Шість етапів життєвого циклу кібератаки - Help Net Security

Традиційним підходом до кібербезпеки було використання стратегії, орієнтованої на профілактику, орієнтованої на блокування атак. Хоча це і важливо, але багато сучасних та мотивованих акторів загроз обходять захист, що базується на периметрі, креативними, крадькими, цілеспрямованими та стійкими атаками, які часто залишаються не виявленими протягом значного періоду часу.

циклу

У відповідь на недоліки стратегій безпеки, орієнтованих на запобігання, та виклики забезпечення все більш складного ІТ-середовища, організації повинні перенаправляти свої ресурси та концентруватися на стратегіях, зосереджених на виявленні та реагуванні на загрози. Команди охорони, які можуть скоротити середній час виявлення (MTTD) та середній час реагування (MTTR), можуть зменшити ризик зазнати сильного кіберициденту або порушення даних.

На щастя, високоефективних кіберінцидентів можна уникнути, якщо швидко виявити та швидко реагувати на наскрізні процеси управління загрозами. Коли хакер націлює середовище, процес розгортається від початкового вторгнення до можливого порушення даних, якщо цей актор загрози залишається невизначеним. Сучасний підхід до кібербезпеки вимагає зосередження уваги на зменшенні МТТД та МТТР, коли загрози виявляються та вбиваються на початку їх життєвого циклу, тим самим уникаючи наслідків та витрат за течією.

Етапи життєвого циклу кібератаки

Типовими етапами, пов’язаними з порушенням, є:

Фаза 1: Розвідка - Перший етап - виявлення потенційних цілей, які задовольняють місію зловмисників (наприклад, фінансова вигода, цільовий доступ до конфіденційної інформації, збиток бренду). Як тільки вони визначають, які захисні засоби існують, вони вибирають свою зброю, будь то експлойт нульового дня, фішинг-фішинг, підкуп працівника чи інший.

Фаза 2: Початковий компроміс - Початковий компроміс зазвичай у формі хакерів в обхід периметру захисту та отримання доступу до внутрішньої мережі через скомпрометовану систему або обліковий запис користувача.

Фаза 3: Командування та управління - Порушений пристрій потім використовується як плацдарм в організації. Як правило, це передбачає завантаження та встановлення трояна з віддаленим доступом (RAT), щоб вони могли встановити стійкий, довгостроковий віддалений доступ до вашого середовища.

Фаза 4: Бічний рух - Як тільки зловмисник встановить зв’язок із внутрішньою мережею, він намагається скомпрометувати додаткові системи та облікові записи користувачів. Оскільки зловмисник часто видає себе за уповноваженого користувача, важко побачити докази їх існування.