Understanding Network Intrusions With the Cyber Kill Chain

Inzicht in netwerk hacks met de Cyber Kill Chain

De computerbeveiligingswereld gebruikt veel militaire taal en concepten. Dit is niet alleen omdat het "goed klinkt", maar omdat er veel nuttige analogieën te vinden zijn.

Een daarvan is Lockheed Martin's concept van de cyber kill keten: een intelligent model voor de vroegtijdige opsporing, identificatie en preventie van aanvallen. De cyber kill keten is een van de methoden die u kunt gebruiken voor het begrijpen en voorkomen van inbraken op uw netwerk.

 

 

De Cyber Kill Chain

Het kernidee van de kill chain is dat een hacker materiaal moet verzamelen om in een IT omgeving in te breken om vervolgens naar hun uiteindelijke doel te kunnen gaan.

De keten bestaat uit zeven fasen:

  1. Verkenning: het doen van het onderzoek, de identificatie en de selectie van de doelstellingen. Veel van deze kan worden gedaan via openbare bronnen.
  2. Ammunitie: na het identificeren van een mogelijke kwetsbaarheid, bouwt of koopt de hacker een goed gekozen malware die de kwetsbaarheid kan exploiteren
  3. Levering:het verzenden van de malware naar het slachtoffer (bijvoorbeeld via e-mailbijlage).
  4. Uitbuiting: het uitvoeren van de kwaadaardige code zoals verzonden naar het slachtoffer.
  5. Installatie: de installatie van kwaadaardige code op het systeem van het slachtoffer, zodat de hacker toegang kan behouden.
  6. Command and Control (C2): wanneer kwaadaardige code is geïnstalleerd, moet het de hacker informeren dat het succesvol was en wachten op verdere instructies.
  7. Acties op doelstellingen: dit is het uiteindelijke doel dat de aanvaller wilde bereiken, bijvoorbeeld informatiediefstal.

Een reeks indicatoren voor de leveringsfase kan een specifiek e-mailonderwerp zijn - voor de installatiefase, het lokale pad waar een bestand wordt geïnstalleerd en een IP voor de C2-fase.

Defensieve maatregelen

Dus hoe kan het begrijpen van netwerk hacks ons helpen ons er tegen te verdedigen?

In dit model, is het cruciale punt dat het breken van een enkele stap de keten stopt, wat betekent dat aanvallers het hele model opnieuw moeten doorlopen om succesvol te zijn.

Voor verkenning en detectie kunt u webanalytics gebruiken en forensisch onderzoek doen. Het beperken van de hoeveelheid informatie die u publiekelijk zet, kan ook helpen. Het niet publiceren van uw interne netwerkschema is duidelijk, maar u moet ook de hoeveelheid informatie beperken over personeels- en werkprocedures. Het in gebruik nemen van de juiste firewall regels en toegangscontroles is een no-brainer.

Er is niet veel wat je kunt doen aan de ammunitie fase, want dat gebeurt aan de kant van de hacker, maar u kunt wel  verschillende verdedigingslinies en middelen gebruiken voor de levering, exploitatie, installatie en C2 fasen.

Het vergroten van het bewustzijn onder uw gebruikers (waakzaamheid) en proxy filtering kan bijvoorbeeld voorkomen dat de levering van een email met malware geopend wordt.

De andere fasen kunnen worden gestopt door het gebruik van (host-based) inbraakdetectie, antivirussystemen, quarantaine systemen en een goede uitgaande filtering. Verwaarloos niet om met behulp van beschikbare informatie over cyber bedreigingen uw filter- en inspectieapparaten bij te werken. Het doen van goed logboekbeheer moet deel uitmaken van uw IT-processen, waarbij dezelfde threat intelligence-gegevens worden toegepast op uw logboeken zodat het u ook kan helpen om aanvallen in de andere fasen te detecteren.

Malware georiënteerd

Een van de kritieken van de cyber kill keten model is dat het te gericht op malware. Malware is slechts een mogelijke aanvals methode, maar de huidige cyber bedreigingen kunnen nu ook betrekking hebben op een insider bedreiging, social engineering, of inbraken op via een derde partij (bijvoorbeeld via een leverancier of vastgelegde referenties).

Maar als de hackers hun methoden veranderen zullen we ons daarop aan moeten passen.

Tags

Comments
Comments are disabled in preview mode.