Seguridad

Pasos de la cadena de muerte cibernética

Pasos de la cadena de muerte cibernética

Cadena de muerte cibernética

La cyber kill chain (CKC) es un modelo de seguridad tradicional que describe un escenario de la vieja escuela, un atacante externo que toma medidas para penetrar en una red y robar sus datos, desglosando los pasos del ataque para ayudar a las organizaciones a prepararse. CKC es desarrollado por un equipo conocido como el equipo de respuesta de seguridad informática. La cadena de muerte cibernética describe un ataque de un atacante externo que intenta obtener acceso a los datos dentro del perímetro de la seguridad

Cada etapa de la cadena de muerte cibernética muestra un objetivo específico junto con el del atacante Way. Diseñar su plan de respuesta y vigilancia de la cadena de asesinatos del modelo cibernético es un método eficaz, ya que se centra en cómo suceden los ataques. Las etapas incluyen:

Ahora se describirán los pasos de la cadena de muerte cibernética:

Paso 1: reconocimiento

Incluye la recolección de direcciones de correo electrónico, información sobre la conferencia, etc. El ataque de reconocimiento significa que es un esfuerzo de las amenazas recoger datos sobre los sistemas de red tanto como sea posible antes de iniciar otros tipos de ataques hostiles más genuinos. Los atacantes de reconocimiento son de dos tipos: reconocimiento pasivo y reconocimiento activo. Recognition Attacker se centra en "quién" o la red: Quién probablemente se centrará en las personas privilegiadas, ya sea para el acceso al sistema o el acceso a los datos confidenciales de la "red", se centra en la arquitectura y el diseño; herramienta, equipo y protocolos; y la infraestructura crítica. Comprender el comportamiento de la víctima e irrumpir en una casa para la víctima.

Paso 2: Armamento

Suministro de carga útil acoplando exploits con una puerta trasera.

A continuación, los atacantes utilizarán técnicas sofisticadas para rediseñar algunos malware centrales que se adapten a sus propósitos. El malware puede explotar vulnerabilidades previamente desconocidas, también conocidas como exploits de "día cero", o alguna combinación de vulnerabilidades para derrotar silenciosamente las defensas de una red, según las necesidades y habilidades del atacante. Al rediseñar el malware, los atacantes reducen las posibilidades de que las soluciones de seguridad tradicionales lo detecten. "Los piratas informáticos utilizaron miles de dispositivos de Internet que estaban infectados anteriormente con un código malicioso, conocido como" botnet "o, en broma," ejército zombi ", lo que obligó a una denegación de servicio distribuida particularmente poderosa Angriff (DDoS).

Paso 3: Entrega

El atacante envía a la víctima una carga útil maliciosa mediante el correo electrónico, que es solo uno de los muchos métodos de intrusión que el atacante puede emplear. Hay más de 100 métodos de entrega posibles.

Objetivo:
Los atacantes inician la intrusión (armas desarrolladas en el paso 2 anterior). Los dos métodos básicos son:

Esta etapa muestra la primera y más significativa oportunidad para que los defensores obstruyan una operación; Sin embargo, algunas capacidades clave y otra información de datos de gran valor se ven frustradas al hacer esto. En esta etapa, medimos la viabilidad de los intentos de intrusión fraccional, que se ven obstaculizados en el punto de transporte.

Paso 4: Explotación

Una vez que los atacantes identifican un cambio en su sistema, aprovechan la debilidad y ejecutan su ataque. Durante la etapa de explotación del ataque, el atacante y la máquina host se ven comprometidos El mecanismo de entrega generalmente tomará una de estas dos medidas:

En los últimos años, esto se ha convertido en un área de especialización dentro de la comunidad de piratería que a menudo se demuestra en eventos como Blackhat, Defcon y similares.

Paso 5: instalación

En esta etapa, la instalación de un troyano de acceso remoto o una puerta trasera en el sistema de la víctima permite al contendiente mantener la perseverancia en el entorno. La instalación de software malintencionado en el activo requiere la participación del usuario final habilitando involuntariamente el código malintencionado. La acción puede considerarse crítica en este momento. Una técnica para hacer esto sería implementar un sistema de prevención de intrusiones basado en el host (HIPS) para dar precaución o poner una barrera a las rutas comunes, por ejemplo. NSA Job, RECICLADOR. Comprender si el malware requiere privilegios del administrador o simplemente del usuario para ejecutar el objetivo es fundamental. Los defensores deben comprender el proceso de auditoría de endpoints para descubrir creaciones anormales de archivos. Necesitan saber cómo compilar la sincronización del malware para determinar si es antiguo o nuevo.

Paso 6: comando y control

El ransomware usa conexiones para controlar. Descargue las claves de cifrado antes de apoderarse de los archivos. El acceso remoto de los troyanos, por ejemplo, abre un comando y controla la conexión para que pueda acercarse a los datos de su sistema de forma remota. Esto permite una conectividad continua para el medio ambiente y la actividad de medidas detectivescas en la defensa.

Como funciona?

El plan de comando y control generalmente se realiza a través de una baliza fuera de la red sobre la ruta permitida. Las balizas adoptan muchas formas, pero tienden a ser en la mayoría de los casos:

HTTP o HTTPS

Parece tráfico benigno a través de encabezados HTTP falsificados

En los casos en que la comunicación está encriptada, las balizas tienden a usar certificados firmados automáticamente o encriptación personalizada.

Paso 7: acciones sobre los objetivos

La acción se refiere a la forma en que el atacante alcanza su objetivo final. El objetivo final del atacante podría ser cualquier cosa para extraerle un rescate para descifrar archivos a Información del cliente de la red. En el contenido, el último ejemplo podría detener la filtración de soluciones de prevención de pérdida de datos antes de que los datos salgan de su red. De lo contrario, los ataques se pueden usar para identificar actividades que se desvían de las líneas de base establecidas y notificar a TI que algo anda mal. Este es un proceso de asalto intrincado y dinámico que puede tener lugar en meses y cientos de pequeños pasos para lograr. Una vez que se identifica esta etapa dentro de un entorno, es necesario iniciar la implementación de planes de reacción preparados. Como mínimo, se debe planificar un plan de comunicación inclusivo, que involucre la evidencia detallada de la información que debe elevarse al funcionario de más alto rango o la junta administrativa, el despliegue de dispositivos de seguridad de punto final para bloquear la pérdida de información y la preparación para informar. un grupo CIRT. Tener estos recursos bien establecidos con anticipación es "DEBE" en el panorama actual de amenazas de ciberseguridad en rápida evolución.

Ratón Revisión del mouse inalámbrico Microsoft Sculpt Touch
Revisión del mouse inalámbrico Microsoft Sculpt Touch
Recientemente leí sobre el Microsoft Sculpt Touch mouse inalámbrico y decidí comprarlo. Después de usarlo por un tiempo, decidí compartir mi experienc...
Ratón Trackpad en pantalla y puntero del mouse AppyMouse para tabletas Windows
Trackpad en pantalla y puntero del mouse AppyMouse para tabletas Windows
Los usuarios de tabletas a menudo pierden el puntero del mouse, especialmente cuando son habituales para usar las computadoras portátiles. Los teléfon...
Ratón El botón central del mouse no funciona en Windows 10
El botón central del mouse no funciona en Windows 10
La botón central del ratón le ayuda a desplazarse por páginas web largas y pantallas con una gran cantidad de datos. Si eso se detiene, bueno, termina...