Η αλυσίδα επίθεσης σε τερματικές συσκευές… απλοποιημένη
Μια σφαιρική στρατηγική άμυνας σε βάθος που χρησιμοποιεί διάφορα επίπεδα επικαλυπτόμενης προστασίας έχει αποδειχθεί ότι είναι μια από τις καλύτερες προσεγγίσεις στην ασφάλεια στον κυβερνοχώρο.
Αυτός είναι και ο λόγος για τον οποίο η μελέτη της αλυσίδας επίθεσης, ή της λεγόμενης “cyber kill chain”, δηλαδή των πολλαπλών σταδίων μίας κυβερνοεπίθεσης με πολλαπλούς ενδεχομένως στόχους ωσότου επιτύχει τον απώτερο σκοπό της, είναι κρίσιμης σημασίας για την κατανόηση των διάφορων βημάτων που κάνουν οι εισβολείς.
Η “cyber kill chain” προσδιορίζει τα επτά στάδια μίας κυβερνοεπίθεσης:
- Αναγνώριση
- Εξοπλισμός
- Παράδοση
- Εxploit
- Εγκατάσταση
- Εντολή και έλεγχος
- Ενέργειες
Παρόλα αυτά, μία συνηθισμένη αλυσίδα κυβερνοεπίθεσης είναι συχνά πιο περίπλοκη από όσο είναι απαραίτητο. Αντ ‘αυτού, αρκεί να ξεκινήσουμε με μια απλούστερη αλυσίδα επίθεσης ειδικά για τερματικές συσκευές που αποτελείται από τρία μόνο σημαντικά βήματα.
1. Παράδοση και οδηγίες
Αυτό το στάδιο αρχίζει με τους επιτιθέμενους να κερδίζουν έδαφος εντός κάποιου περιβάλλοντος, παραδίδοντας τα όπλα τους και στέλνοντας οδηγίες σε αυτά, καθοδηγώντας τα στο τι πρέπει να κάνουν.
Ως υπερασπιστές, έχουμε πολλές ευκαιρίες – χωρίς να χρειάζεται να χρησιμοποιήσουμε την ασφάλεια τερματικών συσκευών – για να αποκρούσουμε και να σταματήσουμε την επίθεση σε αυτό το στάδιο, συμπεριλαμβανομένης της εκπαίδευσης για το ηλεκτρονικό “ψάρεμα” (phishing), της δικτυακής ασφάλειας και της προστασίας ηλεκτρονικού ταχυδρομείου.
Αν ωστόσο ο επιτιθέμενος ξεπεράσει αυτά τα επίπεδα στην άμυνα μας, υπάρχει ακόμη ευτυχώς η δυνατότητα χρήσης της ασφάλειας τερματικών συσκευών για να αποκλείσουμε τα exploits που χρησιμοποιούνται για τη παράδοση (του φορτίου), να ανιχνεύσουμε κακόβουλες διευθύνσεις URL και να αποτρέψουμε τα κακόβουλα και οπλοποιημένα έγγραφα. Έχουμε επίσης μία ευκαιρία να ανιχνεύσουμε τυχόν επικοινωνίες με διακομιστές εντολών και ελέγχου.
2. Exploits και Εκτέλεση
Στη συνέχεια, οι επιτιθέμενοι θέλουν να εκμεταλλευτούν τα τελικά σημεία και να εκτελέσουν κακόβουλο κώδικα.
Οι υπερασπιστές του τελικού σημείου συχνά επικεντρώνονται σε μεγάλο βαθμό στη διακοπή των κακόβουλων εκτελέσιμων προγραμμάτων, είτε χρησιμοποιώντας θεμελιώδεις προσεγγίσεις όπως υπογραφές ή νεότερες προσεγγίσεις όπως η εκμάθηση μηχανών.
Ωστόσο, σε αυτό το στάδιο πρέπει να εφαρμοστούν και άλλες συμπληρωματικές τεχνικές, συμπεριλαμβανομένης της τεχνολογίας κατά της εκμετάλλευσης, προκειμένου να αποφευχθεί η κλοπή πιστώσεων, η κλιμάκωση προνομίων και η κατάχρηση των εφαρμογών.
3. Μπουμ!
Τέλος, φτάνουμε στο “μπουμ!” (έκρηξη), γνωστή και ως δράση ή φάση μετά την εκτέλεση, όπου οι επιτιθέμενοι ξεκινούν το βλαπτικό έργο τους.
Ακόμα κι αν ένας εισβολέας καταφέρει να φτάσει τόσο μακριά, υπάρχουν ακόμα επίπεδα άμυνας που μπορούν να εφαρμοστούν. Η Πρόληψη Απώλειας Δεδομένων (DLP, Data Loss Prevention) μπορεί να χρησιμοποιηθεί για να σταματήσει η εξαγωγή ευαίσθητων δεδομένων.
Επιπλέον, οι συμπεριφορικές τεχνικές, όπως η προστασία ransomware, μπορούν να εντοπίσουν κακόβουλη δραστηριότητα την ώρα που γίνεται και να σταματήσουν τους επιτιθέμενους προτού πετύχουν τους στόχους τους. Η ανάλυση μετά την εκτέλεση μπορεί επίσης να εφαρμοστεί για την κατανόηση των λεπτομερειών της συγκεκριμένης αλυσίδας επίθεσης.
Συχνά, οι αμυντικές παράμετροι επικεντρώνονται κατά κύριο λόγο στη διακοπή εκτελέσιμων δεδομένων. Ωστόσο, υπάρχουν πολλές άλλες ευκαιρίες κατά μήκος της αλυσίδας επίθεσης για να διαταραχθεί κάποια επίθεση. Ορισμένες αμυντικές τεχνικές μπορεί να είναι πολύ προχωρημένες ή θα μπορούσαν να είναι ακόμη και θεμελιώδεις προσεγγίσεις που υπάρχουν εδώ και αρκετά χρόνια.
Ανεξάρτητα πάντως από αυτό, το θέμα είναι να ολοκληρωθεί η ίδια αποστολή. Αν οι πολυεπίπεδες άμυνες σας παρακολουθούν μια επίθεση οπουδήποτε κατά μήκος της αλυσίδας επίθεσης, τότε είστε σε θέση να διακόψετε την επίθεση εξ ολοκλήρου.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.