Cyber Kill Chain - Co To Jest I Jak Go Wykorzystać Do Ochrony Organizacji? - Security Bez Tabu

Cyber Kill Chain – Co To Jest I Jak Go Wykorzystać Do Ochrony Organizacji?

Do czego przyda nam się Cyber Kill Chain?

Cyber Kill Chain pomaga zrozumieć i przewidzieć różne etapy cyberataku. Wiedza o tym, jak pracują internetowi złoczyńcy, umożliwia firmie wybór odpowiednich narzędzi i strategii w celu ograniczenia naruszeń, reagowania na trwające ataki i minimalizowania ryzyka. Framework ten rozdziela i systematyzuje działania atakujących na poszczególne etapy.

Cyber kill chain to zbiór następujących po sobie faz ataku, mających na celu uzyskanie pełnego dostępu do określonych zasobów w sieci. Sam termin “kill chain” (łańcuch zabójstw) wywodzi się z terminologii wojskowej. Oznacza sposób przeprowadzenia ataku na zasadzie łańcucha – każde ogniwo musi być solidne.

Obrazowo cyber kill chain można przedstawić jako łańcuch zbudowany z siedmiu ogniw rozciągnięty między atakującym a atakowanym. Osoba chcąca uzyskać dostęp do celu stale zwiększa łańcuch, dodając do niego jedno ogniwo, zbliżając się do celu.

Zrozumienie tego, w jaki sposób dochodzi do ataków pozwala na odpowiednie zabezpieczenie naszej sieci przed niechcianymi gośćmi. Znajomość cyber kill chain pozwala na wytropienie i uniemożliwienie ataku na najwcześniejszym etapie. Jest to szczególnie ważne podczas administrowania dużą siecią zawierającą wrażliwe dane

Militarne korzenie frameworku

Termin kill chain był pierwotnie używany jako pojęcie wojskowe związane ze strukturą ataku obejmując następujące fazy:

  1. Znajdź – Zidentyfikuj cel.
  2. Ustal – Ustal lokalizację celu.
  3. Monitoruj – Monitoruj i śledź ruch celu.
  4. Cel – Wybierz odpowiednią broń lub zasób do użycia na celu, aby uzyskać pożądane efekty.
  5. Wykonanie – Zastosowanie broni na celu.
  6. Oceń – Ocena efektów ataku.

Jest to zintegrowany, kompleksowy proces opisany jako „łańcuch”, ponieważ przerwa na dowolnym etapie może przerwać cały proces.

Lockheed Martin wyprowadził framework Cyber Kill Chain z modelu wojskowego – pierwotnie ustanowionego w celu identyfikacji, przygotowania do ataku, zaangażowania i zniszczenia celu. Od samego początku framework ewoluował, aby lepiej przewidywać i rozpoznawać zagrożenia wewnętrzne, socjotechnikę, zaawansowane oprogramowanie ransomware i innowacyjne ataki.

Etapy cyber kill chain

Cyber kill chain to wieloetapowy proces. Są nimi:

  1. Rozpoznanie (Reconnaissance) – wybór celu i gromadzenie o nim informacji poprzez biały wywiad (OSINT). Pozwala to atakującemu na znalezienie słabych punktów, a nawet luk w zabezpieczeniach. Dzięki temu atak może być w efektywny sposób.
  2. Uzbrajanie (Weaponization) – tworzenie złośliwego oprogramowania będącym koniem trojańskim (trojanem) wraz z innym malware. Jest to tzw. backdoor, dzięki któremu haker uzyskuje dostęp do danego urządzenia bądź sieci.
  3. Dostarczanie (Delivery) – złośliwe oprogramowanie musi znaleźć się na atakowanym urządzeniu, aby mogło działać. Dokonuje się tego zazwyczaj poprzez umieszczenie go w załączniku mailowym lub w pliku do pobrania na stronie internetowej. Stosowane jest również fizyczne podpięcie nośnika pamięci masowej (np. pendrive). Przy bardziej skomplikowanych atakach używane jest SQL injection (wstrzykiwanie do bazy danych).

Przy dostarczaniu wykorzystywane są również zabiegi psychologiczne mające na celu uwiarygodnić użytkownikom to, że pobierane pliki nie są w żaden sposób zainfekowane. Więcej o rozprzestrzenianiu się złośliwego oprogramowania znajdziesz tutaj.

  1. Exploitation – działania mające na celu wykorzystanie luki w aplikacji bądź systemie, jeśli takowa istnieje. Powszechnie stosowane w atakach zero-day.
  2. Instalacja (Installation) – instalowanie konia trojańskiego na pożądanych przez atakującego urządzeniach, pozostając przy tym niezauważonym. Dany malware działa “po cichu” – stara się być niewykrywalny, bardzo często z dużym powodzeniem.
  3. Zarządzanie i kontrola (Command & Control) atakujący przejmuje kontrolę nad urządzeniami. Może również zdobyć uprawnienia roota (rootkit) bądź administratora serwera Windows. Daje to hakerowi nieograniczone pole do wykazania się swoimi umiejętnościami.
  4. Działanie (Action)następstwem powyższych sześciu etapów jest finał, czyli faktyczne działanie na niekorzyść atakowanego. W tym momencie cel ataku zostaje spełniony. Może nim być wykradanie lub wymuszanie okupu za dostęp do danych (ransomware). Kontrolując ruch w sieci lokalnej możemy zmusić komputery np. do ataku DDOS bądź kopać na nich kryptowaluty (cryptomining).

Poprzez dostęp do kont mailowych, atak może się samodzielnie rozprzestrzeniać na do komputerów spoza sieci lokalnej.

Macierz kontroli cyber kill chain

Macierz kontroli cyber kill chain to graficzne przedstawienie sposobów, w jaki zapobiega się poszczególnym elementom łańcucha. Każdy z etapów powinien mieć przynajmniej jeden sposób w jaki jest powstrzymywany. Do przykładowych sposobów walki z cyfrowymi napastnikami należą:

  • Wykrycie – monitorowanie ruchu w sieci wraz z jego analizą. Służy do tego system detekcji włamań zwany NIDS (Network Intrusion Detection System). Jedno z urządzeń w sieci powinno działać jako NIDS.
  • Odmowa dostępu – plik zawierający malware, często w postaci pliku wykonywalnego (np. .exe) nie może zostać uruchomiony pomimo tego, że znajduje się na urządzeniu. Zabronienie nietypowemu plikowi wykonywalnemu działania leży na barkach antywirusa, a przede wszystkim użytkownika.
  • Zakłócenie – utrudnienie wykonywania danego działania, na przykład poprzez DEP (Data Execution Prevention) uniemożliwiając nadpisanie danego obszaru pamięci
  • Zmylenie – skutecznym rozwiązaniem jest stworzenie honeypota, czyli wydzielenie części sieci lokalnej imitując jej całość. Atakujący myśli, że znajduje się w “prawdziwej sieci”, próbuje wykorzystać znane mu luki. Pozwala to na zabezpieczenie sieci znając zamiary atakującego – zakończenie łańcucha jak najwcześniej.
  • Ograniczenie – przykładowo stworzenie VLANów na switchu, odcinając części sieci logicznej od podatnych na ataki obszarów.

Zazwyczaj w macierzach kolumny to poszczególne fazy cyber kill chain, zaś wiersze to sposoby zabezpieczania naszej sieci, które sami musimy opracować. Pozwala to na bieżąco edytować lub łatwo zapoznać się z tym, jak poszczególny etap łańcucha jest przez nas powstrzymywany.

Wady i zalety frameworku

Żaden standard czy framework nie jest idealny dlatego dobrze jest abyś znał ograniczenia i mocne strony tego co używasz. W przypadku cyber kill chain ukazuje się to następująco:

Zalety:

  • Możliwość zwiększenia zabezpieczeń poprzez znajomość technik włamywaczy
  • Zredukowanie ryzyka włamania na każdym z etapów
  • Użytkownicy mogą nauczyć się dobrych praktyk, np. niekorzystania z pendrive’ów nieznanego pochodzenia
  • Poszerzenie ogólnej wiedzy z zakresu cyberbezpieczeństwa i wykorzystanie jej w praktyce
  • Obrazowe przedstawienie tego, jak może wyglądać atak

Wady:

  • Skupienie się jedynie na cyber kill chain może skutkować niedostateczną ochroną aspektów, o których łańcuch nie wspomina
  • Łańcuch funkcjonuje publicznie od ponad dekady – oznacza to, że zarówno atakujący i atakowani korzystają z innych rozwiązań technologicznych niż w tamtym okresie (np.chmura)
  • Łańcuch skupiony jest jedynie na atakach z Internetu

Zastosowanie cyber kill chain

Cyber kill chain to swego rodzaju papierek lakmusowy – pokazuje to, w jaki sposób jest przygotowana na potencjalny atak. Wraz z rozwojem zabezpieczeń zmieniają się rodzaje ataków – ważne jest, aby być krok przed hakerami. Cyber kill chain to podstawa w zabezpieczeniu naszej sieci  – nie powinniśmy bazować tylko na niej.

Cyber kill chain pozwala na wyrobienie w użytkownikach pewnych schematów myślenia. W dużym stopniu zapobiega również rozprzestrzenianiu malware, ponieważ w wielu przypadkach to użytkownik jest odpowiedzialny za uruchomienie złośliwego oprogramowania. W przypadku nieskomplikowanych ataków bardzo często zabezpieczenia oparte na łańcuchu pozwolą zatrzymać go na którymś z etapów.

Pomimo upływu lat i stosowania innych technik niż podczas opracowania łańcucha w 2011 roku przez Lockheed Martin, nadal warto używać go jako diagnostyki bezpieczeństwa swojej sieci.

Mówiąc wprost, jeżeli chcemy zapobiec atakom – warto myśleć jak atakujący. Pozwoli to na ograniczenie niechcianych działań. Jeżeli nasze potrzeby bezpieczeństwa są większe lub obawiamy się bardziej zaawansowanych ataków, np. od grup APT to warto sięgnąć bo bardziej rozbudowane rozwiązania takie jak MITRE ATT&CK®.

Podsumowanie

Cyber kill chain to podstawa dla zabezpieczenia sieci. Nie jest on rozwiązaniem idealnym ale wystarczającym do podniesienia poziomu bezpieczeństwa w systemach i sieciach. Zastanawiając się jak możemy przerwać każdy z etapów możemy uniknąć wielu ataków. Ważne jest również edukowanie użytkowników, np. pracowników firmy, jakie ich działania mogą się przełożyć bezpośrednio na niwelowanie przyczyny ataku.

Do modelu OSI niektórzy dodają dwie kolejne warstwy – ludzi i organizację. Od tego w jaki sposób zabezpieczymy naszą sieć i jak będzie ona używana zależy nasze bezpieczeństwo.

Mam nadzieję, że artykuł pomoże Ci w przygotowaniu się na atak a przede wszystkim pomoże Ci się przed nim uchronić.