Kontexte
Die moderne Cyber-Kriegsführung erfordert ein tiefes Verständnis der Taktiken von Angreifern und eine flexible Reaktion, um Unternehmen vor sich weiterentwickelnden Bedrohungen zu schützen. Auf diese Weise kann dieCybermord-Kettebietet einen leistungsfähigen Rahmen, um diese Bedrohungen zu verstehen und zu bekämpfen, indem der Angriffszyklus in verschiedene Phasen unterteilt wird.
Das Kernstück der Kette ist die Aufklärungsphase, in der der Angreifer gründlich nach Informationen über das Ziel sucht. Diese Phase ist, obwohl sie am Anfang steht, von entscheidender Bedeutung, da sie dem Angreifer grundlegende Einblicke in die Infrastruktur und die Schwachstellen des fraglichen Systems vermittelt.
Das vorliegende Papier untersucht diesen Schritt sowie dieNetzwerksicherheitWie Fachleute verdächtige Aktivitäten erkennen und stoppen können, bevor sie sich zu einer ernsthaften Bedrohung entwickeln. Durch den Einsatz von OSINT-Technologie (Open Source Intelligence) und die Überwachung des Netzwerkverkehrs können Unternehmen Angreifern einen Schritt voraus sein und ihre Netzwerke und sensiblen Daten vor verheerenden Cyberangriffen schützen.
Was ist eine Cyber-Kill-Chain??
Zunächst müssen wir verstehen, was eine Cyber-Kill-Chain ist, bevor wir uns damit befassen.
Es ist wie eine Unterbrechungskette, ein Konzept, das aus der Militärstrategie übernommen und von Lockheed Martin (einem 1995 gegründeten Hersteller von Luft- und Raumfahrtprodukten) entwickelt wurde. einer der weltweit größten Hersteller von Militärprodukten) entwickelt und in dieNetzwerksicherheitsmodellEin Angriff besteht aus sieben Phasen. Sobald die Phasen eines Angriffs identifiziert sind, können die Sicherheitsbeauftragten eingreifen und so dazu beitragen, die Angriffskette zu unterbrechen.
Ziel ist es, das Verhalten des Angreifers vorherzusagen und die Auswirkungen des Angriffs zu verringern, indem Bedrohungen bereits in einem frühen Stadium erkannt werden.
In diesem Beitrag konzentrieren wir uns auf die erste Phase, das Scouting.
Wie in der traditionellen Kriegsführung beginnen erfolgreiche Cyberangriffe in der Regel mit einer sehr effektiven Informationsbeschaffung, und die Aufklärung ist der erste Schritt in der Cyberkill-Kette.
Auf diese Weise kann eine große Menge an Daten und relevanten Informationen über das Ziel gewonnen werden, um zum nächsten Ausführungsschritt in der Kette überzugehen.
Sowohl Sicherheitsexperten als auch Angreifer können ähnliche Techniken anwenden, um Bedrohungen in der Aufklärungsphase zu identifizieren, insbesondere durch den Einsatz von OSINT (Open Source Intelligence)
Zum besseren Verständnis sollten wir die Praxis zunächst begrifflich fassen:
OSINT (d. h. Open Source Intelligence) sammelt und analysiert Informationen aus öffentlichen Quellen wie sozialen Medien, Online-Foren, öffentlichen Datenbanken, Regierungsunterlagen und Nachrichten-Websites.
Zusätzlich zu Open-Source-Informationen können sie auch proaktiv nach potenziellen Bedrohungen suchen, z. B. im Rahmen der Bedrohungsjagd, einer Cybersicherheitsmethode, die darauf abzielt, bösartige Aktivitäten innerhalb oder außerhalb der Umgebung eines Unternehmens zu erkennen.
Bei richtiger Anwendung und in Kombination können diese beiden Techniken leistungsfähige Instrumente zur Identifizierung von Elementen der Aufklärungsphase der Cyber-Kill-Chain sein.
Wir werden zwei Beispiele für Angreifer erörtern, die sich auf der ersten Stufe der Kette befinden, und wie Cyberverteidigungsexperten ihr Verhalten erkennen und schnell reagieren können, um das Fortschreiten zur zweiten Stufe (Bewaffnung) zu verhindern.
Im ersten Fall gehen wir davon aus, dass es einen Angreifer gibt, den wir im Folgenden als denHerr XAls Ziel seines geplanten Angriffs wählte er ein Bankinstitut. Mithilfe der OSINT-Technologie begann er mit umfangreichen Recherchen in den sozialen Netzwerken der Bank wie LinkedIn, Facebook, Twitter und Instagram mit dem Ziel, Informationen über die Mitarbeiter des Unternehmens zu finden. Er suchte sogar nach Mitarbeitern mit bestimmten Positionen, wie Systemadministratoren oder leitenden Angestellten, um potenzielle Ziele für Spear-Phishing-Angriffe zu identifizieren. Anschließend begann er mit der Suche nach öffentlichen Aufzeichnungen, wie z. B. Domänen- und Eigentumsaufzeichnungen, um Daten über die Eigentümer des Unternehmens, physische Adressen und die Rechtsgeschichte zu erhalten. Schließlich analysierte Herr X die Website der Bank, um Listen möglicher Mitarbeiter, Partner und Kunden sowie Einzelheiten über die angebotenen Produkte und Dienstleistungen zu prüfen.
Herr X wusste jedoch nichts von der Anwesenheit von John, einem aufmerksamen und hartnäckigen Bedrohungsjäger des genannten Bankinstituts, der auf der anderen Seite des Zauns ständig aktiv war und bereits eine Reihe von Erkennungstechniken eingesetzt hatte, durch die er einige bemerkenswerte Bewegungen festgestellt hatte. Sorgfältigere Analyse. John verwendet Tools zur Überwachung sozialer Medien, um Erwähnungen von Unternehmen, Mitarbeitern und Führungskräften zu verfolgen, und Tools zur Analyse von Online-Suchaktivitäten, um nach Schlüsselwörtern zu suchen, die für das Unternehmen, für das er arbeitet, relevant sein könnten. Interessanterweise handelt es sich dabei um Ressourcen, die für Marketingzwecke verwendet werden, aber sie können wichtige Daten liefern. Er suchte auch aktiv nach Erwähnungen des Firmennamens in Gruppen von verdächtigen Messaging-Apps (z. B. Telegram) und stellte fest, dass die zahlreichen Anspielungen auf die Organisation mit dem gleichen Zeitraum erhöhten Interesses an dem Unternehmen übereinstimmten, das das Marketing-Tool beobachtet hatte.
Im zweiten hypothetischen Szenario verwendet Herr X Tools wie Nmap, um festzustellen, welche Ports auf den Systemen des Unternehmens offen sind. Solche Tools senden Pakete an verschiedene Ports und analysieren die Antworten, um festzustellen, ob sie offen sind oder nicht. Auf diese Weise wird nach Schwachstellen gesucht, die in weiteren Schritten der Cyber-Kill-Kette ausgenutzt werden könnten.
Beispiel für einen von nmap durchgeführten Port-Scan.
Es verwendet Tools zur Überwachung des Netzwerkverkehrs, wie z. B. Wireshark, um Muster zu erkennen, die auf Port- oder Service-Scans hinweisen.
Das Tool arbeitet mit Paketen. Dies ist eine der Möglichkeiten zur Überwachung des Netzwerks, auch die detaillierteste. Neben dem Inhalt und den verwendeten Protokollen ermittelt das Tool auch die Quell- und Zieladressen sowie verschiedene andere Informationen.
John verwendet auch Methoden zur Bandbreitenanalyse, die sich auf die Datenmenge konzentrieren, die über das Netzwerk übertragen wird, um beispielsweise Verkehrsspitzen zu erkennen, die mehr Bandbreite verbrauchen.
Der Datenverkehr ist auch deshalb wichtig, weil es bei dieser Form der Überwachung darum geht, gesammelte Informationen über den Datenverkehr zu verwenden, d. h. gesammelte Daten anstelle einzelner Pakete zu erfassen. Dazu gehören Aufzeichnungen über: Datenvolumen, Quell- und Ziel-IP-Adressen und Kommunikationsports.
Auf diese Weise konnte John beispielsweise feststellen, dass eine große Anzahl von Anfragen für mehrere aufeinanderfolgende oder aufeinander folgende Ports das Scanning-Signal auslöste.
Daraufhin leitete er sofort Maßnahmen ein, um den verdächtigen Datenverkehr zu isolieren: Er implementierte neue Firewall-Regeln oder blockierte den Datenverkehr von den IP-Adressen, die am Port-Scanning im Intrusion Detection and Defense System beteiligt waren, um zu verhindern, dass die Angreifer ihre bösartigen Aktivitäten fortsetzen und ausbauen.
Fallbeispiele
Angenommen, ein Unternehmen (das wir als " UnternehmenX CompanyX") ist in einer wettbewerbsintensiven Branche tätig und stellt eine große Menge an Informationen zur Verfügung, darunter Finanzdaten, geistiges Eigentum und persönliche Kundendaten. Das Cybersicherheitsteam von CompanyX hat erkannt, wie wichtig es ist, diese Daten vor Cyber-Bedrohungen zu schützen, und hat ein System zur Erkennung von Datenlecks eingeführt.
Das System arbeitet kontinuierlich und überwacht verschiedene Internetkanäle, darunter das Dark Web, Untergrundforen, Filesharing-Seiten und soziale Netzwerke, auf Anzeichen verdächtiger Aktivitäten, die auf eine Datenverletzung hindeuten könnten. Es verwendet fortschrittliche Algorithmen, um Verhaltensmuster zu erkennen, die mit dem illegalen Verkauf oder der illegalen Weitergabe relevanter Informationen verbunden sind.
Eines Tages entdeckte das System von CompanyX zur Erkennung von Datenschutzverletzungen einen Beitrag in einem Untergrundforum, der die Aufmerksamkeit des Cybersecurity-Teams auf sich zog. In dem Beitrag wurde darauf hingewiesen, dass die Person mit dem Spitznamen " DarkHacker123 "Die Nutzer von CompanyX verkaufen große Mengen vertraulicher Daten, die CompanyX gehören. Zu diesen Daten gehören E-Mail-Adressen von Mitarbeitern, Finanzinformationen und Kundenkontaktinformationen.
Angesichts dieser Entdeckung ergriff das Cybersicherheitsteam von CompanyX sofort Maßnahmen. Es begann mit einer detaillierten Untersuchung, um die Authentizität der kompromittierten Daten zu überprüfen und herauszufinden, wie die Angreifer Zugang zu den Daten erhielten. Dies könnte die Analyse der kompromittierten Daten beinhalten, um Verhaltensmuster zu erkennen, die Untersuchung von Netzwerksicherheitsprotokollen, um potenziell kompromittierte Zugangspunkte zu identifizieren, und die Kommunikation mit den zuständigen Behörden, um den Vorfall zu melden.
In der Zwischenzeit ergreift das Cybersicherheitsteam sofortige Maßnahmen, um den durch die Datenschutzverletzung verursachten Schaden zu mindern. Dies kann die Änderung von Zugangsdaten, die Durchführung vonDatensicherheitStrategie, die Kontaktaufnahme mit betroffenen Kunden, um sie über den Vorfall zu informieren, und die Koordinierung mit Geschäftspartnern, um sicherzustellen, dass zusätzliche Sicherheitsmaßnahmen in ihren Betrieben eingeführt werden.
Wie hängen die Ereignisse mit der Aufklärungsphase der Tötungskette zusammen?
Wie bereits in der Cyber Kill Chain erwähnt, ist die Aufklärungsphase die erste Phase, in der ein Angreifer versucht, Informationen über ein Ziel zu gewinnen, bevor er einen eigentlichen Angriff durchführt. In dieser Phase versucht der Angreifer, die Infrastruktur des Unternehmens zu verstehen, seine Schwachstellen zu ermitteln und einen wirksamen Angriffsplan zu entwickeln.
In diesem Beispiel führt ein Angreifer namens "DarkHacker123" Aufklärungsaktivitäten durch und versucht, sensible Informationen über UnternehmenX zu sammeln. Diese Informationen sind wichtig, damit der Angreifer gezielte Cyberangriffe effektiver planen und durchführen kann.
Sobald die genannten Angreifer in den Besitz der Daten kamen, begannen sie damit, diese in geheimen Foren zu veröffentlichen, noch bevor sie die nächste Stufe der Cyber-Kill-Kette erreichten.
zu einem Urteil gelangen
Die frühzeitige Erkennung von Aufklärungsaktivitäten in den Anfangsstadien der Cyber-Kill-Chain ist entscheidend für die Stärkung der Cyber-Abwehr eines Unternehmens. Durch die Kombination von Open-Source-Intelligence-Techniken mit der Überwachung des Netzwerkverkehrs können Cybersicherheitsexperten verdächtige Verhaltensmuster erkennen und schnell handeln, um Angriffsversuche zu stoppen.
Anhand praktischer Beispiele wie dem Einsatz von Tools zur Überwachung sozialer Medien zur Identifizierung von Angreiferprofilen und der eingehenden Analyse des Netzwerkverkehrs zur Erkennung von Port-Scans zeigen wir, wie Sicherheitsexperten den Angreifern einen Schritt voraus sein können.
In einer immer komplexeren und bedrohlicheren Landschaft müssen Unternehmen in proaktive Cyberabwehrstrategien investieren und auf die Herausforderungen des sich wandelnden digitalen Umfelds vorbereitet sein. Durch einen integrierten Ansatz für die Cybersicherheit können wir unsere Systeme und Daten vor der wachsenden Zahl von Cyber-Bedrohungen schützen und die Widerstandsfähigkeit der Geschäftsabläufe in der digitalen Welt sicherstellen.
Originalartikel von SnowFlake, bei Vervielfältigung bitte angeben: https://cncso.com/de/identifying-hacking-in-the-early-phase-of-the-cyber-kill-chain.html
