воскресенье, 6 ноября 2016 г.

Цепочка Kill Chain: от моделирования до проектирования защищенного периметра

Тема Kill Chain периодически всплывает то в беседах, то в статьях известных экспертов, то в материалах конференций посвященных тем или иным вопросам ИБ. Не смотря на то, что кажется все уже давно сказано по этой теме, концепция "убийственной цепочки" остается весьма интересной и по сей день. В одной из предыдущих статей мы писали как концепция цепочки применяется для выбора средств защиты. Сегодня мы поговорим о том, о том, почему чисто теоретическая концепции остается такой живой и по сей день. А секрета здесь нет - в купе с некоторыми остальными инструментами она позволяет выполнять моделирование угроз и проектирование собственный системы защиты информационного периметра.

Еще раз несколько вводных слов о Kill Chain

Kill Chain, слово, которое в последнее время  часто упоминается в различных статьях и материалах  конференций посвященных  вопросам информационной безопасности. Однако, не сказать, что это приносит что-то новое в безопасность, поскольку концепт kill chain уже давно не открытие,  и  скорее является больше теорией. Давайте, разберемся почему это так по порядку. 

Термин kill chain или убийственная цепочка получил широкое распространение после публикации доклада "Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains" компанией Lockheed Martin, специализирующаяся в области авиастроения и авиакосмической техники, в котором среди прочего описывается последовательность шагов злоумышленника, осуществляющего незаконное проникновение (взлом) в информационную систему.

Но какое отношение Lockheed Martin имеет к информационной безопасности? А все довольно просто, друзья. Это компания имеет прямое отношение к ВПК Соединенных Штатов. И используя опыт МинОбороны и других силовых ведомств, компания еще в 2011 году сформулировала некий род-мап  состоящий из 7 последовательных стадий, выполняющихся одна за одной и приводящих к взлому целевой системы.


Вот это 7 этапов убийственной цепочки:
  1. Разведка. Исследование, идентификация и выбор целевой системы для взлома.
  2. Вооружение. Оснащение тулзами и malware для совершения нападения 
  3. Доставка. Донесение вредоносного контента до целевой системы
  4. Заражение. Запуск вредоносного кода или эксплуатация уязвимости системы
  5. Инсталляция. Открытие удаленного доступа и другие действия с зараженной системой
  6. Получение управления. Управление зараженной системой.
  7. Выполнение действий. Сбор, кража, отправка данных, шифрование файлов, подмена  и удаление данных
А вот небольшой пример иллюстрирующий ее применение (проведение атаки step-by-step)

Не смотря на всю красивость картинок сама цепочка больше вещь теоретическая. Цепочка важна как некая модель при моделировании угроз в-первую очередь и во-вторых как элемент проектирования систем защиты на конкретном предприятии. Так, например, к ней прибегают при внедрении SOC или при расследовании инцидентов

Матрица ATT&CK для Kill chain

Как уже было упомянуто выше Kill Chain хорошо подходит для моделирования угроз. Для этих целей все этапы цепочки нужно наполнять какими то действиями. Т.е. речь идет о систематизации имеющейся информации о всех методах атак, используемых злоумышленниками. И в этом нам очень хорошо поможет матрица ATT&CK (Adversarial Tactics, Techniques & Common Knowledge), разработанная та же американской корпорацией MITRE

И так, смотрим на матрицу.


В последней версии докeмента,изданного летом 2016-го года, три последних стадии атаки атаки делятся на  отдельные 10 тактик, используемых хакерами:
  • живучесть
  • повышение привилегий
  • обход защитных мер
  • доступ к учетным записям
  • обнаружение
  • расширение в горизонт
  • исполнение
  • сбор
  • утечка
  • управление и контроль.
Если заглядывать в подробности, то описанные 10 тактик расписываются на 121 технический метод нападения, перечислено в матрице.  Более подробно всю таблицу и описание к ней можно посмотреть на сайте.


А вот что-то типо упрощенной картинки выше представленной таблицы с изображением буллет поинтов на русском языке



 Anti-Kill Chain или как обезопасить себя на всех этапах взлома

Использовать Kill Chain можно не только для моделирования угроз, но и для проектирования собственной системы безопасности. Так, например, можно всматриваясь в таблицу определить для себя какие СЗИ или административные меры на каждом этапе цепочки мы можем использовать что бы  обезопасить свой информационный периметр от взлома.

В одной из прошлых статей мы уже рассматривали, что можно сделать ДО и ПОСЛЕ взлома.  Однако, сейчас нам интересна несколько другая сторона. Да, действительно, понимаю всю цепочку последовательных  действия приводящих к взлому и зная свои слабые места можно превентивными мерами закрыть имеющиеся угрозы и снизить риски взлома. Но если все таки это случится, нужно успеть понять, что нас взломали и предпринять соответствующие меры. И что же для этого нужно?- напрашивается сам собой вопрос. Нужные некоторые критерии, индикаторы по которым мы опознаем, что система взломана. Да, классически  это логи и "странное поведение", более продвинутые вещи это IDS\IPS, SIEM-системы и активный мониторинг. Но и они строят свою работу на неких кирпичиках - единичных признаках изменения в системе и сигнализирующих о стороннем вмешательстве.

В терминах индикатор компрометации ( IOC ) – это активность и/или вредоносный объект, обнаруженный в сети или на конечной точке. Мы можем идентифицировать эти индикаторы и, таким образом, сможем улучшить наши возможности по обнаружению будущих атак. Простые сценарии использования подразумевают пoиск специфичных файлов в системе по различным признакам: MD5-хешу, имени файла, дате создания, размeру и прочим атрибутам. Кроме того, можно искать различные специфичные признаки в памяти или специфичные запиcи в реестре операционной системы Windows.

Как пишет об этом Алексей Лукацкий, таких индикаторов, используемых для обнаружения вредоносной активности, известно немало, самых распространенных из которых 10 (см. картинку ниже)




И в заключение хотелось бы привести некогда уже показанную таблицу СЗИ для защиты, которые можно варьировать в зависимости от ваших индивидуальных потребностей.



Дополнительные материалы:




Материал от Института SANS

Комментариев нет:

Отправить комментарий

Вы можете добавить свой комментарий...