Serie cybersecurity (1/10): Framework-uri cybersecurity; Cyber Kill Chain

Atacatorul poate utiliza diverse metode pentru a efectua recunoașterea:

• Scanarea rețelei sau a sistemului țintei pentru porturi, servicii sau aplicații deschise care pot fi folosite ca puncte de intrare sau exploatate pentru vulnerabilități.
• Phishing: e-mailuri sau mesaje adresate utilizatorilor sau angajaților țintei care conțin linkuri sau atașamente malițioase care le pot infecta dispozitivele sau le pot fura acreditările.
• „Inginerie socială”: manipulează sau înșală utilizatorii sau angajații țintei pentru a obține informații sau acces care îi pot ajuta în atacul lor.
• Informații din surse deschise: colectarea de informații despre țintă din surse publice, cum ar fi site-uri web, rețele sociale, baze de date sau forumuri.

Apărătorul poate lua măsuri pentru a preveni sau detecta recunoașterea:

• Minimizarea amprentei digitale: limitarea cantității de informații care sunt expuse public despre sistem sau organizație. Utilizați instrumente pentru a monitoriza expunerea online și eliminați orice date sensibile.
• Implementați controale de securitate care pot proteja rețeaua și datele împotriva accesului sau dezvăluirii neautorizate. Utilizați instrumente precum firewall-uri, criptare, autentificare, monitorizare și creșterea conștientizării pentru a vă securiza rețeaua și datele.
• Depistați încercările de recunoaștere a rețelei sau a sistemului dvs. prin utilizarea instrumentelor și platformelor de securitate. Utilizați instrumente precum: IDS (Intrusion Detection Systems) / IPS (Intrusion Prevention Systems); analiza și corelarea log-urilor; analiza traficului de rețea pentru a detecta încercările de scanare, phishing, inginerie socială sau informații din surse deschise.

Atacatorul poate utiliza diverse instrumente și tehnici pentru a realiza armarea:

• Troieni de acces la distanță (RATs / Remote Access Trojans): programe malware care permit atacatorului să controleze de la distanță dispozitivul țintei și să acceseze fișierele, camera, microfonul sau tastatura.
• Exploit-uri: coduri sau programe software care profită de o vulnerabilitate din sistemul sau aplicația țintită pentru a executa comenzi sau acțiuni malițioase.
• Documente „înarmate”: fișiere care conțin programe malware sau coduri încorporate care pot fi executate atunci când fișierul este deschis sau vizualizat.

Apărătorul poate lua măsuri pentru a preveni sau detecta armarea:

• Antiviruși: software care poate scana, detecta și elimina malware sau alte coduri malițioase de pe dispozitivul țintei.
• Sandboxing: tehnică ce izolează și rulează fișierele sau aplicațiile suspecte într-un mediu separat și sigur, pentru a le împiedica să dăuneze dispozitivului țintă.
• Whitelisting: tehnică ce permite doar fișierelor sau aplicațiilor de încredere și autorizate să ruleze pe dispozitivul țintă și le blochează pe toate celelalte.
• Patching: tehnică prin care se actualizează și se remediază vulnerabilitățile din sistemul sau aplicația țintă, pentru a împiedica exploatarea acestora. 

Atacatorul poate utiliza diverse metode și canale pentru a efectua livrarea:

• Atașamente de e-mail: sarcina utilă malițioasă este atașată la un e-mail care pare legitim și care este trimis utilizatorilor sau angajaților țintei.
• Linkuri malițioase: sarcina utilă malițioasă este încorporată într-un link care pare legitim și este trimisă către utilizatorii sau angajații țintă prin e-mail, mesaj sau rețele sociale.
• Site-uri web compromise: atacatorul compromite un site web pe care utilizatorii sau angajații obiectivului îl vizitează frecvent și injectează încărcătura utilă malițioasă în codul sau conținutul site-ului web.
• Suporturi USB detașabile: sarcina utilă malițioasă este încărcată pe o unitate USB sau pe un alt suport detașabil care este livrat fizic la locația țintei.

Apărătorul poate lua diverse măsuri pentru a preveni sau detecta livrarea:

• Filtrarea spam-ului: filtrează e-mailurile nedorite sau suspecte pentru a nu ajunge în căsuța poștală a țintei. (De ex., identificați și blocați e-mailurile ce pot conține atașamente sau link-uri malițioase).
• Filtrarea web: filtrează site-urile web nedorite sau malițioase pentru a nu fi accesate de browserul țintei. (De ex., blocațiaccesul la site-uri sau categorii cunoscute ca fiind malițioase).
• Segmentarea rețelei: împarte rețeaua țintei în subrețele mai mici, cu niveluri diferite de acces și securitate. (De ex., VLAN-uri sau firewall-uri care izolează sistemele critice de cele mai puțin sigure și previn mișcarea laterală a programelor malware).
• Educația utilizatorilor: utilizatorii și/sau angajații trebuie să poată recunoaște și evita tentativele de phishing și alte metode de livrare. (De ex., puteți simula atacuri de phishing și puteți testa gradul de conștientizare a utilizatorilor). 

Atacatorul poate utiliza diverse tehnici și instrumente pentru a realiza exploatarea:

• Buffer overflow: suprascrie memoria unui program sau a unui sistem cu mai multe date decât poate gestiona, provocând blocarea acestuia sau executarea de cod arbitrar.
• Injectarea SQL: introduce instrucțiuni SQL malițioase în interogarea bazei de date a unei aplicații web, permițând atacatorului să acceseze, să modifice sau să șteargă date.
• Escaladarea privilegiilor: exploatează o deficiență într-un sistem sau într-o aplicație pentru a obține privilegii sau acces mai mare decât cel prevăzut.
• „Pass-the-hash”: utilizează o parolă modificată în loc de o parolă în clar pentru a se autentifica într-un sistem sau serviciu.

Apărătorul poate lua diverse măsuri pentru a preveni sau detecta exploatarea:

• Sisteme de detectare și prevenire a intruziunilor (IDS/IPS): monitorizează traficul de rețea și detectează sau blochează activitățile rău intenționate.
• Testarea securității aplicațiilor: proces care testează și scanează aplicațiile pentru a detecta vulnerabilități și defecte.
• Scanarea și remedierea vulnerabilităților: proces care scanează și corectează sistemele și software-ul pentru vulnerabilități și actualizări.
• Principiul celui mai mic privilegiu: acordă utilizatorilor sau proceselor doar privilegiile sau accesul minim de care au nevoie pentru a-și îndeplini sarcinile. 

Atacatorul poate utiliza diverse metode și instrumente pentru a realiza instalarea:

• Troieni cu acces de la distanță (RATs): programe malware care permit atacatorului să controleze de la distanță dispozitivul țintei și să acceseze fișierele, camera, microfonul sau tastatura.
• Rootkit-uri: programe malware care se ascund pe ele însele sau alte programe malițioase pentru a nu fi detectate de antivirus sau de alte instrumente de securitate.
• Keylogger-i: programe malware care înregistrează apăsările de taste ale utilizatorului sau angajatului țintă și le trimit atacatorului.
• Botnets: rețele de dispozitive compromise care sunt controlate de atacator și care pot fi utilizate în diverse scopuri rău intenționate, precum atacurile DDoS (Distributed Denial-of-Service) sau trimiterea de spam.

Apărătorul poate lua diverse măsuri pentru a preveni sau detecta instalarea:

• Detectarea și răspunsul la dispozitivele: monitorizează și analizează comportamentul și activitatea dispozitivelor dintr-o rețea, respectiv detectează sau blochează orice software sau acțiuni rău intenționate.
• Analiza și corelarea log-urilor (LAC): tehnică ce colectează și analizează log-urile din diverse surse (de ex. dispozitive, aplicații sau servere) și identifică orice anomalii sau tipare care indică o activitate sau o prezență malițioasă.
• Vânătoarea și eradicarea amenințărilor: caută și elimină în mod proactiv orice semn de compromitere sau de infectare a unei rețele sau a unui dispozitiv.
• Răspuns la incidente și recuperare: o tehnică care răspunde incidentelor cibernetice și ajută la recuperarea în urma acestora, utilizând proceduri predefinite și cele mai bune practici. 

Atacatorul poate utiliza diverse protocoale și instrumente pentru a realiza C2:

• HTTP(S): atacatorul poate utiliza cereri sau răspunsuri web.
• DNS: atacatorul poate utiliza interogări sau răspunsuri DNS.
• SMTP: atacatorul poate utiliza SMTP prin intermediul mesajelor de e-mail sau al atașamentelor.
• IRC: atacatorul poate utiliza IRC prin intermediul mesajelor sau comenzilor de chat.

Apărătorul poate lua diverse măsuri pentru a preveni sau detecta C2:

• Reguli de firewall: controlează traficul de intrare și de ieșire dintr-o rețea sau dintr-un dispozitiv. Puteți bloca sau permite traficul pe baza unor criterii diverse, cum ar fi sursa, destinația, portul, protocolul sau conținutul.
• Servere proxy: acționează ca intermediari între clienții și serverele dintr-o rețea. Puteți utiliza serverele proxy pentru a filtra, monitoriza sau modifica traficul care trece prin ele.
• Extensiile de securitate ale sistemului de nume de domeniu (DNSSEC): adaugă caracteristici de securitate la DNS, cum ar fi semnăturile digitale și criptarea. Puteți utiliza DNSSEC pentru a verifica autenticitatea și integritatea datelor DNS și pentru a preveni falsificarea sau alterarea.
• Analiza traficului de rețea (NTA): sunt analizate tiparele și caracteristicile traficului de rețea și sunt detectate orice anomalii sau amenințări. Puteți utiliza NTA pentru a identifica și investiga orice trafic sau comunicare suspectă sau rău intenționată în rețea.

Atacatorul poate utiliza diverse metode și instrumente pentru a efectua acțiunea asupra obiectivelor:

• Exfiltrarea de date: presupune colectarea, criptarea și extragerea de informații din rețeaua sau sistemul obiectivului (de exemplu, transferul de date către serverul de comandă și control al atacatorului sau către o altă locație).
• Criptarea: presupune criptarea fișierelor sau a datelor firmei-țintă pentru a o împiedica să le acceseze sau să le utilizeze (de exemplu, criptarea fișierelor sau a datelor și solicitarea unei răscumpărări pentru decriptare).
• Întreruperea: presupune întreruperea serviciilor sau operațiunilor țintei pentru a provoca neplăceri sau pierderi (de exemplu, atacuri de tip „denial-of-service” care supraîncarcă sau prăbușesc rețeaua sau sistemul țintei).

Apărătorul poate lua diverse măsuri pentru a preveni sau a atenua acțiunea asupra obiectivelor:

• Prevenirea pierderilor de date: monitorizează și previne accesul neautorizat sau transferul neautorizat de date sensibile.
• Backup și restaurare: creează și păstrează copii ale fișierelor sau datelor importante și le restaurează în caz de corupție sau pierdere.
• Continuitatea activității și recuperarea în caz de dezastru: vă asigură că serviciile sau operațiunile obiectivului pot continua sau se pot relua în caz de întrerupere sau dezastru.
• Asigurarea cibernetică: oferă protecție și sprijin financiar în cazul unor incidente cibernetice.