Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


01.06.2021

Monitory interaktywne Newline...

Na rynek trafiły nowe monitory interaktywne Newline MIRA stanowiące kompletne narzędzia...
27.05.2021

Anywhere Workspace

VMware wprowadza rozwiązanie Anywhere Workspace
27.05.2021

Narzędzie SaaS

Lenovo Device Intelligence Plus
27.05.2021

Nowa fala przetwarzania edge

Red Hat Edge
27.05.2021

Wirtualny router od QNAP-a

QuWAN vRouter
27.05.2021

Ochrona endpointów

Cisco SASE
27.05.2021

Monitor graficzny

Monitor graficzny PD2725U od BenQ zaprojektowany jest z myślą o wygodnej pracy...
27.05.2021

Monitoring wizyjny

D-Link Vigilance
27.05.2021

Moc i elastyczność

Liebert EXM2

Wykorzystanie ataku komputerowego do budowania bezpieczeństwa IT organizacji

Data publikacji: 25-05-2017 Autor: Ireneusz Tarnowski

Ewolucja cyberataków wymaga zamiany klasycznego modelu obrony infrastruktury IT na model bazujący na informacjach o zagrożeniach, w którym skupiamy się zarówno na jej słabościach, jak i zagrożeniach zewnętrznych i wewnętrznych. Należy bronić nie tylko słabych elementów systemu czy systemu jako takiego w całości, ale przede wszystkim zabezpieczać się przed znanymi i nieznanymi zagrożeniami w sposób kompleksowy.

Konwencjonalne narzędzia obrony sieciowej, takie jak systemy detekcji zagrożeń (IDS), zapory ogniowe (firewall) czy oprogramowanie antywirusowe, wykorzystują statyczną wiedzę o istniejących zagrożeniach i słabościach systemu. Stosowanie ich jako jedynych elementów ochrony sprawia, że dowiadujemy się o kolejnych udanych atakach komputerowych, których efektem są spektakularne wycieki danych.

Ewolucja celów cyberprzestępców oraz wykorzystywanie wyszukanych narzędzi sprawia, że podejście tradycyjne nie jest już wystarczające. Techniki obrony sieciowej wykorzystujące wiedzę o przeciwnikach, modelowanie zagrożeń oraz scenariuszy ataków znacząco mogą zmniejszyć prawdopodobieństwo każdorazowej próby włamania. Wykorzystanie modelu cybernetycznego łańcucha śmierci (kill chain) pomaga zrozumieć cel oraz metody ataku, dzięki czemu zespołom ds. cyberbezpieczeństwa i reagowania na incydenty łatwiej określić uczestników kampanii skierowanej przeciw organizacji oraz określić kierunki i metody obrony.

> PRZEBIEG ATAKU KOMPUTEROWEGO

Żeby zrozumieć, jak przebiega atak komputerowy, a co za tym idzie, móc we właściwy sposób reagować na incydent, należy przeanalizować proces ataku w każdej fazie jego istnienia. Poszczególne fazy ataku tworzą łańcuch przyczynowo-skutkowy, tzw. zabójczy łańcuch, czyli wspomniany kill chain. Określenie to, jak i nazwy faz składowych łańcucha wywodzą się z terminologii wojskowej.

Skuteczny atak, czyli taki, którego skutkiem może być kompromitacja systemu lub kradzież danych, jest łańcuchem zdarzeń: od początkowej fazy rozpoznania, mającej na celu poznanie ofiary, przez włamanie, dwustronny przepływ danych w sieci komputerowej, wykorzystanie podatności, aż po zainfekowanie systemu i przejęcie nad nim kontroli. Warto przeanalizować każde z tych zdarzeń, zdobyć wiedzę i wykorzystać ją, aby przerwać ten łańcuch tak wcześnie, jak to tylko możliwe. Im głębiej analizujemy te zdarzenia, tym więcej uczymy się od autorów ataku, a właściwe rozpoznanie staje się kluczem do obrony.

W modelu ataku komputerowego wyróżniamy następujące fazy (rys. 1):

1. Rozpoznanie (Reconnaissance) – odnalezienie, identyfikacja oraz wybranie celu, często realizowane przez skanowanie internetu, serwisów WWW, grup dyskusyjnych, mediów społecznościowych lub dostępnych informacji (tzw. biały wywiad).
2. Uzbrojenie (Weaponization) – przygotowanie narzędzi ataku, takich jak konie trojańskie, exploity wraz z danymi. Zazwyczaj jest to zbiór narzędzi automatyzujących uzbrojenie. Umieszczenie przygotowanych narzędzi w zainfekowanych plikach, których po dostarczeniu użyje ofiara (np. pliki PDF lub dokumenty Office).
3. Dostarczenie (Delivery) – przesłanie przygotowanych „narzędzi ataku” do atakowanego środowiska poprzez przygotowany wcześniej wektor ataku (np. załącznik e-mail, stronę WWW, nośnik mediów USB).
4. Włamanie (Exploitation) – po dostarczeniu „narzędzi ataku” do zaatakowanego komputera następuje wykonanie kodu w atakowanym środowisku. Najczęściej w eksploitacji wykorzystywane są podatności w aplikacjach lub w systemie operacyjnym atakowanego środowiska. Zdarzają się znacznie prostsze włamania wykorzystujące błędy w konfiguracji lub nieświadomość użytkownika.
5. Instalacja (Installation) – instalacja konia trojańskiego lub tzw. tylnych drzwi (backdoor) w systemie ofiary pozwalających na trwałe istnienie w zaatakowanym środowisku.
6. Kontrola (Command and Control) – przejęcie kontroli nad zainfekowanym urządzeniem. Zazwyczaj skompromitowany komputer łączy się na zewnątrz do komputera kontrolującego (Command and Contro, C2) poprzez specjalnie utworzony kanał komunikacyjny.
7. Akcja (Actions on Objective) – dopiero w tym momencie następuje właściwa akcja, mająca na celu osiągnięcie (zdobycie) zaplanowanych celów. Zazwyczaj jest to penetracja, analiza, zebranie i skopiowanie danych. Alternatywnie włamywacz może wykorzystać skompromitowany komputer tylko jako punkt wyjściowy do dalszych ataków i miejsce, z którego penetrowana jest zaufana sieć ofiary.

Każda z faz powinna zostać przeanalizowana, tak aby broniący się mógł ustalić, jakie podejmie działania. Mogą one przybrać różny charakter. Przede wszystkim może nastąpić wykrycie ataku. I nie chodzi tu o to, że odbędzie się to bardzo wcześnie z punktu widzenia faz modelu, a raczej o to, że takie wykrycie może nastąpić w każdej fazie ataku, począwszy od prowadzonych przez atakującego działań rozpoznawczych, kończąc na realizacji tego, co oznaczono jako „akcja”, a co w praktyce oznacza realizację przez atakującego docelowego zadania, czyli działań najbardziej destrukcyjnych dla atakowanej organizacji. Kroki podejmowane przez zespoły ds. reagowania na incydenty zależą od momentu wykrycia i rozpoznania ataku. Niestety, taki schemat łańcucha ataku wprowadza w błąd potencjalnego obrońcę. Problemem jest właściwe przedstawienie skali czasu. Otóż cały atak można podzielić na etapy: przygotowań (faza 1 – rekonesans oraz faza 2 – uzbrojenie), wtargnięcia (faza 3 – dostarczenie, faza 4 – włamanie, faza 5 – instalacja) oraz etap aktywnego włamania (faza 6 – kontrola i faza 7 – akcja).

[...]

Specjalista we Wrocławskim Centrum Sieciowo-Superkomputerowym zajmujący się administracją systemami IT oraz bezpieczeństwem usług sieciowych. Miłośnik defensywnego podejścia do cyberbezpieczeństwa. Niezależny konsultant i analityk cyberbezpieczeństwa.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"