контексты
Современная кибервойна требует глубокого понимания тактики злоумышленников и гибкого реагирования для защиты организаций от эволюционирующих угроз. При этомцепь киберубийствпредоставляет мощную основу для понимания и борьбы с этими угрозами, разделяя цикл атаки на различные фазы.
Основу цепочки составляет этап разведки, на котором злоумышленник тщательно ищет информацию о цели. Эта фаза, хотя и является начальной, очень важна, поскольку позволяет злоумышленнику получить базовые сведения об инфраструктуре и уязвимостях системы.
В данной статье рассматривается этот шаг, а такжеинформационная безопасностьКак профессионалы могут обнаружить и остановить подозрительную активность до того, как она перерастет в более серьезную угрозу. Например, используя технологию OSINT (Open Source Intelligence) и мониторинг сетевого трафика, организации могут на шаг опередить злоумышленников и защитить свои сети и конфиденциальные данные от разрушительных кибератак.
Что такое цепочка киберубийств?
Прежде всего, прежде чем погрузиться в эту тему, необходимо понять, что такое кибернетическая цепь поражения.
Это похоже на цепь разрушений - концепция, взятая из военной стратегии и разработанная компанией Lockheed Martin (производитель аэрокосмической продукции, основанный в 1995 году. один из крупнейших в мире производителей военной продукции) была развита и адаптирована вмодель сетевой безопасностиАтака состоит из семи этапов. Определив этапы атаки, операторы безопасности могут вмешаться и тем самым помочь разорвать цепочку атак.
Цель - предсказать поведение злоумышленника и уменьшить последствия атаки, выявляя угрозы еще на ранней стадии.
В этом посте мы сосредоточимся на первой фазе - разведке.
Стоит отметить, что, как и в традиционной войне, успешные кибератаки обычно начинаются с очень эффективного сбора информации, а разведка - это первый шаг в цепочке киберубийств.
Таким образом, можно получить большое количество данных и релевантной информации о цели, чтобы перейти к следующему этапу выполнения цепочки.
Как специалисты по безопасности, так и злоумышленники могут использовать схожие методы для выявления угроз на этапе разведки, в частности с помощью OSINT (Open Source Intelligence).
Для лучшего понимания давайте сначала определим концепцию этой практики:
OSINT (т.е. разведка из открытых источников) собирает и анализирует информацию из открытых источников, таких как социальные сети, онлайн-форумы, публичные базы данных, правительственные документы и новостные сайты.
Помимо разведданных из открытых источников, они также могут осуществлять проактивный поиск потенциальных угроз, например, охоту за угрозами, которая представляет собой методологию кибербезопасности, направленную на выявление вредоносной активности в среде организации или за ее пределами.
При правильном и комбинированном использовании эти два метода могут стать мощными инструментами для выявления элементов разведывательной фазы кибернетической цепи поражения.
Мы рассмотрим два примера того, как злоумышленники находятся на начальном этапе цепочки и как специалисты по киберзащите могут обнаружить их поведение и быстро отреагировать, чтобы предотвратить переход на второй этап (использование оружия).
В первом случае мы предполагаем, что существует злоумышленник, которого мы будем называтьМистер ИксВ качестве объекта планируемой атаки он выбрал банковское учреждение. Используя технологию OSINT, он начал обширное исследование социальных сетей банка, таких как LinkedIn, Facebook, Twitter и Instagram, с целью найти информацию о сотрудниках компании. Он даже искал сотрудников с определенными должностями, такими как системные администраторы или старшие менеджеры, чтобы определить потенциальные цели для фишинговых атак. Затем он начал поиск в публичных записях, таких как записи о доменах и собственности, с целью получения данных о владельцах компании, физических адресах и юридической истории. Наконец, мистер Икс проанализировал веб-сайт банка, чтобы проверить списки возможных сотрудников, партнеров и клиентов, а также подробную информацию о предлагаемых продуктах и услугах.
Однако мистер Х не знал о присутствии Джона, внимательного и настойчивого охотника за угрозами из вышеупомянутого банковского учреждения, который постоянно действовал по ту сторону забора и уже применил ряд методов обнаружения, с помощью которых он заметил несколько примечательных движений. Более тщательный анализ. Джон использует инструменты мониторинга социальных сетей для отслеживания упоминаний о компаниях, сотрудниках и руководителях, а также инструменты анализа поисковой активности в Интернете для поиска ключевых слов, которые могут иметь отношение к компании, в которой он работает. Интересно, что эти ресурсы используются в маркетинговых целях, но они могут предоставить важные данные. Он также активно искал упоминания названия компании в группах подозрительных приложений для обмена сообщениями (например, Telegram) и обнаружил, что многочисленные упоминания организации соответствовали тому же периоду повышенного интереса к компании, который наблюдал маркетинговый инструмент.
Во втором гипотетическом сценарии мистер Х использует такие инструменты, как Nmap, чтобы определить, какие порты открыты в системах компании. Помните, что такие инструменты отправляют пакеты на различные порты и анализируют ответы, чтобы определить, открыты они или нет, проверяя таким образом уязвимости, которые могут быть использованы на последующих этапах развития цепочки киберубийств.
Пример сканирования портов, выполненного программой nmap.
Он использует инструменты мониторинга сетевого трафика, такие как wireshark, для выявления закономерностей, указывающих на сканирование портов или служб.
Инструмент работает с пакетами. Это один из способов мониторинга сети, даже самый подробный. Помимо содержания и используемых протоколов, инструмент обнаруживает адреса источника и назначения, а также другую информацию.
Джон также использует методы анализа пропускной способности, ориентированные на объем передаваемых по сети данных, чтобы обнаружить, например, всплески трафика, потребляющие большую пропускную способность.
Трафик важен еще и потому, что в этом виде мониторинга идея заключается в использовании агрегированной информации о трафике, сборе совокупных данных, а не отдельных пакетов. Сюда входят записи об объеме данных, IP-адресах источника и назначения, а также портах связи.
Таким образом, Джон заметил, что, например, большое количество запросов на несколько последовательных портов вызывало сигнал сканирования.
В результате он немедленно приступил к процедурам изоляции подозрительного трафика: внедрил новые правила брандмауэра или заблокировал трафик с IP-адресов, участвовавших в сканировании портов, в системе обнаружения и защиты от вторжений, чтобы не дать злоумышленникам продолжить и развить свою вредоносную деятельность.
Примеры из практики
Предположим, что компания (которую мы будем называть " КомпанияХ ") работает в высококонкурентной отрасли и предоставляет большой объем информации, включая финансовые данные, интеллектуальную собственность и персональные данные клиентов. Понимая важность защиты этих данных от киберугроз, команда кибербезопасности CompanyX внедрила систему обнаружения утечки данных.
Система работает непрерывно, отслеживая различные интернет-каналы, включая темную паутину, подпольные форумы, файлообменные сайты и социальные сети, в поисках признаков подозрительной активности, которая может указывать на утечку данных. Она использует передовые алгоритмы для выявления моделей поведения, связанных с незаконной продажей или обменом соответствующей информацией.
Однажды система обнаружения утечек данных компании CompanyX обнаружила сообщение на подпольном форуме, которое привлекло внимание команды кибербезопасности. В сообщении говорилось, что человек под ником " DarkHacker123 "Пользователи CompanyX продают большие объемы конфиденциальных данных, принадлежащих компании CompanyX. Эти данные включают адреса электронной почты сотрудников, финансовую информацию и контактные данные клиентов.
Столкнувшись с этим открытием, команда кибербезопасности CompanyX незамедлительно приняла меры. Они начали детальное расследование, чтобы проверить подлинность скомпрометированных данных и определить, как злоумышленники получили к ним доступ. Это может включать в себя анализ скомпрометированных данных для выявления моделей поведения, изучение журналов сетевой безопасности для выявления потенциально скомпрометированных точек входа, а также общение с соответствующими органами для сообщения об инциденте.
Тем временем специалисты по кибербезопасности принимают срочные меры по уменьшению ущерба, нанесенного утечкой данных. Это может включать изменение учетных данных доступа, выполнениеБезопасность данныхСтратегия, контакты с пострадавшими клиентами для оповещения их об инциденте и координация действий с деловыми партнерами для обеспечения дополнительных мер безопасности в их операциях.
Как события связаны с фазой разведки в цепи поражения?
Как уже говорилось в "Цепочке киберубийств", фаза разведки - это первый этап, на котором злоумышленник стремится получить информацию о цели перед проведением фактической атаки. На этом этапе злоумышленник стремится понять инфраструктуру компании, определить ее уязвимые места и разработать эффективный план атаки.
В приведенном примере злоумышленник под ником "DarkHacker123" проводит разведку, пытаясь собрать конфиденциальную информацию о компании CompanyX. Этот сбор информации очень важен для того, чтобы злоумышленник мог более эффективно планировать и осуществлять целевые кибератаки.
Так совпало, что как только вышеупомянутые злоумышленники получили данные, они начали выкладывать их на секретных форумах, еще до того, как перешли к следующему этапу цепочки киберубийств.
в заключение
Обнаружение разведывательной деятельности на ранних этапах цепочки киберубийств имеет решающее значение для укрепления киберзащиты организации. Комбинируя методы разведки из открытых источников с мониторингом сетевого трафика, специалисты по кибербезопасности могут выявлять подозрительные модели поведения и оперативно пресекать попытки атак.
На практических примерах, таких как использование инструментов мониторинга социальных сетей для выявления профилей злоумышленников и углубленный анализ сетевого трафика для обнаружения сканирования портов, мы показываем, как специалисты по безопасности могут быть на шаг впереди злоумышленников.
В условиях все более сложного и угрожающего ландшафта организации должны инвестировать в стратегии проактивной киберзащиты и быть готовыми к вызовам развивающейся цифровой среды. Применяя комплексный подход к кибербезопасности, мы можем защитить наши системы и данные от растущего числа киберугроз и обеспечить устойчивость бизнес-операций в цифровом мире.
Автор статьи - SnowFlake, при воспроизведении просьба указывать: https://www.cncso.com/ru/identifying-hacking-in-the-early-phase-of-the-cyber-kill-chain.html.
