Цепочка Kill Chain: от моделирования до проектирования защищенного периметра

Цепочка Kill Chain: от моделирования до проектирования защищенного периметра
Тема Kill Chain периодически всплывает то в беседах, то в статьях известных экспертов, то в материалах конференций посвященных тем или иным вопросам ИБ. Не смотря на то, что кажется все уже давно сказано по этой теме, концепция "убийственной цепочки" остается весьма интересной и по сей день. В одной из предыдущих статей мы писали как концепция цепочки применяется для выбора средств защиты. Сегодня мы поговорим о том, о том, почему чисто теоретическая концепции остается такой живой и по сей день. А секрета здесь нет - в купе с некоторыми остальными инструментами она позволяет выполнять моделирование угроз и проектирование собственный системы защиты информационного периметра.

Еще раз несколько вводных слов о Kill Chain

Kill Chain, слово, которое в последнее время  часто упоминается в различных статьях и материалах  конференций посвященных  вопросам информационной безопасности. Однако, не сказать, что это приносит что-то новое в безопасность, поскольку концепт kill chain уже давно не открытие,  и  скорее является больше теорией. Давайте, разберемся почему это так по порядку.

Термин kill chain или убийственная цепочка получил широкое распространение после публикации доклада "Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains" компанией Lockheed Martin, специализирующаяся в области авиастроения и авиакосмической техники, в котором среди прочего описывается последовательность шагов злоумышленника, осуществляющего незаконное проникновение (взлом) в информационную систему.

Но какое отношение Lockheed Martin имеет к информационной безопасности? А все довольно просто, друзья. Это компания имеет прямое отношение к ВПК Соединенных Штатов. И используя опыт МинОбороны и других силовых ведомств, компания еще в 2011 году сформулировала некий род-мап  состоящий из 7 последовательных стадий, выполняющихся одна за одной и приводящих к взлому целевой системы.



Вот это 7 этапов убийственной цепочки:
  1. Разведка. Исследование, идентификация и выбор целевой системы для взлома.
  2. Вооружение. Оснащение тулзами и malware для совершения нападения
  3. Доставка. Донесение вредоносного контента до целевой системы
  4. Заражение. Запуск вредоносного кода или эксплуатация уязвимости системы
  5. Инсталляция. Открытие удаленного доступа и другие действия с зараженной системой
  6. Получение управления. Управление зараженной системой.
  7. Выполнение действий. Сбор, кража, отправка данных, шифрование файлов, подмена  и удаление данных
А вот небольшой пример иллюстрирующий ее применение (проведение атаки step-by-step)
Не смотря на всю красивость картинок сама цепочка больше вещь теоретическая. Цепочка важна как некая модель при моделировании угроз в-первую очередь и во-вторых как элемент проектирования систем защиты на конкретном предприятии. Так, например, к ней прибегают при внедрении SOC или при расследовании инцидентов

Матрица ATT&CK для Kill chain

Как уже было упомянуто выше Kill Chain хорошо подходит для моделирования угроз. Для этих целей все этапы цепочки нужно наполнять какими то действиями. Т.е. речь идет о систематизации имеющейся информации о всех методах атак, используемых злоумышленниками. И в этом нам очень хорошо поможет матрица ATT&CK (Adversarial Tactics, Techniques & Common Knowledge), разработанная та же американской корпорацией MITRE .

И так, смотрим на матрицу .


В последней версии докeмента,изданного летом 2016-го года, три последних стадии атаки атаки делятся на  отдельные 10 тактик, используемых хакерами:
  • живучесть
  • повышение привилегий
  • обход защитных мер
  • доступ к учетным записям
  • обнаружение
  • расширение в горизонт
  • исполнение
  • сбор
  • утечка
  • управление и контроль.
Если заглядывать в подробности, то описанные 10 тактик расписываются на 121 технический метод нападения, перечислено в матрице.  Более подробно всю таблицу и описание к ней можно посмотреть на сайте .


А вот что-то типо упрощенной картинки выше представленной таблицы с изображением буллет поинтов на русском языке



Anti-Kill Chain или как обезопасить себя на всех этапах взлома

Использовать Kill Chain можно не только для моделирования угроз, но и для проектирования собственной системы безопасности. Так, например, можно всматриваясь в таблицу определить для себя какие СЗИ или административные меры на каждом этапе цепочки мы можем использовать что бы  обезопасить свой информационный периметр от взлома.

В одной из прошлых статей мы уже рассматривали, что можно сделать ДО и ПОСЛЕ взлома.  Однако, сейчас нам интересна несколько другая сторона. Да, действительно, понимаю всю цепочку последовательных  действия приводящих к взлому и зная свои слабые места можно превентивными мерами закрыть имеющиеся угрозы и снизить риски взлома. Но если все таки это случится, нужно успеть понять, что нас взломали и предпринять соответствующие меры. И что же для этого нужно?- напрашивается сам собой вопрос. Нужные некоторые критерии, индикаторы по которым мы опознаем, что система взломана. Да, классически  это логи и "странное поведение", более продвинутые вещи это IDSIPS, SIEM-системы и активный мониторинг. Но и они строят свою работу на неких кирпичиках - единичных признаках изменения в системе и сигнализирующих о стороннем вмешательстве.

В терминах индикатор компрометации ( IOC ) – это активность и/или вредоносный объект, обнаруженный в сети или на конечной точке. Мы можем идентифицировать эти индикаторы и, таким образом, сможем улучшить наши возможности по обнаружению будущих атак. Простые сценарии использования подразумевают пoиск специфичных файлов в системе по различным признакам: MD5-хешу, имени файла, дате создания, размeру и прочим атрибутам. Кроме того, можно искать различные специфичные признаки в памяти или специфичные запиcи в реестре операционной системы Windows.
Как пишет об этом Алексей Лукацкий, таких индикаторов, используемых для обнаружения вредоносной активности, известно немало, самых распространенных из которых 10 (см. картинку ниже)



И в заключение хотелось бы привести некогда уже показанную таблицу СЗИ для защиты, которые можно варьировать в зависимости от ваших индивидуальных потребностей.



Дополнительные материалы:
Материал от Института SANS
ATT&CK CVE IoC kill chain Lockheed Martin MITRE SANS SOC моделирование убийственна цепочка угроза
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Иван Пискунов

Персональный блог Ивана Пискунова о безопасности, реверс инжениринге и ИТ-менеджменте. Аналитика, новости, обзоры, события