Sicherheit

Schritte der Cyber-Kill-Kette

Schritte der Cyber-Kill-Kette

Cyber-Kill-Kette

Die Cyber-Kill-Chain (CKC) ist ein traditionelles Sicherheitsmodell, das ein Old-School-Szenario beschreibt, bei dem ein externer Angreifer Schritte unternimmt, um in ein Netzwerk einzudringen und dessen Daten zu stehlen, die Angriffsschritte aufschlüsselt, um Unternehmen bei der Vorbereitung zu helfen. CKC wird von einem Team entwickelt, das als Computersicherheitsreaktionsteam bekannt ist. Die Cyber-Kill-Chain beschreibt einen Angriff eines externen Angreifers, der versucht, Zugang zu Daten innerhalb des Sicherheitsbereichs zu erhalten

Jede Stufe der Cyber-Kill-Kette zeigt ein bestimmtes Ziel zusammen mit dem des Angreifers Way. Entwerfen Sie Ihren Cyber-Modell-Überwachungs- und Reaktionsplan für die Tötungskette ist eine effektive Methode, da er sich darauf konzentriert, wie die Angriffe ablaufen. Phasen umfassen:

Die Schritte der Cyber-Kill-Kette werden nun beschrieben:

Schritt 1: Aufklärung

Es umfasst das Sammeln von E-Mail-Adressen, Informationen zur Konferenz usw. Aufklärungsangriff bedeutet, dass Bedrohungen versuchen, so viel wie möglich Daten über Netzwerksysteme zu sammeln, bevor andere, wirklich feindliche Angriffe gestartet werden. Es gibt zwei Arten von Aufklärungsangreifern: passive Aufklärung und aktive Aufklärung active. Recognition Attacker konzentriert sich auf „Wer“ oder Netzwerk: Wer wird sich wahrscheinlich auf die privilegierten Personen konzentrieren, entweder für den Systemzugriff oder den Zugriff auf vertrauliche „Netzwerk“-Daten, konzentriert sich auf Architektur und Layout; Werkzeug, Ausrüstung und die Protokolle; und die kritische Infrastruktur. Das Verhalten des Opfers verstehen und für das Opfer in ein Haus einbrechen.

Schritt 2: Bewaffnung

Liefern Sie Nutzlast, indem Sie Exploits mit einer Hintertür koppeln.

Als Nächstes verwenden Angreifer ausgeklügelte Techniken, um einige Kern-Malware neu zu entwickeln, die ihren Zwecken entspricht. Die Malware kann zuvor unbekannte Schwachstellen, auch bekannt als „Zero-Day“-Exploits, oder eine Kombination von Schwachstellen ausnutzen, um die Abwehrkräfte eines Netzwerks stillschweigend zu überwinden, abhängig von den Bedürfnissen und Fähigkeiten des Angreifers. Durch die Neuentwicklung der Malware verringern Angreifer die Wahrscheinlichkeit, dass herkömmliche Sicherheitslösungen sie erkennen. „Die Hacker nutzten Tausende von Internetgeräten, die zuvor mit einem bösartigen Code infiziert waren – bekannt als „Botnet“ oder scherzhaft „Zombie-Armee“ – und erzwangen einen besonders mächtigen Distributed Denial of Service Angriff (DDoS).

Schritt 3: Lieferung

Der Angreifer sendet dem Opfer bösartige Nutzdaten per E-Mail, was nur eine von vielen ist, die der Angreifer Eindringmethoden einsetzen kann. Es gibt über 100 mögliche Versandmethoden.

Ziel:
Angreifer beginnen das Eindringen (Waffen, die im vorigen Schritt 2 entwickelt wurden). Die beiden grundlegenden Methoden sind:

Diese Phase bietet die erste und wichtigste Gelegenheit für Verteidiger, eine Operation zu behindern; Einige Schlüsselfunktionen und andere hochgeschätzte Dateninformationen werden dadurch jedoch zunichte gemacht. In dieser Phase messen wir die Durchführbarkeit der Versuche des fraktionierten Eindringens, die an der Förderstelle behindert werden.

Schritt 4: Ausbeutung

Sobald Angreifer eine Änderung in Ihrem System erkennen, nutzen sie die Schwachstelle aus und führen ihren Angriff aus. Während der Ausnutzungsphase des Angriffs werden der Angreifer und der Host-Rechner kompromittiert Der Übermittlungsmechanismus wird normalerweise eine von zwei Maßnahmen ergreifen:

In den letzten Jahren hat sich dies zu einem Fachgebiet innerhalb der Hacker-Community entwickelt, das oft bei Veranstaltungen wie Blackhat, Defcon und dergleichen demonstriert wird.

Schritt 5: Installation

In diesem Stadium ermöglicht die Installation eines Remote-Access-Trojaners oder einer Hintertür auf dem System des Opfers dem Anwärter, seine Beharrlichkeit in der Umgebung aufrechtzuerhalten. Die Installation von Malware auf dem Asset erfordert die Beteiligung des Endbenutzers, indem der bösartige Code unwissentlich aktiviert wird. Handeln kann an dieser Stelle als kritisch angesehen werden. Eine Technik hierfür wäre die Implementierung eines hostbasierten Intrusion Prevention (HIPS)-Systems, um zum Beispiel Vorsicht walten zu lassen oder gemeinsame Pfade zu blockieren. NSA-Job, RECYCLER. Es ist wichtig zu verstehen, ob Malware Berechtigungen des Administrators oder nur des Benutzers benötigt, um das Ziel auszuführen. Verteidiger müssen den Endpunkt-Audit-Prozess verstehen, um abnormale Erstellungen von Dateien aufzudecken. Sie müssen wissen, wie man Malware-Timing kompiliert, um festzustellen, ob es alt oder neu ist.

Schritt 6: Befehl und Kontrolle

Ransomware verwendet Verbindungen zur Kontrolle. Laden Sie die Schlüssel zur Verschlüsselung herunter, bevor Sie die Dateien beschlagnahmen. Der Remote-Zugriff von Trojanern öffnet beispielsweise einen Befehl und steuert die Verbindung, damit Sie sich Ihren Systemdaten aus der Ferne nähern können. Dies ermöglicht eine kontinuierliche Konnektivität für die Umgebung und die detektivische Maßnahme der Verteidigung.

Wie funktioniert es?

Befehls- und Kontrollplan wird normalerweise über eine Bake außerhalb des Netzes über den zulässigen Pfad ausgeführt. Beacons haben viele Formen, aber in den meisten Fällen sind sie:

HTTP oder HTTPS

Scheint gutartiger Datenverkehr durch gefälschte HTTP-Header

In Fällen, in denen die Kommunikation verschlüsselt ist, verwenden Beacons in der Regel automatisch signierte Zertifikate oder benutzerdefinierte Verschlüsselung.

Schritt 7: Aktionen zu Zielen

Aktion bezieht sich auf die Art und Weise, wie der Angreifer sein endgültiges Ziel erreicht. Das ultimative Ziel des Angreifers könnte alles sein, um ein Lösegeld von Ihnen zu extrahieren, um Dateien zu Kundeninformationen aus dem Netzwerk zu entschlüsseln. Im Inhalt könnte das letztere Beispiel die Exfiltration von Lösungen zur Verhinderung von Datenverlust stoppen, bevor Daten Ihr Netzwerk verlassen. Andernfalls können Angriffe verwendet werden, um Aktivitäten zu erkennen, die von den festgelegten Baselines abweichen, und die IT darüber zu informieren, dass etwas nicht stimmt. Dies ist ein komplizierter und dynamischer Angriffsprozess, der in Monaten und Hunderten von kleinen Schritten stattfinden kann. Sobald diese Phase in einer Umgebung identifiziert wurde, ist es notwendig, die Umsetzung vorbereiteter Reaktionspläne zu initiieren. Zumindest sollte ein inklusiver Kommunikationsplan geplant werden, der den detaillierten Nachweis von Informationen beinhaltet, die an den höchsten Beamten oder Verwaltungsgremium weitergegeben werden sollten, den Einsatz von Endpoint-Security-Geräten, um Informationsverluste zu verhindern, und die Vorbereitung von Briefing eine CIRT-Gruppe. In der sich schnell entwickelnden Bedrohungslandschaft für die Cybersicherheit von heute ist es ein „MUSS“, diese Ressourcen im Voraus gut zu etablieren.

Maus AppyMouse On-Screen Trackpad und Mauszeiger für Windows Tablets
AppyMouse On-Screen Trackpad und Mauszeiger für Windows Tablets
Tablet-Benutzer vermissen oft den Mauszeiger, insbesondere wenn sie die Laptops gewohnt sind. Die Touchscreen-Smartphones und -Tablets bieten viele Vo...
Maus Mittlere Maustaste funktioniert nicht unter Windows 10
Mittlere Maustaste funktioniert nicht unter Windows 10
Das mittlere Maustaste hilft Ihnen beim Scrollen durch lange Webseiten und Bildschirme mit vielen Daten. Wenn das aufhört, werden Sie am Ende die Tast...
Maus So ändern Sie die linke und rechte Maustaste auf einem Windows 10-PC
So ändern Sie die linke und rechte Maustaste auf einem Windows 10-PC
Es ist ganz normal, dass alle Computer-Maus-Geräte ergonomisch für Rechtshänder gestaltet sind. Es gibt aber auch Mausgeräte, die speziell für Linkshä...