Sécurité

Étapes de la chaîne de cyber kill

Étapes de la chaîne de cyber kill

Chaîne de cyber kill

La cyber kill chain (CKC) est un modèle de sécurité traditionnel qui décrit un scénario à l'ancienne, un attaquant externe prenant des mesures pour pénétrer un réseau et voler ses données, décomposant les étapes d'attaque pour aider les organisations à se préparer. CKC est développé par une équipe connue sous le nom d'équipe d'intervention en sécurité informatique. La chaîne de cyber kill décrit une attaque par un attaquant externe essayant d'accéder aux données dans le périmètre de la sécurité

Chaque étape de la chaîne de cyber kill montre un objectif spécifique ainsi que celui de l'attaquant Way. Concevez votre plan de surveillance et de réponse de la chaîne de mise à mort Cyber ​​Model est une méthode efficace, car elle se concentre sur la façon dont les attaques se produisent. Les étapes comprennent :

Les étapes de la chaîne de cyber kill seront maintenant décrites :

Étape 1 : Reconnaissance

Il comprend la récolte des adresses e-mail, des informations sur la conférence, etc. Une attaque de reconnaissance signifie qu'il s'agit d'un effort des menaces pour collecter autant que possible des données sur les systèmes de réseau avant de lancer d'autres types d'attaques hostiles plus authentiques. Les attaquants de reconnaissance sont de deux types : reconnaissance passive et reconnaissance active. Reconnaissance L'attaquant se concentre sur « qui » ​​ou sur le réseau : qui se concentrera probablement sur les personnes privilégiées soit pour l'accès au système, soit pour l'accès aux données confidentielles du « réseau » se concentre sur l'architecture et la mise en page ; l'outil, l'équipement et les protocoles ; et les infrastructures critiques. Comprendre le comportement de la victime et entrer par effraction dans une maison pour la victime.

Étape 2 : Armement

Fournir une charge utile en couplant les exploits avec une porte dérobée.

Ensuite, les attaquants utiliseront des techniques sophistiquées pour reconcevoir certains logiciels malveillants de base adaptés à leurs objectifs. Le logiciel malveillant peut exploiter des vulnérabilités auparavant inconnues, alias des exploits « zero-day », ou une combinaison de vulnérabilités pour vaincre discrètement les défenses d'un réseau, en fonction des besoins et des capacités de l'attaquant. En repensant le Malware, les attaquants réduisent les chances que les solutions de sécurité traditionnelles le détectent. « Les pirates ont utilisé des milliers d'appareils Internet infectés auparavant par un code malveillant - connu sous le nom de " botnet " ou, en plaisantant, d'" armée de zombies " - forçant un déni distribué particulièrement puissant de Service Angriff (DDoS).

Étape 3 : Livraison

L'attaquant envoie à la victime une charge utile malveillante par courrier électronique, ce qui n'est qu'une des nombreuses méthodes d'intrusion que l'attaquant peut utiliser. Il y a plus de 100 modes de livraison possibles.

Cible:
Les attaquants commencent une intrusion (les armes développées à l'étape 2 précédente 2). Les deux méthodes de base sont :

Cette étape montre la première et la plus importante opportunité pour les défenseurs d'entraver une opération ; cependant, certaines capacités clés et autres informations de données très appréciées sont défaites en faisant cela. A ce stade, on mesure la viabilité des tentatives d'intrusion fractionnée, qui sont entravées au point de convoyage.

Étape 4 : Exploitation

Une fois que les attaquants identifient un changement dans votre système, ils exploitent la faiblesse et exécutent leur attaque. Pendant la phase d'exploitation de l'attaque, l'attaquant et la machine hôte sont compromis. Le mécanisme de livraison prendra généralement l'une des deux mesures suivantes :

Ces dernières années, cela est devenu un domaine d'expertise au sein de la communauté du piratage qui est souvent démontré lors d'événements tels que Blackhat, Defcon, etc.

Étape 5 : Installation

A ce stade, l'installation d'un cheval de Troie d'accès à distance ou d'une porte dérobée sur le système de la victime permet au concurrent de maintenir sa persévérance dans l'environnement. L'installation de logiciels malveillants sur l'actif nécessite l'implication de l'utilisateur final en activant involontairement le code malveillant. L'action peut être considérée comme critique à ce stade. Une technique pour ce faire serait de mettre en œuvre un système de prévention des intrusions basé sur l'hôte (HIPS) pour mettre en garde ou mettre une barrière aux chemins communs, par exemple. NSA Job, RECYCLER. Il est essentiel de comprendre si les logiciels malveillants nécessitent des privilèges de la part de l'administrateur ou simplement de l'utilisateur pour exécuter la cible. Les défenseurs doivent comprendre le processus d'audit des terminaux pour découvrir les créations anormales de fichiers. Ils doivent savoir comment compiler la synchronisation des logiciels malveillants pour déterminer s'ils sont anciens ou nouveaux.

Étape 6 : Commandement et contrôle

Ransomware utilise des connexions pour contrôler. Téléchargez les clés de cryptage avant de saisir les fichiers. L'accès à distance des chevaux de Troie, par exemple, ouvre une commande et contrôle la connexion afin que vous puissiez accéder à distance aux données de votre système. Cela permet une connectivité continue pour l'environnement et l'activité de mesure de détective sur la défense.

Comment ça marche?

Le plan de commandement et de contrôle est généralement effectué via une balise hors du réseau sur le chemin autorisé. Les balises prennent de nombreuses formes, mais elles ont tendance à être dans la plupart des cas :

HTTP ou HTTPS

Semble trafic bénin via des en-têtes HTTP falsifiés

Dans les cas où la communication est cryptée, les balises ont tendance à utiliser des certificats signés automatiquement ou un cryptage personnalisé.

Étape 7 : Actions sur les objectifs

L'action fait référence à la manière dont l'attaquant atteint sa cible finale. Le but ultime de l'attaquant pourrait être n'importe quoi d'extraire une rançon de vous pour déchiffrer des fichiers en informations client à partir du réseau. Dans le contenu, ce dernier exemple pourrait arrêter l'exfiltration des solutions de prévention des pertes de données avant que les données ne quittent votre réseau. Sinon, les attaques peuvent être utilisées pour identifier les activités qui s'écartent des lignes de base définies et informer le service informatique que quelque chose ne va pas. Il s'agit d'un processus d'agression complexe et dynamique qui peut prendre des mois et des centaines de petites étapes à accomplir. Une fois cette étape identifiée au sein d'un environnement, il est nécessaire d'initier la mise en œuvre de plans de réaction préparés. À tout le moins, un plan de communication inclusif doit être planifié, ce qui implique la preuve détaillée des informations qui doivent être transmises au plus haut responsable ou au conseil d'administration, le déploiement de dispositifs de sécurité des terminaux pour bloquer la perte d'informations et la préparation de briefing un groupe CIRT. Avoir ces ressources bien établies à l'avance est un « MUST » dans le paysage des menaces de cybersécurité en évolution rapide d'aujourd'hui.

Jeux Tutoriel Bataille pour Wesnoth
Tutoriel Bataille pour Wesnoth
The Battle for Wesnoth est l'un des jeux de stratégie open source les plus populaires auxquels vous pouvez jouer en ce moment. Non seulement ce jeu es...
Jeux 0 A.ré. Didacticiel
0 A.ré. Didacticiel
Sur les nombreux jeux de stratégie disponibles, 0 A.ré. parvient à se démarquer comme un titre complet et un jeu tactique très profond bien qu'il soit...
Jeux Tutoriel Unity3D
Tutoriel Unity3D
Introduction à Unity 3D Unity 3D est un puissant moteur de développement de jeux. C'est une plateforme multiplateforme qui vous permet de créer des je...