Термин « цепочка убийств» первоначально использовался как военное понятие, связанное со структурой нападения ; состоящий из идентификации цели, принудительной отправки к цели, принятия решения и приказа атаковать цель и, наконец, уничтожения цели. [1] И наоборот, идея «разорвать» цепочку убийств противника - это метод защиты или превентивного действия. [2] Совсем недавно Lockheed Martin адаптировала эту концепцию к информационной безопасности , используя ее в качестве метода моделирования вторжений в компьютерную сеть . [3]Модель цепочки кибер-убийств получила некоторое распространение в сообществе информационной безопасности. [4] Однако признание не является универсальным, и критики указывают на то, что, по их мнению, является фундаментальными недостатками модели. [5]
Цепочка военных убийств
F2T2EA
Одной из моделей военной цепочки убийств является «F2T2EA», которая включает в себя следующие фазы:
- Найти: определить цель. Найдите цель по данным наблюдения или разведки или с помощью средств разведки.
- Исправление: исправить местоположение цели. Получите конкретные координаты цели либо из существующих данных, либо путем сбора дополнительных данных.
- Трек: отслеживайте движение цели. Следите за целью до тех пор, пока либо не будет принято решение не поражать цель, либо пока цель не будет успешно поражена.
- Цель: выберите подходящее оружие или актив для использования на цели для создания желаемых эффектов. Используйте возможности командования и управления, чтобы оценить ценность цели и наличие соответствующего оружия для поражения.
- Вступление: примените оружие к цели.
- Оценка: оцените последствия атаки, включая любую информацию, собранную на месте.
Это интегрированный непрерывный процесс, описываемый как «цепочка», потому что прерывание на любом этапе может прервать весь процесс. [6] [7]
Предыдущая терминология
«Четыре F» - военный термин, используемый в вооруженных силах США, особенно во время Второй мировой войны.
«Четыре F», разработанные так, чтобы их было легко запомнить, заключаются в следующем:
- Найди врага - Найди врага
- Почини врага - прижми его подавляющим огнем
- Сражайтесь с врагом - Вступайте в бой с противником или обходите его с фланга - Отправляйте солдат в стороны или в тыл врага
- Прикончите врага - уничтожьте всех вражеских бойцов
Предлагаемая терминология
«Пять F» - военный термин, описанный майором Майком «Пако» Бенитесом, офицером по системам вооружения F-15E Strike Eagle, служившим в ВВС США и морской пехоте США.
Разработанные для обновления цепочки убийств для отражения обновленных, автономных и полуавтономных систем оружия, «Пять F» описаны в книге «ЭТО ВРЕМЯ: НАПРЯЖЕННАЯ НЕОБХОДИМОСТЬ РАЗВИТИЯ ЦЕПИ УБИЙСТВ» [8] следующим образом:
- Find воплощает в себе единство усилий Совместной разведки по подготовке операционной среды, сопоставляя активы сбора с намерениями командира и целевыми областями интересов. Это неизбежно приводит к обнаружению, которое в дальнейшем может быть классифицировано как появляющаяся цель, если она соответствует намерению.
- В доктрине Fix описывается как «определение появляющейся цели как достойной взаимодействия и определение ее положения и других данных с достаточной точностью, чтобы разрешить взаимодействие».
- Огонь предполагает использование сил или ресурсов (например, выпуск боеприпаса / полезной нагрузки / расходного материала).
- Завершение предполагает работу в органах, утверждающих забастовку (например, поражение цели / стрельба направленной энергией / разрушительная электронная атака). Это похоже на наземный элемент, выполняющий маневры для соприкосновения, но затем придерживающийся предписанных правил ведения боя, когда он достигает точки трения.
- Обратная связь замыкает рабочий цикл OODA с помощью оценочного шага, в некоторых случаях называемого «оценкой ущерба от бомбы».
Ядерный потенциал Северной Кореи
Новый американский военный план на случай непредвиденных обстоятельств под названием «Цепочка убийств», как сообщается, является первым шагом в новой стратегии по использованию спутниковых снимков для определения северокорейских стартовых площадок, ядерных объектов и производственных мощностей и их упреждающего уничтожения, если конфликт кажется неизбежным. План был упомянут в совместном заявлении США и Южной Кореи. [9] [10]
Цепочка кибер-убийств
Фазы атаки и контрмеры
В 2011 году компьютерные ученые из корпорации Lockheed-Martin описали новую структуру или модель «цепочки уничтожения вторжений» для защиты компьютерных сетей [6]. Они написали, что атаки могут происходить поэтапно и могут быть прерваны с помощью средств контроля, установленных на каждом этапе. С тех пор «цепочка кибер-убийств» была принята организациями по защите данных для определения этапов кибератак . [12]
Цепочка кибер-убийств раскрывает этапы кибератаки: от ранней разведки до цели кражи данных. [13] Цепочку уничтожения также можно использовать в качестве инструмента управления для постоянного улучшения защиты сети. Согласно Lockheed Martin, угрозы должны проходить в модели несколько этапов, в том числе:
- Разведка: злоумышленник выбирает цель, исследует ее и пытается определить уязвимости в целевой сети.
- Создание оружия: злоумышленник создает вредоносное оружие для удаленного доступа, такое как вирус или червь, с учетом одной или нескольких уязвимостей.
- Доставка: злоумышленник передает оружие цели (например, через вложения электронной почты, веб-сайты или USB-накопители)
- Эксплуатация: запускает программный код вредоносного оружия, который выполняет действия в целевой сети для использования уязвимости.
- Установка: Вредоносное оружие устанавливает точку доступа (например, «бэкдор»), которую может использовать злоумышленник.
- Управление и контроль. Вредоносное ПО позволяет злоумышленнику «держать в руках клавиатуру» постоянный доступ к целевой сети.
- Действия по достижению цели: злоумышленник предпринимает действия для достижения своих целей, например кражу данных, уничтожение данных или шифрование с целью получения выкупа.
Защитные действия могут быть предприняты против этих фаз: [14]
- Обнаружить: определить, ковыряется ли злоумышленник
- Запретить: предотвратить раскрытие информации и несанкционированный доступ
- Disrupt: остановить или изменить исходящий трафик (злоумышленнику)
- Ухудшение: контроль и управление контратакой
- Обманывать: мешать командованию и управлению
- Содержать: изменения сегментации сети
Проведенное Сенатексом США расследование утечки данных Target Corporation в 2013 году включало анализ, основанный на схеме цепочки убийств Lockheed-Martin. Он выявил несколько этапов, на которых средства контроля не предотвратили или не обнаружили развития атаки. [11]
Альтернативные цепочки убийств
Различные организации создали свои собственные цепочки уничтожения, чтобы попытаться смоделировать различные угрозы. FireEye предлагает линейную модель, аналогичную модели Lockheed-Martin. В цепочке убийств FireEye подчеркивается постоянство угроз. Эта модель подчеркивает, что угроза не исчезает после одного цикла. [15]
- Разведка
- Первоначальное вторжение в сеть
- Установите бэкдор в сеть
- Получить учетные данные пользователя
- Установите различные утилиты
- Повышение привилегий / боковое перемещение / кража данных
- Сохраняйте настойчивость
MITER поддерживает структуру цепи уничтожения, известную как MITER ATT & CK® . Структура моделирует тактику, приемы и процедуры, используемые злоумышленниками, и является полезным ресурсом как для красных, так и для синих команд . Пентестеры могут имитировать это поведение во время взаимодействия, чтобы представить реальные сценарии и помочь своим клиентам определить эффективность защитных контрмер. [16] Фреймворк ATT & CK состоит из трех основных матриц: Enterprise, Mobile и ICS . В Enterprise Matrix есть категории для Windows, macOS, Linux и Cloud. Категории Enterprise Windows:
- Разведка - противник пытается собрать информацию, которую он может использовать для планирования будущих операций.
- Разработка ресурсов - злоумышленник пытается найти ресурсы, которые он может использовать для поддержки операций.
- Первоначальный доступ - используется для закрепления в сети.
- Выполнение - техника, которая приводит к выполнению кода в локальной или удаленной системе.
- Постоянство - метод, используемый для поддержания присутствия в системе.
- Повышение привилегий - результат действий, используемых для получения более высокого уровня разрешения.
- Уклонение от защиты - метод, используемый для уклонения от обнаружения или защиты безопасности
- Учетный доступ - использование законных учетных данных для доступа к системе
- Обнаружение - техника пост-компрометации, используемая для получения внутренних знаний о системе
- Боковое движение - движение от одной системы по сети к другой.
- Сбор - процесс сбора информации, такой как файлы, до эксфильтрации.
- Управление и контроль - поддержание связи в целевой сети
- Exfiltration - обнаружение и удаление конфиденциальной информации из системы.
- Воздействие - методы, используемые для нарушения бизнес-процессов и операционных процессов [17]
Критика цепочки кибер-убийств
Среди критических замечаний к модели цепочки кибер-убийств компании Lockheed Martin как к инструменту оценки и предотвращения угроз можно выделить то, что первые фазы происходят вне защищаемой сети, что затрудняет выявление действий на этих этапах или защиту от них. [18] Точно так же считается, что эта методология усиливает традиционные защитные стратегии на основе периметра и предотвращения вредоносных программ. [19] Другие отметили, что традиционная цепочка кибер-убийств не подходит для моделирования внутренней угрозы. [20] Это особенно проблематично, учитывая вероятность успешных атак, которые нарушают периметр внутренней сети, поэтому организациям «необходимо разработать стратегию борьбы со злоумышленниками внутри брандмауэра. Они должны думать о каждом злоумышленнике как о [] потенциальном инсайдер ». [21]
Единая цепочка убийств
Унифицировано убить цепь была разработана в 2017 году Пол POLS в сотрудничестве с Fox-IT и Лейденский университет , чтобы преодолеть общую критику против традиционных кибер глушения цепи, путем объединения и расширения Lockheed Martin «s убить цепь и митру «ATT & рамку CK s. Унифицированная версия цепочки уничтожения - это упорядоченное расположение 18 уникальных фаз атаки, которые могут происходить при сквозных кибератаках, которые охватывают действия, происходящие вне и внутри защищаемой сети. Таким образом, унифицированная цепочка уничтожений улучшается по сравнению с ограничениями объема традиционной цепочки уничтожений и не зависящей от времени характером тактик в ATT & CK MITRE. Унифицированную модель можно использовать для анализа, сравнения и защиты от сквозных кибератак со стороны продвинутых постоянных угроз (APT). [22] Последующий технический документ по унифицированной цепочке убийств был опубликован в 2021 году. [23]
Рекомендации
- ^ "Подход с цепочкой убийств" . Начальник военно-морских операций . 23 апреля 2013 г. Архивировано из оригинального 13 июня 2013 года .
- ^ Джонатан Гринерт; Марк Уэлш (17 мая 2013 г.). «Разрыв цепи убийств» . Внешняя политика . Проверено 30 июня, 2016 .
- ^ Хиггинс, Келли Джексон (12 января 2013 г.). "Как Lockheed Martin" Kill Chain "остановила атаку SecurID" . ТЕМНОЕЧтение . Проверено 30 июня, 2016 .
- ^ Мейсон, Шон (2 декабря 2014 г.). «Использование цепочки убийств для крутого» . ТЕМНОЕЧтение . Проверено 30 июня, 2016 .
- ^ Майерс, Лиса (4 октября 2013 г.). «Практичность подхода Cyber Kill Chain к безопасности» . CSO Online . Проверено 30 июня, 2016 .
- ^ a b Lockheed-Martin Corporation-Hutchins, Cloppert и Amin-Защита компьютерных сетей, управляемая разведкой, на основе анализа кампаний противника и цепочек уничтожения вторжений-2011
- ^ Air Force Magazine, Тирпак-2000
- ^ Бенитес, Майк (17 мая 2017 г.). «ПРИШЛО ВРЕМЯ: НЕОБХОДИМО РАЗВИТИЕ ЦЕПИ УБИЙСТВ» . Война на камнях . Проверено 28 апреля 2020 года .
- ^ Сэнгер, Дэвид Э. (6 июля 2017 г.). «Крошечные спутники из Кремниевой долины могут помочь отслеживать ракеты Северной Кореи» . Нью-Йорк Таймс . Проверено 7 июля 2017 года .
- ^ «30.06.17 - Совместное заявление между США и Республикой Корея | Посольство и консульство США в Корее» . Посольство и консульство США в Корее . 2017-06-30 . Проверено 7 июля 2017 .
- ^ a b Комитет Сената США по торговле, науке и транспорту - Анализ «цепочки убийств» целевого взлома данных 2013 г. - 26 марта 2014 г. Архивировано 6 октября 2016 г., в Wayback Machine
- ^ Грин, Тим. «Зачем нужна модернизация« цепочки убийств киберпространства »» . Проверено 19 августа 2016 .
- ^ «Cyber Kill Chain или: как я научился не беспокоиться и любить утечки данных» . 2016-06-20 . Проверено 19 августа 2016 .
- ^ «Архивная копия» (PDF) . Архивировано из оригинального (PDF) 10 сентября 2018 года . Проверено 15 мая 2017 .CS1 maint: заархивированная копия как заголовок ( ссылка )
- ^ Ким, Хеоб; Квон, ХёкДжун; Ким, Кён Гю (февраль 2019 г.). «Модифицированная модель цепочки кибер-убийств для сред мультимедийных услуг» . Мультимедийные инструменты и приложения . 78 (3): 3153–3170. DOI : 10.1007 / s11042-018-5897-5 . ISSN 1380-7501 .
- ^ Наттинг, Рэй (2019). Сертификационное универсальное руководство по экзамену CompTIA PenTest + (PT-001) . Нью-Йорк: McGraw-Hill Education. п. 75. ISBN 978-1-260-13594-7.
- ^ Наттинг, Рэй (2019). Сертификационное универсальное руководство по экзамену CompTIA PenTest + (PT-001) . Нью-Йорк: McGraw-Hill Education. п. 76. ISBN 978-1-260-13594-7.
- ^ Лалиберте, Марк (21 сентября 2016 г.). «Поворот в цепочке кибер-убийств: защита от атаки вредоносного ПО на JavaScript» . ТЕМНОЕЧтение .
- ^ Энгель, Гиора (18 ноября 2014 г.). «Деконструкция Cyber Kill Chain» . ТЕМНОЕЧтение . Проверено 30 июня, 2016 .
- ^ Рейди, Патрик. «Борьба с инсайдерской угрозой в ФБР» (PDF) . BlackHat USA 2013 .
- ^ Девост, Мэтт (19 февраля 2015 г.). «Каждый кибер-злоумышленник - инсайдер» . OODA Loop .
- ^ Польс, Пол (7 декабря 2017 г.). «Единая цепочка убийств» (PDF) . Академия кибербезопасности.
- ^ Польс, Пол (17 мая 2021 г.). «Единая цепочка убийств» . UnifiedKillChain.com.
Внешние ссылки
- "Lockheed Martin Cyber Kill Chain" .
- «Единая цепочка убийств» .
- "MITRE ATT & CK" .