サイバーセキュリティおよびサイバー保護活動は、守るべき国境の決定に基づいています( セキュリティ境界)および多かれ少なかれ予見可能な状況に関連する損害を被る可能性の推定について( リスクアセスメント).
リスクは、悪用される可能性のある脅威と脆弱性、周囲の素因条件、実行の可能性と有害な行為の成功、そして最後に発生する可能性のある損失の程度を十分に考慮して評価する必要があります。
ここで立ち止まって、最初の要素である脅威のみを検討し、敵を研究する困難ではあるが不可能ではない方法に直面するのに役立ついくつかの固定点を確立してみましょう。 はい、なぜなら、武器よりも、対戦相手の知識のおかげで戦いに勝つからです。デナ"、敵の脱臼、実体、性質および態度のための軍学校で伝統的に知られている頭字語;そして特にその TTPつまり、その戦術、技術、および操作手順についてです。
どんなに賢くて才能があっても、彼が成功するためには、私たちの対戦相手は依然として共通の糸に従う必要があります。 また、論理と経験により、「損傷の経路」を概念化することができます。または、効果的で焦点を絞ったリスク分析とセキュリティ投資を行う場合に留意する必要がある「脅威のライフサイクル」が必要な場合。
通常、このサイクルはXNUMXから始まります 準備段階、敵が被害者のネットワーク、情報システム、ITサービスを外部から偵察活動で監視する場合:たとえば、アクティブなツールを使用する スキャニング または ホスト情報収集、境界システムの構成またはデータセンターとデスクトップへの物理的アクセスの手順に関する脆弱性または詳細データを探します。 さらに、このフェーズでは、敵は攻撃を実行するために必要なリソースを取得します。 ボットネット のアクションを起動する サービス拒否 またはのレンタル 仮想専用サーバー 匿名性を確保するため。
この準備段階の後、陸上演習での攻撃的な戦術作戦と同様に、 防御壁の貫通、通常、個人の資格情報の盗難やインストールなどのさまざまな手法を使用する最も脆弱なポイント マルウェア 組織の内部スタッフに与えられたペンドライブで、対戦相手は、セキュリティ境界内に悪意のあるコードをインストールできるようにする「ブリッジヘッド」を確保します。
これに続いて実行 悪意のあるコード 対戦相手が攻撃を開始したり、システム、ネットワーク、またはサービスの一部の覆面捜査を保証したり(匿名性は眠る細胞として数か月または数年続く可能性があります)、さらなる準備やインテリジェンス戦略を実装し、妥協します。
この段階で、対戦相手は次の戦術を実行できます。 持続性、アクセスゲート、セキュリティ境界内の「橋頭堡」を維持することを正確に目的としていますが、 カットオフ 資格情報の再起動や変更など。 の 特権昇格、システム管理に貪欲なものなど、より高いレベルのアクセス特権を保証しようとします。 の 防衛回避、セキュリティシステムの監視および検出アクティビティで自分自身を偽装しようとします。 の クレデンシャルアクセス、ログイン資格情報を盗むことを目的としています。 の 発見、今回は内部から環境を観察し、攻撃戦略をより適切に方向付けたり、目的を修正したりします。 の 横移動 それを拡張して、制御されたアクセスサーバーまたはリモート情報システムの隣接するネットワークセグメントまたはパーティションの制御を取得します。 の コレクション 彼が盗みたい情報を特定、分析、収集するために使用します。 外部からの侵害されたシステムのコマンドアンドコントロールを保証するためにゴースト通信チャネルを確立するC2の。 そして最後にの戦術 流出 または 影響 攻撃の目的が情報を盗むことなのか、システムの運用を妨害することなのかによって異なります。 悪名高い場合のように、またはその両方 ランサムウェア データのコピーを抽出して、 ダークウェブ、同時に、それらを含むメモリの一部またはすべてを暗号化して使用不可にします。
これらの戦術のそれぞれについて、微妙で高度なハッキングの手法と手順、および 浸透, 流出 サイバー犯罪者によって特別に開発された影響。
ただし、幸いなことに、これらはインテリジェンスとサイバーセキュリティの世界で知られている戦術であり、保護、監視、検出、軽減、および対応の観点から対策戦略を開発しています。 これについては、今後の記事で説明します。
深める:
オンライン防衛: "サイバーキルチェーンとは何ですか?"
https://doi.org/10.6028/NIST.SP.800-30r1
