Як зламати життєвий цикл кібератаки - мережі Пало-Альто

Цей короткий опис розбиває різні етапи життєвого циклу кібератаки та обговорює кроки, які слід вживати на кожному етапі для запобігання нападу.

Коли кібер-зловмисники розробляють стратегію проникнення в мережу організації та проникнення даних, вони виконують низку етапів, що складають життєвий цикл атаки. Щоб зловмисники успішно завершили атаку, вони повинні пройти кожен етап. Блокування супротивників у будь-який момент циклу розриває ланцюг атаки. Щоб захистити мережу та дані компанії від нападів, на кожному етапі має відбуватися запобігання, щоб блокувати можливість зловмисників отримувати доступ та переміщатися побічно всередині організації або красти конфіденційні дані. Нижче наведені різні етапи життєвого циклу атаки та кроки, які слід вжити для запобігання атаці на кожному етапі.

цикл

1. Розвідка: На першому етапі життєвого циклу атаки кібер-супротивники ретельно планують свій спосіб атаки. Вони досліджують, визначають та відбирають цілі, які дозволять їм досягти своїх цілей. Зловмисники збирають інформацію через загальнодоступні джерела, такі як Twitter, LinkedIn та корпоративні веб-сайти. Вони також перевірятимуть вразливості, які можуть бути використані в цільовій мережі, службах та додатках, намічаючи області, де вони можуть скористатися. На цьому етапі зловмисники шукають слабкі місця на основі людської та системної перспективи.

  • Виконуйте постійну перевірку потоків мережевого трафіку, щоб виявити та запобігти скануванню портів та розгортці хосту.
  • Запровадити тренінг з підвищення обізнаності щодо безпеки, щоб користувачі пам’ятали про те, що слід, а що не слід розміщувати - конфіденційні документи, списки клієнтів, учасники подій, ролі та обов'язки (тобто, використовуючи конкретні засоби безпеки в організації) тощо.

2. Зброя та доставка: Потім зловмисники визначать, які методи використовувати для доставки шкідливих корисних навантажень. Деякі з методів, які вони можуть використовувати, - це автоматизовані інструменти, такі як експлойт-набори, атаки на фішинг зі шкідливими посиланнями або вкладення та неправильне використання.

  • Отримайте повну видимість усього трафіку, включаючи SSL, і заблокуйте програми високого ризику. Поширте цей захист на віддалені та мобільні пристрої.
  • Захистіть від порушень периметра, блокуючи шкідливі або ризиковані веб-сайти за допомогою фільтрації URL-адрес.
  • Блокуйте відомі експлойти, зловмисне програмне забезпечення та вхідні командно-адміністративні комунікації, використовуючи безліч дисциплін запобігання загрозам, включаючи IPS, анти-шкідливе програмне забезпечення, анти-CnC, моніторинг і проникнення DNS, а також блокування файлів і вмісту.
  • Виявляйте невідоме шкідливе програмне забезпечення та автоматично забезпечуйте захист у всьому світі, щоб запобігти новим атакам.
  • Надайте постійну освіту користувачам щодо фішинг-посилань, невідомих електронних листів, ризикованих веб-сайтів тощо.

3. Експлуатація: На цьому етапі зловмисники розгортають експлойт проти вразливої ​​програми або системи, як правило, використовуючи експлойт-комплект або озброєний документ. Це дозволяє атаці отримати початкову точку входу в організацію.