Любая деятельность в области кибербезопасности и киберзащиты основана на определении границы, которую необходимо охранять ( периметр безопасности) и об оценке возможности причинения ущерба, связанного с более или менее предсказуемыми обстоятельствами ( оценка рисков).
Риск должен оцениваться с должным учетом угрозы и уязвимостей, которые он может использовать, предрасполагающих условий, вероятности реализации и успеха вредоносного поведения и, наконец, размера убытков, которые могут быть причинены.
Давайте остановимся здесь и рассмотрим только первый элемент - угрозу - и попытаемся установить некоторые фиксированные точки, которые помогут нам столкнуться с трудным, но не невозможным методом изучения нашего противника. Да, потому что в битвах больше, чем с оружием, побеждают благодаря знанию противника: его "ДЕНА", акроним, традиционно известный в военных школах для обозначения дислокации, сущности, характера и отношения врага; и, в частности, его ТПД, то есть его тактики, методов и рабочих процедур.
Каким бы проницательным и одаренным он ни был, нашему противнику все равно придется идти по общей нити, если он хочет добиться успеха. А логика и опыт позволяют нам концептуализировать «путь ущерба» или, если вы хотите, «жизненный цикл угрозы», который необходимо иметь в виду, если вы хотите проводить эффективный и целенаправленный анализ рисков и инвестиции в безопасность.
Обычно этот цикл начинается с одного подготовительный этап, где противник отслеживает сети, информационные системы и ИТ-службы жертвы извне с помощью разведывательных действий: например, с помощью активных инструментов сканирование или Сбор информации о хосте, поиск уязвимостей или подробных данных о конфигурациях систем периметра или о процедурах физического доступа к центрам обработки данных и рабочим столам. Более того, на этом этапе противник получает ресурсы, необходимые для проведения атаки, такие как создание Ботнет запускать акции Отказ в обслуживании или аренда Virtual Private Server для обеспечения анонимности.
После этого подготовительного этапа, аналогичного наступательным тактическим действиям при наземных маневрах, наступает пробитие оборонительной стены, как правило, в наиболее уязвимой точке, где с помощью различных методов, таких как кража личных данных или установка вредоносных программ на флеш-накопителе, переданном внутреннему персоналу организации, противник обеспечивает «плацдарм», позволяющий устанавливать вредоносные коды в периметре безопасности.
Далее следуетТипы вредоносные коды с помощью которых противник запускает атаку и / или гарантирует тайный контроль (и анонимность может длиться месяцами или годами как спящая ячейка) части системы, сети или службы для реализации дальнейших подготовительных и разведывательных стратегий и компрометации.
На этом этапе противник может проводить тактику настойчивость, направленный именно на поддержание ворот доступа, «плацдарма» в периметре безопасности, несмотря на отрезать например, перезапуск или изменение учетных данных; из повышение привилегий, с помощью которого он пытается гарантировать привилегии доступа более высокого уровня, такие как жадные для системного администрирования; из уклонение от защиты, с помощью которых он пытается замаскироваться при отслеживании и обнаружении действий системы безопасности; из учетный доступ, направленный на кражу учетных данных; из открытие, с помощью которого он наблюдает - на этот раз изнутри - окружающую среду, лучше ориентируя свои стратегии атаки или пересматривая свои цели; из боковое движение с помощью которых он расширяется, приобретая контроль над смежными сегментами сети или разделами серверов контролируемого доступа или удаленных информационных систем; из лыжных шлемов с помощью которых он идентифицирует, анализирует и собирает информацию, которую хочет украсть; C2, с которым он устанавливает фантомные каналы связи, чтобы гарантировать управление и контроль над скомпрометированной системой извне; и наконец тактика эксфильтрации или влияние в зависимости от того, является ли целью атаки украсть информацию или нарушить работу системы; или и то, и другое, как в случае с печально известным вымогателей более продвинутые, которые извлекают копию данных, чтобы угрожать их публикацией на darkweb, в то же время шифруя и делая часть или всю память, которая их содержит, недоступной.
Для каждой из этих тактик существуют тонкие и продвинутые техники и процедуры взлома, а также алгоритмы проникновение, эксфильтрации и воздействие, специально разработанное киберпреступниками.
К счастью, однако, это тактика, известная миру разведки и кибербезопасности, который, в свою очередь, разработал стратегии противодействия с точки зрения защиты, мониторинга, обнаружения, смягчения последствий и реагирования. Об этом мы поговорим в одной из следующих статей.
Для углубления:
Интернет-защита: "Что такое цепочка кибер-убийств?"
https://doi.org/10.6028/NIST.SP.800-30r1
