Ланцюг ураження ц?л?

Матер?ал з В?к?пед?? ? в?льно? енциклопед??.
Перейти до нав?гац?? Перейти до пошуку

Терм?н ≪ ланцю?г ура?ження ц??л?≫ ( англ. kill chain ) ? поняттям, що окреслю? структуру атаки . Цей ланцюг склада?ться з:

  • визначення ц?л?; 
  • спрямування сил до ц?л?;
  • зд?йснення нападу на ц?ль; 
  • ураження ц?л? [1]

? навпаки, ?дея ≪розриву≫ ланцюга ураження ц?л? супротивника ? методом захисту або превентивних д?й. [2]

Розр?зняють "ланцюг ударного ураження" ( англ. kinetic kill chain ) як в?йськовий терм?н та ≪ланцюг гакерського ураження≫ ( англ. cyber kill chain , virtual kill chain ) як терм?н, що стосу?ться хакерських атак . [3]

В?йськовий терм?н [ ред. | ред. код ]

F2T2EA [ ред. | ред. код ]

Одн??ю з моделей в?йськового ланцюга ураження ц?л? ? " F2T2EA ", яка склада?ться з наступних етап?в:

  • Знайти ( Find ): визначте ц?ль. Знайд?ть ц?ль за даними спостереження або за допомогою засоб?в розв?дки.
  • Уточнити ( Fix ): уточн?ть м?сцеперебування ц?л?. Отримайте конкретн? координати ц?л? чи то з наявних даних, чи то з?бравши додатков? дан?.
  • В?дстежити ( Track ): стежте за рухом ц?л?. Сл?дкуйте за ц?ллю, чи доки не буде прийнято р?шення не вражати ц?ль, чи доки ц?ль не буде усп?шно вражена.
  • Нац?литись ( Target ): обер?ть в?дпов?дну зброю або зас?б для використання щодо ц?л? для справлення потр?бного впливу. Застосовуйте можливост? управл?ння в?йськами , щоб визначити ц?нн?сть ц?л? та наявн?сть в?дпов?дно? збро? для ураження.
  • Вразити ( Engage ): застосуйте зброю до ц?л?.
  • Оц?нити ( Assess ): оц?н?ть насл?дки атаки, використовуючи будь-як? розв?дувальн? дан?, з?бран? на м?сц?.

Це ц?л?сний наскр?зний процес, який називають ≪ланцюгом≫, оск?льки його переривання на будь-якому етап? може перервати весь його х?д. [4] [5]

Попередня терм?нолог?я [ ред. | ред. код ]

≪Чотири F≫ ? в?йськовий терм?н, який використовувався в арм?? Сполучених Штат?в, особливо п?д час Друго? св?тово? в?йни. 

Розроблен? таким чином, щоб ?х було легко запам’ятати, ≪Чотири F≫ так?:

  • Знайти ( Find ) ворога ? знайд?ть ворога.
  • Знерухомити ( Fix ) ворога ? притисн?ть його пригн?чувальним вогнем.
  • Напасти ( Fight ) на ворога ? вступ?ть з ворогом у б?й або об?йд?ть ворога з флангу ? в?дправте солдат?в на фланги чи в тил ворога.
  • Знищити ( Finish ) ворога ? знешкодьте ус?х ворожих б?йц?в. 

Пропонована терм?нолог?я [ ред. | ред. код ]

"П'ять F" - це в?йськовий терм?н, описаний майором Майком ≪Пако≫ Бен?тесом, оф?цером з системи озбро?ння л?так?в F-15E "Ударний орел", який служив у ВПС Сполучених Штат?в ? Корпус? морсько? п?хоти США.

Розроблен? задля оновлення ланцюга ураження ц?л? для оновлених автономних ? нап?вавтономних систем збро?, ≪П’ять F≫ описан? в книз? ≪Настав час: нагальна потреба в розвитку ланцюга ураження ц?л?≫ [6] наступним чином:

  • Знайти ( Find ): охоплю? зусилля Сп?льно? розв?дувально? п?дготовки операц?йного середовища, шляхом з?ставлення з?браних даних з нам?ром командира та ц?льовими сферами ?нтерес?в. Це неминуче призводить до виявлення можливих ц?лей, як? надал? можуть бути класиф?кован? як нова ц?ль, якщо вони в?дпов?дають нам?ру командира.
  • Уточнити ( Fix ): доктринально опису?ться як ≪визначити нову ц?ль як г?дну для ураження, та визначити ?? положення та ?нш? дан? з точн?стю, достатньою, щоб уможливити ураження≫.
  • В?дкрити вогонь ( Fire ): передбача? залучення сил або ресурс?в (тобто вив?льнення бо?припас?в, ракетно-бомбового вантажу чи витратних матер?ал?в)
  • Завершити ( Finish ): передбача? роботу з органами, що схвалюють удари (тобто, ураження ц?л?/постр?л спрямованою енерг??ю/руйн?вну електронну атаку). Це схоже на те, як наземний п?дрозд?л викону? маневри для контакту, але пот?м дотриму?ться встановлених правил ведення бою п?сля того, як досягне точки з?ткнення.
  • Зворотний зв’язок ( Feedback ): замика? оперативний цикл OODA за допомогою етапу оц?нки, який у деяких випадках назива?ться ≪Оц?нка пошкоджень в?д бомби≫.

План знищення ядерно? збро? П?вн?чно? Коре? [ ред. | ред. код ]

Новий американський в?йськовий план на випадок надзвичайних ситуац?й п?д назвою ≪Ланцюг ураження ц?л?≫ ма? бути першим кроком у нов?й стратег?? використання супутникових зображень задля визначення п?вн?чнокорейських м?сць запуску, ядерних установок ? виробничих потужностей ? ?х запоб?жного знищення, якщо конфл?кт здасться неминучим. Про цей план йдеться у сп?льн?й заяв? США та П?вденно? Коре?. [7] [8]

Терм?н щодо гакерсько? атаки [ ред. | ред. код ]

Ланцюг ураження ц?л? вторгнення в контекст? ?нформац?йно? безпеки [9]

Етапи атаки та контрзаходи [ ред. | ред. код ]

Давно ≪ компан?я Локг?д-Март?н≫ пристосувала цю концепц?ю до ?нформац?йно? безпеки , використавши ?? як метод для моделювання вторгнень у комп’ютерну мережу [10] . Модель гакерського ланцюга ураження ц?лей знайшла певне поширення в сп?льнот? ?нформац?йно? безпеки [11] . Однак визнання не ? загальним, ? критики вказують на те, що вони вважають ?рунтовними недол?ками модел? [12] .

Комп'ютерн? вчен? з корпорац?? ≪Локг?д-Март?н≫ у 2011 роц? описали нову структуру або модель ≪ланцюга ураження ц?л? вторгнення≫ для захисту комп'ютерних мереж [4] . Вони написали, що атаки можуть в?дбуватися поетапно ? можуть бути перерван? за допомогою запоб?жник?в, встановлених для кожного з етап?в. В?дтод? терм?н ≪гакерський ланцюг ураження ц?л?≫ був прийнятий орган?зац?ями з безпеки даних для визначення етап?в хакерських атак [13] .

Гакерський ланцюг ураження ц?л? розкрива? етапи гакерсько? атаки: в?д ранньо? розв?дки до мети викрадення даних [14] . Ланцюг ураження ц?л? також можна використовувати як ?нструмент менеджменту, який допомага? пост?йно покращувати захист мереж?. За словами вчених Локг?д-Март?н, зг?дно з ц??ю моделлю загрози проходять к?лька етап?в, зокрема:

  1. Розв?дка: зловмисник обира? ц?ль, досл?джу? ?? та намага?ться виявити вразлив? м?сця в ц?льов?й мереж?.
  2. Створення збро?: зловмисник створю? зброю зловмисного програмного забезпечення в?ддаленого доступу, наприклад в?рус або хробак, пристосован? до одн??? чи к?лькох вразливостей.
  3. Доставлення: зловмисник переда? зброю до ц?л? (наприклад, через вкладення електронно? пошти, вебсайти або USB-накопичувач?)
  4. Використання: спрацьову? програмний код збро? зловмисного програмного забезпечення, який викону? д?? в ц?льов?й мереж? для використання вразливост?.
  5. Встановлення: зброя зловмисного програмного забезпечення встановлю? точку доступу (наприклад, ≪ бекдор ≫), яку може використовувати зловмисник.
  6. Керування та контроль: шк?дливе програмне забезпечення дозволя? зловмиснику мати пост?йний доступ до ц?льово? мереж?.
  7. Ц?льов? д??: зловмисник вжива? заход?в для досягнення сво?х ц?лей, наприклад викрадення даних , знищення даних або шифрування з метою отримання викупу .

Проти цих етап?в атаки можуть бути вжит? захисн? д??: [15]

  1. Виявити: визначити наявн?сть зловмисника.
  2. Заборонити: запоб?гти розголошенню ?нформац?? та несанкц?онованому доступу.
  3. Порушити: зупинити або зм?нити вих?дний траф?к (для зловмисника).
  4. З?псувати: зд?йснити контратаку на тих, хто керу? вторгненням.
  5. Обдурити: втрутитися в керування вторгненням.
  6. Стримати: розд?лити мережу на частини

Розсл?дування Сенату США щодо витоку даних корпорац?? Target у 2013 роц? м?стило анал?з, заснований на структур? ланцюга ураження ц?л? Локг?д-Март?н. Воно визначило к?лька етап?в, на яких засоби контролю не запоб?гали або не виявляли ходу вторгнення. [9]

Альтернативи [ ред. | ред. код ]

К?лька орган?зац?й побудували власн? модел? ланцюга ураження ц?л? для моделювання р?зноман?тних загроз. FireEye пропону? л?н?йну модель, под?бну до модел? Локг?д-Март?н. У ланцюгу ураження ц?л? FireEye наголошу?ться на наполегливост? загроз. Ця модель п?дкреслю?, що загроза не зак?нчу?ться п?сля одного циклу. [16]

  1. Розв?дка
  2. Початкове вторгнення в мережу
  3. Встановлення бекдор в мережу.
  4. Отримання обл?кових даних користувача.
  5. Встановлення р?зноман?тних утил?т.
  6. Ескалац?я прив?ле?в/б?чне перем?щення/викрадення даних
  7. Довгострокова наполеглив?сть.

Критика [ ред. | ред. код ]

Модель ланцюга гакерського ураження ц?л? Локг?д-Март?н критикують як ?нструмент оц?нки та запоб?гання загрозам через те, що перш? етапи в?дбуваються поза межами захищено? мереж?, що ускладню? визначення чи захист в?д д?й на цих етапах [17] . Також кажуть, що ця методолог?я п?дкреслю? традиц?йн? захисн? стратег??, заснован? на периметр? безпеки та запоб?ганн? зловмисному програмному забезпеченню [18] . Деяк? критики зауважили, що традиц?йний ланцюг хакерського ураження ц?л? не п?дходить для моделювання внутр?шньо? загрози. [19] Це особливо непри?мно, враховуючи ймов?рн?сть усп?шних атак, як? порушують периметр безпеки внутр?шньо? мереж?, тому орган?зац?ям ≪потр?бно розробити стратег?ю боротьби з? зловмисниками всередин? брандмауера. ?м потр?бно думати про кожного зловмисника як про потенц?йного ?нсайдера≫ [20] .

Об'?днаний ланцюг ураження ц?л? [ ред. | ред. код ]

Об'?днаний ланцюг ураження ц?л? склада?ться з 18 етап?в атаки, як? можуть в?дбуватися п?д час просунутих к?бератак.

Об'?днаний ланцюг ураження ц?л? був розроблений у 2017 роц? Полом Полсом у сп?впрац? з Fox-IT ? Лейденським ун?верситетом у в?дпов?дь на загальну критику традиц?йного ланцюга гакерського ураження ц?л?, шляхом об’?днання та розширення ланцюга ураження ц?л? Локг?д-Март?н ? модел? ATT&CK в?д MITRE . Об'?днана верс?я ланцюга ураження ц?л? ? це 18 впорядкованих етап?в, як? можуть в?дбуватися п?д час наскр?зно? хакерсько? атаки , та охоплюють д??, як? в?дбуваються поза та всередин? захищено? мереж?. Таким чином, об'?днаний ланцюг ураження ц?л? виправля? обмеження охоплення традиц?йного ланцюга ураження ц?л? й обмеження незалежного в?д часу характеру тактики в модел? ATT&CK в?д MITRE. Об'?днану модель можна використовувати для анал?зу, пор?вняння та захисту в?д наскр?зних к?бератак, зд?йснюваних шляхом розвинених сталих загроз (APT). [21] У 2021 роц? було опубл?ковано подальший техн?чний документ щодо об'?днаного ланцюга ураження ц?л? [22] .

Список л?тератури [ ред. | ред. код ]

  1. Kill Chain Approach . Chief of Naval Operations. 23 кв?тня 2013. Арх?в ориг?налу за 13 червня 2013.
  2. Jonathan Greenert; Mark Welsh (17 травня 2013). Breaking the Kill Chain . Foreign Policy . Процитовано 30 червня 2016 .
  3. [hhttps://www.strifeblog.org/2020/09/09/future-warfighting-in-the-2030s-an-interview-with-franz-stefan-gady/ Future Warfighting in the 2030s: An Interview with Franz-Stefan Gady]. The Strife Blog & Journal. 9 вересня 2020.
  4. а б Lockheed-Martin Corporation-Hutchins, Cloppert, and Amin-Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains-2011
  5. John A. Tirpak (1 липня 2000). Find, Fix, Track, Target, Engage, Assess . Air Force Magazine .
  6. Benitez, Mike (17 травня 2017). It's About Time: The Pressing Need to Evolve the Kill Chain . War on the Rocks . Процитовано 28 кв?тня 2020 .
  7. Sanger, David E. (6 липня 2017). Tiny Satellites From Silicon Valley May Help Track North Korea Missiles . The New York Times . Процитовано 7 липня 2017 .
  8. 06/30/17 - Joint Statement between the United States and the Republic of Korea | U.S. Embassy & Consulate in Korea . U.S. Embassy & Consulate in Korea (амер.) . 30 червня 2017 . Процитовано 7 липня 2017 .
  9. а б U.S. Senate-Committee on Commerce, Science, and Transportation-A "Kill Chain" Analysis of the 2013 Target Data Breach-March 26, 2014 (PDF) . Арх?в ориг?налу (PDF) за 6 жовтня 2016.
  10. Higgins, Kelly Jackson (12 с?чня 2013). How Lockheed Martin's 'Kill Chain' Stopped SecurID Attack . DARKReading . Процитовано 30 червня 2016 .
  11. Mason, Sean (2 грудня 2014). Leveraging The Kill Chain For Awesome . DARKReading . Процитовано 30 червня 2016 .
  12. Myers, Lysa (4 жовтня 2013). The practicality of the Cyber Kill Chain approach to security . CSO Online . Арх?в ориг?налу за 19 березня 2022 . Процитовано 30 червня 2016 .
  13. Greene, Tim (5 серпня 2016). Why the 'cyber kill chain' needs an upgrade . Процитовано 19 серпня 2016 .
  14. The Cyber Kill Chain or: how I learned to stop worrying and love data breaches (амер.) . 20 червня 2016 . Процитовано 19 серпня 2016 .
  15. John Franco. Cyber Defense Overview: Attack Patterns (PDF) . Арх?в (PDF) ориг?налу за 10 вересня 2018 . Процитовано 15 травня 2017 .
  16. Kim, Hyeob; Kwon, HyukJun; Kim, Kyung Kyu (February 2019). Modified cyber kill chain model for multimedia service environments . Multimedia Tools and Applications (англ.) . 78 (3): 3153?3170. doi : 10.1007/s11042-018-5897-5 . ISSN   1380-7501 .
  17. Laliberte, Marc (21 вересня 2016). A Twist On The Cyber Kill Chain: Defending Against A JavaScript Malware Attack . DARKReading .
  18. Engel, Giora (18 листопада 2014). Deconstructing The Cyber Kill Chain . DARKReading . Процитовано 30 червня 2016 .
  19. Reidy, Patrick. Combating the Insider Threat at the FBI (PDF) . BlackHat USA 2013 .
  20. Devost, Matt (19 лютого 2015). Every Cyber Attacker is an Insider . OODA Loop .
  21. Pols, Paul (7 грудня 2017). The Unified Kill Chain (PDF) . Cyber Security Academy.
  22. Pols, Paul (17 травня 2021). The Unified Kill Chain . UnifiedKillChain.com.
Отримано з https://uk.wikipedia.org/w/index.php?title=Ланцюг_ураження_ц?л?&oldid=42406151