כל פעילות אבטחת IT והגנת סייבר מבוססת על קביעת גבול שיש לשמור עליו ( היקף ביטחון) ועל הערכת האפשרות לסבול מנזק הקשור לנסיבות צפויות פחות או יותר ( הערכת סיכונים).
יש להעריך את הסיכון תוך התחשבות נאותה באיום ובפגיעות שהוא יכול לנצל, בתנאי הנטייה הסובבים, בסבירות היישום וההצלחה של ההתנהלות המזיקה ולבסוף, במידת האבדות העלולות להיגרם.
בואו נעצור כאן כדי לשקול רק את האלמנט הראשון - האיום - וננסה לבסס כמה נקודות קבועות שיעזרו לנו להתמודד עם שיטה קשה, אך לא בלתי אפשרית, ללמוד את היריב שלנו. כן, מכיוון שקרבות, יותר מאשר עם כלי נשק, זוכים בזכות ידיעת היריב: שלו "דנה", ראשי תיבות הידועים באופן מסורתי בבתי ספר צבאיים לעקירה, ישות, טבע ויחס האויב; ובמיוחד של TTPכלומר טקטיקות, טכניקות ונהלי הפעלה.
עם זאת ממולח ומחונן, היריב שלנו עדיין יצטרך לעקוב אחר החוט המשותף אם הוא יצליח. והגיון וניסיון מאפשרים לנו להמשיג "נתיב של נזק" או אם אתה רוצה "מחזור חיי איום" שיש לזכור אם ברצונך לבצע ניתוח סיכונים יעיל וממוקד והשקעות אבטחה.
בדרך כלל מחזור זה מתחיל מאחד שלב הכנה, כאשר היריב עוקב אחר רשתות הקורבן, מערכות המידע ושירותי ה- IT מבחוץ באמצעות פעילויות סיור: למשל עם כלים פעילים סריקה או איסוף מידע מארח, מחפש נקודות תורפה או נתונים מפורטים על תצורות מערכות היקפיות או על נהלי הגישה הפיזית למרכזי נתונים ושולחן העבודה. בשלב זה, יתר על כן, היריב רוכש את המשאבים הדרושים לביצוע ההתקפה, כגון יצירת botnet להשיק פעולות של מניעת שירות או השכרת שרת וירטואלי פרטי כדי להבטיח אנונימיות.
לאחר שלב הכנה זה, בדומה לפעולות טקטיות התקפיות בתמרונים יבשתיים, ישנו חדירת קיר ההגנה, בדרך כלל בנקודה הפגיעה ביותר שבה, בטכניקות שונות כגון גניבת אישורים אישיים או התקנת תוכנות זדוניות ב- pendrive שניתן לצוות הפנימי בארגון, היריב מבטיח "ראש גשר" המאפשר לו להתקין קודים זדוניים בגבול האבטחה.
השלב שלהוצאה לפועל קודים זדוניים בעזרתו היריב פותח בהתקפה ו / או מבטיח שליטה סמויה (והאלמוניות יכולה להימשך חודשים או שנים כתא שינה) בחלק מהמערכת, הרשת או השירות ליישום אסטרטגיות מודיעיניות נוספות והסדרים וליקויים.
בשלב זה היריב יכול לנהל טקטיקות של התמדה, שמטרתו דוקא לשמור על שער הגישה, "ראש הגשר" בגבול הביטחון למרות חתוך כגון הפעלה מחדש או שינוי אישורים; שֶׁל הסלמת הרשאות, שבעזרתה היא מנסה להבטיח הרשאות גישה ברמה גבוהה יותר, כמו אלה שחמדנות לניהול מערכת; שֶׁל התחמקות מההגנה, איתו היא מנסה להסוות את עצמה בפעילות הניטור והגילוי של מערכת האבטחה; שֶׁל גישה אישורים, שמטרתו לגנוב אישורי כניסה; שֶׁל תגלית, איתו הוא צופה - הפעם מבפנים - בסביבה, מכוון טוב יותר את אסטרטגיות ההתקפה שלו או משנה את יעדיו; שֶׁל תנועה צדדית איתו היא מתרחבת, רוכשת שליטה על פלחי רשת צמודים או מחיצות של שרתים עם גישה מבוקרת או מערכות מידע מרחוק; שֶׁל אוסף איתו הוא מזהה, מנתח ואוסף את המידע שהוא רוצה לגנוב; של C2 איתו היא מקימה ערוצי תקשורת רפאים כדי להבטיח פיקוד ושליטה על המערכת שנפגעה מבחוץ; ולבסוף טקטיקות של פילטרציה או השפעה תלוי אם מטרת התקיפה היא לגנוב מידע או לשבש את פעולת המערכת; או שניהם, כמו במקרה של הידועים לשמצה ransomware מתקדמים יותר המוציאים עותק של הנתונים בכדי לאיים על פרסומם ב- רשת כהה, במקביל להצפין ולהפוך חלק מהזיכרון או את כל הזיכרון שמכיל אותם.
לכל אחת מהטקטיקות הללו, יש טכניקות ופרוצדורות פריצה מתוחכמות ומתקדמות, כמו גם אלגוריתמים של חֲדִירָה, פילטרציה והשפעה שפותחה במיוחד על ידי פושעי סייבר.
למרבה המזל, עם זאת, מדובר בטקטיקות הידועות לעולם המודיעין ואבטחת הסייבר, אשר בתורו פיתחה אסטרטגיות אמצעי נגד במונחים של הגנה, ניטור, איתור, הפחתה ותגובה. נדבר על כך במאמר עתידי.
להעמיק:
הגנה מקוונת: "מהי רשת הרוג הסייבר?"
https://doi.org/10.6028/NIST.SP.800-30r1
