מהי רשת הרוג הסייבר?

(של אלסנדרו רוגולו, לינו פרודדו)
29/03/21

בכמה מאמרים הזכרנו את מה שמכונה "שרשרת הרוג סייבר"אבל בבדיקה מדוקדקת מעולם לא הסברנו באמת מה זה. 

היום במאמר קצר זה אנו עוקבים אחר לידת המודל ומנסים להבין משהו נוסף ביחד.

הרעיון של רשת להרוג סייבר פורסם לראשונה על ידי לוקהיד מרטין, תעשיית ההגנה האמריקאית העיקרית, בעיתון הלבן: "הגנה על רשת מחשבים מונעת מודיעין הודיעה על ידי ניתוח קמפיינים יריבים ושרשראות להרוג חדירה"מאת אריק מ 'האצ'ינס, מייקל ג'יי קלופרט ורוהאן מ' אמין.

אני ממליץ לכולם לקרוא את המסמך בשלמותו מכיוון שהוא מעניין מאוד (קישור בתחתית). במקרה שלנו אנו מגבילים את עצמנו לקחת את מה שנראה לנו הכי שימושי, במיוחד בהקדמה אנו מוצאים הגדרה ראשונה שרשרת הרוג סייבר:

"הביטוי" שרשרת הריגה "מתאר את מבנה החדירה, והמודל המקביל מנחה את הניתוח בכדי להודיע ​​על מודיעין ביטחוני בר-פעולה.

המחברים עסקו לפיכך בפיתוח מודל להתקפות סייבר שיעזור למגינים לפתח טכניקות להפחתת סיכונים, דבר זה יעכב למעשה פורץ היפותטי בעבודתו. המודל נועד גם להקל על "תעדוף" של השקעות בטכנולוגיות חדשות.

לא במקרה תעשייה ביטחונית הציגה את המושג רשת להרוג סייברזהו פשוט התאמה לסביבת הסייבר של מושג צבאי, למעשה במקור זה היה מודל שלבי שימושי לזיהוי הצעדים השונים הדרושים לביצוע מתקפה.

הניתוח של שרשרת להרוג מאפשר לך להבין כיצד יריב כדי להשיג את מטרתו חייב להיות מסוגל להתקדם בכל השרשרת, ולהדגיש אילו פעולות הפחתה יעילות להפריע ל שרשרת להרוג עצמו.

המאמר נועד במיוחד לניתוח של אותם יריבים עם יכולת ומשאבים מספקים לביצוע קמפיינים של APT (מתקדם מתמיד).  

אבל בואו נראה ממה זה מורכב שרשרת הרוג סייבר. זהו תהליך המורכב מ שבעה שלבים:

השלב הראשון נקרא סִיוּר (סיור) וכפי שהשם מראה בבירור, הוא מורכב מביצוע חיפושים לזיהוי ובחירת המטרה, חיפושים באינטרנט אחר מידע הקשור למטרה, הטכנולוגיות בהן היא משתמשת, כתובות דוא"ל וצוות וכן יחסים חברתיים. שלב זה הוא בסיסי להגדרת היעד הראשוני המועיל להגיע לסופי אולי עם תנועה רוחבית, למשל העובד בפינה השמאלית התחתונה יפגע כדי להגיע סוף סוף למנכ"ל החברה.

השלב השני נקרא נשק (חימוש) ומורכב מיצירה או זיהוי של תוכנה זדונית שיכולה לשמש להתקפה, בדרך כלל זיווג של תוכנת גישה מרחוק (סוס טרויאני) ו לנצל (תוכנה המנצלת פגיעות מערכת). לעתים קרובות כדי לקבל גישה למערכת, ה- אפס יום שמהם עדיין אין הגנה מכיוון שהם פגיעות חדשות שעדיין לא "תוקנו" בדיוק בגלל שזה עתה התגלו.

השלב השלישי נקרא מסירה (מסירה) ומורכב מהעברת נשק הסייבר (נשק) ליעד. בדרך כלל הודעות דוא"ל עם קישורים לאתרים מזויפים או מסמכים מצורפים המכילים תוכנות זדוניות משמשות להפצה לקורבן. אבל גם מקלות USB, אינפרא אדום, Bluetooth, מדיה אופטית, מקלדות או עכברים עם תוכנה זדונית "מקוננת" בקושחה או בשיטות אחרות אפשריות.  

השלב הרביעי מכונה ניצול (ניצול) ובדרך כלל מורכב מניצול של פגיעות אחת או יותר על ידי תוכנה זדונית שהוכנסה למערכת המותקפת. יש לציין כי הטכניקות המתקדמות ביותר של ערפול (לרוב אפילו טכניקות חדשות) כדי להפוך את הפעולות הללו לבלתי נראות לחלוטין ל"רדארים "שלנו בין אם מדובר בחומות אש, IDS, IPS, מסנני דואר, אנטי-וירוס ו- SIEM.

השלב החמישי נקרא הַתקָנָה (התקנה) ומורכב מהתקנה בתוך מערכת היעד על מנת לאפשר לתוקף להישאר בתוך המערכת כרצונו, מה שמכונה התמדה. סוסים טרויאניים זדוניים (RAT סוס טרויאני לגישה מרחוק), יציאות נפתחות ברשת או נוצרות דלת אחורית. בשלב זה המערכת משתנה בשקט אך בכבדות, ניתן לשנות מפתחות רישום, קבצי מערכת ואפילו מחיצות אתחול). זו אחת הסיבות מדוע התוצאה של שיקום "מערכות שנפגעו" לעולם איננה דבר מובן מאליו.

השלב השישי נקרא פיקוד ובקרה (C2 או C&C, פיקוד ובקרה) ומורכב מהקמת שרשרת פיקוד ושליטה איתנה המאפשרת לתוקף לתת פקודות ולקבל משוב. שלב זה חשוב במיוחד ב- APT. 

השלב השביעי נקרא פעולות למטרות (פעולות על היעדים) ומורכב מהתקפה בפועל על מערכת היעד. בדרך כלל זה כולל סינון נתונים, שמשמעותו באופן כללי יותר היא חקר המערכת, איסוף נתונים, הצפנתם והצבתם. במקרים אחרים מדובר בהפיכת הנתונים ללא זמינים, בדרך כלל הצפנתם כדי לבקש אחר כך כופר (המפורסם תוכנת Ramsomware). במקרים אחרים מדובר בשינוי הנתונים (מה היה קורה אם גודל חלק חילוף למטוס ישתנה בכמה שברים של מילימטר?). לתוקף יכול להיות אינטרס גם רק לאסוף נתונים כדי לתקוף מערכת אחרת ורווחית יותר.

כל שלב יכול להיות מחולק למספר שלבים רבים יותר או פחות.

כמובן, המודל שפיתח לוקהיד מרטין למטרות הגנה יכול ומשמש גם למטרות פוגעניות, במיוחד ביחס לשלבים הראשונים של סיור ונשק.

כמובן, ישנן וריאציות רבות של שרשרת הרוג סייבר, שפותחו על ידי חברות שונות, אך המטרה היא תמיד זהה, כלומר להבין את אופן הפעולה של התוקף על מנת להבין כיצד להביס אותו או באופן כללי יותר כיצד למתן את הסיכונים.     

להעמיק:

LM- נייר לבן- Intel-Driven-Defense.pdf (lockheedmartin.com)

שבעה_דרכים_להחיל_את_סייבר_רוג_שרשרת_ל_אימת_אינטליגנציה_פלטפורם.pdf (lockheedmartin.com)