Розуміння цільових атак Шість компонентів цільових атак - Новини безпеки

цільових
Погляд: Розуміння цілеспрямованих атак: Що змінилося?

Цільові атаки є (або повинні бути) важливою проблемою для великих організацій в будь-якому місці. Добре продумані атаки тривають у шість етапів, які показують, як зловмисники просуваються в межах своїх цілей.

Минуло кілька років з тих пір, як цілеспрямовані атаки вперше з’явилися на ландшафті загроз, і як загрози, так і наше розуміння їх еволюціонували і дозрівали. Що ми дізналися і що змінилося з тих пір?

Перш ніж переходити до дискусії про різні компоненти цілеспрямованої атаки, важливо також врахувати фактори, які роблять кампанію успішною. Однією з причин порушення компанії є те, що їхній фронт - працівники та їх обізнаність - слабкий. Це означає, що людський бар’єр є критично важливим як перша лінія захисту від цілеспрямованих атак.

Компоненти особливо не відрізняються.

Шість компонентів або "стадій" цілеспрямованої атаки представляють різні етапи логічної, структурованої атаки. Однак реальність набагато складніша. Після того, як етап «закінчений», це не означає, що ніяких інших заходів, пов’язаних з цим етапом, відбуватись не буде. Може бути можливим одночасне проведення декількох етапів атаки: наприклад, спілкування з питань технічного обслуговування відбувається протягом будь-якої цілеспрямованої атаки. Зловмиснику потрібно тримати контроль над будь-якими діями, що відбуваються в цільовій мережі, тому, природно, трафік C&C буде продовжувати рухатися вперед і назад між зловмисником та будь-якими скомпрометованими системами.

Краще думати про кожен компонент як про різні аспекти однієї атаки. Різні частини мережі можуть стикатися з різними аспектами атаки одночасно.

Це може суттєво вплинути на те, як організація повинна реагувати на напад. Не можна просто припустити, що оскільки атака була виявлена ​​на „більш ранньому” етапі, „пізніші” етапи нападу не тривають. Правильний план реагування на загрози повинен це враховувати і планувати відповідно.

Шість етапів цілеспрямованої атаки

Перший етап будь-якої цілеспрямованої атаки передбачає збір інформації про передбачувану ціль. Однак велика кількість інформації, яка може бути корисною для здійснення атак, лежить виключно в мережах компаній. Таким чином, цей етап не припиняється, навіть якщо атака вже триває. Дані, отримані всередині мережі, можуть допомогти підвищити ефективність будь-яких поточних атак.

Крім інформації, виявлення зв’язків, що існують між різними командами, а також тих, що виходять за межі цільової організації, може допомогти зловмисникові визначити хороші цілі для більшої кількості атак.