ТЕМНОЕЧтение. Получено 30 июня, 2016.
- ^ Мейсон, Шон (2 декабря 2014 г.). «Использование цепочки убийств для крутого». ТЕМНОЕЧтение. Получено 30 июня, 2016.
- ^ Майерс, Лиса (4 октября 2013 г.). «Практичность подхода Cyber Kill Chain к безопасности». CSO Online. Получено 30 июня, 2016.
- ^ а б Lockheed-Martin Corporation-Hutchins, Cloppert и Amin-Защита компьютерных сетей на основе разведданных на основе анализа противоборствующих кампаний и цепочек убийств вторжением-2011
- ^ Журнал ВВС, Тирпак-2000
- ^ Бенитес, Майк (17 мая 2017 г.). «ПРИШЛО ВРЕМЯ: НЕОБХОДИМО НАПРЯЖЕНИЕ ДЛЯ РАЗВИТИЯ ЦЕПИ УБИЙСТВ». Война на камнях. Получено 28 апреля, 2020.
- ^ Сэнгер, Дэвид Э. (6 июля 2017 г.). «Крошечные спутники из Кремниевой долины могут помочь отслеживать ракеты Северной Кореи». Нью-Йорк Таймс. Получено 7 июля, 2017.
- ^ «30.06.17 - Совместное заявление между США и Республикой Корея | Посольство и консульство США в Корее». Посольство и консульство США в Корее. 2017-06-30. Получено 2017-07-07.
- ^ а б Комитет Сената США по торговле, науке и транспорту - Анализ "цепочки убийств" целевого взлома данных 2013 г. - 26 марта 2014 г. В архиве 6 октября 2016 г. Wayback Machine
- ^ Грин, Тим. «Зачем нужна модернизация сети убийств в киберпространстве». Получено 2016-08-19.
- ^ «Cyber Kill Chain или: как я научился не беспокоиться и любить утечки данных». 2016-06-20. Получено 2016-08-19.
- ^ «Архивная копия» (PDF). Архивировано из оригинал (PDF) в 2018-09-10. Получено 2017-05-15.CS1 maint: заархивированная копия как заголовок (связь)
- ^ Ким, Хеоб; Квон, Хёкджун; Ким, Кён Гю (февраль 2019). «Модифицированная модель цепочки кибер-убийств для сред мультимедийных услуг». Мультимедийные инструменты и приложения. 78 (3): 3153–3170. Дои:10.1007 / s11042-018-5897-5. ISSN 1380-7501.
- ^ Наттинг, Рэй (2019). Комплексное руководство по экзамену CompTIA PenTest + для сертификации (PT-001). Нью-Йорк: McGraw-Hill Education. п. 75. ISBN 978-1-260-13594-7.
- ^ Наттинг, Рэй (2019). Комплексное руководство по экзамену CompTIA PenTest + для сертификации (PT-001). Нью-Йорк: McGraw-Hill Education. п. 76. ISBN 978-1-260-13594-7.
- ^ Лалиберте, Марк (21 сентября 2016 г.). «Поворот в цепочке кибер-убийств: защита от атаки вредоносного ПО на JavaScript». ТЕМНОЕЧтение.
- ^ Энгель, Гиора (18 ноября 2014 г.). «Разбор цепи кибер-убийств». ТЕМНОЕЧтение. Получено 30 июня, 2016.
- ^ Рейди, Патрик. «Борьба с инсайдерской угрозой в ФБР» (PDF). BlackHat США 2013.
- ^ Девост, Мэтт (19 февраля 2015 г.). «Каждый кибер-злоумышленник - инсайдер». Цикл OODA.
- ^ Польс, Пол (7 декабря 2017 г.). "Единая цепочка убийств" (PDF). Академия кибербезопасности.
внешняя ссылка
- "Lockheed Martin Cyber Kill Chain".
- "Единая цепочка убийств". Академия кибербезопасности.
- "МИТЕР АТТ энд СК".