Модель "cyber kill chain" та її роль у кіберзбезпеці

Размещено на http://www.allbest.ru/

Київський національний університет імені Тараса Шевченка

Модель «cyber kill chain» та її роль у кіберзбезпеці

Стичинська А.Б.

Вступ

безпека кібератака оперативний реагування

Стрімка зміна сучасної реальності та розвиток масштабів і технічної можливості інформаційного простору, який в останні роки повністю підкорив собі суспільство, у якому державна сфера та навіть приватне життя окремого індивіда повністю інтегровані у цифрові технології, призводить до виникнення нових злочинних викликів. Загроза інформаційній безпеці зростає одночасно зі зростанням використання інформаційних технологій. Тому, абсолютно логічними постають вимоги еволюції оперативних методів забезпечення безпеки в комбінації з запобіганням, виявленням та реагуванням на кібератаки.

Більшість організацій володіють спеціальними засобами для виявлення такого роду атаки, але загроза їх застосування все ще існує. Особливо важко зупинити невідомі атаки, які постійно удосконалюються, щоб обійти останні засоби захисту шляхом зміни підписів та моделей поведінки. Багато організацій постачальників систем безпекового захисту постійно розвивають свої захисні методи і шукають кращі інструменти та способи збереження безпеки їхньої інтелектуальної власності та цифрових активів.

Загострення кібератак підвищили інтерес до досліджень у сфері кібербезпеки. Такі атаки мають величезний руйнівний вплив на організації, підприємства та уряди. «Cyber kill chain» (убивчий ланцюг, ланцюжок кіберзнищення) - це модель для опису кібератак з метою розвитку можливостей аналізу та реагування на них. Тобто, це ланцюг атаки, шлях, яким зловмисник з часом проникає в інформаційні системи, щоб здійснити атаку на головну ціль.

Виклад основного матеріалу

Кібератака на комп'ютерну інформацію, обчислювальні системи та інші об'єкти інформаційної мережі є основною формою кібертероризму. Зростання залежності від інформаційних технологій робить державу і суспільство дуже вразливими перед загрозою і подальшого негативного наслідку протиправного використання кіберпростору. Така атака дозволяє незаконно проникати в чужу комп'ютерну систему, встановлювати своє управління нею та здійснювати інші шкідливі дії, головною метою яких є заподіяння шкоди і абсолютне знищення. Кібератака може здійснюватись на комп'ютерні програми, інформаційні носії, локальні та глобальні інформаційні мережі.

Модель «cyber kill chain» це послідовність етапів, необхідних пройти зловмиснику, щоб успішно і незаконно проникнути в комп'ютерну систему певної компанії та вилучити з неї необхідні дані. Кожен етап демонструє конкретну мету чи шлях розробки плану спостереження та активної дії хакера. Ця модель фокусується на тому, яким чином відбуваються реальні атаки. Першочергово «cyber kill chain» це адаптована військова концепція, яку почали використовувати у компанії Lockheed для захисту не лише комп'ютерної системи самої компанії в рамках оборонної стратегії, а й систем деяких державних замовників та банків які обмінювались інформацією з компанією та дозволяли їй сканувати власний трафік у пошуках загроз. Lockheed є головним підрядником Центру захисту від кіберзлочинності - найбільшої державної кіберкриміналістичної організації Сполучених Штатів Америки, яка веде антитерористичну і контррозвідувальну діяльність, а також ця компанія є адміністратором «Глобальної інформаційної мережі» (Global Information Grid) і застосовує модель «cyber kill chain» для захисту глобальної інформаційної технологічної мережі Міністерства оборони.

Модель «cyber kill chain» складається з семи різних етапів, більшість з яких залишає можливість заблокувати вторгнення або атаку до їхнього початку.

Перший етап - «стеження/розвідка». На цьому етапі визначається ціль, досліджуються особливості організації, вибір технологій, вивчення активності компанії у соціальних мережах. Хакер шукає варіанти найбільш прості та найменш затратні як матеріально, так і ресурсно, шляхи для здійснення атаки. Компанія відстежує ключові слова у пошукових запитах різних пошукових систем, які виводять користувачів на сайт компанії. Для вдалої фішингової атаки хакери знаходять імена співробітників на вебсторінках компаній і визначають якими програмами користуються менеджери. Це включає збір електронних адрес та іншу інформацію. Автоматичні сканери використовуються зловмисниками для пошуку вразливих точок у системі. Це включає в себе сканування брандмауерів, систем запобігання вторгненням тощо, щоб отримати точку входу для атаки. Самі компанії попереджають співробітників про небезпеку відкривання підозрілих та неверифікованих повідомлень та посилань. Саме через них зловмисник збирає дані про ціль і тактику атаки.

Існує два види атак у цьому етапі:

пасивна розвідка, за якої хакер шукає інформацію, не пов'язану з доменом об'єкту атаки. Він просто знає зареєстрований домен цільової мережі і може використовувати команди (наприклад, телефонний каталог) для пошуку необхідної інформації про об'єкт.

активна розвідка, за якої хакер використовує системну інформацію для отримання несанкціонованого доступу до захищених цифрових або електронних матеріалів і може обійти маршрутизатори або навіть брандмауери задля отримання такого доступу.

Другий етап - «озброєння». Зловмисники розробляють шкідливе програмне забезпечення на основі своїх потреб і намірів атаки і використовують вразливі місця безпеки. В рамках цього етапу аналітики розшукують явні докази присутності шкідливого програмного забезпечення, яке може відображатись у форматі pdf - файлів прикріплених до електронного листа. Для цього у компанії створюється база даних таких файлів і відповідно до неї сканується інформація всіх вхідних електронних листів, які надходять співробітникам, та у разі необхідності, заражені шкідливим програмним забезпеченням листи відправляють у карантин.

Хакери використовували сотні тисяч підключених до Інтернету пристроїв, які раніше були заражені шкідливим кодом - відомим як «botnet» чи як його жартома називають - «армія зомбі» - щоб особливо потужно поширити сервісну атаку (DDoS) [1].

До найбільш відомої кіберзброї можна віднести:

«Botnet» - мережа комп'ютерів, яка працює разом за командою неавторизованого віддаленого користувача. Ця мережа роботів комп'ютерів використовуються для атаки на інші системи.

DDoS - розподілені атаки відмови в обслуговуванні - це ті випадки, коли комп'ютерна система або мережа переповнені трафіком даних настільки, що система не може впоратися з обсягом запитів і вимикається.

Шкідливе програмне забезпечення - воно впроваджується в систему або мережу, щоб робити те, чого сам власник не хотів би робити. Прикладами такого забезпечення можуть бути: логічні бомби, «черви», віруси, сніфери пакетів (підслуховування мережі).

Третій етап - «доставка» - зловмисник доставляє зловмисне програмне забезпечення двома методами: за допомогою фітингової електронної пошти або іншого засобу, такого як прямий злом у відкритий порт. Це найважливіший етап, де напад може бути зупинений силами безпеки. Доставка є важливою частиною ланцюга, яка відповідає за ефективність кібератаки. Для будь-якої кібератаки бажано мати цільову інформацію, щоб забезпечити успішну атаку. У більшості кібератак обов'язковим є певний тип взаємодії з користувачем, наприклад завантаження та виконання шкідливих файлів або відвідування шкідливих веб-сторінок в Інтернеті. Ця спорідненість походить від інформації, зібраної під час активної та пасивної розвідки. Найпоширеніші вектори доставки включають вищезазначені веб-сайти та електронні листи, а також знімні диски - «інфікований» USB - носій. [2]

Доставка є завданням високого ризику для зловмисника, оскільки вона залишає сліди. Тому більшість атак здійснюються анонімно з використанням платних анонімних послуг, зламаних веб-сайтів та зламаних облікових записів електронної пошти. Під час цього етапу також використовуються декілька методів цієї самої доставки, оскільки жоден метод не може гарантувати 100% успіх. Невдалі атаки іноді дуже корисні для отримання основної інформації про системну інформацію цілі. Такі типи механізмів збору інформації дуже поширені в стратегії атак на основі браузера, коли користувач відвідує шкідливу веб-сторінку, яка спочатку намагається отримати інформацію про систему користувача, а потім, відповідно, доставити саму кіберзагрозу.[3]

Четвертий - «використання/експлуатація», підчас якого аналітики уважно розглядають пошукові вразливості так званого нульового дня. А саме, коли шкідливий код був доставлений у систему організації і зловмисники отримали можливість використовувати системи організації, встановлюючи інструменти, запускаючи сценарії та змінюючи сертифікати безпеки. Найчастіше цілями атаки є програма або вразливі місця операційної системи. Прикладами таких атак експлуатації можуть бути сценарії, динамічний обмін даними та локальне планування завдань. Після того, як зловмисники виявили вразливість у вашій системі, вони використовують її та заподіюють свої шкідливі атаки.

Після того, як у мережі з'явиться певна опора через встановлення шкідливого програмного забезпечення, що надасть змогу зловмиснику виконувати команди, він зможе завантажувати додаткові інструменти, підвищити привілеї, вилучити хеші паролів тощо.

П'ятий етап - «установка» на комп'ютер шкідливого програмного забезпечення, яке надає зловмиснику віддалений доступ до мережі компанії. Це також ще один важливий етап, коли атаку можна зупинити за допомогою таких систем, як HIPS (Host-based Intrusion Prevention System - Система запобігання вторгненню на базі хосту).

Шостий - «управління і контроль» комунікацій із вузловим комп'ютером. Зловмисник отримує контроль над системами та мережею організації через доступ до привілейованих облікових записів і змінені дозволи безпеки. Як правило віддалені методи управління такі як DNS, Internet Control Message Protocol (ICMP), веб-сайти та соціальні мережі.

Також це зазвичай здійснюється за допомогою маяка на дозволеному шляху за межами мережі.

Маяки мають багато форм, але в більшості випадків вони, як правило, такі:

на основі HTTP або HTTPS;

виглядають як доброякісний трафік через фальсифіковані заголовки HTTP.

В результаті, хакер передає на контрольовані об'єкти необхідні команди, такі як «Що робити? Що робити далі? Яку інформацію збирати?». Для самого збору інформації можуть використовувати знімки екрану, моніторинг мережі, злам паролів, збір документації та ін.

Сьомий етап - «відпрацьовування об'єкта», а саме викрадення файлів, видалення даних чи знищення певних елементів обладнання. Мета зловмисника включає збір, шифрування та вилучення конфіденційної інформації з мережі організації. Саме на останньому етапі хакер представляє найбільшу загрозу. Виявлені на перших етапах вони не несуть суттєвої загрози, оскільки для нанесення реальної шкоди їм потрібно пройти ще декілька ланок.

При виявленні такої активності аналітики повинні попередити керівництво компанії. Як превентивний засіб часто встановлюється заборона використання зовнішніх носіїв на комп'ютерах компанії і для більшої надійності може налаштовуватись спеціальне блокування. Що раніше буде встановлена заборона, тим надійніше буде забезпечений захист.

На основі цих етапів передбачені наступні рівні реалізації безпекового контролю:

«виявлення» - визначити спроби проникнення в організацію;

«заборона» - припинення атак, коли вони відбуваються;

«порушення» - втручатися - це передача даних, яку здійснює зловмисник і зупиняється;

«деградація» - це обмеження ефективності атаки кібербезпеки, щоб мінімізувати її негативні наслідки;

«введення в оману» - ввести в оману зловмисника, надавши йому дезінформацію;

«утримання» - утримувати та обмежувати масштаб атаки, щоб вона була фактично обмежена лише певною частиною організації.

Після проходження всіх етапів моделі ланцюжок повторюється. Особливістю «суber kill chain» є те, що вона кругова, а не лінійна. Як тільки хакер проник у мережу, він знову починає цей ланцюжок усередині мережі, здійснюючи додаткову розвідку та виконуючи горизонтальне просування всередині цієї ж мережі. Крім того, хоча методологія однакова, але при знаходженні всередині мережі хакери будуть використовувати інші методи для етапів внутрішнього ланцюжка, ніж у випадку, коли вони знаходяться за межами неї. Фактично, після проникнення хакера в мережу, він стає інсайдером (користувач з певними правами і присутністю в мережі), а це заважає фахівцям компанії з безпеки підозрювати будь-яку атаку і зрозуміти, що вже йдуть пізні стадії розширеної моделі «cyber kill chain». Поєднання зовнішньої та внутрішньої «cyber kill chain» називається розширеною моделлю. Це означає додавання додаткових етапів, які фактично представляють майже такий самий набір етапів, як і внутрішня модель.

Кожен етап атаки після проникнення всередину комп'ютерної мережі жертви може зайняти від кількох хвилин до кількох місяців, включаючи час остаточного очікування, коли на місці вже все підготовлено і можна розпочинати безпосередню атаку.

Після встановлення зв'язку з цільовою системою зловмисник виконує команди. Команда, яку використовує зловмисник, залежить від зацікавленості атаки:

Масова атака. Мета масової атаки -- отримати якомога більше цілей. У масовій атаці цікавить більше, ніж одна система, кілька систем разом. Більшість таких атак спрямовані на отримання облікових даних адміністратора банку, електронної пошти, соціальних мереж та локального системного адміністратора [4]. Більш широка картина масової атаки і називається Botnet [5]. BOT-мережі в основному використовуються для DDoS-атак і майнінгу віртуальних монет. Віртуальний видобуток монет збирає системні процесори або графічний процесор, щоб генерувати віртуальну валюту для зловмисника.

Цілеспрямовані атаки: цілеспрямовані атаки є більш складними і проводяться з більшою обережністю. Більшість таких атак спрямовані на отримання конфіденційної або секретної інформації з цільової системи. Метою атак є екс-фільтрація даних та отримання ідентифікаційних даних користувачів для онлайн-облікових записів. Поширення їх через мережу також стає основною метою, коли метою є організація.

В обох типах атаки, якщо атака спрямована на деструктивну мету, вона може призвести до збою жорсткого диска системи або драйверів пристроїв. Зловмисник може змусити процесор використовувати свої максимальні можливості протягом тривалого часу, щоб пошкодити апаратне забезпечення цього ж процесора.

Реалізація кібернетичних загроз через вчинення атак зловмисників може призвести до таких наслідків:

Надзвичайна ситуація;

Блокування роботи або руйнування стратегічних державних підприємств, систем життєзабезпечення та об'єктів підвищеної небезпеки;

Блокування роботи державних органів та органів місцевого самоврядування;

Блокування функціонування військових формувань, органів військового управління, Збройних Сил, або втручання в автоматизовані системи керування зброєю;

Порушення безпекового функціонування банківської та фінансової системи держави;

Розголошення державної таємниці;

Масові заворушення.

Окрім фактичного зламу чи знищення комп'ютерної системи, кібератаки можуть вчинятися і з метою кібершпигунства з метою викрадення секретної інформації, а також як допоміжний засіб у межах інформаційної війни, з метою злому засекречених і закритих даних, розповсюдження негативної пропаганди, публікація недостовірної інформації.

Вцілому, усі кібератаки можна класифікувати на п'ять категорій:

Сприяють збору інформації (Information gathering).

Сприяють спробам несанкціонованого доступу до інформаційних ресурсів (Unauthorized access attempts).

Сприяють «відмові в обслуговуванні» (Denial of service).

Імітують підозрілу активність (Suspicious activity).

Впливають на операційну систему (System attack). [6]

Можливість попередження потенційних вторгнень - основна перевага «cyber kill chain». Кожен з етапів цієї моделі дозволяє заблокувати противника створюючи лінії захисту на відстані. Організації можуть використовувати «суber kill сhain» для моделювання кібератак, щоб за лічені секунди виявити та виправити прогалини в системі безпеки.

Ось як моделювання ланцюга «cyber kill chain» може захистити від атак кібербезпеки:

Імітація атак кібербезпеки

Справжні атаки кібербезпеки можна моделювати за всіма векторами, щоб знайти вразливі місця та загрози. Це включає моделювання кібератак через шлюзи електронної пошти, веб-шлюзи, брандмауер веб-додатків тощо.

Оцінка засобів контролю для виявлення прогалин безпеки

Це передбачає оцінку моделювання та визначення зон ризику. Платформи моделювання дають вам детальну оцінку ризику та звіти про кожен вектор.

Усунення та виправлення прогалин у кібербезпеці

Усунення недоліків безпеки, які були виявлені на попередньому кроці можуть включати такі кроки, як встановлення виправлень і зміна конфігурацій, щоб зменшити кількість загроз і вразливостей у мережі організації. [7]

Висновки

Захист комп'ютерної мережі є необхідністю у світлі прогресивних постійних загроз. Широкий обсяг наслідків негативного впливу кібератак за допомогою сучасних цифрових технологій на функціонування об'єктів державного та приватного сектору є результатом зростання кількості користувачів комп'ютерних мереж. Небезпека кібератак характеризується: універсальністю - їм можуть піддаватися всі найважливіші об'єкти інфраструктури, широким охопленням - мережа Інтернет знаходиться у постійному користуванні населенням і юридичними особами, економічністю - засоби здійснення кібератак набагато менше затратне ніж використання класичної зброї, анонімність - особа злочинця може бути прихована безліччю способів, віддаленістю - для здійснення кібернетичної атаки не потрібно фізичного контакту кіберзлочинця з об'єктом атаки.

Тому, належний захист комп'ютерних систем та інформаційних технологій як ніколи потребує надзвичайного захисту, який буде не просто відповідати новим агресивним викликам, а і найголовніше - виступати превентивним методом кібертероризму.

Список використаних джерел

1. The Guardian. URL: https://www.theguardian.com/technology/2016/oct/22/cyber-attack-hackers-weaponised-everyday-devices-with-malware-to-mount-assault.

2. Tarun Yadav, Arvind Mallari Rao. Technical_Aspects of Cyber Kill Chain. URL: https://www.researchgate.net/publication/281148852_Technical_Aspects_of_Cyber_Kill_Chain.

3. Git Hub, Device Fingerprint. URL: https://github.com/dimalinux/DeviceFingerprint_21.

4. Pernet, C.: APT Kill chain - Part 5: Access Strenghtening and lateral movements- Airbus D&S CyberSecurity blog (2014). URL: http://blog.airbuscybersecurity.com/post/2014/11/APT-Kill-chain-Part-5-3A-Access-Strenghtening-and-lateral-movements50.

5. Naseem, F., shafqat, M., Sabir, U., Shahzad, A.: A survey of botnet technology and detectiion. Int. J. Video Image Process. Netw. Secur. IJVIPNS-IJENS 10 (01), 912 (2010). URL: https://www.researchgate.net/publication/281148852_Technical_Aspects_of_Cyber_Kill_Chain.

6. Когут Ю.І. Кібертероризм ( історія, цілі, об'єкти): практичний посібник. КК «СІДКОН», 2021. - 304 с.

7. Pratik Dholakiya. What Is the Cyber Kill Chain and How It Can Protect Against Attacks. URL: https://www.computer.org/publications/tech-news/trends/what-is-the-cyber-kill-chain-and-how-it-can-protect-against-attacks.

Размещено на Allbest.ru