いくつかの記事で、いわゆる「サイバーキルチェーン「しかし、詳しく調べてみると、それが何であるかを実際に説明したことはありません。
今日、この短い記事では、モデルの誕生をたどり、何かをより一緒に理解しようとします。
の概念 サイバーキルチェーン アメリカの主要な防衛産業であるロッキード・マーティンによって、ホワイトペーパーで最初に発表されました。 「敵のキャンペーンと侵入キルチェーンの分析によって通知されたインテリジェンス主導のコンピュータネットワーク防御」、Eric M. Hutchins、Michael J. Cloppert、およびRohan M.Aminによる。
非常に興味深いので、ドキュメント全体を読むことをお勧めします(下部のリンク)。 私たちの場合、私たちは自分たちにとって最も有用と思われるものを取ることに自分自身を制限します、特に序論では、私たちは次の最初の定義を見つけます サイバーキルチェーン:
「キルチェーン」というフレーズは、侵入の構造を説明し、対応するモデルは、実用的なセキュリティインテリジェンスに情報を提供するための分析をガイドします。.
したがって、著者は、防御側がリスク軽減手法を開発するのに役立つサイバー攻撃モデルの開発に関心を持っていました。これにより、彼の作業における架空の侵入者を効果的に阻止できます。 このモデルは、新技術への投資の「優先順位付け」を容易にすることも目的としていました。
防衛産業が次の概念を導入したのは偶然ではありません。 サイバーキルチェーン、それは単に軍事概念のサイバー環境への適応であり、実際、元々は攻撃の実行に必要なさまざまなステップを特定するのに役立つ段階的なモデルでした。
の分析 キルチェーン 目標を達成するための対戦相手がチェーン全体をどのように進行できる必要があるかを理解し、どの緩和アクションが効果的であるかを強調することができます。 キルチェーン 自体.
このペーパーは、特にAPT(Advanced Persistent Threath)キャンペーンを実施するのに十分な容量とリソースを持つ敵の分析を目的としています。
しかし、これが何で構成されているか見てみましょう サイバーキルチェーン。 それはからなるプロセスです XNUMXつの段階:
最初の段階は呼ばれます 偵察 (パトロール)そして、その名前がはっきりと示しているように、それはターゲットを特定して選択するための検索、ターゲットに関連する情報のインターネット検索、それが使用する技術、電子メールアドレスとスタッフ、そして社会的関係から成ります。 このフェーズは、おそらく横方向の動きで最終目標に到達するのに役立つ最初の目標を定義するための基本です。たとえば、右下の従業員は、最終的に会社のCEOに到達するために打撃を受けます。
XNUMX番目のフェーズは 兵器化 (兵器)攻撃に使用できるマルウェア、通常はリモートアクセスソフトウェア(トロイの木馬)と エクスプロイト (システムの脆弱性を悪用するソフトウェア)。 多くの場合、システムにアクセスするために、 ゼロデイ それらは発見されたばかりであるという理由だけでまだ「パッチ」されていない真新しい脆弱性であるため、そこからの防御はまだありません。
第三段階は呼ばれます 発送先 (配信)そしてサイバー兵器(武器)のターゲットへの送信で構成されます。 通常、被害者への配布には、偽のサイトへのリンクやマルウェアを含む添付文書が記載された電子メールが使用されます。 ただし、ファームウェアまたはその他の方法で「ネストされた」マルウェアを含むUSBスティック、赤外線、Bluetooth、光メディア、キーボード、またはマウスも可能です。
第XNUMX段階はとして知られています 搾取 (悪用)そして一般的に、攻撃を受けているシステムに導入された悪意のあるソフトウェアによるXNUMXつ以上の脆弱性の悪用で構成されます。 の最も高度な技術に注意する必要があります 難読化 (多くの場合、新しい手法でさえ)ファイアウォール、IDS、IPS、メールフィルター、ウイルス対策、SIEMのいずれであっても、これらのアクションを「レーダー」から完全に見えなくします。
第XNUMX段階はと呼ばれます インストール (インストール)そして、攻撃者がシステム内に自由に留まることができるようにするために、ターゲットシステム内にインストールすることで構成されます。いわゆる永続性です。 マルウェアトロイの木馬(RAT リモートアクセストロイの木馬)、ポートがネットワークで開かれている、または作成されている 裏口。 このフェーズでは、システムはサイレントに変更されますが、大幅に変更されます。レジストリキー、システムファイル、さらにはブートパーティションも変更できます)。 これが、「侵害されたシステム」の復元の結果が決して当然の結論ではない理由のXNUMXつです。
XNUMX番目のフェーズは コマンドおよび制御 (C2またはC&C、コマンドアンドコントロール)そして、攻撃者が命令を出し、フィードバックを受け取ることを可能にするコマンドアンドコントロールの強固なチェーンを確立することで構成されます。 このフェーズは、APTでは特に重要です。
第XNUMX段階はと呼ばれます 目的に対する行動 (ターゲットに対するアクション)であり、ターゲットシステムに対する実際の攻撃で構成されます。 通常、これにはデータの盗み出しが含まれます。これは、より一般的には、システムの探索、データの収集、暗号化、および盗み出しを意味します。 それ以外の場合は、データを利用できないようにし、一般的には後で身代金を要求するためにデータを暗号化します(有名な ランサムウェア)。 それ以外の場合は、データを変更する必要があります(飛行機のスペアパーツのサイズが数分のXNUMXミリメートル変更された場合はどうなりますか?)。 攻撃者は、別のより収益性の高いシステムを攻撃するためにデータを収集することだけに関心がある場合もあります。
各フェーズは、いくつかの多かれ少なかれ多数のステップに分割できます。
もちろん、ロッキード・マーティンが防御目的で開発したモデルは、特に初期段階に関連して、攻撃目的で使用することができ、また使用することもできます。 偵察と兵器化.
もちろん、さまざまなバリエーションがあります サイバーキルチェーン、さまざまな企業によって開発されましたが、目標は常に同じです。つまり、攻撃者を倒す方法、より一般的にはリスクを緩和する方法を理解するために、攻撃者の手口を理解するのに役立ちます。
深める:
