Связанные одной цепью: Kill Chain — этапы кибератак и как их предотвратить

Комплексные целенаправленные кибератаки не возникают внезапно из ниоткуда. Каждая из них имеет несколько этапов: от подготовки и сбора информации до причинения ущерба. Понимание анатомии кибератаки необходимо для выявления угроз и выстраивания защитной стратегии. Существует несколько моделей, описывающих последовательность действий злоумышленников, в статье рассмотрели одну из них — Cyber Kill Chain.

Что такое цепочка Kill Chain

Kill Chain — это процесс с помощью, которого совершаются кибератаки. Модель «убийственной цепочки» описывает действия злоумышленников, включая самые ранние этапы атаки — шпионаж и планирование — до конечной цели.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»

Стратегия защиты от цепочки Kill Chain должна строиться на понимании того, как именно действуют хакеры, причем не теоретически, а на практике. За каждым этапом Kill Chain стоит конкретный набор методик и техник взлома, которым можно противостоять с помощью технических и организационных мер. Более того, все эти техники прекрасно описаны вопрос лишь в подробном их изучении и применении на практики мер противодействия.

Концепция Kill Chain была описана впервые в 2011 году и получила распространение среди ИБ-сообщества. Но специалисты увидели в ней недостатки, например модель не учитывает атаку изнутри, поэтому не является универсальной. Впоследствии, на ее основе были предложены более расширенные варианты модели атак: MITRE ATT&CK и The Unified Kill Chain.

Сотрудники информационной безопасности должны знать модель Kill Chain и учитывать ее при выстраивании стратегии защиты. Это поможет организации вовремя заметить действия злоумышленников и выбрать правильные технологии для остановки атаки.

Этапы цепочки Kill Chain

Цепочка Kill Chain состоит из семи звеньев. После прохождения всех этапов, злоумышленники начинают путь по цепи сначала, только уже в корпоративной сети. Нужно учитывать, что количество шагов при атаке может уменьшиться или увеличиться, например, когда дополнительным последним шагом становится удаление следов деятельности.

Основные этапы в традиционной цепи киберубиств:

1. Внешняя разведка (Reconnaissance). Злоумышленник выбирает цель и собирает информацию о ней: изучает специфику отрасли и данные о деятельности организации, выбирает методы и технологии для атаки.
2. Вооружение (Weaponization). На этом этапе выбирают, приобретают или создают самостоятельно средства для атаки. Оружием может стать не только вредоносное ПО, но и веб-приложения или различные уязвимости в файлах. Также злоумышленники могут создавать почтовые ящики, аккаунты в социальных сетях и фишинговые сайты.
3. Доставка полезной нагрузки (Delivery). Вредоносный контент попадает на устройство жертвы, например, когда она скачивает файл, заходит на поддельный сайт или использует зараженную флешку.
4. Заражение (Exploitation). Вредоносное ПО разворачивается на устройстве.
5. Установка (Installation). Программа внедряется в систему, маскируясь под другие процессы и открывает удаленный доступ. Может быть выполнена установка дополнительных утилит.
6. Получение управления (Command and Control). Злоумышленник получает доступ к устройству жертвы и отдает команды, какие именно действия должны быть совершены.
7. Выполнение целевого действия (Actions on Objectives). На последнем шаге выполняются вредоносные действия — кража информации, шифрование и подмена данных и т.д.

Семен Рогачев

Руководитель отдела реагирования на инциденты компании «Бастион»

По нашему опыту чаще всего злоумышленников обнаруживают на этапах: Delivery, Installation, Command and Control и Actions on objectives.

На каждом этапе можно предпринять защитные действия: определить присутствует ли злоумышленник в сети, предотвратить несанкционированный доступ и раскрытие данных, остановить исходящий трафик, помешать управлению сетью, сегментировать сеть и т.д.

Константин Мушовец

Директор USSC-SOC, УЦСБ

Давайте пройдемся по всем этапам цепочки. Рассмотрим вариант атаки внешним злоумышленником, находящимся вне периметра атакуемой организации. На стадии разведки эффективными решениями являются средства защиты периметра: NGFW, IDS/IPS, ASM и т.п. Важно найти уязвимости и потенциальные точки входа раньше злоумышленника и принять необходимые меры. Для обнаружения разведки можно также использовать решения класса honeypot.

На этапе доставки полезной нагрузки эффективными решениями будут песочницы, почтовые антивирусные шлюзы, endpoint-решения (для предотвращения доставки с помощью USB-носителей). Нельзя забывать о Security Awareness, чтобы поддерживать необходимый уровень готовности персонала к фишингу. Также на данном этапе полезно будет отслеживать наличие TI-контента (IoC) в событиях безопасности.

На этапе установки вредоносного ПО действия злоумышленника помогут обнаружить и предотвратить различные endpoint-решения (антивирус, EDR и т.п.). Учитывая, что последующие этапы предполагают, что злоумышленник уже внутри атакуемой инфраструктуры, оперативные действия по его обнаружению становятся крайне важны.

На стадии командования и управления подозрительную активность возможно обнаружить преднастроенным мониторингом инцидентов информационной безопасности (SIEM, EDR, NTA и т.п.). Часто в процессе атаки злоумышленники совершают латеральное перемещение, чтобы получить дополнительные преимущества. Затруднить его действия в таком случае поможет внутренняя сегментация сети, корректная настройка разграничения доступа между сегментами, харденинг и сканеры уязвимостей.

На последней стадии важно уже не применение конкретных мер защиты, а оперативные действия blue team команды по локализации и нейтрализации инцидента.

Первые этапы модели Kill Chain проходят за пределами защищаемой сети, поэтому выявить действия злоумышленников сложно. Помимо технических средств необходимо проводить обучение по информационной безопасности для сотрудников и проверять, сообщают ли они о подозрительной активности.

Модель Kill Chain в стратегии защиты организации

В компаниях модель Kill Chain может быть использована для выстраивания стратегии защиты, моделирования угроз или для оценки эффективности работы специалистов SOC. Чем раньше обнаруживаются атаки, тем лучше выстроена защита. Статистика, показывающая распределение обнаруженных и нейтрализованных атак на разных этапах цепи поможет проанализировать слабые места в информационной безопасности.

Кай Михайлов

Руководитель направления информационной безопасности iTPROTECT

Основной рекомендацией является подход к реализации стратегии защиты на каждом этапе атаки, однако на практике организации сразу же сталкиваются с финансовым вопросом. К счастью, для компаний любого размера есть практики выстраивания стратегий защиты, в которых атаки отсекаются не только на первоначальном этапе, но и на более поздних, с рациональным использованием средств защиты. Множество систем могут работать на нескольких этапах (NGFW, Anti-APT, сканеры безопасности и т. д.), активность на некоторых других этапах может быть нейтрализована корректными настройками ИТ-систем либо Open-source инструментами.

Единую модель можно использовать для анализа, сравнения и защиты от сквозных кибератак со стороны современных постоянных угроз. Но важно отметить, что традиционная Kill Chain, состоящая из 7 звеньев не подходит для моделирования внутренней угрозы, поэтому ИБ-специалисты рекомендуют использовать ее расширенную версию.

Семен Рогачев

Руководитель отдела реагирования на инциденты компании «Бастион»

Изначально Cyber Kill Chain был реализован в 2011 году в качестве попытки разбить на этапы действия атакующего с использованием знаний киберразведки. С тех пор появились и другие способы описания действий атакующего, разделения его действий на этапы. Если читатель находится в поисках стратегии защиты на основании Cyber Kill Chain, лучше посмотреть его расширенную версию, так как она содержит более подробное разбиение на этапы и описывает атаку как несколько циклов, что ближе к реальной жизни, или MITRE ATT&CK. Оба варианта не лишены недостатков, но позволяют более подробно описывать действия атакующих, осознавать, на каких этапах атаки есть возможность производить обнаружение их действий.

При выстраивании защиты на каждом из этапов атаки стоит уделить внимание не только внедрению технических средств, но предпринимать и другие меры безопасности. Например, провести тестирование на проникновение для обнаружения уязвимостей. 

Заключение

Цепочка Kill Chain — важный инструмент для понимания механизмов кибератак и их предотвращения. Разбирая этапы кибератак от начала до конца, можно лучше понять стратегии и тактики злоумышленников.

Владимир Арышев

Эксперт по комплексным ИБ-проектам STEP LOGIC

Для защиты от цепочки Kill Chain необходимо выстроить комплексную систему безопасности, которая будет обеспечивать эшелонированную защиту от максимального количества векторов атак.

Комплексная защита включает в себя такие аспекты, как периметральную защиту, защиту конечных точек, мониторинг сетевой активности, анализ и реагирование на инциденты, регулярное обновление систем и средств защиты, а также обучение пользователей навыкам информационной безопасности.

Подобный подход позволяет создать ряд слоев защиты, каждый из которых представляет собой барьер для злоумышленника и увеличивает шансы на обнаружение и предотвращение атак на любом этапе цепочки Kill Chain.