Är Cyber ​​Kill Chain Framework föråldrat?

Sedan starten har ramverket för cyberdödskedjor varit avgörande för att identifiera och neutralisera sofistikerade cyberhot. Men nu tycker många cybersäkerhetsexperter att metodiken för cyberdödskedjor är otillräcklig för att erbjuda skydd mot cyberangripare i dagens ständigt föränderliga hotlandskap.

Vad är ramverket för cyberkill-kedjan, hur fungerar det och vilka är dess begränsningar? Läs vidare för att ta reda på det.

Vad är ett ramverk för Cyber ​​Kill Chain?

Utvecklat av Lockheed Martin, ramverket för cyberdödskedjor innehåller militärens dödskedjemodell för att identifiera och förhindra fiendens aktivitet.

Det hjälper säkerhetsteam att förstå och bekämpa intrång genom att beskriva olika stadier av cyberattacker. Den förklarar också olika punkter i de stadier där cybersäkerhetsproffs kan identifiera, upptäcka och avlyssna angripare.

Cyberdödskedjan hjälper till att skydda mot avancerade ihållande hot (APT), där hotaktörer lägger ner mycket tid på att spåra sina offer och planera cyberattacker. Dessa attacker blandar ofta skadlig kod, trojaner, sociala ingenjörsattacker, etc.

Cyberdödskedjemodellen har sju steg: Spaning, vapenisering, leverans, exploatering, installation, kommando och kontroll och åtgärder för mål.

Varje steg representerar ett steg i angriparens resa.

Faser i Cyber ​​Kill Chain Framework

Ramverket för cyberdödskedjans cybersäkerhet hjälper säkerhetsteam att förutsäga angripares rörelser för snabbare avlyssning.

Bildkredit: Lockheed Martin

Här är sju steg i cyberdödskedjeprocessen.

#1.Rekognosering

Spaningsfasen handlar om att samla in information om måloffret eller nätverket.

Det finns två typer av spaningsfaser.

Passiv spaning

I den här fasen försöker hackare samla information från allmänt tillgängliga källor. Detta kan inkludera kontroll av WHOIS, JOBB-annonser, LinkedIn, profiler i sociala medier, företags webbplatser etc. De kan också utnyttja ARIN, SHODAN och andra verktyg för att hitta sårbarheter och potentiella ingångspunkter.

Eftersom den passiva spaningsfasen inte involverar interaktion med organisationer, försöker hackare samla in så mycket information om sitt mål som möjligt under denna fas.

Aktiv spaning

I den aktiva spaningsfasen kontaktar hotaktörer din organisation på någon nivå för att samla in information som kan hjälpa dem att komma in i ditt företagsnätverk. De använder verktyg som NMAP, sårbarhetsskannrar, portskannrar, bannergrabbing, etc.

Spaningsstadiet spelar en avgörande roll i alla cyberattacker. Ju mer information en hotaktör har om sitt måls nätverk, desto bättre kan de planera sina attacker.

För att stoppa hotaktörer vid passiv och aktiv spaning kan du ta följande steg:

  • Begränsa exponeringen av offentlig information som hackare kan använda för att planera nätfiskeattacker.
  • Gör en policy för acceptabel användning av sociala medier.
  • Ändra serverfelmeddelanden så att de inte offentligt läcker viktig information om ditt nätverk.
  • Inaktivera oanvända portar och tjänster.
  • Implementera en brandvägg med funktion för instruktionsförebyggande system (IPS).

Huvudmålet med spaningsfasen är att hitta en svaghet som hackare kan utnyttja för att komma in i ditt nätverk.

Så att sätta upp honeypots och honeynets är ett utmärkt sätt att hitta sårbarheter i ditt nätverk och stärka försvaret.

#2.Vapenisering

Vapeniseringsstadiet syftar till att skapa ett attackverktyg (attackvektor) som kan utnyttja systemets eller nätverkssårbarheten som identifierades i spaningsfasen.

Vapenprocessen kan inkludera att välja (eller skapa) rätt skadlig programvara för fjärråtkomst, ransomware eller skadlig kod för att matcha sårbarheten.

Angriparen lindar in skadlig programvara i ett filformat som ser ofarligt ut. De kan använda ett Word-dokument eller en PDF. Syftet är att lura målet att öppna det.

Metasploit, SQLMAP, Exploit-DB och social engineering verktygssatser är vanliga verktyg i vapeniseringsstadiet.

Vapeniseringsstadiet handlar om vilken attackvektor hackare skulle använda för att attackera system och nätverk.

Så att stärka ditt försvar är en bra cybersäkerhetsstrategi för att förhindra attackvektorer från att komma in i dina system och nätverk.

Här är några tips för att komma igång.

  • Var aggressiv när det gäller patchhantering i ditt företag. Detta kommer att minska attackytan om det inte finns några sårbarheter i programvaran och operativsystemen.
  • Installera bra antivirus på alla slutpunkter.
  • Inaktivera kontorsmakron, JavaScript och onödiga webbläsarplugin.
  • Genomför e-postsäkerhetsverktyg och använd webbläsarisolering i ditt företag.
  • Granskningsloggar för att identifiera eventuella anomalier i nätverket.

Du bör också ha ett bra system för att upptäcka och förebygga intrång. Och se till att multifaktorautentisering är implementerad i ditt företag.

#3. Leverans

Så hackare har valt en lämplig attackvektor för att utnyttja sårbarheterna. Nu är det dags för leverans när angripare kommer att försöka infiltrera ditt nätverk.

Leveranssätten kan variera beroende på vilken typ av attackvektor som används.

Typiska exempel på leverans kan vara:

  • Webbplatser – Hotaktörer kan infektera tredjepartswebbplatser som potentiella målgrupper ofta besöker.
  • E-postmeddelanden – Angripare kan skicka infekterade e-postmeddelanden laddade med skadlig programvara.
  • USB-enheter – De kan lämna infekterade USB-enheter i gemensamma utrymmen i hopp om att användarna ska plugga in dessa USB-enheter i sina system.
  • Sociala medier – cyberbrottslingar kan använda sociala medier för att köra nätfiskeattacker som kan locka användare att klicka på infekterade länkar.

Det mest effektiva försvaret mot leverans av vanliga attackvektorer är att fokusera på personalutbildning.

Andra säkerhetsåtgärder du kan vidta är att implementera en webbfiltrering, DNS-filtreringslösning och inaktivera USB-portar på enheter.

#4. Utnyttjande

Under exploateringsfasen i ramverket för cyberdödskedjor använder angripare vapnet för att utnyttja svagheter i målets system. Detta markerar början av den faktiska attacken efter vapenleveransen.

Här är en närmare granskning:

  • Angripare hittar sårbarheter i programvaran, systemet eller nätverket.
  • De introducerar det skadliga verktyget eller koden som syftar till att utnyttja dessa sårbarheter.
  • Exploateringskoden aktiveras och utnyttjar sårbarheterna för att få obehörig åtkomst eller privilegier.
  • Genom att penetrera perimetern kan angripare utnyttja målets system ytterligare genom att installera skadliga verktyg, köra skript eller ändra säkerhetscertifikat.

Denna fas är avgörande eftersom den övergår från ett rent hot till ett säkerhetsincident. Syftet med exploateringsfasen är att få tillgång till dina system eller nätverk.

En faktisk attack kan komma i form av SQL-injektion, buffertspill, skadlig programvara, JavaScript-kapning och mer.

De kan röra sig i sidled inom nätverket och identifiera ytterligare ingångspunkter allt eftersom.

I detta skede befinner sig en hackare i ditt nätverk och utnyttjar sårbarheter. Du har begränsade resurser för att skydda dina system och nätverk.

Du kan använda dataexekveringsförhindrande (DEP) funktion och anti-exploatering av ditt antivirusprogram (om det har något) för att skydda mot utnyttjande.

Vissa EDR-verktyg kan också hjälpa till att upptäcka och reagera på cyberattacker snabbt.

#5. Installation

Även känd som privilegieeskaleringsstadiet, installationsstadiet handlar om att installera skadlig programvara och distribuera andra skadliga verktyg så att hotaktörer kan ha konstant åtkomst till dina system och nätverk även efter att du har patchat och startat om det komprometterade systemet.

Standardtekniker involverade i installationsfasen inkluderar:

  • DLL-kapning
  • Installation av en fjärråtkomsttrojan (RAT)
  • Registret ändras så att skadliga program kan starta automatiskt

Angripare kan också försöka skapa en bakdörr för att komma åt system eller nätverk kontinuerligt, även när den ursprungliga ingången är stängd av säkerhetsexperter.

Om cyberbrottslingar framgångsrikt har nått detta stadium har du begränsat skydd. Ditt system eller nätverk har blivit infekterat.

Nu kan du använda verktyg efter infektion som verktyg för användarbeteendeanalys (UBA) eller EDR-verktyg för att kontrollera om det finns någon ovanlig aktivitet som är relevant för register- och systemfiler. Och du bör vara redo att distribuera din incidentresponsplan.

#6. Kommando och kontroll

I kommando- och kontrollfasen upprättar angriparen en förbindelse med det komprometterade systemet. Denna länk tillåter fjärrkontroll över målet. Angriparen kan nu skicka kommandon, ta emot data eller till och med ladda upp ytterligare skadlig programvara.

Två taktiker som ofta används här är Obfuscation och Denial of Service (DoS).

  • Obfuskation hjälper angripare att dölja sin närvaro. De kan ta bort filer eller ändra kod för att undvika upptäckt. I huvudsak täcker de sina spår.
  • Denial of Service distraherar säkerhetsteamen. Genom att orsaka problem i andra system avleder de din uppmärksamhet bort från deras primära mål. Detta kan innebära nätverksavbrott eller avstängning av system.

I detta skede är ditt system fullständigt äventyrat. Du bör fokusera på att begränsa vad hackare kan kontrollera och upptäcka ovanlig aktivitet.

Nätverkssegmentering, Intrusion Detection Systems (IDS) och Security Information and Event Management (SIEM) kan hjälpa dig att begränsa skadan.

#7. Åtgärder på mål

Cyberdödskedjans sju steg toppar i ”Actions on Objectives”-fasen. Här utför angriparna sitt primära mål. Detta steg kan pågå i veckor eller månader, baserat på tidigare framgångar.

Typiska slutmål inkluderar men är inte begränsade till datastöld, kryptering av känsliga data, attacker i leveranskedjan och många andra.

Genom att implementera datasäkerhetslösningar, slutpunktssäkerhetslösningar och nollförtroendesäkerhet kan du begränsa skadan och förhindra hackare från att uppnå sina mål.

Kan Cyber ​​Kill Chain möta dagens säkerhetsutmaningar?

Cyber ​​Kill Chain-modellen hjälper till att förstå och bekämpa olika cyberattacker. Men dess linjära struktur kan misslyckas med dagens sofistikerade attacker med flera vektorer.

Här är bristerna i det traditionella ramverket för cyberdödskedjor.

#1. Ignorerar insiderhot

Insiderhot kommer från individer inom organisationen, som anställda eller entreprenörer, som har legitim tillgång till dina system och nätverk. De kan missbruka sin åtkomst avsiktligt eller oavsiktligt, vilket kan leda till dataintrång eller andra säkerhetsincidenter.

Faktiskt, 74 % av företagen tror att insiderhoten har blivit vanligare.

Den traditionella cyberdödskedjemodellen tar inte hänsyn till dessa interna hot eftersom den är utformad för att spåra externa angripares aktiviteter.

I scenariot med insiderhot behöver en angripare inte gå igenom många av stegen som beskrivs i cyberdödskedjan, som spaning, vapenisering eller leverans, eftersom de redan har tillgång till systemen och nätverket.

Denna betydande tillsyn i ramverket gör det oförmöget att upptäcka eller mildra insiderhot. Avsaknaden av en mekanism för att övervaka och analysera beteenden eller åtkomstmönster hos individer inom organisationen är en väsentlig begränsning i ramverket för cyberdödskedjor.

#2. Har begränsad kapacitet för attackdetektering

Cyberdödskedjan har en relativt snäv omfattning när det gäller att identifiera olika cyberattacker. Detta ramverk kretsar i första hand kring att upptäcka skadlig programvara och skadliga nyttolaster, vilket lämnar en betydande lucka när det gäller att hantera andra former av attacker.

Ett utmärkt exempel inkluderar webbaserade attacker som SQL Injection, Cross-Site Scripting (XSS), olika typer av Denial of Service (DoS)-attacker och Zero-Day-attacker. Dessa typer av attacker kan lätt glida igenom stolarna eftersom de inte följer de typiska mönster som dödningskedjan är utformad för att upptäcka.

Dessutom misslyckas ramverket när det gäller att ta hänsyn till attacker initierade av obehöriga personer som utnyttjar komprometterade autentiseringsuppgifter.

I sådana scenarier finns det en påfallande förbiseende eftersom dessa attacker kan orsaka betydande skada men ändå kan gå obemärkt förbi på grund av cyberdödskedjans begränsade upptäcktsförmåga.

#3. Saknar flexibilitet

Ramverket för cyberdödskedjor, huvudsakligen fokuserat på skadlig programvara och nyttolastbaserade attacker, saknar flexibilitet.

Den linjära modellen av ramverket för cyberdödskedjor matchar inte den dynamiska karaktären hos moderna hot, vilket gör den mindre effektiv.

Dessutom kämpar den för att anpassa sig till nya attacktekniker och kan förbise viktiga aktiviteter efter intrång, vilket tyder på ett behov av mer adaptiva cybersäkerhetsmetoder.

#4. Fokuserar endast på perimetersäkerhet

Cyber ​​Kill Chain-modellen kritiseras ofta för sitt fokus på perimetersäkerhet och förebyggande av skadlig programvara, vilket blir ett problem när organisationer går från traditionella lokala nätverk till molnbaserade lösningar.

Dessutom har uppkomsten av distansarbete, personliga enheter, IoT-teknik och avancerade applikationer som Robotic Process Automation (RPA) utökat attackytan för många företag.

Denna expansion innebär att cyberbrottslingar har fler åtkomstpunkter att utnyttja, vilket gör det utmanande för företag att säkra alla slutpunkter, vilket visar upp modellens begränsningar i dagens växande hotlandskap.

Läs mer: Hur Cybersäkerhetsnät Hjälper till i den nya eran av skydd

Alternativ till Cyber ​​Kill Chain Model

Här är några alternativ till cyberkill chain-modellen som du kan utforska för att välja ett av de bästa ramverken för cybersäkerhet för ditt företag.

#1. MITRE ATT&CK Framework

De MITRE ATT&CK ramverk beskriver taktik, tekniker och procedurer som angripare använder. Se det som en lekbok för att förstå cyberhot. Cyber ​​Kill Chain fokuserar bara på attackstadier, medan ATT&CK ger en detaljerad vy. Det visar till och med vad angripare gör efter att de kommit in, vilket gör det mer omfattande.

Säkerhetsexperter föredrar ofta MITRE ATT&CK för dess djup. Det är användbart för både anfall och försvar.

#2. NIST Cybersecurity Framework

De NIST Cybersecurity Framework erbjuder riktlinjer för organisationer att hantera och mildra cybersäkerhetsrisker. Det betonar ett proaktivt förhållningssätt. Däremot fokuserar Cyber ​​Kill Chain på att förstå angripares handlingar under ett intrång.

Ramverket beskriver fem kärnfunktioner: Identifiera, skydda, upptäcka, svara och återställa. Dessa steg hjälper organisationer att förstå och hantera sina cybersäkerhetsrisker.

NIST-ramverkets bredare räckvidd hjälper till att förbättra den övergripande cybersäkerhetsställningen, medan Cyber ​​Kill Chain främst hjälper till att analysera och avbryta attacksekvenser.

Genom att ta itu med säkerhet holistiskt visar sig NIST-ramverket ofta vara mer effektivt för att främja motståndskraft och ständiga förbättringar.

Slutsats

Cyberdödskedjan, när den lanserades, var ett bra ramverk för cybersäkerhet för att identifiera och mildra hot. Men nu har cyberattacker blivit svårare på grund av användningen av molnet, IoT och andra samarbetsteknologier. Vad värre är, hackare utför alltmer webbaserade attacker som SQL-injektioner.

Så, ett modernt säkerhetsramverk som MITER ATT&CK eller NIST kommer att erbjuda bättre skydd i dagens ständigt föränderliga hotlandskap.

Du bör också regelbundet använda simuleringsverktyg för cyberattacker för att bedöma din nätverkssäkerhet.