Jednym z kluczowych składników nowoczesnego zarządzania bezpieczeństwem IT jest CTI (z ang. Cyber Threat Intelligence). Jest to przede wszystkim proces gromadzenia, analizowania oraz interpretowania informacji o zagrożeniach cybernetycznych, który służy głównie do tego, aby zrozumieć zdolność oraz intencje atakującego (adwersarza) i tym samym skutecznie ocenić poziom zagrożenia. Natomiast, żeby te zagrożenia rozłożyć na czynniki pierwsze i opisać w sposób ustrukturyzowany potrzebne są modele takie jak Cyber Kill Chain® , Diamond Model czy też MITRE ATT&CK®. Dzisiaj na tapetę weźmiemy sobie ten pierwszy.
Czym jest Cyber Kill Chain®?
Przede wszystkim jest to model analizy zagrożeń zaprezentowany przez firmę Lockheed Martin. Genezą tego rozwiązania jest wojskowa koncepcja zwana łańcuchem ataku (ang. kill chain), która pokazuje poszczególne etapy ataku prowadzące do zniszczenia celu wojskowego. Struktura tego modelu to łańcuch składający się z 7 kroków, które po kolei podejmuje adwersarz, aby osiągnąć swój cel. Każdy z tych etapów jest ze sobą ściśle powiązany, dlatego przerwanie któregokolwiek z nich skutkuje przerwaniem ataku.
Etapy ataku
Tak jak to widać powyżej mamy 7 faz. Każda z nich odpowiada za konkretny etap ataku, któremu przyporządkowane są określone działania atakującego.
PLANOWANIE (ang. reconnaisance) – to na tym etapie adwersarz wyszukuje słabe strony u potencjalnej ofiary. Pisząc kolokwialnie, szuka drzwi wejściowych do domu ofiary.
UZBROJENIE (ang. weaponization) – to właśnie w tym momencie wybierane i konfigurowane są narzędzia (przykładowo malware), którymi atakujący będą się posługiwać przy ataku.
DOSTARCZENIE (ang. delivery) – dosłownie, tak jak nazwa wskazuje, jest to dostarczenie zainfekowanych plików, narzędzi do ofiary, przykładowo przez e-mail lub interakcje na social media.
PRZEŁAMANIE (ang. exploitation) – na tym etapie następuje bezpośrednia interakcja ofiary z zastawioną pułapką, np. poprzez otworzenie załącznika lub kliknięcie w link.
INSTALACJA (ang. installation) – już po wejściu do środowiska ofiary, adwersarz dodaje usługi albo klucze rejestru dla autostartu tak, aby spokojnie móc zainstalować swoje narzędzia, bez obawy o restart systemu czy też urządzenia.
ZARZĄDZANIE I KONTROLA (ang. command & control, C2) – zainstalowane złośliwe oprogramowanie otwiera kanał dla atakującego do wydawania komend, aby zdalnie zarządzać systemem ofiary.
DZIAŁANIA (ang. action on objectives) – finalna faza, w której to adwersarz dzięki uzyskanemu dostępowi może przystąpić do głównego celu swojej misji, czyli np. do zebrania poświadczeń użytkowników, którymi logują się do systemów albo do eskalacji uprawnień lub po prostu do zniszczenia systemu.
Podsumowanie
Dzięki temu, że Cyber Kill Chain® ma podział na konkretne fazy czy też etapy ataku, analitycy bezpieczeństwa IT (niebieska strony mocy, tzw. blue team czyli obrońcy) mają możliwość identyfikacji wzorca, który posłuży do odpowiedzi na kluczowe pytanie, czyli czego szuka adwersarz i dlaczego akurat u tej konkretnej ofiary. To automatycznie umożliwia dobranie efektywnej obrony przed kolejnym atakiem. Dlatego tak ważnym jest przeprowadzenie pełnej analizy ataku wraz z kolejnymi etapami kampanii tak, aby w pełni zrozumieć motyw działania atakującego oraz przede wszystkim to jakie kolejne kroki podejmował, aby osiągnąć zamierzony cel. Więc mimo zwiastowanego końca modelu Cyber Kill Chain®, jego użyteczność przy analizie ataku czy też całych ofensywnych kampanii jest nadal bardzo wysoka.
Źródła
Sekurak, Wprowadzenie do bezpieczeństwa IT Tom 1, Securitum Wydawnictwo Sp. z o.o., Kraków 2023
Maciej Kofel, Security Analyst krok pierwszy, Szkoła Security, https://szkolasecurity.pl/