7 etapów modelu kill chain. Jak zatrzymać cyberatak?
2021-10-25 00:10
Jak zatrzymać cyberatak? © fot. mat. prasowe
Na rynku pracy w wielu obszarach wąskie specjalizacje odchodzą do przeszłości, a pracodawcy poszukują kandydatów o szerokim wachlarzu umiejętności. Dzieje się tak m.in. w branży cyberbezpieczeństwa. Posiadanie rozległej wiedzy z zakresu ochrony środowisk IT, chmury i sieci zwiększy szanse na znalezienie się w gronie najlepszych kandydatów do pracy i pomoże w walce z wszelkimi rodzajami obecnych i przyszłych cyberzagrożeń.
Przeczytaj także: Dyrektywa NIS2 obejmie 17 branż. Kary także dla pracowników
Podejście do sieci bazujące na jej bezpieczeństwie wymaga od specjalistów łączenia umiejętności z różnych dziedzin. Zanim nastąpił gwałtowny rozwój cyfrowej transformacji, sieci OT oraz IT działały niezależnie od siebie. Te pierwsze nie były podłączone do internetu i – co za tym idzie – były uważane za stosunkowo bezpieczne wobec zewnętrznych zagrożeń. Jednak w miarę rozwoju cyfrowych innowacji zaczęły łączyć się z sieciami IT, ponieważ korzystające z nich firmy chciały dzięki temu obniżać koszty, zwiększać wydajność pracy i poziom konkurencyjności na rynku.Cyfrowy łańcuch śmierci
Obecnie wszystkie sieci narażone są na szeroki wachlarz zagrożeń. Oznacza to, że w firmach potrzebni są pracownicy o wielu różnych specjalizacjach. Przyjrzenie się siedmiu etapom modelu kill chain, ilustrującego przebieg cyberataku, pomoże lepiej zrozumieć te procesy. Można wykorzystać je jako instrukcję, która podpowie, jakie umiejętności wśród pracowników firmy są potrzebne, aby udaremnić atak na każdym etapie.
- Rozpoznanie obejmuje takie czynności, jak zbieranie adresów e-mail potencjalnych ofiar i gromadzenie informacji na ich temat. Do udaremnienia tego kroku potrzebna jest po prostu znajomość podstawowych zasad cyberhigieny, np. umiejętność rozpoznawania wiadomości phishingowych. Może się tego nauczyć osoba w każdym wieku i na każdym etapie kariery.
- Uzbrojenie – na tym etapie przestępca wykorzystuje zdobyte wcześniej informacje do osadzenia złośliwego oprogramowania w dokumencie lub umieszczenia go w internetowej witrynie, do której uzyskał nieuprawniony dostęp. Jest to etap, w którym przestępca kreuje proces ataku i niewiele środków ochronnych, nawet znajomość zasad bezpieczeństwa, może mieć wpływ na jego przebieg.
- Dostarczenie – polega na rozpowszechnieniu złośliwego narzędzia, np. w postaci załączników poczty elektronicznej lub adresów stron internetowych, do docelowego środowiska ofiary. Szkolenie pracowników może im pomóc w zdobyciu umiejętności potrzebnych do rozpoznania phishingowych maili.
- Wykorzystanie luki w aplikacji lub systemie operacyjnym. Jest to jeden z kluczowych etapów ataku, od którego zależy jego powodzenie. W tym momencie uwidacznia się rola odpowiednio wyszkolonego zespołu informatyków, których zadaniem jest aktualizowanie systemów i dbanie o to, aby w firmie było zainstalowane oprogramowanie antywirusowe. Ich zadaniem jest także zabezpieczenie wszystkich danych o znaczeniu krytycznym.
- Instalacja to moment, w którym atakujący instaluje złośliwe oprogramowanie na urządzeniu ofiary. Ten etap wykracza poza ramy „ludzkiego firewalla”, więc wymaga przeszkolonego personelu, który będzie czuwał nad bezpieczeństwem systemu i poszukiwał nietypowych zdarzeń w jego obrębie.
- Dowodzenie i kontrola – atakujący przejmuje kontrolę nad urządzeniem. Złośliwe oprogramowanie często nie jest zautomatyzowane, więc ten etap odbywa się ręcznie i ma miejsce, gdy system jest zagrożony lub już zainfekowany. Dlatego tak popularną taktyką jest „polowanie”, a więc poszukiwanie nietypowych działań, w ramach których dane wysyłane są poza firmę.
- Działania w celu eksfiltracji danych obejmują zbieranie i wydobywanie informacji ze środowiska ofiary, a następnie ich szyfrowanie. Kiedy atakujący ma już dostęp do sieci firmy i kontrolę nad nią, może zrealizować swoje cele.
Znajomość poszczególnych etapów łańcucha kill chain i efektów ich działania jest pierwszym krokiem w walce z cyberprzestępczością. Cyfrowe bezpieczeństwo polega bowiem na umiejętności adaptacji własnych działań i ich elastyczności, ponieważ sytuacja dotycząca zagrożeń wciąż ewoluuje, więc przede wszystkim szkolenia poszerzające wiedzę i budujące świadomość użytkowników mogą przynieść ogromne korzyści.
Należy zadbać o cyberświadomość
Istnieje wiele bezpłatnych kursów, od których można zacząć programy treningowe. Przydatne mogą też być szkolenia i testy penetracyjne, zwane również etycznym hakowaniem (ethical hacking). Warto skoncentrować się na tych technikach, aby zrozumieć sposób myślenia i taktykę cyberprzestępców. Istotne są również takie kwestie, jak umiejętność prowadzenia śledztwa po wystąpieniu incydentu, a także wykrywania i analizy zagrożeń, znajomość technik kodowania i rejestrowania danych oraz posiadanie wiedzy inżynierskiej dotyczącej infrastruktury sieciowej.
Nie należy jednak skupiać się tylko na jednym obszarze wiedzy. Niezbędne umiejętności techniczne, które należy rozwijać, obejmują: „polowanie” na zagrożenia, inżynierię odwrotną złośliwego oprogramowania, testy penetracyjne, wykrywanie eksploitów czy zarządzanie dużymi zbiorami danych. Potrzebne są także umiejętności korzystania ze środowisk wirtualizacyjnych i kontenerowych, znajomość systemu Linux, języków skryptowych, JavaScriptu (wiedza na ten temat jest niezbędna) oraz solidne zrozumienie działania środowiska sieciowego.
Realizuj swoją pasję
Warto pamiętać, że na rynku stale rośnie zapotrzebowanie na wykwalifikowanych specjalistów, którzy mogą pomóc w walce z nowatorskimi technikami stosowanymi przez cyberprzestępców. I choć niektóre ścieżki kariery związane z bezpieczeństwem IT są kształtowane w tradycyjny sposób, np. poprzez programy uniwersyteckie i staże, istnieją inne sposoby, jak programy certyfikacji i szkolenia ułatwiające samodzielne wejście w tę dziedzinę.
Aamir Lakhani, FortiGuard Labs firmy
oprac. : eGospodarka.pl
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)