بیش از یک دهه پیش، ایده یک زنجیره قتل سایبری برای اولین بار توسط لاکهید مارتین مطرح شد. ایده کلی این طرح این است که مهاجمان پس از گذراندن مراحل شناسایی و یافتن آسیبپذیریها، بدافزار را به سیستم قربانی تزریق میکنند. سپس به یک سرور فرمان و کنترل متصل می شوند و شبکه را برای دستیابی به اهداف ارزشمند هدایت می کنند. در نهایت، آنها داده های سرقت شده را از شبکه بازیابی می کنند.
اگرچه به نظر می رسد این ایده به مهاجمان اجازه می دهد تا در هر مرحله از فرآیند حمله شناسایی و خنثی شوند، اما در عمل بسیاری از حملات را نادیده می گیرد و اثربخشی آن را در طول زمان کاهش می دهد. به گفته مایکل سالیگوغلو، مشاور امنیت سایبری در Crowe Accounting, Consulting and Technology، “زنجیره قتل سایبری راهی عالی برای جداسازی مراحل کلاسیک هک سایبری بود.” مدافعان می توانند از این ابزار برای طراحی استراتژی هایی برای توقف حمله در سراسر زنجیره استفاده کنند.
صالح اوغلو گفت: به طور کلی این روش در دنیای مدرن چندان کارآمد نیست و ایرادات زیادی دارد. به عنوان مثال، زنجیرههای هک سایبری برای کمک به سازمانها برای دفاع از خود در برابر نفوذهای یک لایه جدید (مانند سطلهای باز آمازون S3، حملات جستجوی توزیعشده یا حملات شخص ثالث) که ایده بهتری از کاری که مهاجم انجام میدهد دارند. غیر موثر.
استراتژی های امروزی مانند حفاظت عمیق و اعتماد صفر، فرصت های بیشتری برای کمک به سازمان ها برای مقابله با تهدیدات دارند.
چرا زنجیره زورگویی سایبری کارایی خود را از دست داده است؟
در بسیاری از انواع حملات، برخی از مراحل کار نمی کنند. برای مثال، حملات باجگیری شامل نصب بدافزار و شبکههای متقابل است و فرآیند بازیابی دادهها را دور میزند، مگر اینکه هکرها به دنبال باجگیری دوم باشند.
یک API ناامن همچنین می تواند به مهاجمان کمک کند تا تمام داده های موجود را از API بازیابی کنند. امروزه این روش به یکی از پرکاربردترین مسیرها برای حمله تبدیل شده است.
مهاجمان همچنین می توانند از اقتصاد جرایم سایبری برای از دست دادن یک سری مراحل استفاده کنند. آنها می توانند اعتبار سرقت شده را در بازار سیاه خریداری کنند و از آن اعتبار برای دسترسی به زیرساخت های شرکت استفاده کنند. به عنوان مثال، هکرها از اعتبار آمازون یا Cobrantize برای انجام عملیات رمزگذاری ارز استفاده می کنند.
سرقت داده ها از بسته های ذخیره سازی آمازون، که چندان امن نیستند، یک حمله معمولی یک مرحله ای است. مدتی پیش کل بانک اطلاعاتی فروشگاه پوشاک مردانه Bonobos به سرقت رفت. این شرکت یک فایل آرشیو روی پلتفرم ابری داشت و متأسفانه از آن به خوبی محافظت نکرد. Trevin Edgeworth، مدیر آموزش تیم Red Bishop Fox گفت: “بیش از 70 گیگابایت از حریم خصوصی مشتری در نتیجه این حمله منقضی شده بود.”
Edgeworth گفت: “این داده ها به صورت آنلاین در دسترس بود.” در این حمله هکرها سایر مراحل زنجیره کشتار سایبری مانند تسلیح، تحویل، نصب یا فرماندهی و کنترل را انجام ندادند. از سوی دیگر، زنجیره هک سایبری برای طیف محدودی از حملات، از جمله حملاتی که شامل ایجاد، تحویل و نصب بدافزار است، بهینه شده است.
بر اساس گزارش منتشر شده توسط Ermetic، بیش از 70 درصد از محیط های آمازون مورد بررسی دارای سیستم های دسترسی به اینترنت و همچنین داده های محرمانه مانند هویت هستند. اگر چنین سیستمهایی در معرض خطر قرار میگرفتند و این اطلاعات فاش میشد، این امکان وجود داشت که بتوان از آنها برای انجام حملات باجافزاری استفاده کرد. به عبارت دیگر، مدل کسب و کار رو به رشد مجرمان سایبری یکی از دلایل مهم کاهش کارایی زنجیره جرایم سایبری است.
دیو برگ، مدیر امنیت سایبری در EY Americas می گوید: «امروزه هکرها از روش های پیچیده ای برای انجام حملات خود استفاده می کنند. مدل کسب و کار آنها مدولارتر شده است و اکنون به صورت عمودی یکپارچه شده است[۱] اینطور نیست. “هر گروه از مجرمان سایبری نیز بر روی یک حوزه تخصصی تمرکز می کنند و نتایج تلاش های خود را به مجرمان دیگر می فروشند. در نهایت آنها یک حمله پیچیده شامل چندین بخش گسترده را انجام می دهند. جلوگیری از هر مرحله از حمله به هیچ عنوان امکان پذیر نیست. آسان
حملات زنجیره تامین چه نقشی در پیر شدن زنجیره قتل سایبری دارند؟
بورگ گفت: «امروز بخش قابل توجهی از حملات علیه کشورهای ثالث انجام می شود. همانطور که در بسیاری از موارد دیده ایم (مانند نقض امنیتی توسط تامین کننده تهویه مطبوع Target علیه شرکت در سال 2013 و حملات اخیر Solarwinds)، مهاجمان می توانند شخص ثالثی را برای دسترسی به یک سازمان هدف قرار دهند.
چنین تخلفی ممکن است کاملاً در محیط شخص ثالث رخ دهد. به عنوان مثال، یک ارائه دهنده خدمات شخص ثالث ممکن است به داده های مالی، سوابق کارمندان، آدرس های IP حساس یا اطلاعات مشتری دسترسی داشته باشد. بورگ می گوید: «اگر تصویر کاملی از شرکت های شریک نداشته باشید، فقط به این دلیل که آنها شخص ثالث هستند، نقاط کور زیادی خواهید داشت.
حملات به شرکت های شخص ثالث جدید نیستند، اما به دلیل استفاده روزافزون از API ها، نرم افزارهای ابری و سایر ادغام ها و ادغام ها، به طور قابل توجهی افزایش یافته اند. در زمینه کسب و کار، امکان اتصال داده ها و خدمات بین مرزهای مختلف شرکتی یک ویژگی مهم و موثر است. به گفته برگ: “امروز ما روابط بی شماری داریم، اما ممکن است به محافظت از آنها فکر نکنیم. “شناخت این ارتباطات متقابل فناوری، نحوه محافظت از اطلاعات متحرک و ثابت بسیار مهم است.”
تفکر مهاجمان گرافیکی است نه زنجیره ای
اتخاذ رویکرد زنجیرهای سنتی کشتار سایبری ممکن است منجر به این تصور غلط شود که مهاجمان در حال برداشتن چندین قدم مشخص برای رسیدن به اهداف خود هستند، اما ترنتون آیوی، مشاور عملیات عملیاتی ارشد در Secureworks، گفت که این دیدگاه غیرواقعی است. او گفت: «مهاجمین قوانین را رعایت نمی کنند. سعی می کنند از همه نوع ابزار استفاده کنند. آنها در حال تلاش برای دور زدن مانع در صورت برخورد با او هستند.
این افراد ممکن است به دنبال داده یا هدف کاملاً متفاوتی باشند. یک حمله سایبری موفق معمولاً یک نمودار درختی یا گرافیکی با یک سری لبه ها و رئوس دارد، نه یک مسیر خطی از شناسایی تا هدف. لبه ها مسیرهایی هستند که مهاجم از یک گره به گره دیگر طی می کند.
به گفته آیوی، “کلید موفقیت تمرکز بر یک مسیر خاص حمله نیست، بلکه شناسایی تمام لبه ها و حذف لبه های غیر ضروری است.”
به روز رسانی Cyber Killing Chain
یک پاسخ به ضعف روش زنجیره ای کشتار سایبری، چارچوب MITER ATT & CK است که شامل جزئیات بسیار و بیش از 200 فعالیت است که می تواند توسط مهاجمان انجام شود. به گفته آیوی: “این چارچوب روشی عالی برای در نظر گرفتن اقدامات مختلفی است که مهاجم می تواند انجام دهد و گزینه های مشترک زیادی را در اختیار مهاجمان قرار می دهد و مدافعان را ملزم به تفکر متفاوت می کند.” آیوی معتقد است که این چارچوب یک راه حل بسیار کاربردی است. .
صالح اوغلو می گوید: «همه از چارچوب MITER استفاده می کنند. «این چارچوب مرجعی است به تمام روشهایی که مهاجمان برای حمله به شبکه شما استفاده میکنند و بسیار قدرتمند است.» این مرجع شامل بسیاری از روشهای تهاجمی است که با روش زنجیره کشتار سنتی قابل شناسایی نیستند. به عنوان مثال می توان به حملات انکار سرویس و نفوذ در زنجیره تامین اشاره کرد.
صالح اوغلو گفت: “این روش نیز کامل نیست و مهاجمان همیشه روش های جدید حمله را ارائه می دهند.” نقض اطلاعات معمولاً به دلیل عدم اجرای تکنیک های حفاظتی شرح داده شده در چارچوب MITER ATT & CK است. “اگر به همه موارد ذکر شده در این چارچوب واکنش نشان دهید، بعید است که مهاجمان حتی با آسیبپذیری روز صفر آسیب قابل توجهی وارد کنند.”
یکی دیگر از مدل های جدید زنجیره قتل سایبری، زنجیره قتل یکپارچه است. این زنجیره ترکیبی از عناصر مختلف از زنجیره هک سایبری مارتین لاکهید و قاب MITER ATT & CK است. زنجیره قتل یکپارچه توسط پل پاولز بر اساس تحقیقات او در مورد مدل سازی حملات خرس فانتزی شکل گرفت.
زنجیره کشتار یکپارچه نسبت به زنجیره کشتار سنتی عمق بیشتری دارد اما برخلاف مدل مارتین لاکهید به انجام مراحل مختلف پشت سر هم توجه دارد. در نتیجه، به گفته مایک ساکستون، مدیر شکار تهدید فدرال، جرم شناسی دیجیتال و واکنش به بلایا در Booz Allen Hamilton: “این روش به طور مداوم در حال بررسی، به روز رسانی است و همچنین شامل تکنیک های شناسایی و واکنش است که به تیم های سایبری کمک می کند تا از مهاجمان سبقت بگیرند.”
اعتماد به نفس صفر و توانایی او برای مقاومت در برابر روش های جدید حمله
با توجه به جنبه استقرار، روش اعتماد صفر یکی از رایج ترین و پرکاربردترین راه حل ها برای مقابله با حملات سایبری و خطرات امنیتی است. به گفته صالح اوغلو: “اعتماد صفر یکی از پرکاربردترین اصطلاحات امروزی است و اعتقاد بر این است که راه حل همه مشکلات را شامل می شود.”
صالح اوغلو گفت: «این ایده از نظر تئوری عالی است، اما عملی کردن آن آسان نیست. با این حال، حرکت به سمت فلسفه اعتماد صفر به شرکتها کمک میکند تا از ذهنیت قلعهمانند قدیمی که اساس زنجیره قتل سایبری را تشکیل میدهد، خارج شوند.»
در این رویکرد، زمانی که فرد وارد محیط شبکه سازمانی می شود، تقریباً به کل شبکه سازمانی دسترسی آزاد دارد. صالح اوغلو گفت: در واقع شما یک شهروند هستید و می توانید هر کاری که بخواهید انجام دهید. این روش دارای پوسته سخت با هسته بسیار نرم است.
اعتماد صفر این طرز تفکر را تغییر می دهد. به یک معنا، اکنون هر برنامه و هر منبع داده قلعه مخصوص به خود را دارد. اعتماد صفر یک دفاع واضح در برابر حملات قاتل سریالی است، و دستیابی به نفوذ اولیه، شبکه متقابل و دسترسی به منابع ارزشمند را برای مهاجمان بسیار دشوارتر می کند. صالح اوغلو معتقد است که این روش برای تامین امنیت شبکه های شرکتی بسیار مفید است.
از زنجیره کشتار برای نفوذ به ذهن مهاجمان استفاده کنید
تام گوروپ، معاون مدیر عملیات امنیتی و پشتیبانی Alert Logic، گفت: «نباید زنجیره سنتی ترورها به طور کامل از بین برود. چنین رویکردی می تواند مزایای زیادی برای مدل سازی تهدیدات داشته باشد.
به عنوان مثال، فرض کنید یک شرکت داده های حساسی در یک سطل S3 دارد. چگونه مهاجم می تواند اطلاعاتی در مورد این سطل به دست آورد یا به آن نفوذ کند و داده های خود را از آن استخراج کند؟ به گفته تام گوروپ: «زمانی که زنجیره کشتار را درک کردید، می توانید این روند را طی کنید. شما باید از مدلسازی تهدید برای شناسایی منبع خطرات و آسیبپذیریهای احتمالی استفاده کنید. همچنین باید از زنجیره قتل به عنوان اسکریپت استفاده کنید تا مشخص کنید مهاجمان چگونه پیش خواهند رفت.
سپس با اعمال تدابیر امنیتی لازم از نفوذ و پیشروی مزاحمان جلوگیری خواهید کرد. به عنوان مثال، فرض کنید مهاجمان با بررسی نحوه رمزگذاری یک برنامه، اعتبارنامه را به دست می آورند. یکی از راه حل های این مشکل این است که هرگز از کدنویسی دقیق اعتبار کاربر در برنامه مورد نظر استفاده نکنید.
گراهام مایرز، مدیر ارشد امنیت سایبری در Capgemini می گوید: مهاجم هنوز باید یک مرکز فرماندهی و کنترل ایجاد کند و کارهایی مانند جابجایی و بازیابی داده ها را انجام دهد. به نظر نمی رسد که زنجیره کشتار سایبری قابل اجرا باشد، به خصوص زمانی که تعداد زیادی از حملات توسط شخص ثالث انجام می شود، اما این زنجیره همیشه یک چارچوب معتبر برای تجزیه و تحلیل این تهدیدات است.» تیم های امنیت سایبری باید مدل های خود را توسعه دهند. . آنها همچنین نباید از احتمال هک یا افشای کد به فروشندگان غافل شوند.
[۱] در یکپارچگی عمودی، یک سازمان فرآیند تولید و همچنین تمامی شرکت های درگیر در این فرآیند را کنترل می کند.
منبع: csoonline