Cele șase etape ale unui ciclu de viață al atacului cibernetic - Help Net Security

Abordarea tradițională a securității cibernetice a fost utilizarea unei strategii centrate pe prevenire axată pe blocarea atacurilor. Deși sunt importanți, mulți dintre actorii de amenințare avansați și motivați de astăzi ocolesc apărările bazate pe perimetru cu atacuri creative, furtive, direcționate și persistente care adesea rămân nedetectate pentru perioade semnificative de timp.

șase

Ca răspuns la neajunsurile strategiilor de securitate axate pe prevenție și la provocările de a asigura un mediu IT din ce în ce mai complex, organizațiile ar trebui să își schimbe resursele și să se concentreze asupra strategiilor axate pe detectarea și răspunsul la amenințări. Echipele de securitate care își pot reduce timpul mediu de detectare (MTTD) și timpul mediu de răspuns (MTTR) își pot reduce riscul de a experimenta un incident cibernetic cu impact ridicat sau o încălcare a datelor.

Din fericire, incidentele cibernetice cu impact ridicat pot fi evitate dacă detectați și răspundeți rapid cu procesele end-to-end de gestionare a amenințărilor. Când un hacker vizează un mediu, se desfășoară un proces de la intrarea inițială până la eventuala încălcare a datelor, dacă acel actor de amenințare este lăsat nedetectat. Abordarea modernă a securității cibernetice necesită un accent pe reducerea MTTD și MTTR în cazul în care amenințările sunt detectate și ucise la începutul ciclului lor de viață, evitând astfel consecințele și costurile din aval.

Etapele ciclului de viață ale atacului cibernetic

Pașii tipici implicați într-o încălcare sunt:

Faza 1: Recunoaștere - Prima etapă este identificarea potențialelor ținte care satisfac misiunea atacatorilor (de exemplu, câștig financiar, acces direcționat la informații sensibile, daune de marcă). Odată ce stabilesc ce mijloace de apărare sunt la locul lor, își aleg arma, fie că este vorba despre un exploit de zi zero, o campanie de spear-phishing, mituirea unui angajat sau altul.

Faza 2: compromis inițial - Compromisul inițial este de obicei sub formă de hackeri care ocolesc apărările perimetrice și au acces la rețeaua internă printr-un sistem compromis sau un cont de utilizator.

Faza 3: Comandă și control - Dispozitivul compromis este apoi folosit ca cap de plajă într-o organizație. De obicei, aceasta presupune ca atacatorul să descarce și să instaleze un troian cu acces la distanță (RAT), astfel încât să poată stabili un acces la distanță persistent, pe termen lung, la mediul dvs.

Faza 4: Mișcare laterală - Odată ce atacatorul are o conexiune stabilită la rețeaua internă, încearcă să compromită sistemele suplimentare și conturile de utilizator. Deoarece atacatorul folosește adesea un utilizator autorizat, dovezile existenței lor pot fi greu de văzut.