Como profissional de segurança da informação, você provavelmente já ouviu falar sobre o uso de uma cyber kill chain para ajudar a identificar e evitar invasões. Os invasores estão evoluindo seus métodos, o que pode exigir que você observe a cadeia de morte cibernética de maneira diferente. O que se segue é uma explicação da cadeia de morte cibernética e como você pode empregá-la em seu ambiente.
Definição da cadeia de morte cibernética
A cadeia de morte cibernética, também conhecida como ciclo de vida do ataque cibernético, é um modelo desenvolvido pela Lockheed Martin que descreve as fases de um ataque cibernético direcionado . Ele detalha cada estágio de um ataque de malware onde os defensores podem identificá-lo e pará-lo.
Na linguagem militar, uma “cadeia de morte” é um modelo baseado em fases para descrever os estágios de um ataque, o que também ajuda a informar maneiras de evitar esses ataques. Quanto mais próximo do início da cadeia de morte um ataque puder ser interrompido, melhor. Quanto menos informações um invasor tiver, por exemplo, menor será a probabilidade de outra pessoa usar essas informações para concluir o ataque posteriormente.
A cadeia de morte cibernética aplica o modelo militar aos ataques cibernéticos, com as fases de um ataque direcionado descritas de forma que possam ser usadas para proteção da rede de uma organização. As etapas são mostradas no gráfico abaixo.
Uma coisa a ter em mente: quanto mais próximo do início da cadeia você puder interromper um ataque, menos dispendiosa e demorada será a limpeza. Se você não parar o ataque até que ele já esteja em sua rede, você terá que consertar essas máquinas e fazer um monte de trabalho forense para descobrir com quais informações eles usaram.
Etapas da cadeia de morte cibernética
As etapas descritas na cadeia de morte cibernética são muito parecidas com um roubo estereotipado. O ladrão realizará reconhecimento em um prédio antes de tentar se infiltrar nele e, em seguida, passará por várias outras etapas antes de fugir com o saque. Usar a cyber kill chain para impedir que invasores entrem furtivamente em sua rede requer um pouco de inteligência e visibilidade do que está acontecendo em sua rede. Você precisa saber quando algo está lá que não deveria estar, para que você possa definir os alarmes para impedir o ataque
Vamos dar uma olhada nas 7 etapas da cadeia de morte cibernética para determinar quais perguntas você deve se fazer para decidir se é viável para sua organização.
- Reconhecimento
- Armamento
- Entrega
- Explorar
- Instalação
- Comando e controle
- Ações
Reconhecimento
Nesta fase, os criminosos estão tentando decidir o que são (e não são) bons alvos. Do lado de fora, eles aprendem o que podem sobre seus recursos e sua rede para determinar se vale a pena o esforço. Idealmente, eles querem um alvo relativamente desprotegido e com dados valiosos. Quais informações os criminosos podem encontrar sobre sua empresa e como elas podem ser usadas podem surpreendê-lo.
As empresas geralmente têm mais informações disponíveis do que imaginam. Os nomes e detalhes de contato de seus funcionários estão online? (Tem certeza? Pense nas redes sociais também, não apenas no seu próprio site corporativo.) Elas podem ser usadas para fins de engenharia social , digamos, para fazer as pessoas divulgarem nomes de usuário ou senhas. Existem detalhes sobre seus servidores web ou locais físicos online? Eles também podem ser usados para engenharia social ou para restringir uma lista de possíveis explorações que seriam úteis para invadir seu ambiente.
Essa é uma camada difícil de controlar, principalmente com a popularidade das redes sociais. Ocultar informações confidenciais tende a ser uma mudança bastante barata, embora ser minucioso na localização das informações possa consumir muito tempo.
Armamento, entrega, exploração, instalação
Esses quatro estágios são onde os criminosos usam as informações coletadas para criar uma ferramenta para atacar o alvo escolhido e colocá-lo em uso malicioso. Quanto mais informações eles puderem usar, mais convincente será um ataque de engenharia social.
Eles podem usar spear phishing para obter acesso a recursos corporativos internos com as informações encontradas na página do LinkedIn de um funcionário. Ou eles podem colocar um Trojan de acesso remoto em um arquivo que parece ter informações cruciais sobre um evento futuro para atrair seu destinatário a executá-lo.
Se eles souberem qual software seus usuários ou servidores executam, incluindo versão e tipo de sistema operacional, eles podem aumentar a probabilidade de explorar e instalar algo em sua rede.
Essas camadas de defesa são onde entram seus conselhos de segurança padrão. Seu software está atualizado? Tudo isso, em todas as máquinas? A maioria das empresas tem essa caixa em algum quarto dos fundos que ainda está executando o Windows 98. Se ela estiver conectada à Internet, é como colocar um tapete de boas-vindas para os invasores.
Você usa filtragem de e-mail e web? A filtragem de e-mail pode ser uma boa maneira de interromper tipos de documentos comuns usados em ataques. Se você exigir que os arquivos sejam enviados de maneira padrão, como em um arquivo ZIP protegido por senha, isso pode ajudar seus usuários a saber quando os arquivos estão sendo enviados intencionalmente. A filtragem da Web pode ajudar a impedir que os usuários acessem sites ou domínios ruins conhecidos.
Você desativou a reprodução automática para dispositivos USB? Dar aos arquivos a chance de serem executados sem aprovação raramente é uma boa ideia do ponto de vista da segurança. É melhor dar ao usuário a chance de parar e pensar sobre o que está vendo antes do lançamento.
Você usa software de proteção de endpoint com funcionalidade atualizada? Embora o software de proteção de endpoint não se destine a lidar com novos ataques direcionados, às vezes eles podem detectar ameaças com base em comportamentos suspeitos conhecidos ou explorações de software conhecidas.
Comando e controle
Uma vez que uma ameaça esteja em sua rede, sua próxima tarefa será telefonar para casa e aguardar instruções. Isso pode ser para baixar componentes adicionais, mas é mais provável que entre em contato com um botmaster em um canal de comando e controle (C&C). De qualquer forma, isso requer tráfego de rede, o que significa que há apenas uma pergunta a se fazer aqui: você tem um sistema de detecção de intrusão configurado para alertar sobre todos os novos programas que entrarem em contato com a rede?
Se a ameaça chegou até aqui, ela fez alterações na máquina e exigirá muito mais trabalho da equipe de TI. Algumas empresas ou indústrias exigem que a perícia seja feita nas máquinas afetadas para determinar quais dados foram roubados ou adulterados. Essas máquinas afetadas precisarão ser limpas ou recriadas. Pode ser menos dispendioso e demorado se os dados tiverem um backup e houver uma imagem corporativa padrão que possa ser substituída rapidamente na máquina.
Ações
A última etapa natural da cadeia de eliminação parece ser o ataque em si, como interromper serviços ou instalar malware, mas lembre-se, a etapa de ações trata da realização do objetivo pretendido – e uma vez que tenham interrompido, corrompido ou exfiltrado com sucesso, os invasores podem voltar e fazer tudo de novo.
Muitas vezes, o objetivo pretendido de um ataque é a monetização e isso pode assumir várias formas, diz Ajit Sancheti, CEO da Preempt Security. Por exemplo, os invasores podem usar a infraestrutura comprometida para cometer fraude de anúncios ou enviar spam, extorquir a empresa por resgate, vender os dados adquiridos no mercado negro ou até mesmo alugar infraestrutura sequestrada para outros criminosos. “A monetização dos ataques aumentou dramaticamente”, diz ele.
O uso da criptomoeda torna mais fácil e seguro para os invasores receberem dinheiro, acrescenta, o que contribui para a mudança na motivação por trás dos ataques. O número de diferentes grupos envolvidos no consumo de dados roubados também se tornou mais complicado. Isso poderia, potencialmente, criar oportunidades para as empresas trabalharem com as autoridades policiais e outros grupos para interromper o processo.
Veja, por exemplo, informações de cartões de pagamento roubados. “Uma vez que os dados do cartão de crédito são roubados, os números precisam ser testados, vendidos, usados para adquirir bens ou serviços, esses bens ou serviços, por sua vez, precisam ser vendidos para convertê-los em dinheiro”, diz Monzy Merza, chefe de pesquisa de segurança da Splunk, Inc. Tudo isso está fora da cadeia de morte tradicional de um ataque cibernético, diz ele. Outra área em que o ecossistema do mercado negro afeta o ciclo de vida do ataque cibernético é antes do ataque começar. Os invasores compartilham listas de credenciais comprometidas, de portas vulneráveis, de aplicativos sem patches.
Problemas com a cadeia de morte cibernética
Como a história recente demonstrou amplamente, os invasores não estão seguindo a cartilha. Eles pulam etapas. Eles adicionam etapas. Eles retrocedem. Alguns dos ataques recentes mais devastadores ignoram as defesas que as equipes de segurança construíram cuidadosamente ao longo dos anos porque estão seguindo um plano de jogo diferente. De acordo com um relatório de 2018 da Alert Logic, 88% dos ataques combinam as cinco primeiras etapas da cadeia de eliminação em uma única ação.
Nos últimos anos, também vimos o aumento do malware de mineração de criptomoedas . “E as técnicas que eles usaram ignoraram as etapas tradicionais”, diz Matt Downing, principal pesquisador de ameaças da Alert Logic, Inc. “Todas as técnicas iniciais de mitigação e detecção não funcionariam.” Além disso, os invasores não precisam exfiltrar dados valiosos e tentar vendê-los no mercado negro, acrescenta. “Eles podem monetizar diretamente um ativo comprometido.”
Os ataques com credenciais comprometidas, em que os invasores fazem login usando dados aparentemente legítimos e usam essas contas para roubar dados, também não se encaixam na estrutura de ataque tradicional. “Esse é um caso em que obviamente a cadeia de morte da Lockheed Martin não se aplica”, diz Downing.
Outro tipo de ataque que não se encaixa no modelo tradicional: ataques a aplicações web. “Quando você tem um aplicativo exposto à Internet, qualquer pessoa pode vir e visitá-lo”, diz Satya Gupta, fundador e CTO da Virsec Systems, Inc. “É como ter uma porta aberta em sua casa.”
A violação da Equifax, por exemplo, foi rastreada até uma vulnerabilidade no software do servidor web Apache Struts. Se a empresa tivesse instalado o patch de segurança para esta vulnerabilidade poderia ter evitado o problema, mas às vezes a própria atualização do software fica comprometida, como foi o caso da atualização do software CCleaner da Avast em 2017.
Outras tecnologias transformadoras – internet das coisas, DevOps e automação de processos robóticos – também estão aumentando a superfície de ataque de maneiras que não se encaixam no modelo tradicional de cadeia de morte cibernética, diz Lavi Lazarovitz, líder da equipe de pesquisa cibernética do CyberArk Labs.
O ciclo de vida do ataque cibernético tradicional também perde ataques que nunca atingem os sistemas corporativos. Por exemplo, as empresas estão cada vez mais usando provedores de software como serviço (SaaS) de terceiros para gerenciar seus dados valiosos.
“O problema cresceu exponencialmente em tamanho devido à quantidade de logins que as pessoas têm, a quantidade de serviços SaaS existentes, a quantidade de conexões de terceiros existentes”, diz Ross Rustici, diretor sênior da Cybereason, Inc. hack de fim de negócios sem que sua rede principal, aquela sobre a qual você tem controle, nunca seja tocada.”
Cadeia de morte cibernética vs. Mitre ATT&CK
A natureza evolutiva das ameaças cibernéticas faz com que algumas organizações procurem uma maneira mais flexível e abrangente de pensar sobre os ataques cibernéticos.
Um concorrente líder é a estrutura Mitre ATT&CK. “Há um grande movimento para mostrar técnicas de ataque reais vinculadas a cada etapa da cadeia de morte, e é isso que a ATT&CK da Mitre fez”, diz Ben Johnson, CTO da Obsidian Security, Inc. “Recebeu uma recepção e adesão incríveis de fornecedores e da comunidade.”
Rod Soto, diretor de pesquisa de segurança da Jask adverte contra a dependência excessiva de estruturas. “A deriva adversária é dinâmica por natureza. As ferramentas, técnicas e procedimentos dos invasores continuarão a mudar à medida que novas medidas de defesa os tornam obsoletos. Estruturas como a cadeia de morte cibernética podem fazer parte do nosso kit de ferramentas, mas depende de nós, profissionais de segurança continuar a pensar de forma criativa para acompanhar os invasores e suas inovações.”
Fonte: CSO
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
