Kennen Sie die Cyber-Taktik des Gegners

(Di Orazio Danilo Russo)
24/05/21

Jede Cyber-Sicherheits- und Cyber-Schutz-Aktivität basiert auf der Festlegung einer zu schützenden Grenze (die Sicherheitsbereich) und nach Einschätzung der Möglichkeit eines Schadens im Zusammenhang mit mehr oder weniger vorhersehbaren Umständen (die Risikoabschätzung).

Das Risiko muss unter Berücksichtigung der Bedrohung und der Schwachstellen, die es ausnutzen kann, der prädisponierenden Bedingungen, der Wahrscheinlichkeit der Umsetzung und des Erfolgs des schädlichen Verhaltens und schließlich des Ausmaßes der Verluste, die verursacht werden können, bewertet werden.

Lassen Sie uns hier anhalten, um nur das erste Element - die Bedrohung - zu betrachten und einige Fixpunkte festzulegen, die uns helfen, uns einer schwierigen, aber nicht unmöglichen Methode zur Untersuchung unseres Gegners zu stellen. Ja, denn Schlachten werden mehr als mit Waffen gewonnen, dank des Wissens des Gegners: seines "DENA", Akronym, das traditionell in Militärschulen für Versetzung, Entität, Natur und Haltung des Feindes bekannt ist, und insbesondere für seine TTPsdas heißt, seiner Taktiken, Techniken und Betriebsverfahren.

So klug und begabt unser Gegner auch sein mag, er muss immer noch einem gemeinsamen Faden folgen, um erfolgreich zu sein. Und Logik und Erfahrung ermöglichen es uns, einen "Weg des Schadens" zu konzipieren oder einen "Bedrohungslebenszyklus" zu wollen, der berücksichtigt werden muss, wenn Sie effektive und zielgerichtete Risikoanalysen und Sicherheitsinvestitionen durchführen möchten.

Normalerweise beginnt dieser Zyklus bei eins VorbereitungsphaseHier überwacht der Gegner die Netzwerke, Informationssysteme und IT-Dienste des Opfers von außen mit Aufklärungsaktivitäten: zum Beispiel mit aktiven Tools Scannen oder Sammeln von Host-InformationenSuche nach Schwachstellen oder detaillierten Daten zu den Konfigurationen von Perimetersystemen oder zu den Verfahren für den physischen Zugriff auf Rechenzentren und Desktops. In dieser Phase erwirbt der Gegner außerdem die Ressourcen, die für die Durchführung des Angriffs erforderlich sind, wie z. B. die Erstellung von Botnet Aktionen von starten Denial of Service oder die Vermietung von Virtual Private Server um die Anonymität zu gewährleisten.

Nach dieser Vorbereitungsphase, ähnlich wie bei den offensiven taktischen Operationen bei Landmanövern, gibt es die Durchdringung der Verteidigungsmauer, typischerweise an dem verwundbarsten Punkt, an dem mit verschiedenen Techniken wie dem Diebstahl persönlicher Anmeldeinformationen oder der Installation von Malware Bei einem Pendrive an interne Mitarbeiter der Organisation stellt der Gegner einen "Brückenkopf" sicher, der es ihm ermöglicht, bösartige Codes innerhalb des Sicherheitsbereichs zu installieren.

Darauf folgt dieausführung bösartige Codes mit dem der Gegner den Angriff startet und / oder die verdeckte Kontrolle (und die Anonymität kann als Schlafzelle Monate oder Jahre dauern) eines Teils des Systems, Netzwerks oder Dienstes garantiert, um weitere Vorbereitungen und Geheimdienststrategien und Kompromisse umzusetzen.

In dieser Phase kann der Gegner Taktiken von durchführen Beharrlichkeit, zielte genau darauf ab, das Zugangstor, den "Brückenkopf" innerhalb des Sicherheitsbereichs trotz zu halten abgeschnitten wie Neustart oder Ändern von Anmeldeinformationen; von Privilegeskalation, mit dem versucht wird, Zugriffsrechte auf höherer Ebene zu gewährleisten, z. B. solche, die nach Systemadministration verlangen; von Verteidigungshinterziehung, mit dem es versucht, sich in den Überwachungs- und Erkennungsaktivitäten des Sicherheitssystems zu tarnen; von Zugang zu Anmeldeinformationen, mit dem Ziel, Anmeldeinformationen zu stehlen; von Entdeckung, mit dem er - diesmal von innen - die Umwelt beobachtet, seine Angriffsstrategien besser ausrichtet oder seine Ziele überarbeitet; von seitliche Bewegung mit dem es erweitert wird und die Kontrolle über zusammenhängende Netzwerksegmente oder Partitionen von Servern mit kontrolliertem Zugriff oder Remote-Informationssystemen erlangt; von Sammlung mit denen er die Informationen identifiziert, analysiert und sammelt, die er stehlen möchte; von C2, mit dem Geister-Kommunikationskanäle eingerichtet werden, um die Steuerung und Kontrolle des gefährdeten Systems von außen zu gewährleisten; und schließlich Taktik von Exfiltration oder etwas, abhängig davon, ob das Ziel des Angriffs darin besteht, Informationen zu stehlen oder den Betrieb des Systems zu stören; oder beides, wie im Fall des berüchtigten Ransomware Fortgeschrittene, die eine Kopie der Daten extrahieren, um ihre Veröffentlichung auf der Website zu gefährden DarkwebGleichzeitig wird ein Teil oder der gesamte Speicher, in dem sie enthalten sind, verschlüsselt und nicht verfügbar gemacht.

Für jede dieser Taktiken gibt es subtile und fortgeschrittene Hacking-Techniken und -Verfahren sowie Algorithmen von Eindringen, Exfiltration und Auswirkungen speziell von Cyberkriminellen entwickelt.

Glücklicherweise handelt es sich jedoch um Taktiken, die der Welt der Intelligenz und Cybersicherheit bekannt sind und die wiederum Gegenmaßnahmenstrategien in Bezug auf Schutz, Überwachung, Erkennung, Abschwächung und Reaktion entwickelt haben. Wir werden darüber in einem zukünftigen Artikel sprechen.

Um mehr zu erfahren:

Online-Verteidigung: "Was ist die Cyber-Kill-Kette?"

https://doi.org/10.6028/NIST.SP.800-30r1

https://www.dni.gov/index.php/cyber-threat-framework

https://attack.mitre.org/