Cyber Kill Chain - מה זה ואיך להתמודד ?
- Itsik Ohana
- 12 בינו׳
- זמן קריאה 2 דקות
בכל יום אנו מתוודעים על עוד ועוד חברות אשר חוות או מושפעות ממתקפות סייבר ומיליוני משתמשים מושפעים מתקריות אלו. נפח ההתקפות והתדירות הגוברת מדי יום הן תזכורות לבדוק מחדש את רשת החברה ונכסיה הדיגיטאליים עבור בקרות אבטחה ולהעריך את מצב האבטחה שלה.
מספר שאלות שהארגון חייב לשאול את עצמו בדרך להתגוננות מול מתקפה שכזו הן :
האם קיימות יכולות ניטור והתראה\תגובה מספקות 24/7 ?
האם צוות אבטחת המידע של הארגון מיומן מספיק ומוכן להתמודדות עם אירוע סייבר ?
האם קיימת יכולת התאוששות השירותים לאחר אירוע סייבר הכולל השבתת שירותי הארגון ?
האם קיים תהליך מסודר ומתועד להתמודדות עם אירוע סייבר בזמן אמת ?
אלו הן רק חלק קטן מאוד מהשאלות ולכן על מנת לייצר רשימת שאלות מלאה ומקיפה אשר תאפשר לארגון להתמודד ולהתאושש ממתקפת סייבר משמעותית עלינו להבין את שלבי ההתקפה מנקודת מבטו של התוקף.
לשם כך נוסד מודל ה “cyber kill chain” אשר בא לתאר את תהליך ההתקפה אשר מבצע התוקף.
מודל ה “cyber kill chain” הוא רצף של שבעה שלבים הנדרשים עבור תוקף לחדור בהצלחה לרשת, להשבית את מערכות הארגון ולחלץ נתונים ממנו לטובת סחיטה של הארגון ויצירת רווח אישי לתוקף.
שבעת השלבים במודל הם:
איסוף מידע ( Reconnaissance )
בשלב התכנוני הזה, התוקף מתחיל בחקר הארגון באינטרנט - איסוף שמות, כותרות וכתובות דוא"ל של אנשים שעובדים עבור הארגון. הוא מזהה אדם אחד לכוון ואז מתכנן את שדרת ההתקפה שלו.
חימוש ( Weaponization )
עם המידע שנאסף בשלב 1, התוקף מפתח כעת כלי זדוני כמו תולעת או וירוס שמקבל גישה מרחוק לרשת החברה.
החדרת התוכן הזדוני ( Delivery )
הכלי הזדוני מועבר לרשת היעד באמצעות מיילים, העברת קבצים דרך התקני USB, אתרים מפוקפקים ועוד...
ניצול החולשה ( Exploitation )
הכלי הזדוני מופעל ברשת של הקורבן כדי לנצל יישומים או מערכות פגיעות.
התקנת רוגלות ( Installation )
הכלי הזדוני יוצר דלת אחורית לרשת המאפשרת גישה מתמשכת. באמצעות תנועה רוחבית ברשת, התוקף יתקין כעת תוכנות זדוניות נוספות על הנכסים הדיגיטליים (שרתים, מחשבים וכדומה).
יצירת מנגנון שליטה ובקרה ( Command & Control )
כל הכלים הזדוניים ישלחו הודעות שליטה ובקרה לשרת מרכזי של התוקף מחוץ לרשת הארגונית ויאפשר לו גישה מתמשכת לרשת הארגונית ואפשרות להעברת נתונים לארגון וממנו.
ביצוע פעולות ( Action on Objectives )
בשלב זה התוקף כבר שולט ברכיבי ברשת הארגונית ושאר נכסיה הדיגיטליים. התוקף ינסה למחוק עותקי גיבוי של נכסי הארגון ואף יבטל יצירת עותקים חדשים ולאחר מכן יצפין את המידע הארגוני. במקרים רבים התוקף ישלח את נתוני הארגון לשרת החיצוני על מנת לקיים סחיטה רב שכבתית.
לאחר שהבנו את שלבי הפעולה של התוקף במהלך מתקפה על ארגון כזה או אחר. על הארגון לחשוב על הפתרונות בהן ניתן למנוע מתוקף להצליח בכל שלב ושלב במודל ובנוסף לחשוב כיצד להתמודד עם הצלחה של תוקף בכל אחד מהשלבים.
ב ITIX Cyber נדע לסייע לארגון במספר שלבי התקיפה בשילוב של שירותי הענן ושירותי אבטחת המידע שלנו. אנו נדע לחשוף את הסיכונים והחולשות הקיימים בארגון וגם לאפיין ולממש פתרון התאוששות מהיר במידה ותוקף צלח את כל שלבי הפעולה ואכן גרם נזק והשבתה לארגון.
לפרטים נוספים ולאפיון פתרונות המותאמים לארגונכם, מוזמנים ליצור עמנו קשר ונשמח לשתף פעולה.