En angrepskjede beskriver eksterne og interne angrep i en hendelseskjede som påfører organisasjonen skade. Det inkluderer tekniske og ikke-tekniske skritt. Cyberangrep kan være unike og følger ikke alltid en lineær vei. Men de har en tendens til å være skåret over samme lest, med mange fellestrekk på tvers av stegene. Vi bruker ofte begrepet drapskjede, som har sin opprinnelse i et militært konsept som refererer til den typiske angrepsstrukturen, en integrert ende-til-ende-prosess som danner en kjede. Om vi klarer å ta tak i ett av leddene og forsvare oss, kan vi få avbrutt angriperne.
Den militære drapskjedemodellen F2T2EA
Dette er en modell som er utviklet av det amerikanske forsvaret. F2T2EA står for find, fix, track, target, engage, assess (U.S. Department of Defense, 2007). Finn går ut på å identifisere et mål ved hjelp av overvåkning, rekognoseringsdata eller etterretningskilder. Fiks angår å bestemme målets plassering ved å fremskaffe koordinater fra eksisterende data eller ved å samle inn tilleggsdata. Spor innebærer å overvåke målet inntil en beslutning er tatt om å engasjere seg i det. Sikte seg inn (målrette) betyr å velge egnede midler for å skape den ønskede virkningen. Engasjere er å benytte våpnene mot målet. Vurder foretar en evaluering av effekten, inkludert eventuell etterretning samlet på stedet.
Den klassiske cyberdrapskjeden
Med utgangspunkt i den militære modellen utviklet forskere ved Lockheed Martin i 2011 rammeverket Cyber Kill Chain® for å identifisere handlingene som kreves for et vellykket nettangrep. Den består av sju trinn som er inndelt i tre faser. Første fase er forberedelse, som omfatter rekognosering og utvikling av våpen. Annen fase er inntrenging, som består av leveranse, utnyttelse og installasjon. Tredje fase er sikkerhetsbrudd, som inkluderer kommando- og kontroll pluss handlinger på angrepsmålet.
Rekognosering identifiserer målet. De kriminelle undersøker angrepsmålet og prøver å finne svake punkter i forsvaret, som sårbarheter eller manglende fysisk sikkerhet. Dette er planleggingsfasen. Det omfatter å innhente e-postadresser, skaffe en oversikt over ansatte på sosiale medier, samle pressemeldinger og deltakerlister på konferanser, oppdage servere som vender mot Internett. For forsvaret er det vanskelig å avdekke rekognosering idet den pågår. Men om det skjer, kan det avsløre angripernes hensikter.
Utvikling av våpen forbereder operasjonen. På bakgrunn av innsamlet informasjon lager angriperen verktøy som skal brukes i angrepet. Det kan være generisk eller skreddersydd skadelig programvare som sørger for fjerntilgang. Dette er forberedelses- og iscenesettelsesfasen av operasjonen. Forsvaret får ikke øye på denne prosessen. Fasen i seg selv er viktig å forstå. Analyser av skadevaren i etterkant vil bidra til en mer varig og robust beredskap.
Leveranse setter i gang operasjonen. Motparten overfører skadelig programvare til målet. Angrepet har startet. Det kan være rettet mot webservere og omfatte phishing-e-post, ondsinnet programkode på USB-brikker eller kompromitterte nettsteder. Dette er første og viktigste mulighet for forsvaret til å blokkere operasjonen. Analyser leveringsmedium – forstå oppstrøms infrastruktur, utsatte servere og personer, deres roller og ansvar. Samle e-post- og nettlogger. Rekonstruer intensjonen.
Utnyttelse skaffer seg tilgang til offeret. Angripere må utnytte en sårbarhet for å få adgang. Uttrykket nulldagstrussel refererer til utnyttelseskoden som blir brukt på akkurat dette trinnet. Verktøyet som ble levert i forrige fase, kjøres og starter neste hendelseskjede. Tradisjonelle tiltak for å herde sikkerheten bidrar til beskyttelsen. Men det er også nødvendig med mekanismer som klarer å håndtere ukjent programkode.
Installasjon etablerer et brohode på offeret. I denne fasen installeres vanligvis en bakdør, så angriperen kan få et mer vedvarende fotfeste i miljøet. Det legges til tjenester, AutoRun-nøkler med mer. Forsvaret må oppdage og logge installasjonsaktivitet. Du må forstå om skadelig programvare krever admin-privilegier eller klarer seg med bare brukerrettigheter. Du må oppdage aktiviteter som at det opprettes filer utenom det vanlige.
Kommando og kontroll (C2) fjernkontrollerer implantatene. Ved hjelp av de tidligere leverte verktøyene eller bakdøren kan angripere eksternt samhandle med offerets miljø. Angriperne har nå «hendene på tastaturet» med varig tilgang til målnettverket. Forsvarets siste beste sjanse for å slå ned operasjonen er å stenge C2-kanalen. Foreta en grundig analyse for å oppdage C2-infrastrukturen. Herd nettverket eller maskiner og konsolider antall Internett-punkter.
Handlinger på angrepsmålet fullfører misjonen. Angriperne følger nå sine egne planer. Dette kan være å eksfiltrere data, kryptere dokumenter og be om løsepenger. De kan samle brukerlegitimasjon og eskalere privilegier, foreta intern rekognosering og bevege seg lateralt gjennom miljøet og ødelegge systemer. Forsvaret trenger verktøy som klarer å oppdage og avverge innbruddet.
Styrker og svakheter ved modellen
Lockheed Martins cyberdrapskjede sørger for en strukturert metode for å identifisere og svare på trusler. Ved å forstå stadiene i et angrep kan organisasjoner bedre forberede og utvikle effektive sikkerhetsstrategier. Rammeverket fremhever potensielle sårbarheter i forsvaret. Det oppmuntrer til en proaktiv tilnærming til sikkerhet ved å understreke viktigheten av å forstyrre eller avbryte en angripers handlinger på ulike stadier. Ikke minst gir det et felles språk for sikkerhetspersonell til å diskutere og dele kunnskap om cybertrusler og -forsvar.
En avgjort svakhet er at drapskjeden er basert på en lineær modell som ikke tar nok hensyn til dynamikken i hvordan cyberangrep har utviklet seg. Modellen fokuserer først og fremst på eksterne trusler, noe som kan føre til man undervurderer innsidetrusler og utradisjonelle angrepsvektorer. Forståelsen av cyberdrapskjeden kan være for sterkt knyttet til nettverkssikkerhet og i for liten grad til en identitetsdreven sikkerhet. Modellen mangler fokus på motstandskraft og gjenoppretting, som er avgjørende for å dempe virkningen av vellykkede angrep.
Andre innvendinger går på at Cyber Kill Chain riktig nok fremmer et proaktivt forsvar, men også er reaktiv i sin tilnærming ved å være avhengig av et angrep skjer før defensive tiltak kan iverksettes. Det er foreslått å legge til et åttende punkt for generering av inntekt via cybervaluta. Modellen sier for lite om hva som foregår når inntrengere har klart å komme seg inn i organisasjonen. Dette har ført til at modellen er blitt utvidet på forskjellige måter, som ved å inkorporere rammeverket til MITRE ATT&CK.
Rammeverket MITRE ATT&CK™
MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) er et rammeverk som er skapt for å forstå og katalogisere de ulike taktikkene, teknikkene og prosedyrene (TTPer) som benyttes av trusselaktører under et cyberangrep. Det er opprettet av MITRE Corporation, en ideell organisasjon som driver føderalt finansierte forsknings- og utviklingssentre. Rammeverket er ikke sekvensielt og består av en matrise av teknikker gruppert etter taktikkene, som omfatter:
Rekognosering og Utvikling av ressurser svarer til de første to fasene i cyberdrapskjeden. Innledende tilgang benytter forskjellige inngangsvektorer for å få et første fotfeste (f.eks. spydfiske). Utførelse angår teknikker som resulterer i å kjøre angriperstyrt kode på et lokalt eller eksternt system (f.eks. PowerShell). Med Persistens menes å opprettholde vedvarende tilgang til et system (f.eks. påloggingsskript). Eskalering av privilegier sørger for mer rettigheter i et system eller nettverk (f.eks. prosessinjeksjon). Forsvarsunndragelse holder angripere skjult (f.eks. DLL-sidelasting).
Identitetstyveri er tekniker for å stjele legitimasjon som kontonavn og passord (f.eks. Kerberoasting). Oppdagelse benyttes for å få kunnskap om systemer og interne nettverk (f.eks. nettverkssniffing). Lateral bevegelse innebærer at angripere beveger seg gjennom flere maskiner, vanligvis fra den svakeste lenken i maskinkjeden for å nå sluttmålet (f.eks. Pass-the-Ticket). Innsamling brukes til å sanke relevant informasjon for å følge opp angriperens mål (f.eks. Input Capture).
Med Eksfiltrering menes en skjult måte å stjele data på (f.eks. kompromitterte data). Kommando og kontroll er teknikker angripere bruker i kommunikasjonen med systemer under deres kontroll, ofte forkledd som vanlig HTTP-trafikk (f.eks. Domain Fronting). Effekt er teknikker som benyttes til å forstyrre tilgjengeligheten eller kompromittere integriteten av systemer ved å manipulere forretnings- og operasjonsprosesser (f.eks. fastvarekorrupsjon).
MITRE beskriver rammeverket som «en kuratert kunnskapsbase og modell for atferden i et cyberangrep som gjenspeiler de ulike fasene i en motstanders livssyklus for et angrep de er kjent for å sikte seg inn mot». Rekkefølgen er ikke avgjørende, som med cyberdrapskjeden. ATT&CK gir med sine taktikker, teknikker og prosedyrer detaljert dokumentasjon i hvordan angrep utføres. Det gjør at 89 prosent av virksomheter benytter seg av ATT&CK, noe som skaper de facto-språket for sikkerhetsfolk.
Den forente drapskjeden
The Unified Kill Chain ble utviklet i 2017 av Paul Pols – kjent sikkerhetsekspert og etiske hacker – i samarbeid med Fox-IT og Universitetet i Leiden for å imøtegå vanlige kritikker mot den tradisjonelle cyberdrapskjeden. Modellen forener Lockheed Martins ansats med MITRE ATT&CK.
Den enhetlige drapskjedemodellen er utformet for å forsvare seg mot ende-til-ende cyberangrep fra en rekke avanserte angripere og gi innsikt i taktikker hackere bruker for å nå sine strategiske mål. Modellen er inndelt i tre hovedfaser: innledende fotfeste, nettverksutbredelse og handling på mål. Hver av disse fasene består av ytterligere angrepsfaser. Totalt er det 18 stadier.
Microsofts modell Prepare-Enter-Traverse-Execute
Microsoft har utviklet en forenklet modell for å forbedre kommunikasjonen mellom bedriftsledere og folk som ikke er sikkerhetseksperter. Den går under navnet Prepare-Enter-Traverse-Execute (PETE) – Forbered, gå inn, bevege deg på tvers av og utfør. I likhet med forente drapskjeden er den satt sammen av rammeverkene til Lockheed Martins og MITRE ATT&CK.
Selv om angrep i dag ikke nødvendigvis går gjennom alle stadier eller er like sekvensielle, anskueliggjør disse modellene godt hvordan angrep foregår, og hva virksomheter kan gjøre for å beskytte seg mot dem. Som Microsoft-partner er det naturlig å eksemplifisere forsvarsstrategier ved hjelp av selskapets verktøy.
Forsvar mot angrepskjeder
Diagrammet er hentet fra Microsofts referansearkitekturer for cybersikkerhet (MCRA) og illustrerer vanlige drapskjedetrinn og kart i Microsoft-funksjoner for å vise hvordan du får full ende-til-ende-synlighet og dekning på tvers av IT-, IoT- og OT-ressurser. Dette er angrepsteknikker i lys av både eksterne angrep og insiderrisiko.
Den mest utbredte og innledende angrepsvektor er fortsatt e-post. Defender for Office 365 beskytter hele samarbeidsplattformen mot phishing, ondsinnete koblinger og skadelig programvare – inkludert nulldagstrusler ved å undersøke vedlegg og dokumenter i et detonasjonskammer. Defender for IoT (& OT) sikrer enheter på Tingenes Internet og operasjonell teknologi, som industrielle kontrollsystemer (ICS). Defender for Endpoint bidrar med avansert endepunktsbeskyttelse ved hjelp av EDR.
Defender for Cloud Apps sørger for databeskyttelse i tredjeparts skyapper og kan sperre for utgående trafikk. Azure AD Identity Protection bruker atferdsanalyse for å oppdage kompromitterte kontoer. Defender for Identity gjør det samme for hybride miljøer med lokalt Windows AD. Samtlige produkter og tjenester er tett integrert med utvidet deteksjon og respons (XDR), som gir hele angrepshistorien på tvers av e-post, identiteter, enheter, apper, infrastruktur og data.
Sikkerhetssentret Microsoft 365 Defender samler Defender for Office, Endpoint, Cloud Apps og Identity pluss Azure AD Identity Protection i en enkelt glassrute. Fot større miljøer er det anbefalt med Microsoft Sentinel, selskapets skyopprinnelige SIEM- og SOAR-løsning. Microsoft Purview Innsiderisiko har en rekke funksjoner for å oppdage angrep fra innsiden.
Et typisk angrep
Angrep varierer basert på angripernes mål, som å stjele eller kryptere data. De fleste eksterne angrep som resulterer i en større hendelse, inkluderer en metode som øker angripernes rettigheter ved bruk av legitimasjonstyveri. Typiske angrep omfatter:
- Kompromittere en brukerkonto med passordssprøyting eller sosial manipulering
- Sende en phishing-e-post med en ondsinnet lenke
- Kompromittere en IoT-enhet
- Et vannhullsangrep (f.eks. golfklubbens webserver) der angripere plasserer skadevare
- Implantering av skadelig programvare i en skyapplikasjon
Og la oss nå se hvordan dette passer sammen med cyberangrepskjeden(e). En angriper orienterer seg på sosiale medier. HR-avdelingen har hatt seminar på Kiel-fergen og en fuktig barkveld. Bilder er lagt ut på Facebook. Hackerne presenterer seg som et ektepar HR møtte i baren. De har noen bilder og sender dem som vedlegg som inneholder en trojaner. Det hele ser veldig tilforlatelig ut. Avsender bruker alle anerkjente autentiseringsprotokoller for e-post. Språket er godt, og tonen overbevisende.
Noen av mottakerne klikker på det. Trojaneren installeres på én eller flere enheter. Trojaneren gir fjerntilgang og lar angriperne bevege seg lateralt i nettverket. Mer skadevare lastes ned. Det lar dem opprette bakdører og kompromittere kontoer med privilegerte rettigheter. Sånn får de tilgang til følsomme data, ekstraherer dem, ødelegger backuper og krypterer dataene. Med Microsofts sikkerhetsprodukter vil du kunne oppdage og bekjempe de forskjellige fasene i angrepet trinn for trinn (unntatt de første to).
Avsluttende ord
Lockheed Martin skapte den første modellen for cyberangrep. Den beskriver ikke nødvendigvis dagens angrepsmønstre godt nok, men danner et godt utgangspunkt for å forstå dem og planlegge hvilke sikkerhetskontroller som bør implementeres. Videreføringen med å plusse på med rammeverket for MITRE ATT&CK burde bidra til å sørge for at virksomheter kan sette opp et robust og motstandsdyktig miljø.En angrepskjede beskriver eksterne og interne angrep i en hendelseskjede som påfører organisasjonen skade.
