Kali Linux : Pen Test
Część I , Kali - wprowadzenie, omawia instalację Kali w różnych środowiskach graficznych i lekkie udoskonalanie go poprzez zainstalowanie kilku niestandardowych narzędzi.
Część II, Gromadzenie informacji wywiadowczych i planowanie strategii ataku, zawiera przepisy dotyczące gromadzenia subdomen i innych informacji o celu przy użyciu wielu narzędzi, takich jak Shodan i tak dalej.
Część III , Ocena podatności, omawia metody wyszukiwania podatności na dane wykryte podczas procesu gromadzenia informacji.
Część IV , Eksploatacja aplikacji internetowych - poza pierwszą dziesiątką OWASP, dotyczy wykorzystania niektórych unikalnych luk w zabezpieczeniach, takich jak serializacja i błędna konfiguracja serwera i tak dalej.
Część V, Eksploatacja sieci na temat aktualnej eksploatacji, skupia się na różnych narzędziach, które można wykorzystać do wykorzystania luk w zabezpieczeniach serwera obsługującego różne usługi, takie jak Redis, MongoDB i tak dalej, w sieci.
Część VI , Ataki bezprzewodowe - jak sobie poradzić z Aircrack-ng, w którym nauczysz się nowych narzędzi do włamywania się do sieci bezprzewodowych, a także korzystania z aircrack-ng.
Część VII, Ataki na hasła - ich gwiazd jest wina, mówi o identyfikowaniu i łamaniu różnych typów skrótów.
Część VIII , Posiadaj Shell i co teraz? omawia różne sposoby zwiększania uprawnień na komputerach z systemem Linux i Windows, a następnie uzyskiwania dostępu do tej sieci przy użyciu tego komputera jako bramy.
Część IX, Przepełnienia bufora, omawia wykorzystanie różnych luk w zabezpieczeniach związanych z przepełnieniem, takich jak SEH, przepełnienia stosu, polowanie na jaja i tak dalej.
Część X, Zabawy z radiami definiowanymi programowo, skupia się na odkrywaniu świata częstotliwości i używaniu różnych narzędzi do monitorowania/przeglądania danych przesyłanych w różnych pasmach częstotliwości.
Część XI, Kali w kieszeni - NetHunters i Raspberry, mówi o tym, jak możemy zainstalować Kali Linux na urządzeniach przenośnych, takich jak Raspberry Pi lub telefon komórkowy, i wykonać przy jego użyciu pentest.
Część XII, Pisanie raportów, omawia podstawy pisania dobrej jakości raportu z działania pentestowego po jego wykonaniu
XV Podstawowych Skrótów w Windows 10
1. Ctrl + A: Ctrl + A, podświetla lub zaznacza wszystko, co masz w środowisku, w którym pracujesz. Jeśli myślisz sobie: "Wow, zawartość tego dokumentu jest obszerna i nie ma czasu, aby ją wybrać, a poza tym wywrze presję na moim komputerze?" Używanie myszy do tego jest przestarzałą metodą obsługi zadania, takiego jak wybieranie wszystkich, Ctrl + A zajmie się tym w zaledwie kilka sekund.
2. Ctrl + C: Ctrl + C kopiuje dowolny podświetlony lub wybrany element w środowisku pracy. Oszczędza czas i stres, który zostałby użyty do kliknięcia prawym przyciskiem myszy i ponownego kliknięcia tylko w celu skopiowania. Użyj Ctrl + C.
3. Ctrl + N: Ctrl + N otwiera nowe okno lub plik. Zamiast klikać Plik, Nowy, pusty / szablon i kolejne kliknięcie, po prostu naciśnij Ctrl + N, a nowe okno lub plik pojawi się natychmiast.
4. Ctrl + O: Ctrl + O otwiera istniejący plik. Użyj Ctrl + O, gdy chcesz zlokalizować / otworzyć plik lub program.
5. Ctrl + P: Ctrl + P drukuje aktywny dokument. Zawsze używaj tego do zlokalizowania okna dialogowego drukarki i drukowania.
6. Ctrl + S: Ctrl + S zapisuje nowy dokument lub plik i zmiany wykonane przez użytkownika. Dotykasz teraz myszy? Proszę przestań! Nie używaj myszy. Po prostu naciśnij Ctrl + S, a wszystko zostanie zapisane.
7. Ctrl + V: Ctrl + V wkleja skopiowane elementy do aktywnego obszaru używanego programu. Użycie ctrl + V w takim przypadku Oszczędza czas i stres związany z kliknięciem prawym przyciskiem myszy i ponownym kliknięciem tylko po to, aby wkleić.
8. Ctrl + W: Ctrl + W służy do zamykania strony, na której pracujesz, gdy chcesz opuścić środowisko pracy. "Jest sposób, w jaki Peace robi to bez użycia myszy. O mój Boże, dlaczego się tego nie nauczyłem? " Nie martw się, mam odpowiedź: Peace naciska Ctrl + W, aby zamknąć aktywne okna.
9. Ctrl + X: Ctrl + X tnie elementy (sprawiając, że elementy znikają z ich pierwotnego miejsca). Różnica między wycinaniem a usuwaniem elementów polega na tym, że w wycinaniu wycinane elementy nie giną na stałe, ale przygotowuje się do wklejenia w innym miejscu wybranym przez użytkownika. Użyj Ctrl + X, gdy myślisz "To nie powinno być tutaj i nie mogę znieść stresu związanego z przepisywaniem lub przeprojektowywaniem tego we właściwym miejscu".
10. Ctrl + Y: Ctrl + Y ponawia cofniętą czynność. Ctrl + Z przywróciło to, czego nie potrzebujesz? Naciśnij Ctrl + Y, aby ponownie go usunąć.
11. Ctrl + Z: Ctrl + Z cofa akcje. Nie możesz znaleźć tego, co wpisałeś teraz lub wstawionego obrazu, nagle zniknął lub omyłkowo go usunąłeś? Naciśnij Ctrl + Z, aby go przywrócić.
12. Alt + F4: Alt + F4 zamyka aktywne okna lub elementy. Nie musisz poruszać myszą, aby zamknąć aktywne okno, po prostu naciśnij Alt + F4, jeśli skończysz lub nie chcesz, aby ktoś, kto przychodził, zobaczył, co robisz.
13. Ctrl + F6: Control plus F6 Nawigacja między otwartymi oknami, umożliwiając użytkownikowi zobaczenie, co dzieje się w aktywnych oknach. Pracujesz w programie Microsoft Word i chcesz się dowiedzieć, czy inne aktywne okno, w którym Twoja przeglądarka ładuje stronę, nadal się rozwija? Użyj Ctrl + F6.
14. F1: Wyświetla okno pomocy. Czy Twój komputer działa nieprawidłowo? Użyj F1, aby znaleźć pomoc, gdy nie wiesz, co dalej zrobić.
15. F12: Umożliwia użytkownikowi wprowadzanie zmian w już zapisanym dokumencie. F12 to skrót do użycia, gdy chcesz zmienić format, w którym zapisałeś istniejący dokument, wpisać hasło, zmienić jego nazwę, zmienić lokalizację pliku lub miejsce docelowe lub wprowadzić inną zmianę
01.Wprowadzenie do etycznego hakowania i Pythona
02.Konfigurowanie laboratorium etycznego hakowania z Pythonem
o3.Skanowanie sieci i enumeracja z Pythonem
04.Ocena podatności z Pythonem
05.Techniki eksploatacji z wykorzystaniem Pythona
06.Po eksploatacji z Pythonem
07.Praca z aplikacjami internetowymi: testy penetracyjne z Pythonem
08.Automatyzacja ataków socjotechnicznych z Pythonem
09.Bezpieczeństwo sieci bezprzewodowych i testy penetracyjne z Pythonem
10.Opracowywanie i używanie narzędzi do analizy złośliwego oprogramowania z Pythonem
Moduł II : Footprinting i rozpoznanie
Moduł III : Skanowanie sieci
Moduł IV : Wyliczenia
Moduł V : Analiza podatności
Moduł VI : Hackowanie systemu
Moduł VII : Zagrożenia złośliwym oprogramowaniem
Moduł VIII : Sniffowanie
Moduł IX : Inżynieria społeczna
Moduł X : Odmowa usługi (DoS)
Moduł XI : Przejęcie sesji
Moduł XII : Unikanie IDS, firewalli i Honeypotów
Moduł XIII : Hakowanie serwerów WWW
Moduł XIV : Hakowanie aplikacji internetowych
Moduł XV : Wstrzyknięcie SQL
Moduł XVI : Hakowanie sieci bezprzewodowych
Moduł XVII : Hakowanie platform mobilnych
Moduł XVIII : Hakowanie loT i OT
Moduł XIX : Chmura obliczeniowa
Moduł XX : Kryptografia
Cele kształcenia
Atakujący włamują się do systemów z różnych powodów i w różnych celach. Dlatego ważne jest, aby zrozumieć, w jaki sposób złośliwi hakerzy atakują i wykorzystują systemy oraz jakie są prawdopodobne przyczyny tych ataków. Jak stwierdza Sun Tzu w sztuce wojny: "Jeśli znasz siebie, ale nie znasz wroga, za każde odniesione zwycięstwo poniesiesz także porażkę". Administratorzy systemów i specjaliści ds. bezpieczeństwa muszą chronić swoją infrastrukturę przed exploitami, znając złośliwych hakerów, którzy chcą wykorzystać tę samą infrastrukturę do nielegalnych działań. Pod koniec tego modułu będziesz w stanie:
• Opisać elementy bezpieczeństwa informacji
• Wyjaśnićj ataki na bezpieczeństwo informacji i wojnę informacyjną
• Opisać różne metodologie i ramy hakerskie
• Opisać koncepcje hakerskie i klasy hakerów
• Wyjaśnić etyczne koncepcje i zakres hakowania
• Zrozumieć mechanizmy kontroli bezpieczeństwa informacji (zapewnianie informacji, dogłębna obrona, zarządzanie ryzykiem, analiza zagrożeń cybernetycznych, modelowanie zagrożeń, proces zarządzania incydentami oraz sztuczna inteligencja (Al)/uczenie maszynowe (ML))
• Zrozumieć różne akty i przepisy dotyczące bezpieczeństwa informacji
Przegląd bezpieczeństwa informacji
Bezpieczeństwo informacji odnosi się do ochrony lub zabezpieczania informacji i systemów informatycznych, które wykorzystują, przechowują i przesyłają informacje przed nieautoryzowanym dostępem, ujawnieniem, zmianą i zniszczeniem. Informacje są kluczowym zasobem, który organizacje muszą chronić. Jeśli poufne informacje wpadną w niepowołane ręce, dana organizacja może ponieść ogromne straty finansowe, reputację marki, klientów lub w inny sposób. Aby zapewnić zrozumienie, jak zabezpieczyć takie krytyczne zasoby informacyjne, ten moduł rozpoczyna się od przeglądu bezpieczeństwa informacji. Ta sekcja wprowadza elementy bezpieczeństwa informacji, klasyfikację ataków i wojnę informacyjną.
Elementy bezpieczeństwa informacji
Bezpieczeństwo informacji to stan dobrego samopoczucia informacji i infrastruktury, w którym prawdopodobieństwo kradzieży, manipulacji i zakłóceń w działaniu informacji i usług jest niskie lub dopuszczalne.
Poufność: pewność, że informacje są dostępne tylko dla osób upoważnionych do posiadania dostępu
Integralność : Wiarygodność danych lub zasobów pod względem zapobiegania niewłaściwym lub nieautoryzowanym zmianom
Dostępność : Zapewnienie, że systemy odpowiedzialne za dostarczanie, przechowywanie i przetwarzanie informacji są dostępne, gdy wymagają tego upoważnieni użytkownicy
Autentyczność: odnosi się do cech komunikacji, dokumentu lub jakichkolwiek danych, które zapewniają autentyczność
Niezaprzeczalność: gwarancja, że nadawca wiadomości nie może później zaprzeczyć, że ją wysłał, a odbiorca nie może zaprzeczyć, że ją otrzymał
Motywy, cele i zadania ataków na bezpieczeństwo informacji
Atakujący zazwyczaj mają motywy i cele stojące za atakami na bezpieczeństwo informacji. Motyw wywodzi się z przekonania, że system docelowy przechowuje lub przetwarza coś wartościowego, co prowadzi do zagrożenia atakiem na system. Celem ataku może być zakłócenie działalności biznesowej atakowanej organizacji, kradzież cennych informacji dla ciekawości, a nawet zemsta. Dlatego te motywy czy cele zależą od stanu psychicznego atakującego, powodu, dla którego podejmuje takie działanie, a także od jego zasobów i możliwości. Gdy atakujący określi swój cel, może zastosować różne narzędzia, techniki ataku i metody w celu wykorzystania luk w systemie komputerowym lub polityce bezpieczeństwa i kontrolach.
Ataki = Motyw (Cel) + Metoda + Wrażliwość
Motywy ataków na bezpieczeństwo informacji
• Zakłócić ciągłość biznesową
• Dokonuj kradzieży informacji
• Manipulowanie danymi
• Stwórz strach i chaos, zakłócając działanie infrastruktury krytycznej
• Doprowadzić cel do strat finansowych
• Propaguj przekonania religijne lub polityczne
• Osiągnij cele militarne państwa
• Zniszcz reputację celu
• Zemścić się
• Żądaj okupu
Klasyfikacja ataków
Według IATF ataki na bezpieczeństwo są podzielone na pięć kategorii: pasywne, aktywne, zbliżone, wewnętrzne i dystrybucyjne.
Ataki pasywne
Ataki pasywne polegają na przechwytywaniu i monitorowaniu ruchu sieciowego oraz przepływu danych w sieci docelowej i nie powodują manipulacji danymi. Atakujący przeprowadzają rekonesans działań sieciowych za pomocą snifferów. Ataki te są bardzo trudne do wykrycia, ponieważ osoba atakująca nie ma aktywnej interakcji z docelowym systemem lub siecią. Ataki pasywne umożliwiają atakującym przechwytywanie danych lub plików przesyłanych w sieci bez zgody użytkownika. Na przykład osoba atakująca może uzyskać informacje, takie jak przesyłane niezaszyfrowane dane, poświadczenia w postaci zwykłego tekstu lub inne poufne informacje przydatne w przeprowadzaniu aktywnych ataków. Przykłady pasywnych ataków:
• Footprinting
• Sniffing i eavesdropping
• Analiza ruchu sieciowego
• Deszyfrowanie słabo zaszyfrowanego ruchu
Aktywne ataki
Aktywne ataki manipulują przesyłanymi danymi lub zakłócają komunikację lub usługi między systemami w celu obejścia lub włamania się do zabezpieczonych systemów. Atakujący przeprowadzają ataki na docelowy system lub sieć, aktywnie wysyłając ruch, który można wykryć. Ataki te są przeprowadzane na sieć docelową w celu wykorzystania przesyłanych informacji. Wnikają lub infekują sieć wewnętrzną celu i uzyskują dostęp do zdalnego systemu w celu naruszenia bezpieczeństwa sieci wewnętrznej. Przykłady aktywnych ataków:
• Atak typu "odmowa usługi" (DoS).
• Obejście mechanizmów ochronnych
• Ataki złośliwego oprogramowania (takie jak wirusy, robaki, ransomware)
• Modyfikacja informacji
• Fałszowanie ataków
• Powtarzaj ataki
• Ataki oparte na hasłach
• Przejęcie sesji
• Atak Man-in-the-Middle
• Zatruwanie DNS i ARP
• Atak z użyciem przejętego klucza
• Firewall i atak IDS
• Profilowanie
• Wykonanie dowolnego kodu
• Eskalacja uprawnień
• Dostęp tylnymi drzwiami
• Ataki kryptograficzne
• Wstrzykiwanie SQL
• Ataki XSS
• Ataki polegające na przeglądaniu katalogów
• Eksploatacja aplikacji i oprogramowania systemu operacyjnego
Ataki z bliska
Ataki z bliska są przeprowadzane, gdy atakujący znajduje się w bliskiej fizycznej odległości od docelowego systemu lub sieci. Głównym celem przeprowadzania tego typu ataku jest zebranie lub modyfikacja informacji lub zakłócenie dostępu do nich. Na przykład osoba atakująca może surfować po ramieniu aby uzyskać poświadczenia użytkownika. Atakujący zyskują bliskie sąsiedztwo dzięki ukradkowemu wejściu, otwartemu dostępowi lub obu. Przykłady ataków z bliska:
• Inżynieria społeczna (podsłuchiwanie, surfowanie po barkach, nurkowanie w śmietnikach i inne metody)
Ataki wewnętrzne
Ataki wewnętrzne są przeprowadzane przez zaufane osoby, które mają fizyczny dostęp do krytycznych zasobów celu. Atak wewnętrzny polega na wykorzystaniu uprzywilejowanego dostępu do naruszenia zasad lub celowego spowodowania zagrożenia dla informacji lub systemów informatycznych organizacji. Insiderzy mogą łatwo ominąć zasady bezpieczeństwa, uszkodzić cenne zasoby i uzyskać dostęp do poufnych informacji. Niewłaściwie wykorzystują aktywa organizacji, aby bezpośrednio wpływać na poufność, integralność i dostępność systemów informatycznych. Ataki te wpływają na operacje biznesowe, reputację i zyski organizacji. Trudno jest wykryć atak z wykorzystaniem informacji poufnych Przykłady ataków z wykorzystaniem informacji poufnych:
• Podsłuchiwanie i zakładanie podsłuchów
• Kradzież urządzeń fizycznych
• Inżynieria społeczna
• Kradzież i wyłudzanie danych
• Pod slurping
• Podkładanie keyloggerów, backdoorów, lub złośliwe oprogramowanie
Ataki dystrybucyjne
Ataki dystrybucyjne mają miejsce, gdy osoby atakujące modyfikują sprzęt lub oprogramowanie przed instalacją. Atakujący modyfikują sprzęt lub oprogramowanie u źródła lub podczas transportu. Przykłady ataków dystrybucyjnych obejmują backdoory tworzone przez dostawców oprogramowania lub sprzętu w czasie produkcji. Atakujący wykorzystują te tylne drzwi, aby uzyskać nieautoryzowany dostęp do docelowych informacji, systemów lub sieci.
• Modyfikacja oprogramowania lub sprzętu podczas produkcji
• Modyfikacja oprogramowania lub sprzętu podczas dystrybucji
Wojna informacyjna
Termin wojna informacyjna lub InfoWar odnosi się do wykorzystania technologii informacyjno-komunikacyjnych (ICT) w celu uzyskania przewagi konkurencyjnej nad przeciwnikiem. Przykłady broni informacyjnej obejmują wirusy, robaki, konie trojańskie, bomby logiczne, pułapki, nanomaszyny i mikroby, zakłócenia elektroniczne oraz exploity i narzędzia do penetracji. Martin Libicki podzielił wojnę informacyjną na następujące kategorie:
Wojna dowodzenia i kontroli (wojna C2): W branży bezpieczeństwa komputerowego wojna C2 odnosi się do wpływu, jaki atakujący ma na zainfekowany system lub sieć, którą kontroluje.
Wojna oparta na danych wywiadowczych: Wojna oparta na danych wywiadowczych to technologia oparta na czujnikach, która bezpośrednio psuje systemy technologiczne. Według Libickiego "wojna oparta na inteligencji" to wojna polegająca na projektowaniu, ochronie i zaprzeczaniu systemom, które poszukują wystarczającej wiedzy, aby zdominować pole bitwy.
Wojna elektroniczna: Według Libickiego wojna elektroniczna wykorzystuje techniki radioelektroniczne i kryptograficzne do degradacji komunikacji. Techniki radioelektroniczne atakują fizyczne środki przesyłania informacji, podczas gdy techniki kryptograficzne wykorzystują bity i bajty do zakłócania środków przesyłania informacji.
Wojna psychologiczna: Wojna psychologiczna polega na stosowaniu różnych technik, takich jak propaganda i terror, w celu zdemoralizowania przeciwnika w celu odniesienia sukcesu w bitwie.
Wojna hakerska: według Libickiego cel tego rodzaju wojny może być różny, od zamykania systemów, błędów danych, kradzieży informacji, kradzieży usług, monitorowania systemu, fałszywych wiadomości i dostępu do danych. Hakerzy zazwyczaj używają wirusów, bomb logicznych, koni trojańskich i snifferów do przeprowadzania tych ataków.
• Wojna ekonomiczna: Libicki zauważa, że ekonomiczna wojna informacyjna może wpływać na gospodarkę firmy lub narodu poprzez blokowanie przepływu informacji. Może to być szczególnie katastrofalne dla organizacji, które prowadzą wiele interesów w cyfrowym świecie.
• Cyberwojna: Libicki definiuje cyberwojnę jako użycie systemów informatycznych przeciwko wirtualnym postaciom jednostek lub grup. To najszersza ze wszystkich wojen informacyjnych. Obejmuje terroryzm informacyjny, ataki semantyczne (podobne do wojny hakerskiej, ale zamiast szkodzić systemowi, przejmuje system przy zachowaniu wrażenia, że działa poprawnie) oraz wojnę symulowaną (symulowana wojna, np. zdobywanie broni dla zwykłej demonstracji, a nie faktycznego użycia).
Każda z wyżej wymienionych form wojny informacyjnej składa się zarówno ze strategii defensywnych, jak i ofensywnych.
• Defensywna wojna informacyjna: obejmuje wszystkie strategie i działania mające na celu obronę przed atakami na zasoby ICT.
• Ofensywna wojna informacyjna: Obejmuje ataki na zasoby ICT przeciwnika.
Metodologie i ramy hakerskie
Poznanie metodologii i ram hakerskich pomaga etycznym hakerom zrozumieć fazy związane z próbami hakerskimi, a także taktyki, techniki i procedury stosowane przez prawdziwych hakerów. Ta wiedza dodatkowo pomaga im we wzmacnianiu infrastruktury bezpieczeństwa ich organizacji. W tej sekcji omówiono różne metodologie hakerskie, takie jak metodologia Certified Ethical Hacker (CEH), metodologia łańcucha cyberzabójstw, struktura ataku MITRE i Diamond Model of Intrusion Analysis.
Metodologia hakowania CEH (CHM)
Metodologia hakowania CEH (CHM) definiuje krok po kroku proces etycznego hakowania. CHM stosuje ten sam proces, co atakujący, a jedyne różnice dotyczą celów i strategii hakerskich. Ta metodologia pomaga specjalistom ds. bezpieczeństwa i etycznym hakerom zrozumieć różne fazy, przez które przechodzą prawdziwi hakerzy, aby osiągnąć swoje cele. Zrozumienie CHM pomaga etycznym hakerom nauczyć się różnych taktyk, technik i narzędzi używanych przez atakujących na różnych etapach hakowania, co dodatkowo pomaga im odnieść sukces w procesie etycznego hakowania. Według CHM, poniżej przedstawiono różne fazy związane z hakowaniem.
Footprinting: Footprinting i rekonesans to faza przygotowawcza, w której atakujący zbiera jak najwięcej informacji o celu przed rozpoczęciem ataku. W tej fazie atakujący tworzy profil docelowej organizacji i uzyskuje informacje, takie jak zakres adresów IP, przestrzeń nazw i pracownicy. Footprinting ułatwia hakowanie systemu poprzez ujawnianie luk w zabezpieczeniach. Na przykład witryna internetowa organizacji może zawierać biografie pracowników lub katalog personelu, który haker może wykorzystać do inżynierii społecznej. Przeprowadzenie zapytania Whois w sieci może dostarczyć informacji o sieciach i nazwach domen powiązanych z konkretną organizacją. Zakres docelowy śladu może obejmować klientów, pracowników, operacje, sieć i systemy docelowej organizacji.
Uwaga: Techniki wyznaczania śladu są omówione w module 02: Ślady i rozpoznanie.
Skanowanie: Skanowanie służy do identyfikowania aktywnych hostów, otwartych portów i niepotrzebnych usług włączonych na poszczególnych hostach. W tej fazie atakujący wykorzystuje dane zebrane podczas rekonesansu, aby przeskanować sieć w poszukiwaniu określonych informacji. Skanowanie jest logicznym przedłużeniem aktywnego rozpoznania; w rzeczywistości niektórzy eksperci nie odróżniają skanowania od aktywnego rozpoznania. Jednak, istnieje niewielka różnica polegająca na tym, że skanowanie wymaga bardziej dogłębnego sondowania przez atakującego. Często fazy rekonesansu i skanowania zachodzą na siebie i nie zawsze da się je rozdzielić.
Uwaga: Techniki skanowania omówiono w module 03: Skanowanie sieci.
Wyliczanie: Wyliczanie obejmuje nawiązywanie aktywnych połączeń z systemem docelowym lub poddawanie go bezpośrednim zapytaniom. Jest to metoda natrętnego sondowania, za pomocą której osoby atakujące zbierają informacje, takie jak listy użytkowników sieci, tablice routingu, luki w zabezpieczeniach, udostępnieni użytkownicy, grupy, aplikacje i banery.
Uwaga: Techniki wyliczania omówiono w Module 04 : Enumeracje.
Analiza podatności: Ocena podatności to badanie zdolności systemu lub aplikacji, w tym obecnych procedur bezpieczeństwa i kontroli, do wytrzymania ataku. Rozpoznaje, mierzy i klasyfikuje luki w zabezpieczeniach systemów komputerowych, sieci i kanałów komunikacyjnych. Atakujący przeprowadzają analizę podatności na ataki w celu zidentyfikowania luk w zabezpieczeniach sieci docelowej organizacji, infrastruktury komunikacyjnej i systemów końcowych. Zidentyfikowane luki są wykorzystywane przez osoby atakujące aby przeprowadzić dalszą eksploatację sieci docelowej.
Uwaga: Koncepcje oceny podatności omówiono w Module 05: Analiza podatności.
Hakowanie systemu: Atakujący stosują określoną metodologię hakowania systemu. Najpierw uzyskują informacje podczas faz śledzenia, skanowania, wyliczania i analizy podatności, które następnie wykorzystują do wykorzystania systemu docelowego.
• Uzyskanie dostępu: Jest to faza, w której następuje faktyczne włamanie. Poprzednie fazy pomagają atakującym zidentyfikować luki w zabezpieczeniach i luki w zabezpieczeniach docelowych zasobów IT organizacji. Atakujący wykorzystują te informacje wraz z technikami, takimi jak łamanie haseł i wykorzystywanie luk w zabezpieczeniach, w tym przepełnienie bufora, w celu uzyskania dostępu do docelowego systemu organizacyjnego. Uzyskanie dostępu odnosi się do momentu, w którym osoba atakująca uzyskuje dostęp do systemu operacyjnego (OS) lub aplikacji na komputerze lub w sieci. Szanse hakera na uzyskanie dostępu do docelowego systemu zależą od kilku czynników, takich jak architektura i konfiguracja docelowego systemu, poziom umiejętności sprawcy oraz początkowy poziom uzyskanego dostępu. Gdy atakujący uzyska dostęp do systemu docelowego, próbuje zwiększyć uprawnienia, aby uzyskać pełną kontrolę. W tym procesie zagrażają również połączonym z nim systemom pośrednim.
• Eskalacja uprawnień: po uzyskaniu dostępu do systemu przy użyciu konta użytkownika o niskich uprawnieniach osoba atakująca może podjąć próbę podniesienia swoich uprawnień do poziomu administratora w celu wykonania chronionych operacji systemowych, aby móc przejść do następnego poziomu fazy hakowania systemu, czyli wykonywanie aplikacji. Atakujący wykorzystuje znane luki w zabezpieczeniach systemu, aby zwiększyć uprawnienia użytkownika.
• Utrzymanie dostępu: Utrzymanie dostępu odnosi się do fazy, w której atakujący próbuje zachować prawo własności do systemu. Gdy osoba atakująca uzyska dostęp do systemu docelowego z uprawnieniami administratora lub administratora (a tym samym stanie się właścicielem systemu), może dowolnie korzystać zarówno z systemu, jak i jego zasobów. Osoba atakująca może użyć systemu jako wyrzutni do skanowania i wykorzystywania innych systemów lub zachować niski profil i kontynuować eksploatację. Oba te działania mogą spowodować znaczne szkody. Atakujący mogą przesyłać, pobierać lub manipulować danymi, aplikacjami i konfiguracjami w posiadanym systemie, a także wykorzystywać złośliwe oprogramowanie do przesyłania nazw użytkowników, haseł i wszelkich innych informacji przechowywanych w systemie. Mogą zachować kontrolę nad systemem przez długi czas, zamykając luki w zabezpieczeniach, aby uniemożliwić innym hakerom ich wykorzystanie. Czasami osoba atakująca może zapewnić pewien stopień ochrony systemu przed innymi atakami. Atakujący wykorzystują zainfekowane systemy do przeprowadzania kolejnych ataków.
• Czyszczenie dzienników: aby pozostać niewykrytym, osoby atakujące muszą usunąć z systemu wszystkie dowody naruszenia bezpieczeństwa. Aby to osiągnąć, mogą modyfikować lub usuwać dzienniki w systemie za pomocą niektórych narzędzi do czyszczenia dzienników, usuwając w ten sposób wszelkie dowody ich obecności.
Uwaga: Cały proces hakowania systemu jest opisany w Module 06: Hakowanie systemu.
Metodologia łańcucha cyberzabójstw
Metodologia łańcucha cyberzabójstw jest elementem obrony opartej na danych wywiadowczych w celu identyfikacji złośliwych działań włamań i zapobiegania im. Ta metodologia pomaga specjalistom ds. bezpieczeństwa w identyfikowaniu kroków, które wykonują przeciwnicy, aby osiągnąć swoje cele. Łańcuch cyberzabójstw to platforma opracowana w celu zabezpieczenia cyberprzestrzeni w oparciu o koncepcję wojskowych łańcuchów zabójstw. Ta metoda ma na celu aktywne usprawnienie wykrywania włamań i reagowania na nie. Łańcuch cyberzabójstw jest wyposażony w siedmiofazowy mechanizm ochrony, który łagodzi i ogranicza cyberzagrożenia. Według firmy Lockheed Martin cyberataki mogą przebiegać w siedmiu różnych fazach, od rozpoznania do ostatecznej realizacji celu. Zrozumienie metodologii łańcucha cyberzabójstw pomaga specjalistom ds. bezpieczeństwa wykorzystywać mechanizmy kontroli bezpieczeństwa na różnych etapach ataku i zapobiegać atakowi, zanim się powiedzie. Zapewnia również lepszy wgląd w fazy ataku, co pomaga w wcześniejszym zrozumieniu TTP przeciwnika. Poniżej omówiono różne fazy zawarte w metodologii łańcucha cyberzabójstw:
Rekonesans
Przeciwnik przeprowadza rekonesans, aby zebrać jak najwięcej informacji o celu, aby zbadać słabe punkty przed faktycznym atakiem. Szukają informacji, takich jak publicznie dostępne informacje w Internecie, informacje o sieci, informacje o systemie i informacje organizacyjne celu. Przeprowadzając rekonesans na różnych poziomach sieci, przeciwnik może uzyskać informacje, takie jak bloki sieci, określone adresy IP i dane pracowników. Przeciwnik może wykorzystywać zautomatyzowane narzędzia do uzyskiwania informacji, takich jak otwarte porty i usługi, luki w zabezpieczeniach aplikacji oraz dane logowania. Takie informacje mogą pomóc przeciwnikowi w uzyskaniu tylnego dostępu do docelowej sieci. Działania przeciwnika obejmują:
• Zbieranie informacji o docelowej organizacji poprzez przeszukiwanie Internetu lub socjotechnikę
• Przeprowadzanie analiz różnych działań online i publicznie dostępnych informacji
• Gromadzenie informacji z serwisów społecznościowych i serwisów internetowych
• Pozyskiwanie informacji o odwiedzanych stronach internetowych
• Monitorowanie i analizowanie strony internetowej docelowej organizacji
• Wykonywanie Whois, DNS i śledzenia sieci
• Wykonywanie skanowania w celu identyfikacji otwartych portów i usług
Uzbrojenie
Przeciwnik analizuje dane zebrane na poprzednim etapie, aby zidentyfikować luki w zabezpieczeniach i techniki, które mogą wykorzystać i uzyskać nieautoryzowany dostęp do atakowanej organizacji. W oparciu o luki zidentyfikowane podczas analizy, przeciwnik wybiera lub tworzy dostosowany szkodliwy ładunek (broń złośliwego oprogramowania o zdalnym dostępie) za pomocą exploita i backdoora, aby wysłać go do ofiary. Przeciwnik może atakować określone urządzenia sieciowe, systemy operacyjne, urządzenia końcowe, a nawet osoby w organizacji. Na przykład przeciwnik może wysłać e-mail phishingowy do pracownika docelowej organizacji, który może zawierać złośliwy załącznik, taki jak wirus lub robak, który po pobraniu instaluje w systemie backdoora, który umożliwia zdalny dostęp do przeciwnika. Oto działania przeciwnika:
• Identyfikacja odpowiedniego ładunku złośliwego oprogramowania na podstawie analizy
• Tworzenie nowego ładunku złośliwego oprogramowania lub wybieranie, ponowne wykorzystywanie, modyfikowanie dostępnych ładunków złośliwego oprogramowania w oparciu o zidentyfikowaną lukę w zabezpieczeniach o Tworzenie kampanii e-mailowej phishingowej
• Wykorzystanie zestawów exploitów i botnetów
Dostawa
Poprzedni etap obejmował stworzenie broni. Jego ładunek jest przekazywany zamierzonej ofierze jako załącznik do wiadomości e-mail, za pośrednictwem złośliwego łącza na stronach internetowych lub za pośrednictwem podatnej na ataki aplikacji internetowej lub dysku USB. Dostarczenie jest kluczowym etapem, który mierzy skuteczność strategii obronnych wdrożonych przez atakowaną organizację na podstawie tego, czy próba wtargnięcia przeciwnika została zablokowana, czy nie. Oto działania przeciwnika:
• Wysyłanie e-maili phishingowych do pracowników docelowej organizacji
• Dystrybucja dysków USB zawierających szkodliwą zawartość do pracowników docelowej organizacji
• Wykonywanie ataków, takich jak wodopój na zaatakowaną stronę internetową
• Wdrażanie różnych narzędzi hakerskich przeciwko systemom operacyjnym, aplikacjom i serwerom docelowej organizacji
Eksploatacja
Po przekazaniu broni zamierzonej ofierze, wykorzystanie uruchamia złośliwy kod przeciwnika w celu wykorzystania luki w systemie operacyjnym, aplikacji lub serwerze w docelowym systemie. Na tym etapie organizacja może napotkać zagrożenia, takie jak ataki uwierzytelniające i autoryzacyjne, wykonanie dowolnego kodu, zagrożenia bezpieczeństwa fizycznego i błędna konfiguracja zabezpieczeń. Działania przeciwnika obejmują:
• Wykorzystywanie luk w oprogramowaniu lub sprzęcie w celu uzyskania zdalnego dostępu do systemu docelowego
Instalacja
Przeciwnik pobiera i instaluje więcej złośliwego oprogramowania w docelowym systemie, aby utrzymać dostęp do docelowej sieci przez dłuższy czas. Mogą użyć tej broni do zainstalowania backdoora w celu uzyskania zdalnego dostępu. Po wstrzyknięciu szkodliwego kodu do jednego systemu docelowego, przeciwnik uzyskuje możliwość rozprzestrzenienia infekcji na inne systemy końcowe w sieci. Ponadto przeciwnik próbuje ukryć obecność złośliwych działań przed kontrolami bezpieczeństwa, takimi jak zapory ogniowe, używając różnych technik, takich jak szyfrowanie. Oto działania przeciwnika:
• Pobieranie i instalowanie złośliwego oprogramowania, takiego jak backdoory
• Uzyskanie zdalnego dostępu do systemu docelowego
• Wykorzystywanie różnych metod ukrywania i działania backdoora
• Utrzymanie dostępu do systemu docelowego
Dowodzenie i kontrola
Przeciwnik tworzy kanał dowodzenia i kontroli, który ustanawia dwukierunkową komunikację między systemem ofiary a serwerem kontrolowanym przez przeciwnika w celu komunikacji i przekazywania danych tam i z powrotem. Przeciwnicy stosują techniki takie jak szyfrowanie, aby ukryć obecność takich kanałów. Wykorzystując ten kanał, przeciwnik przeprowadza zdalną eksploatację docelowego systemu lub sieci. Oto działania przeciwnika:
• Ustanowienie dwukierunkowego kanału komunikacji pomiędzy systemem ofiary a serwerem kontrolowanym przez adwersarza
• Wykorzystanie kanałów, takich jak ruch sieciowy, komunikacja e-mail i wiadomości DNS,
• Stosowanie technik zwiększania uprawnień
• Ukrywanie wszelkich dowodów naruszenia bezpieczeństwa przy użyciu technik takich jak szyfrowanie
Działania dotyczące celów
Przeciwnik kontroluje system ofiary ze zdalnej lokalizacji i ostatecznie osiąga zamierzone cele. Przeciwnik uzyskuje dostęp do poufnych danych, zakłóca działanie usług lub sieci albo niszczy zdolność operacyjną celu, uzyskując dostęp do jego sieci i włamując się do większej liczby systemów. Ponadto przeciwnik może użyć tego jako punktu startowego do wykonania innych ataków.
Taktyki, techniki i procedury (TTP)
Terminy "taktyki, techniki i procedury" odnoszą się do wzorców działań i metod związanych z określonymi aktorami lub grupami cyberprzestępców. TTP są pomocne w analizowaniu zagrożeń i profilowaniu aktorów zagrożeń, a ponadto mogą być wykorzystywane do wzmacniania infrastruktury bezpieczeństwa organizacji. Słowo "taktyka" definiuje się jako wytyczne opisujące sposób, w jaki atakujący przeprowadza atak od początku do końca. Słowo "techniki" definiuje się jako techniczne metody stosowane przez atakującego w celu osiągnięcia pośrednich wyników podczas ataku. Wreszcie słowo "procedury" definiuje się jako podejście organizacyjne stosowane przez cyberprzestępców w celu przeprowadzenia ataku. Aby zrozumieć cyberprzestępców i bronić się przed nimi, ważne jest zrozumienie TTP używanych przez przeciwników. Zrozumienie taktyki atakującego pomaga przewidywać i wykrywać rozwijające się zagrożenia na wczesnych etapach. Zrozumienie technik stosowanych przez osoby atakujące pomaga zidentyfikować słabe punkty i z wyprzedzeniem wdrożyć środki obronne. Wreszcie, analiza procedur stosowanych przez osoby atakujące pomaga zidentyfikować, czego osoba atakująca szuka w infrastrukturze atakowanej organizacji. Organizacje powinny rozumieć TTP, aby chronić swoją sieć przed cyberprzestępcami i nadchodzącymi atakami. TTP umożliwiają organizacjom powstrzymanie ataków na początkowym etapie, chroniąc w ten sposób sieć przed ogromnymi szkodami.
Taktyka
Taktyki opisują sposób, w jaki cyberprzestępca działa w różnych fazach ataku. Składa się z różnych taktyk wykorzystywanych do zbierania informacji do początkowej eksploatacji, przeprowadzania eskalacji uprawnień i przemieszczania bocznego oraz wdrażania środków zapewniających stały dostęp do systemu. Ogólnie rzecz biorąc, grupy APT polegają na pewnym zestawie niezmiennych taktyk, ale w niektórych przypadkach dostosowują się do różnych okoliczności i zmieniają sposób przeprowadzania ataków. Dlatego trudność wykrycia i przypisania kampanii ataku zależy od taktyki użytej do przeprowadzenia ataku. Organizacja może profilować cyberprzestępców na podstawie stosowanej przez nich taktyki; obejmuje to sposób, w jaki gromadzą informacje o celu, metody stosowane w celu wstępnego włamania oraz liczbę punktów wejścia, z których korzystają podczas próby wejścia do sieci docelowej. Na przykład, aby uzyskać informacje, niektórzy cyberprzestępcy polegają wyłącznie na informacjach dostępnych w Internecie, podczas gdy inni mogą przeprowadzać socjotechnikę lub wykorzystywać połączenia w organizacjach pośredniczących. Po zebraniu informacji, takich jak adresy e-mail pracowników organizacji będącej celem ataku, cyberprzestępcy wybierają podejście do celu pojedynczo lub w grupie. Co więcej, ładunek zaprojektowany przez atakujących może pozostać stały od początku do końca ataku lub może się zmieniać w zależności od osoby będącej celem ataku. Dlatego, aby lepiej zrozumieć cyberprzestępców, należy odpowiednio przeanalizować taktyki stosowane na wczesnych etapach ataku. Inną metodą analizy grup APT jest inspekcja infrastruktury i narzędzi wykorzystywanych do przeprowadzania ich ataków. Rozważmy na przykład ustanowienie kanału dowodzenia i kontroli na serwerach kontrolowanych przez atakującego. Te serwery C&C mogą znajdować się w określonej lokalizacji geograficznej lub mogą być rozproszone w Internecie i mogą być statyczne lub zmieniać się dynamicznie. Istotne jest również przeanalizowanie narzędzi użytych do przeprowadzenia ataku. Obejmuje to analizę exploitów i narzędzi używanych przez różne grupy APT. W takim scenariuszu wyrafinowany cyberprzestępca może wykorzystać wiele luk dnia zerowego, używając dostosowanych narzędzi i metod zaciemniania. Może to być jednak trudne, ponieważ mniej wyrafinowani cyberprzestępcy zazwyczaj polegają na publicznie znanych lukach w zabezpieczeniach i narzędziach typu open source. Zidentyfikowanie tego typu taktyki pomaga w profilowaniu grup APT i budowaniu środków obronnych z wyprzedzeniem. W niektórych przypadkach zrozumienie taktyk zastosowanych na ostatnich etapach ataku pomaga w profilowaniu aktora stanowiącego zagrożenie. Ponadto metody stosowane do zacierania śladów pomagają docelowej organizacji zrozumieć kampanie ataków. Analiza taktyk stosowanych przez osoby atakujące pomaga w stworzeniu wstępnego profilu poprzez zrozumienie różnych faz cyklu życia APT. Profil ten pomaga w dalszej analizie technik i procedur stosowanych przez osoby atakujące. Atakujący może nieustannie zmieniać używane TTP, dlatego ważne jest, aby stale przeglądać i aktualizować taktykę stosowaną przez grupy APT.
Techniki
Aby pomyślnie przeprowadzić atak, cyberprzestępcy stosują podczas jego wykonywania kilka technik. Techniki te obejmują wstępną eksploatację, konfigurowanie i utrzymywanie kanałów dowodzenia i kontroli, uzyskiwanie dostępu do docelowej infrastruktury oraz zacieranie śladów eksfiltracji danych. Techniki stosowane przez cyberprzestępcę w celu przeprowadzenia ataku mogą się różnić, ale w większości są one podobne i mogą być wykorzystywane do tworzenia profili. Dlatego zrozumienie technik stosowanych w różnych fazach ataku jest niezbędne do skutecznej analizy grup zagrożeń. Techniki można również analizować na każdym etapie cyklu życia zagrożenia. Dlatego też techniki na początkowym etapie opisują głównie narzędzia wykorzystywane do zbierania informacji i wstępnej eksploatacji. Techniki stosowane na tym etapie niekoniecznie muszą mieć aspekt techniczny. Na przykład w inżynierii społecznej niektóre nietechniczne narzędzia programowe są wykorzystywane jako skuteczny sposób gromadzenia informacji. Osoba atakująca może użyć takich narzędzi do uzyskania adresów e-mail pracowników docelowej organizacji za pośrednictwem publicznie dostępnych zasobów. W ten sam sposób inżynieria społeczna oparta wyłącznie na ludziach może być wykorzystana do przeprowadzenia wstępnej eksploatacji. Rozważmy na przykład scenariusz, w którym ofiara zostaje oszukana przez telefon w celu ujawnienia swoich danych logowania w celu uzyskania dostępu do wewnętrznej sieci docelowej organizacji. Techniki te stosowane są w początkowej fazie ataku w celu zebrania informacji o celu i przełamania pierwszej linii obrony. Techniki stosowane w środkowych fazach ataku polegają głównie na narzędziach technicznych służących do początkowego zwiększania uprawnień w systemach, które są zagrożone, lub wykonywania ruchów poprzecznych w sieci docelowej organizacji. Na tym etapie ataku osoby atakujące wykorzystują różne exploity lub luki w konfiguracji systemu docelowego. Mogą również wykorzystywać wady projektowe sieci, aby uzyskać dostęp do innych systemów w sieci. We wszystkich tych przypadkach exploity lub zestaw narzędzi umożliwiają atakującemu przeprowadzenie udanego ataku. W tym scenariuszu termin "technika" to zestaw narzędzi i sposób ich wykorzystania w celu uzyskania pośrednich wyników podczas kampanii. Techniki w ostatniej fazie ataku mogą mieć zarówno aspekty techniczne, jak i nietechniczne. W takim scenariuszu techniki wykorzystywane do kradzieży danych są zwykle oparte na technologii sieciowej i szyfrowaniu. Na przykład cyberprzestępca szyfruje skradzione pliki, przesyła je za pośrednictwem ustanowionego kanału dowodzenia i kontroli, a następnie kopiuje je do własnego systemu. Po pomyślnym przeprowadzeniu ataku i przesłaniu plików atakujący stosuje pewne czysto techniczne techniki, aby zatrzeć ślady. Używają zautomatyzowanych narzędzi programowych do czyszczenia plików dzienników w celu uniknięcia wykrycia. Po zagregowaniu technik stosowanych na wszystkich etapach ataku organizacja może wykorzystać te informacje do profilowania aktorów zagrożeń. Aby dokonać dokładnej identyfikacji cyberprzestępców, organizacja musi przestrzegać wszystkich technik stosowanych przez jej przeciwników.
Procedury
"Procedury" obejmują sekwencję działań wykonywanych przez cyberprzestępców w celu wykonania różnych etapów cyklu życia ataku. Liczba działań zwykle różni się w zależności od celów procedury i grupy APT. Zaawansowany cyberprzestępca stosuje zaawansowane procedury, które składają się z większej liczby działań niż zwykła procedura, aby osiągnąć ten sam wynik pośredni. Odbywa się to głównie w celu zwiększenia wskaźnika powodzenia ataku i zmniejszenia prawdopodobieństwa wykrycia przez mechanizmy bezpieczeństwa. Na przykład w podstawowej procedurze zbierania informacji aktor zbiera informacje o organizacji docelowej; identyfikuje kluczowe cele, pracowników; zbiera ich dane kontaktowe, identyfikuje wrażliwe systemy i potencjalne punkty wejścia do docelowej sieci oraz dokumentuje wszystkie zebrane informacje. Dalsze działania przeciwnika zależą od zastosowanej taktyki. Działania te obejmują szeroko zakrojone badania i wielokrotne gromadzenie informacji w celu zebrania dogłębnych i aktualnych informacji o osobach
docelowych za pośrednictwem portali społecznościowych. Informacje te mogą pomóc cyberprzestępcom w przeprowadzaniu spear phishingu, monitorowaniu mechanizmów bezpieczeństwa w celu identyfikacji exploitów dnia zerowego w systemach docelowych oraz innych zadaniach. Na przykład cyberprzestępca stosujący bardziej szczegółową procedurę wykonuje ładunek szkodliwego oprogramowania. W momencie wykonania złośliwy kod odszyfrowuje się, omija kontrole monitorowania bezpieczeństwa, wdraża funkcję uporczywości i ustanawia kanał dowodzenia i kontroli do komunikacji z systemem ofiary. Ten typ procedury jest powszechny w przypadku złośliwego oprogramowania, w przypadku którego różne ugrupowania cyberprzestępcze mogą implementować tę samą funkcję, dlatego jest przydatny w dochodzeniach kryminalistycznych. Zrozumienie i właściwa analiza procedur stosowanych przez niektórych aktorów podczas ataku pomaga organizacjom w profilowaniu aktorów. W początkowej fazie ataku, na przykład podczas zbierania informacji, obserwowanie
postępowania grupy APT jest trudne. Jednak późniejsze etapy ataku mogą pozostawić ślady, które można wykorzystać do zrozumienia procedur zastosowanych przez atakującego.
Identyfikacja zachowań przeciwnika
Identyfikacja behawioralna przeciwnika obejmuje identyfikację typowych metod lub technik stosowanych przez przeciwnika w celu przeprowadzenia ataków w celu przeniknięcia do sieci organizacji. Zapewnia specjalistom ds. bezpieczeństwa wgląd w nadchodzące zagrożenia i exploity. Pomaga im zaplanować infrastrukturę bezpieczeństwa sieci i dostosować szereg procedur bezpieczeństwa jako zapobieganie różnym cyberatakom. Poniżej podano niektóre zachowania przeciwnika, które można wykorzystać do zwiększenia możliwości wykrywania urządzeń zabezpieczających:
• Rekonesans wewnętrzny
Gdy przeciwnik znajdzie się w sieci docelowej, stosuje różne techniki i metody, aby przeprowadzić wewnętrzny rekonesans. Obejmuje to wyliczanie systemów, hostów, procesów, wykonywanie różnych poleceń w celu uzyskania informacji, takich jak lokalny kontekst użytkownika i konfiguracja systemu, nazwa hosta, adresy IP, aktywne systemy zdalne i programy działające w systemach docelowych. Specjaliści ds. bezpieczeństwa mogą monitorować działania przeciwnika, sprawdzając nietypowe polecenia wykonywane w skryptach Batch i PowerShell oraz używając narzędzi do przechwytywania pakietów.
• Korzystanie z PowerShella
PowerShell może zostać wykorzystany przez przeciwnika jako narzędzie do automatyzacji eksfiltracji danych i przeprowadzania kolejnych ataków. Aby zidentyfikować niewłaściwe użycie programu PowerShell w sieci, specjaliści ds. bezpieczeństwa mogą sprawdzić dzienniki transkrypcji programu PowerShell lub dzienniki zdarzeń systemu Windows. Ciąg agenta użytkownika i adresy IP mogą również służyć do identyfikowania złośliwych hostów, które próbują wykraść dane.
• Nieokreślone działania proxy
Przeciwnik może tworzyć i konfigurować wiele domen wskazujących na tego samego hosta, umożliwiając w ten sposób przeciwnikowi szybkie przełączanie się między domenami w celu uniknięcia wykrycia. Specjaliści ds. bezpieczeństwa mogą znaleźć nieokreślone domeny, sprawdzając źródła danych generowane przez te domeny. Korzystając z tego strumienia danych, specjaliści ds. bezpieczeństwa mogą również znaleźć wszelkie pobrane złośliwe pliki i niechcianą komunikację z siecią zewnętrzną w oparciu o domeny.
• Korzystanie z interfejsu wiersza poleceń
Po uzyskaniu dostępu do systemu docelowego przeciwnik może skorzystać z interfejsu wiersza poleceń w celu interakcji z systemem docelowym, przeglądania plików, odczytywania zawartości plików, modyfikowania zawartości plików, tworzenia nowych kont, łączenia się z systemem zdalnym i pobierania i zainstalować złośliwy kod. Specjaliści ds. bezpieczeństwa mogą zidentyfikować takie zachowanie przeciwnika, sprawdzając dzienniki pod kątem identyfikatora procesu, procesów zawierających dowolne litery i cyfry oraz złośliwych plików pobranych z Internetu.
• Agent użytkownika HTTP
W komunikacji opartej na protokole HTTP serwer identyfikuje podłączonego klienta HTTP za pomocą pola agenta użytkownika. Przeciwnik modyfikuje zawartość pola agenta użytkownika HTTP, aby komunikować się z zaatakowanym systemem i przeprowadzać dalsze ataki. Dlatego specjaliści ds. bezpieczeństwa mogą zidentyfikować ten atak na początkowym etapie, sprawdzając zawartość pola agenta użytkownika.
• Serwer dowodzenia i kontroli
Przeciwnicy używają serwerów dowodzenia i kontroli do zdalnej komunikacji z zaatakowanymi systemami za pośrednictwem zaszyfrowanej sesji. Korzystając z tego zaszyfrowanego kanału, przeciwnik może kraść dane, usuwać dane i przeprowadzać dalsze ataki. Specjaliści ds. bezpieczeństwa mogą wykryć zainfekowane hosty lub sieci, identyfikując obecność serwera dowodzenia i kontroli, śledząc ruch sieciowy pod kątem prób połączeń wychodzących, niechcianych otwartych portów i innych anomalii.
• Korzystanie z tunelowania DNS
Przeciwnicy używają tunelowania DNS w celu zaciemnienia złośliwego ruchu w legalnym ruchu przenoszonym przez popularne protokoły używane w sieci. Korzystając z tunelowania DNS, przeciwnik może również komunikować się z serwerem dowodzenia i kontroli, ominąć kontrole bezpieczeństwa i przeprowadzać eksfiltrację danych. Specjaliści ds. bezpieczeństwa mogą zidentyfikować tunelowanie DNS, analizując złośliwe żądania DNS, ładunek DNS, nieokreślone domeny i miejsce docelowe żądań DNS.
• Korzystanie z Web Shell
Przeciwnik używa powłoki sieciowej do manipulowania serwerem sieciowym, tworząc powłokę w witrynie internetowej; pozwala przeciwnikowi uzyskać zdalny dostęp do funkcjonalności serwera. Za pomocą powłoki sieciowej przeciwnik wykonuje różne zadania, takie jak eksfiltracja danych, przesyłanie plików i przesyłanie plików. Specjaliści ds. bezpieczeństwa mogą zidentyfikować powłokę sieciową działającą w sieci, analizując dostęp do serwera, dzienniki błędów, podejrzane ciągi wskazujące na kodowanie, ciągi agenta użytkownika i inne metody.
• Inscenizacja danych
Po udanej penetracji sieci celu przeciwnik wykorzystuje techniki stakingu danych, aby zebrać i połączyć jak najwięcej danych. Rodzaje danych gromadzonych przez adwersarza obejmują wrażliwe dane dotyczące pracowników i klientów, taktykę biznesową organizacji, informacje finansowe i informacje o infrastrukturze sieciowej. Po zebraniu, przeciwnik może eksfiltrować lub zniszczyć dane. Specjaliści ds. bezpieczeństwa mogą wykrywać przemieszczanie danych, monitorując ruch sieciowy pod kątem złośliwych transferów plików, monitorowanie integralności plików i dzienniki zdarzeń.
Wskaźniki kompromisu (IOC)
Zagrożenia cybernetyczne stale ewoluują, a nowsze TTP są dostosowywane w oparciu o luki w zabezpieczeniach docelowej organizacji. Specjaliści ds. bezpieczeństwa muszą stale monitorować IoC, aby skutecznie i wydajnie wykrywać zmieniające się cyberzagrożenia i reagować na nie. Wskaźniki włamania to wskazówki, artefakty i fragmenty danych kryminalistycznych znalezione w sieci lub systemie operacyjnym organizacji, które wskazują na potencjalne włamanie lub złośliwą aktywność w infrastrukturze organizacji. Jednak IoC nie są inteligencją; raczej IoC działają jako dobre źródło informacji o zagrożeniach, które służą jako punkty danych w procesie wywiadowczym. Inteligentne informacje o zagrożeniach pozyskiwane z IoC pomagają organizacjom ulepszać strategie obsługi incydentów. Specjaliści ds. cyberbezpieczeństwa używają różnych zautomatyzowanych narzędzi do monitorowania IoC w celu wykrywania różnych naruszeń bezpieczeństwa organizacji i zapobiegania im. Monitorowanie IoC pomaga również zespołom ds. bezpieczeństwa udoskonalić kontrole bezpieczeństwa i zasady organizacji w celu wykrywania i blokowania podejrzanego ruchu w celu udaremnienia dalszych ataków. Aby przezwyciężyć zagrożenia związane z IoC, niektóre organizacje, takie jak STIX i TAXII, opracowały standardowe raporty zawierające skondensowane dane dotyczące ataków i udostępniające je innym podmiotom w celu wykorzystania reakcji na incydenty. LoC to wskaźnik atomowy, wskaźnik obliczony lub wskaźnik behawioralny. Są to informacje dotyczące podejrzanych lub złośliwych działań, które są zbierane z różnych zabezpieczeń w infrastrukturze sieci. Wskaźniki atomowe to takie, których nie można podzielić na mniejsze części i których znaczenie nie zmienia się w kontekście włamania. Przykładami wskaźników atomowych są adresy IP i adresy e-mail. Obliczone wskaźniki uzyskuje się z danych wyodrębnionych z incydentu bezpieczeństwa. Przykładami obliczanych wskaźników są wartości skrótu i wyrażenia regularne. Wskaźniki behawioralne odnoszą się do grupowania wskaźników zarówno atomowych, jak i obliczeniowych, połączonych na podstawie pewnej logiki.
Kategorie wskaźników kompromisu
Specjaliści ds. cyberbezpieczeństwa muszą posiadać odpowiednią wiedzę na temat różnych potencjalnych aktorów zagrożeń i ich taktyk związanych z cyberzagrożeniami, najczęściej zwanych wskaźnikami kompromisu (IoC). Takie zrozumienie IoC pomaga specjalistom ds. bezpieczeństwa szybko wykrywać zagrożenia przedostające się do organizacji i chronić organizację przed ewoluującymi zagrożeniami. W tym celu loC są podzielone na cztery kategorie:
• Wskaźniki e-mail
Atakujący zazwyczaj preferują usługi e-mail do wysyłania złośliwych danych do docelowej organizacji lub osoby. Takie socjotechniczne e-maile są preferowane ze względu na łatwość użycia i względną anonimowość. Przykłady wskaźników wiadomości e-mail obejmują adres e-mail nadawcy, temat wiadomości e-mail oraz załączniki lub łącza.
• Wskaźniki sieciowe
Wskaźniki sieciowe są przydatne do dowodzenia i kontroli, dostarczania złośliwego oprogramowania oraz identyfikowania szczegółów dotyczących systemu operacyjnego, typu przeglądarki i innych informacji specyficznych dla komputera. Przykłady wskaźników sieciowych obejmują adresy URL, nazwy domen i adresy IP.
• Wskaźniki oparte na hostach
Wskaźniki oparte na hoście znajdują się poprzez analizę zainfekowanego systemu w sieci organizacyjnej. Przykłady wskaźników opartych na hoście obejmują nazwy plików, skróty plików, klucze rejestru, biblioteki DLL i mutex.
• Wskaźniki behawioralne
Ogólnie rzecz biorąc, typowe loC są przydatne do identyfikowania oznak włamania, takich jak złośliwe adresy IP, sygnatury wirusów, skróty MD5 i nazwy domen. LoC behawioralne służą do identyfikowania określonych zachowań związanych ze złośliwymi działaniami, takimi jak wstrzykiwanie kodu do pamięci lub uruchamianie skryptów aplikacji. Dobrze zdefiniowane zachowania umożliwiają szeroką ochronę w celu zablokowania wszystkich bieżących i przyszłych złośliwych działań. Wskaźniki te są przydatne do identyfikowania sytuacji, w których legalne usługi systemowe są wykorzystywane do nietypowych lub nieoczekiwanych działań. Przykłady wskaźników behawioralnych obejmują dokument wykonujący skrypt PowerShell i zdalne wykonywanie poleceń.
Poniżej wymieniono niektóre z kluczowych wskaźników kompromisu (loC):
• Nietypowy wychodzący ruch sieciowy
• Niezwykła aktywność za pośrednictwem uprzywilejowanego konta użytkownika
• Anomalie geograficzne
• Wiele błędów logowania
• Zwiększony wolumen odczytu bazy danych
• Duży rozmiar odpowiedzi HTML
• Wiele wniosków o ten sam plik
• Niedopasowany ruch aplikacji portów
• Podejrzane zmiany w rejestrze lub plikach systemowych
• Nietypowe żądania DNS
• Nieoczekiwane łatanie systemów
• Oznaki działania rozproszonej odmowy usługi (DDoS).
• Pakiety danych w niewłaściwych miejscach
• Ruch sieciowy z nadludzkim zachowaniem
Ramy MITRE ATT&CK
MITRE ATT&CK to globalnie dostępna baza wiedzy na temat taktyk i technik przeciwnika, oparta na rzeczywistych obserwacjach. Baza wiedzy ATT&CK jest wykorzystywana jako podstawa do opracowywania konkretnych modeli zagrożeń i metodologii w sektorze prywatnym, rządowym oraz w społeczności produktów i usług związanych z cyberbezpieczeństwem. MITER ATT&CK składa się z trzech kolekcji taktyk i technik, zwanych macierzami Enterprise, Mobile i PRE-ATT&CK, ponieważ każda kolekcja jest reprezentowana w formie matrycy. ATT&CK for Enterprise zawiera 14 kategorii taktyk, które wywodzą się z późniejszych etapów (wykorzystanie, kontrola, utrzymanie i wykonanie) siedmioetapowego łańcucha cyberzabójstw. Zapewnia to głębszy poziom szczegółowości w opisywaniu tego, co może wystąpić podczas włamania. Poniżej przedstawiono taktyki w ATT&CK dla przedsiębiorstw
• Rozpoznanie
• Rozwój zasobów
• Początkowy dostęp* Wykonanie
• Wytrwałość
• Eskalacja uprawnień
• Unikanie obrony
• Dostęp poświadczeń
• Odkrycie
• Ruch boczny
• Kolekcja
• Dowodzenie i kontrola
• Eksfiltracja
• Uderzenie
Niektóre przypadki użycia MITER ATT&CK dla przedsiębiorstw:
• Nadaj priorytet pracom rozwojowym i akwizycyjnym w zakresie możliwości obrony sieci komputerowych.
• Przeprowadzaj analizy alternatyw między możliwościami obrony sieci.
• Określ "pokrycie" zestawu możliwości obrony sieci.
• Opisz łańcuch zdarzeń włamań oparty na technice zastosowanej od początku do końca, ze wspólnym odniesieniem.
• Zidentyfikuj podobieństwa między przeciwnikami, a także cechy wyróżniające.
• Połącz środki zaradcze, słabości i przeciwników
Diamentowy model analizy włamań
• Diamentowy Model oferuje ramy do identyfikowania klastrów zdarzeń, które są skorelowane w dowolnym systemie w organizacji.
• Może kontrolować istotny pierwiastek atomowy występujący w każdej aktywności wtargnięcia, która jest określana jako wydarzenie diamentowe
• Korzystając z tego modelu, można opracować skuteczne metody łagodzenia skutków i zwiększyć wydajność analityczną
Meta Cechy modelu diamentu
Przeciwnik: przeciwnik, "który" stał za atakiem.
Ofiara: Cel, który został wykorzystany lub "gdzie" przeprowadzono atak.
Zdolność: Strategie ataku lub "jak" atak został wykonany
Infrastruktura: "czego" przeciwnik użył, aby dotrzeć do ofiary
Diamentowy model analizy włamań
Diamentowy model, opracowany przez doświadczonych analityków, wprowadza najnowocześniejszą technologię do analizy włamań. Model ten oferuje ramy i zestaw procedur do rozpoznawania klastrów zdarzeń, które są skorelowane w dowolnym systemie w organizacji. Model określa istotny pierwiastek atomowy, który występuje w każdej aktywności włamania i jest określany jako zdarzenie diamentowe. Analitycy mogą identyfikować zdarzenia i łączyć je jako wątki aktywności w celu uzyskania informacji o tym, jak i co wydarzyło się podczas ataku. Analitycy mogą również łatwo określić, czy wymagane są jakiekolwiek dane, badając brakujące funkcje. Oferuje również metodę lub mapę tras do analizy incydentów związanych z jakąkolwiek złośliwą działalnością i przewidywania możliwości ataku oraz jego pochodzenia. Dzięki modelowi diamentowemu można opracować bardziej zaawansowane i wydajne metody łagodzenia skutków oraz zwiększyć wydajność analityczną. Powoduje to również oszczędności kosztów dla obrońcy i wzrost kosztów dla przeciwnika. Diamentowe wydarzenie składa się z czterech podstawowych funkcji: przeciwnik, możliwości, infrastruktura i ofiara. Ten model został tak nazwany, ponieważ gdy wszystkie cechy są ułożone zgodnie z relacjami między nimi, tworzy strukturę w kształcie rombu. Chociaż wydaje się, że jest to proste podejście, jest dość złożone i wymaga dużej wiedzy i umiejętności, aby śledzić przebieg ataku. Poniżej przedstawiono podstawowe cechy zdarzenia Diamond w diamentowym modelu analizy włamań.
Przeciwnik: Przeciwnik często odnosi się do przeciwnika lub hakera odpowiedzialnego za atak. Przeciwnik wykorzystuje zdolność wobec ofiary do wykonania złośliwego działania w celu uzyskania korzyści majątkowej lub zaszkodzenia reputacji ofiary. Przeciwnikiem mogą być osoby fizyczne, takie jak osoby z wewnątrz lub organizacja konkurencyjna. Przeciwnicy mogą wykorzystywać wiele technik w celu zdobycia informacji, takich jak adresy e-mail i zasoby sieciowe, a także próbować atakować dowolne aplikacje używane w smartfonach w celu zdobycia poufnych informacji.
Ofiara: ofiarą jest cel, który został wykorzystany lub środowisko, w którym przeprowadzono atak. Przeciwnik wykorzystuje słabe punkty lub luki w zabezpieczeniach w infrastrukturze ofiary, wykorzystując swoje zasoby. Ofiarą może być dowolna osoba, organizacji, instytucji, a nawet informacji sieciowych, takich jak adresy IP, nazwy domen, adresy e-mail i poufne dane osobowe danej osoby.
Zdolność: Zdolność odnosi się do wszystkich strategii, metod i procedur związanych z atakiem. Może to być również złośliwe oprogramowanie lub narzędzie używane przez przeciwnika przeciwko celowi. Możliwości obejmują proste i złożone techniki ataków, takie jak brutalne wymuszanie i ataki ransomware.
Infrastruktura: Infrastruktura odnosi się do sprzętu lub oprogramowania używanego w sieci przez cel, który ma połączenie z przeciwnikiem. Odnosi się do tego, "czego" przeciwnik użył, aby dotrzeć do ofiary. Rozważmy organizację posiadającą serwer poczty e-mail, na którym przechowywane są wszystkie dane dotyczące identyfikatorów e-mail pracowników i innych danych osobowych. Przeciwnik może wykorzystać serwer jako infrastrukturę do przeprowadzenia dowolnego rodzaju ataku, którego celem jest pojedynczy pracownik. Eksploatacja infrastruktury prowadzi do wycieku i eksfiltracji danych.
Dodatkowe meta-funkcje wydarzenia
W modelu Diamond zdarzenie zawiera niektóre podstawowe metacechy, które dostarczają dodatkowych informacji, takich jak czas i źródło zdarzenia. Te metafunkcje pomagają w łączeniu powiązanych zdarzeń, ułatwiając i przyspieszając śledzenie ataku przez analityków. Poniżej przedstawiono funkcje, które pomagają w łączeniu powiązanych zdarzeń.
• Znacznik czasu: Ta funkcja może ujawnić czas i datę wydarzenia. Jest to ważne, ponieważ może wskazywać początek i koniec wydarzenia. Pomaga również w analizie i określeniu cykliczności zdarzenia.
• Faza: Faza pomaga określić postęp ataku lub dowolnej złośliwej aktywności. Różne fazy ataku obejmują fazy stosowane w ramach łańcucha cyberzabójstw: rozpoznanie, uzbrojenie, dostawa, wykorzystanie itp.
• Wynik: Wynik jest wynikiem dowolnego zdarzenia. Na przykład wynikiem ataku może być sukces, niepowodzenie lub nieznany. Można je również segregować przy użyciu podstawowych zasad bezpieczeństwa, takich jak naruszenie poufności (C), naruszenie integralności (l) i naruszenie dostępności (A). CIA skompromitowana.
• Kierunek: Ta funkcja odnosi się do kierunku ataku. Na przykład kierunek może wskazywać, w jaki sposób przeciwnik został skierowany do ofiary. Ta funkcja może być niezwykle pomocna przy opisywaniu zdarzeń opartych na sieci i hostach. Możliwe wartości tej funkcji to ofiara do infrastruktury, przeciwnik do infrastruktury, infrastruktura do infrastruktury i dwukierunkowy.
• Metodologia: Metodologia odnosi się do dowolnej techniki używanej przez przeciwnika do wykonania ataku. Ta funkcja umożliwia analitykowi zdefiniowanie ogólnej klasy wykonywanych działań. Niektóre techniki ataków to wiadomości e-mail typu spear phishing, rozproszone ataki typu "odmowa usługi" (DDoS), ataki polegające na dostarczaniu treści i ataki typu "drive-by-compromise".
• Zasoby: Funkcja zasobów wymaga użycia zewnętrznych zasobów, takich jak narzędzia lub technologie użyte do przeprowadzenia ataku. Obejmuje sprzęt, oprogramowanie, dostęp, wiedzę, dane itp.
Rozszerzony model diamentu
Rozszerzony Model Diamentu zawiera również niezbędne cechy, takie jak metacechy społeczno-polityczne do określenia relacji między przeciwnikiem a ofiarą, a także metacechy technologiczne dla infrastruktury i możliwości.
• Metacecha społeczno-polityczna: Metacecha społeczno-polityczna opisuje relacje między przeciwnikiem a ofiarą. Ta funkcja służy do określenia celu lub motywacji atakującego; typowe motywacje obejmują korzyści finansowe, szpiegostwo korporacyjne i haktywizm.
• Metacecha technologii: Metacecha technologii opisuje związek między infrastrukturą a możliwościami. Ta metafunkcja opisuje, w jaki sposób technologia może zapewnić zarówno infrastrukturę, jak i możliwości komunikacji i działania. Można go również wykorzystać do analizy technologii używanej w organizacji w celu zidentyfikowania wszelkich złośliwych działań.
Koncepcje hakowania
Ta sekcja dotyczy podstawowych pojęć związanych z hakowaniem: czym jest hakowanie, kim jest haker i klasami hakerów.
Co to jest hakowanie?
• Hakowanie odnosi się do wykorzystywania słabych punktów systemu i naruszania zabezpieczeń w celu uzyskania nieautoryzowanego lub niewłaściwego dostępu do zasobów systemu
• Polega na modyfikowaniu funkcji systemu lub aplikacji w celu osiągnięcia celu wykraczającego poza pierwotny cel twórcy
• Hakowanie może służyć do kradzieży i redystrybucji własności intelektualnej, co prowadzi do strat biznesowych
Hakerstwo w dziedzinie bezpieczeństwa komputerowego odnosi się do wykorzystywania luk w zabezpieczeniach systemu i naruszania zabezpieczeń w celu uzyskania nieautoryzowanego lub niewłaściwego dostępu do zasobów systemowych. Polega na modyfikowaniu funkcji systemu lub aplikacji w celu osiągnięcia celu wykraczającego poza pierwotny cel twórcy. Hakerstwo może mieć na celu kradzież, splądrowanie lub redystrybucję własności intelektualnej, prowadząc w ten sposób do strat biznesowych. Hakowanie w sieciach komputerowych odbywa się zazwyczaj za pomocą skryptów lub innego oprogramowania sieciowego. Techniki hakerskie w sieci obejmują tworzenie wirusów i robaków, przeprowadzanie ataków typu "odmowa usługi" (DoS), nawiązywanie nieautoryzowanych połączeń zdalnego dostępu do urządzenia za pomocą trojanów lub tylnych drzwi, tworzenie botnetów, wąchanie pakietów, phishing i łamanie haseł. Motywem hakowania może być między innymi kradzież krytycznych informacji lub usług, dla emocji, wyzwania intelektualnego, ciekawości, eksperymentu, wiedzy, korzyści finansowych, prestiżu, władzy, uznania rówieśników, zemsty i mściwości.
Kim jest haker?
01. Inteligentna osoba z doskonałymi umiejętnościami obsługi komputera, która potrafi tworzyć i badać oprogramowanie i sprzęt komputerowy
02. Dla niektórych hakerów hakowanie jest hobby, aby zobaczyć, ile komputerów lub sieci mogą zhakować
03. Intencjami niektórych hakerów może być zdobycie wiedzy lub sondowanie i robienie nielegalnych rzeczy
Haker to osoba, która włamuje się do systemu lub sieci bez uprawnień w celu zniszczenia, kradzieży poufnych danych lub przeprowadzenia złośliwych ataków. Haker to inteligentna osoba z doskonałymi umiejętnościami obsługi komputera, a także umiejętnością tworzenia i eksplorowania oprogramowania i sprzętu komputerowego. Zwykle haker to wykwalifikowany inżynier lub programista posiadający wystarczającą wiedzę, aby wykryć luki w systemie docelowym. Na ogół mają wiedzę merytoryczną i lubią poznawać szczegóły różnych języków programowania i systemów komputerowych. Dla niektórych hakerów hakowanie jest hobby, aby zobaczyć, ile komputerów lub sieci mogą zhakować. Ich zamiarem może być zdobycie wiedzy lub grzebanie w celu robienia nielegalnych rzeczy. Niektórzy włamują się ze złośliwymi zamiarami za swoimi eskapadami, takimi jak kradzież danych firmowych, informacji o kartach kredytowych, numerów ubezpieczenia społecznego i haseł do poczty e-mail.
Klasy hakerów
Czarne Kapelusze : Osoby o niezwykłych umiejętnościach komputerowych; uciekają się do złośliwych lub destrukcyjnych działań i są również znane jako crackerzy
Białe Kapelusze : Osoby, które wykorzystują swoje rzekome umiejętności hakerskie do celów obronnych i są również znane jako analitycy bezpieczeństwa. Mają pozwolenie od właściciela systemu
Szare Kapelusze : Osoby, które w różnych momentach działają zarówno ofensywnie, jak i defensywnie
Hakerzy-samobójcy : Osoby, które dążą do zniszczenia infrastruktury krytycznej w "sprawie" i nie martwią się karą więzienia ani jakąkolwiek inną karą
Script Kiddies : Niewykwalifikowany haker, który włamuje się do systemu, uruchamiając skrypty, narzędzia i oprogramowanie opracowane przez prawdziwych hakerów
Cyberterroryści : Osoby o szerokim zakresie umiejętności motywowane przekonaniami religijnymi lub politycznymi do siania strachu poprzez zakłócanie sieci komputerowych na dużą skalę
Sponsorowane przez państwo : Osoby zatrudnione przez rząd do penetracji i pozyskiwania ściśle tajnych informacji oraz niszczenia systemów informatycznych innych rządów
Hakerzy Haktywista : Osoby, które hakerami promują program polityczny, zwłaszcza używając hakerów do niszczenia lub wyłączania witryny.
Zespoły hakerów : Konsorcjum wykwalifikowanych hakerów dysponujących własnymi zasobami i środkami finansowymi. Pracują razem w synergii, badając najnowocześniejsze technologie
Szpiedzy przemysłowi : Osoby, które prowadzą szpiegostwo korporacyjne poprzez nielegalne szpiegowanie konkurencyjnych organizacji i skupiają się na kradzieży informacji, takich jak plany i formuły
Insiders : Każda zaufana osoba, która ma dostęp do krytycznych zasobów organizacji. Korzystają z uprzywilejowanego dostępu, aby naruszać zasady lub celowo wyrządzać szkody w systemie informatycznym organizacji
Syndykaty zbrodnicze : Grupy osób zaangażowanych w zorganizowaną, planowaną i długotrwałą działalność przestępczą. Nielegalnie defraudują pieniądze, przeprowadzając wyrafinowane cyberataki
Zorganizowani hakerzy : Oszuści lub zatwardziali przestępcy, którzy używają wypożyczonych urządzeń lub botnetów do przeprowadzania różnych cyberataków w celu kradzieży pieniędzy od ofiar.
Hakerzy zazwyczaj należą do jednej z następujących kategorii, w zależności od ich działań:
Czarne kapelusze: Czarne kapelusze to osoby, które wykorzystują swoje niezwykłe umiejętności komputerowe do nielegalnych lub złośliwych celów. Ta kategoria hakerów jest często zaangażowana w działalność przestępczą. Znani są również jako crackerzy.
Białe kapelusze: Białe kapelusze lub testerzy penetracji to osoby, które wykorzystują swoje umiejętności hakerskie do celów obronnych. Obecnie prawie każda organizacja ma analityków bezpieczeństwa, którzy mają wiedzę na temat hakerskich środków zaradczych, które mogą zabezpieczyć jej sieć i systemy informatyczne przed złośliwymi atakami. Mają pozwolenie od właściciela systemu.
Szare kapelusze: Szare kapelusze to osoby, które w różnych momentach pracują zarówno ofensywnie, jak i defensywnie. Szare kapelusze mogą pomóc hakerom znaleźć różne luki w systemie lub sieci, a jednocześnie pomóc dostawcom ulepszyć produkty (oprogramowanie lub sprzęt) poprzez sprawdzanie ograniczeń i zwiększanie ich bezpieczeństwa.
Hakerzy-samobójcy: Hakerzy-samobójcy to osoby, które dążą do zniszczenia krytycznej infrastruktury w "sprawie" i nie martwią się karą więzienia ani jakimkolwiek innym rodzajem kary. Hakerzy-samobójcy są podobni do zamachowców-samobójców, którzy poświęcają swoje życie za atak i dlatego nie przejmują się konsekwencjami swoich działań.
Script Kiddies: Script Kiddies to niewykwalifikowani hakerzy, którzy narażają systemy, uruchamiając skrypty, narzędzia i oprogramowanie opracowane przez prawdziwych hakerów. Zwykle skupiają się raczej na ilości niż na jakości inicjowanych przez siebie ataków. Nie mają określonego celu ani celu w wykonaniu ataku i po prostu dążą do zdobycia popularności lub udowodnienia swoich umiejętności technicznych.
Cyberterroryści: Cyberterroryści to osoby o szerokim zakresie umiejętności, motywowane przekonaniami religijnymi lub politycznymi, aby wywołać strach przed zakłóceniami sieci komputerowych na dużą skalę.
Hakerzy sponsorowani przez państwo: hakerzy sponsorowani przez państwo to wykwalifikowane osoby posiadające doświadczenie w hakowaniu i są zatrudniani przez rząd do penetracji, pozyskiwania ściśle tajnych informacji i niszczenia systemów informatycznych innych organizacji rządowych lub wojskowych. Głównym celem tych cyberprzestępców jest wykrywanie słabych punktów w infrastrukturze kraju i wykorzystywanie jej oraz gromadzenie danych wywiadowczych lub poufnych informacji.
Koncepcje etycznego hakowania
Etyczny haker postępuje podobnie do hakera złośliwego. Kroki uzyskiwania i utrzymywania dostępu do systemu komputerowego są podobne niezależnie od intencji hakera. Ta sekcja zawiera przegląd etycznego hakowania, dlaczego etyczne hakowanie jest konieczne, zakres i ograniczenia etycznego hakowania oraz umiejętności etycznego hakera.
Co to jest hakowanie etyczne?
• Etyczne hakowanie obejmuje użycie narzędzi, sztuczek i technik hakerskich w celu zidentyfikowania luk w zabezpieczeniach i zapewnienia bezpieczeństwa systemu
• Koncentruje się na symulacji technik stosowanych przez atakujących w celu sprawdzenia istnienia możliwych do wykorzystania luk w zabezpieczeniach systemu
• Etyczni hakerzy przeprowadzają oceny bezpieczeństwa dla organizacji za zgodą odpowiednich władz
Etyczne hakowanie to praktyka polegająca na wykorzystywaniu umiejętności obsługi komputera i sieci w celu pomocy organizacjom w testowaniu bezpieczeństwa ich sieci pod kątem ewentualnych luk i luk w zabezpieczeniach. White Hats (znani również jako analitycy bezpieczeństwa lub etyczni hakerzy) to osoby lub eksperci, którzy przeprowadzają etyczne hakowanie. Obecnie większość organizacji (takich jak firmy prywatne, uniwersytety i organizacje rządowe) zatrudnia białych kapeluszy, aby pomagali im w zwiększaniu bezpieczeństwa cybernetycznego. Dokonują hakowania w sposób etyczny, za zgodą właściciela sieci lub systemu i bez zamiaru wyrządzenia szkody. Etyczni hakerzy zgłaszają wszystkie luki w systemie i właścicielowi sieci w celu naprawy, zwiększając w ten sposób bezpieczeństwo systemu informatycznego organizacji. Etyczne hakowanie obejmuje użycie narzędzi hakerskich, sztuczek i technik zwykle używanych przez atakującego w celu sprawdzenia istnienia możliwych do wykorzystania luk w zabezpieczeniach systemu. Dziś termin hacking jest ściśle kojarzony z działaniami nielegalnymi i nieetycznymi. Trwa debata na temat tego, czy hakowanie może być etyczne, czy nie, biorąc pod uwagę fakt, że nieautoryzowany dostęp do dowolnego systemu jest przestępstwem. Rozważ następujące definicje:
• Rzeczownik "haker" odnosi się do osoby, która lubi poznawać szczegóły systemów komputerowych i poszerzać ich możliwości.
• Czasownik "hakować" opisuje szybki rozwój nowych programów lub inżynierię wsteczną istniejącego oprogramowania w celu uczynienia go lepszym lub bardziej wydajnym w nowy i innowacyjny sposób.
• Terminy "cracker" i "attacker" odnoszą się do osób, które wykorzystują swoje umiejętności hakerskie do celów ofensywnych.
• Termin "etyczny haker" odnosi się do specjalistów ds. bezpieczeństwa, którzy wykorzystują swoje umiejętności hakerskie do celów obronnych.
Większość firm zatrudnia specjalistów IT do audytu swoich systemów pod kątem znanych luk w zabezpieczeniach. Chociaż jest to korzystna praktyka, włamywacze są zwykle bardziej zainteresowani wykorzystaniem nowszych, mniej znanych luk w zabezpieczeniach, więc te audyty systemu według liczb nie wystarczą. Firma potrzebuje kogoś, kto potrafi myśleć jak cracker, nadążać za najnowszymi lukami w zabezpieczeniach i exploitami oraz rozpoznawać potencjalne luki tam, gdzie inni nie mogą. To jest rola etycznego hakera. Etyczni hakerzy zwykle używają tych samych narzędzi i technik, co hakerzy, z ważnym wyjątkiem, że nie uszkadzają systemu. Oceniają bezpieczeństwo systemu, informują administratorów o wszelkich wykrytych lukach i zalecają procedury łatania tych luk. Ważną różnicą między etycznymi hakerami a crackerami jest zgoda. Crackerzy próbują uzyskać nieautoryzowany dostęp do systemów, podczas gdy etyczni hakerzy są zawsze całkowicie otwarci i przejrzyści w kwestii tego, co robią i jak to robią. Etyczne hakowanie jest zatem zawsze legalne.
Dlaczego etyczne hakowanie jest konieczne
Aby pokonać hakera, musisz myśleć jak on!
Etyczny hacking jest niezbędny, ponieważ pozwala na kontrataki przeciwko złośliwym hakerom poprzez przewidywanie metod użytych do włamania się do systemu. Powody, dla których organizacje rekrutują etycznych hakerów:
• Aby uniemożliwić hakerom uzyskanie dostępu do systemów informatycznych organizacji
• Zapewnienie odpowiednich środków zapobiegawczych w celu uniknięcia naruszeń bezpieczeństwa
• Aby odkryć luki w zabezpieczeniach systemów i zbadać ich potencjał jako zagrożenia bezpieczeństwa
• Aby pomóc chronić dane klientów
• Aby analizować i wzmacniać stan bezpieczeństwa organizacji, w tym zasady, infrastrukturę ochrony sieci i praktyki użytkowników końcowych
• Zwiększenie świadomości bezpieczeństwa na wszystkich poziomach w firmie
Etyczni hakerzy próbują odpowiedzieć na następujące pytania
Co intruz może zobaczyć w docelowym systemie? (Fazy rozpoznania i skanowania)
Co intruz może zrobić z tymi informacjami? (Fazy uzyskiwania i utrzymywania dostępu)
Czy ktoś w docelowej organizacji zauważa próby lub sukcesy intruzów? (Fazy rozpoznania i ukrywania śladów)
Czy wszystkie komponenty systemu informatycznego są odpowiednio chronione, aktualizowane i łatane?
Ile czasu, wysiłku i pieniędzy potrzeba, aby uzyskać odpowiednią ochronę?
Czy środki bezpieczeństwa informacji są zgodne ze standardami prawnymi i branżowymi?
Dlaczego etyczne hakowanie jest konieczne
Ponieważ technologia rozwija się w szybszym tempie, rośnie też ryzyko z nią związane. Aby pokonać hakera, trzeba myśleć jak on!
Hackowanie etyczne jest konieczne, ponieważ pozwala przeciwdziałać atakom złośliwych hakerów poprzez przewidywanie metod stosowanych przez nich do włamania się do systemu. Etyczne hakowanie pomaga z dużym wyprzedzeniem przewidywać różne możliwe luki w zabezpieczeniach i naprawiać je bez narażania się na jakikolwiek atak z zewnątrz. Ponieważ hakowanie wymaga kreatywnego myślenia, samo testowanie podatności na ataki i audyty bezpieczeństwa nie mogą zapewnić bezpieczeństwa sieci. Aby osiągnąć bezpieczeństwo, organizacje muszą wdrożyć strategię "dogłębnej obrony" poprzez penetrację swoich sieci w celu oszacowania i ujawnienia słabych punktów. Powody, dla których organizacje rekrutują etycznych hakerów
• Aby uniemożliwić hakerom uzyskanie dostępu do systemów informatycznych organizacji
• Aby odkryć luki w systemach i zbadać ich potencjał jako zagrożenia
• Aby analizować i wzmacniać stan bezpieczeństwa organizacji, w tym zasady, infrastrukturę ochrony sieci i praktyki użytkowników końcowych
• Zapewnienie odpowiednich środków zapobiegawczych w celu uniknięcia naruszeń bezpieczeństwa
• Aby pomóc chronić dane klientów
• Zwiększenie świadomości bezpieczeństwa na wszystkich poziomach w firmie
v
Ocena bezpieczeństwa systemu informatycznego klienta przez etycznego hakera ma na celu udzielenie odpowiedzi na trzy podstawowe pytania:
1. Co osoba atakująca może zobaczyć w systemie docelowym?
Normalne kontrole bezpieczeństwa przeprowadzane przez administratorów systemu często pomijają luki w zabezpieczeniach. Etyczny haker musi pomyśleć o tym, co atakujący może zobaczyć podczas faz rozpoznania i skanowania ataku.
2. Co intruz może zrobić z tymi informacjami?
Etyczny haker musi rozpoznać intencje i cel ataków, aby określić odpowiednie środki zaradcze. Podczas faz uzyskiwania dostępu i utrzymywania dostępu podczas ataku etyczny haker musi być o krok przed hakerem, aby zapewnić odpowiednią ochronę.
3. Czy próby atakujących są zauważane na systemach docelowych?
Czasami osoby atakujące będą próbować włamać się do systemu przez kilka dni, tygodni, a nawet miesięcy. Innym razem uzyskają dostęp, ale poczekają, zanim zrobią coś szkodliwego. Zamiast tego poświęcą czas na ocenę potencjalnego wykorzystania ujawnionych informacji. W fazie rekonesansu i zakrywania torów etyczny haker powinien zauważyć i powstrzymać atak.
Po przeprowadzeniu ataków hakerzy mogą wyczyścić swoje ślady, modyfikując pliki dziennika i tworząc backdoory lub wdrażając trojany. Etyczni hakerzy muszą zbadać, czy takie działania zostały zarejestrowane i jakie środki zapobiegawcze zostały podjęte. To nie tylko zapewnia im ocenę biegłości atakującego, ale także daje im wgląd w istniejące środki bezpieczeństwa ocenianego systemu. Cały proces etycznego hakowania i późniejszego łatania wykrytych luk w zabezpieczeniach zależy od takich pytań jak:
• Co organizacja stara się chronić?
• Przed kim lub przed czym próbują ją chronić?
• Czy wszystkie komponenty systemu informatycznego są odpowiednio chronione, aktualizowane i łatane?
• Ile czasu, wysiłku i pieniędzy klient jest skłonny zainwestować, aby uzyskać odpowiednią ochronę?
• Czy środki bezpieczeństwa informacji są zgodne ze standardami branżowymi i prawnymi?
Czasami, aby zaoszczędzić na zasobach lub zapobiec dalszemu wykrywaniu, klient może zdecydować o zakończeniu oceny po znalezieniu pierwszej luki; dlatego ważne jest, aby etyczny haker i klient opracowali wcześniej odpowiednie ramy dochodzenia. Klient musi być przekonany o znaczeniu tych ćwiczeń bezpieczeństwa poprzez zwięzłe opisy tego, co się dzieje i jaka jest stawka. Etyczny haker musi również pamiętać, aby przekazać klientowi, że nigdy nie da się całkowicie zabezpieczyć systemów, ale zawsze można je ulepszyć.
Zakres i ograniczenia etycznego hakowania
Zakres
• Etyczne hakowanie jest kluczowym elementem oceny ryzyka, audytu, przeciwdziałania oszustwom i najlepszych praktyk w zakresie bezpieczeństwa systemów informatycznych
• Służy do identyfikacji zagrożeń i podkreślenia działań naprawczych. Zmniejsza również koszty ICT poprzez usuwanie luk w zabezpieczeniach
Ograniczenia
• O ile firmy nie wiedzą już, czego szukają i dlaczego zatrudniają zewnętrznego dostawcę do hakowania systemów, są szanse, że nie zyskają wiele na tym doświadczeniu
• Etyczny haker może tylko pomóc organizacji w lepszym zrozumieniu jej systemu bezpieczeństwa; organizacja musi umieścić odpowiednie zabezpieczenia w sieci
Eksperci ds. bezpieczeństwa ogólnie dzielą przestępstwa komputerowe na dwie kategorie: przestępstwa wspomagane przez komputer i te, w których celem jest komputer. Etyczne hakowanie to ustrukturyzowana i zorganizowana ocena bezpieczeństwa, zwykle jako część testu penetracyjnego lub audytu bezpieczeństwa, i jest kluczowym elementem oceny ryzyka, audytu, zwalczania oszustw i najlepszych praktyk w zakresie bezpieczeństwa systemów informatycznych. Służy do identyfikowania zagrożeń i wskazywania działań zaradczych. Jest również używany do zmniejszania kosztów technologii informacyjno-komunikacyjnych (ICT) poprzez eliminowanie luk w zabezpieczeniach. Etyczni hakerzy określają zakres oceny bezpieczeństwa zgodnie z obawami bezpieczeństwa klienta. Wielu etycznych hakerów jest członkami "zespołu tygrysów". Zespół tygrysów pracuje razem, aby przeprowadzić pełny test obejmujący wszystkie aspekty sieci, a także włamania fizyczne i systemowe. Etyczny haker powinien znać kary za nieautoryzowane włamanie do systemu. Żadne etyczne działania hakerskie związane z testem penetracji sieci lub audytem bezpieczeństwa nie powinny rozpoczynać się przed otrzymaniem podpisanego dokumentu prawnego dającego etycznemu hakerowi wyraźną zgodę na przeprowadzenie działań hakerskich od docelowej organizacji. Etyczni hakerzy muszą rozsądnie podchodzić do swoich umiejętności hakerskich i zdawać sobie sprawę z konsekwencji ich niewłaściwego wykorzystania. Etyczny haker musi przestrzegać pewnych zasad, aby wypełnić swoje etyczne i moralne obowiązki. Muszą wykonać następujące czynności:
• Uzyskaj autoryzację od klienta i podpisaną umowę zezwalającą testerowi na wykonanie testu.
• Zachowaj poufność podczas przeprowadzania testu i postępuj zgodnie z Umową o zachowaniu poufności (NDA) z klientem w odniesieniu do poufnych informacji ujawnionych podczas testu. Zebrane informacje mogą zawierać informacje wrażliwe, a etyczny haker nie może ujawniać żadnych informacji o teście ani poufnych danych firmy osobom trzecim.
• Wykonaj test do uzgodnionych limitów, ale nie poza nimi. Na przykład etyczni hakerzy powinni przeprowadzać ataki DoS tylko wtedy, gdy wcześniej uzgodnili to z klientem. Utrata przychodów, wartości firmy i gorsze konsekwencje mogą spotkać organizację, której serwery lub aplikacje są niedostępne dla klientów z powodu testów.
Poniższe kroki zapewniają ramy do przeprowadzania audytu bezpieczeństwa organizacji, które pomogą zapewnić, że test jest zorganizowany, wydajny i etyczny:
• Porozmawiaj z klientem i omów potrzeby, które należy uwzględnić podczas testowania
• Przygotowywanie i podpisywanie dokumentów NDA z klientem
• Zorganizuj zespół ds. etycznego hakowania i przygotuj harmonogram testów
• Przeprowadź test
• Przeanalizuj wyniki testów i przygotuj raport
• Przedstawienie klientowi wyników raportu
Istnieją jednak również ograniczenia. O ile firmy najpierw nie wiedzą, czego szukają i dlaczego zatrudniają zewnętrznego dostawcę do włamania się do ich systemów, istnieje duże prawdopodobieństwo, że nie zyskają wiele na doświadczeniu. Etyczny haker może zatem jedynie pomóc organizacji lepiej zrozumieć jej system bezpieczeństwa. To do organizacji należy umieszczenie odpowiednich zabezpieczeń w sieci.
Umiejętności etycznego hakera
1. Umiejętności techniczne
• Dogłębna znajomość głównych środowisk operacyjnych, takich jak Windows, Unix, Linux i Macintosh
• Dogłębna wiedza na temat koncepcji sieciowych, technologii komunikacyjnych oraz powiązanego sprzętu i oprogramowania
• Ekspert komputerowy biegły w dziedzinach technicznych
• Posiada wiedzę na temat obszarów bezpieczeństwa i związanych z nimi zagadnień
• "Wysoka wiedza techniczna" do przeprowadzania wyrafinowanych ataków
2 Umiejętności nietechniczne
• Zdolność do szybkiego uczenia się i przyjmowania nowych technologii
• Silna etyka pracy i dobre rozwiązywanie problemów oraz
• Zaangażowany w politykę bezpieczeństwa organizacji
• Znajomość lokalnych norm i przepisów
Niezbędne jest, aby etyczny haker zdobył wiedzę i umiejętności, aby stać się hakerem ekspertem i wykorzystywać tę wiedzę w sposób zgodny z prawem. Umiejętności techniczne i nietechniczne niezbędne do bycia dobrym etycznym hakerem omówiono poniżej:
Kontrola bezpieczeństwa informacji
Mechanizmy kontroli bezpieczeństwa informacji zapobiegają występowaniu niepożądanych zdarzeń i zmniejszają ryzyko dla zasobów informacyjnych organizacji. Podstawowe koncepcje bezpieczeństwa krytyczne dla informacji w Internecie to poufność, integralność i dostępność; pojęcia związane z osobami uzyskującymi dostęp do informacji to uwierzytelnianie, autoryzacja i niezaprzeczalność. Informacja jest największym kapitałem organizacji. Należy go zabezpieczyć za pomocą różnych polityk, tworząc świadomości, stosując mechanizmy bezpieczeństwa lub w inny sposób. Ta sekcja dotyczy zapewniania informacji (IA), ciągłej/adaptacyjnej strategii bezpieczeństwa, dogłębnej obrony, zarządzania ryzykiem, analizy zagrożeń cybernetycznych, modelowania zagrożeń, zarządzania incydentami oraz koncepcji Al i ML.
Zapewnienie informacji (IA)
• A odnosi się do zapewnienia, że integralność, dostępność, poufność i autentyczność informacji i systemów informacyjnych jest chroniona podczas użytkowania, przetwarzania, przechowywania i przesyłania informacji
• Niektóre z procesów, które pomagają w uzyskaniu pewności informacji obejmują:
1.Opracowanie lokalnej polityki, procesu i wytycznych
2.Projektowanie strategii uwierzytelniania sieci i użytkowników
3. Identyfikacja słabych punktów i zagrożeń sieciowych
4.Identyfikacja problemu i zapotrzebowania na zasoby
5. Tworzenie planów dla zidentyfikowanych potrzeb zasobów
6. Stosowanie odpowiednich kontroli zapewniania informacji
7.Wykonywanie certyfikacji i akredytacji
8. Prowadzenie szkoleń w zakresie zapewniania informacji
IA odnosi się do zapewnienia integralności, dostępności, poufności i autentyczności informacji i systemów informatycznych podczas użytkowania, przetwarzania, przechowywania i przesyłania informacji. Eksperci ds. bezpieczeństwa zapewniają zapewnienie informacji za pomocą kontroli fizycznych, technicznych i administracyjnych. Zapewnianie informacji i zarządzanie ryzykiem informacyjnym (IRM) zapewniają, że tylko upoważniony personel ma dostęp do informacji i korzysta z nich. Pomaga to w osiągnięciu bezpieczeństwa informacji i ciągłości działania. Niektóre z procesów, które pomagają w uzyskaniu pewności informacji obejmują:
• Opracowanie lokalnej polityki, procesu i wytycznych w taki sposób, aby utrzymać systemy informatyczne na optymalnym poziomie bezpieczeństwa
• Projektowanie sieci i strategii uwierzytelniania użytkowników - Projektowanie bezpiecznej sieci zapewnia poufność danych użytkowników i innych informacji w sieci. Wdrożenie skutecznej strategii uwierzytelniania użytkowników zabezpiecza dane systemu informatycznego
• Identyfikacja słabych punktów i zagrożeń w sieci - oceny podatności określają stan bezpieczeństwa sieci. Wykonywanie ocen podatności w poszukiwaniu podatności i zagrożeń sieciowych pomaga podjąć odpowiednie działania w celu ich przezwyciężenia
• Identyfikacja problemów i wymagań dotyczących zasobów
• Tworzenie planu dla zidentyfikowanych potrzeb zasobów
• Stosowanie odpowiednich kontroli zapewniania informacji
• Przeprowadzanie procesu certyfikacji i akredytacji (C&A) systemów informatycznych pomaga śledzić luki w zabezpieczeniach i wdrażać środki bezpieczeństwa w celu ich usunięcia
• Zapewnienie szkolenia w zakresie zapewniania informacji dla całego personelu organizacji federalnych i prywatnych przynosi wśród nich świadomość technologii informacyjnej
Ciągła/adaptacyjna strategia bezpieczeństwa
• Organizacje powinny przyjąć adaptacyjną strategię bezpieczeństwa, która obejmuje wdrożenie wszystkich czterech podejść do bezpieczeństwa sieci
• Adaptacyjna strategia bezpieczeństwa składa się z czterech działań związanych z bezpieczeństwem odpowiadających każdemu podejściu do bezpieczeństwa
Chronić
> Dogłębna strategia bezpieczeństwa
Chroń punkty końcowe
Chroń sieć
Chroń dane
Reagować
> Reakcja na incydent
Wykryć
> Ciągłe monitorowanie zagrożeń
Przewidywać
> Ocena ryzyka i podatności na zagrożenia
> Analiza powierzchni ataku
> Analiza zagrożeń
Adaptacyjna strategia bezpieczeństwa wymaga ciągłego przewidywania, zapobiegania, wykrywania i reagowania w celu zapewnienia kompleksowej ochrony sieci komputerowej.
Ochrona: obejmuje zestaw wcześniejszych środków zaradczych podjętych w celu wyeliminowania wszystkich możliwych luk w sieci, obejmuje środki bezpieczeństwa, takie jak zasady bezpieczeństwa, bezpieczeństwo fizyczne, bezpieczeństwo hosta, zapora ogniowa i IDS.
Wykrywanie: Wykrywanie obejmuje ocenę sieci pod kątem nieprawidłowości, takich jak ataki, uszkodzenia, próby nieautoryzowanego dostępu i modyfikacje oraz identyfikację ich lokalizacji w sieci. Obejmuje regularne monitorowanie ruchu sieciowego za pomocą narzędzia do monitorowania sieci i sniffwania pakietów.
Reagowanie: Reagowanie na incydenty obejmuje działania, takie jak identyfikacja incydentów, znajdowanie ich przyczyn źródłowych i planowanie możliwego przebiegu działań w celu ich rozwiązania. Obejmuje reagowanie na incydenty, dochodzenie, powstrzymywanie, łagodzenie skutków i kroki eliminacyjne w celu rozwiązania incydentów. Obejmuje to również podjęcie decyzji, czy incydent jest faktycznym incydentem bezpieczeństwa, czy też fałszywym alarmem.
Przewidywanie: Przewidywanie obejmuje identyfikację potencjalnych ataków, celów i metod przed zmaterializowaniem się w wykonalny atak. Prognozowanie obejmuje działania, takie jak przeprowadzanie oceny ryzyka i podatności na zagrożenia, przeprowadzanie analizy powierzchni ataku, wykorzystywanie danych wywiadowczych o zagrożeniach w celu przewidywania przyszłych zagrożeń dla organizacji.
Obrona w głębi
• Dogłębna obrona to strategia bezpieczeństwa, w której w całym systemie informatycznym rozmieszczonych jest kilka warstw ochrony
• Pomaga zapobiegać bezpośrednim atakom na system i jego dane, ponieważ przerwa w jednej warstwie prowadzi atakującego tylko do następnej warstwy
Ochrona w głąb to strategia bezpieczeństwa, w której specjaliści ds. bezpieczeństwa wykorzystują kilka warstw ochrony w całym systemie informatycznym. Strategia ta wykorzystuje wojskową zasadę, że przeciwnikowi trudniej jest pokonać złożony i wielowarstwowy system obronny niż przebić się przez pojedynczą barierę. Głęboka obrona pomaga zapobiegać bezpośrednim atakom na system informatyczny i jego dane, ponieważ przerwa w jednej warstwie prowadzi atakującego tylko do następnej warstwy. Jeśli haker uzyska dostęp do systemu, dogłębna obrona minimalizuje wszelkie niekorzystne skutki i daje administratorom i inżynierom czas na wdrożenie nowych lub zaktualizowanych środków zaradczych, aby zapobiec ponownemu wystąpieniu włamania.
Co to jest ryzyko?
• Ryzyko odnosi się do stopnia niepewności lub oczekiwań, że zdarzenie niepożądane może spowodować uszkodzenie systemu
• Ryzyka są podzielone na różne poziomy w zależności od ich szacowanego wpływu na system
• Macierz ryzyka służy do skalowania ryzyka poprzez uwzględnienie prawdopodobieństwa, prawdopodobieństwa oraz konsekwencji lub wpływu ryzyka
Ryzyko odnosi się do stopnia niepewności lub przewidywania potencjalnych szkód, jakie niekorzystne zdarzenie może spowodować w systemie lub jego zasobach w określonych warunkach. Alternatywnie, ryzyko może być również:
• Prawdopodobieństwo wystąpienia zagrożenia lub zdarzenia, które spowoduje szkodę, stratę lub inny negatywny wpływ na organizację, z powodu zobowiązań wewnętrznych lub zewnętrznych.
• Możliwość działania zagrożenia na wewnętrzną lub zewnętrzną lukę i spowodowania szkody w zasobie.
• Iloczyn prawdopodobieństwa wystąpienia zdarzenia i wpływu zdarzenia na zasób technologii informacyjnej.
Zależność między Ryzykiem, Zagrożeniami, Podatnościami i Wpływem jest następująca:
RYZYKO = Zagrożenia x Podatności x Wpływ
Wpływ zdarzenia na zasób informacyjny jest iloczynem wrażliwości zasobu i wartości zasobu dla interesariuszy. Ryzyko IT można rozszerzyć do
RYZYKO = Zagrożenie x Podatność x Wartość aktywów
W rzeczywistości ryzyko jest kombinacją następujących dwóch czynników:
• Prawdopodobieństwo wystąpienia zdarzenia niepożądanego
• Konsekwencja zdarzenia niepożądanego
Poziom ryzyka
Poziom ryzyka to ocena powstałego wpływu na sieć. Istnieją różne metody różnicowania poziomów ryzyka w zależności od częstotliwości i dotkliwości ryzyka. Jedną z powszechnych metod klasyfikacji ryzyka jest opracowanie dwuwymiarowej macierzy. Ustalenie częstotliwości lub prawdopodobieństwa wystąpienia incydentu (prawdopodobieństwa) oraz jego możliwych konsekwencji jest niezbędne do analizy ryzyka. Nazywa się to poziomem ryzyka. Ryzyko można przedstawić i obliczyć za pomocą następującego wzoru:
Poziom ryzyka = Konsekwencja x Prawdopodobieństwo
Ryzyka są podzielone na różne poziomy w zależności od ich szacowanego wpływu na system. Przede wszystkim istnieją cztery poziomy ryzyka, które obejmują poziomy ekstremalne, wysokie, średnie i niskie. Pamiętaj, że środki kontroli mogą zmniejszyć poziom ryzyka, ale nie zawsze całkowicie je eliminują.
Poziom ryzyka : Konsekwencja : Działanie
Ekstremalne lub wysokie: Poważne lub bezpośrednie zagrożenie:
> Konieczne są natychmiastowe działania w celu zwalczania ryzyka
> Zidentyfikować i wprowadzić kontrole w celu zmniejszenia ryzyka do rozsądnie niskiego poziomu
Średnie : Umiarkowane zagrożenie :
> Natychmiastowe działanie nie jest wymagane, ale należy je szybko wdrożyć
> Wdrożyć kontrole tak szybko, jak to możliwe, aby zmniejszyć ryzyko do rozsądnie niskiego poziomu
Niski : Nieistotne zagrożenie :
> Podejmij działania zapobiegawcze, aby złagodzić skutki ryzyka
Macierz Ryzyka
Macierz ryzyka skaluje prawdopodobieństwo wystąpienia lub prawdopodobieństwo wystąpienia ryzyka wraz z jego konsekwencjami lub wpływem. Jest to graficzna reprezentacja dotkliwości ryzyka i zakresu, w jakim kontrole mogą lub będą je ograniczać. Macierz ryzyka jest jednym z najprostszych procesów do wykorzystania w celu zwiększenia widoczności ryzyka; przyczynia się do zdolności decyzyjnej kierownictwa. Macierz ryzyka definiuje różne poziomy ryzyka i kategoryzuje je jako iloczyn ujemnego prawdopodobieństwa i ujemnej dotkliwości. Chociaż istnieje wiele standardowych macierzy ryzyka, poszczególne organizacje muszą tworzyć własne.
Prawdopodobieństwo: Konsekwencje
Ryzyko : Nieistotne : Drobne : Umiarkowane : Duże : Ciężkie
81- 100% : Bardzo wysokie Prawdopodobieństwo : Niskie : Średnie : Wysokie : Ekstremalne : Ekstremalne
61-80% : Wysokie prawdopodobieństwo : Niskie : Średnie : Wysokie : Wysokie : Ekstremalne
41- 60% : Równe prawdopodobieństwo : Niskie : Średnie : Średnie : Wysokie : Wysokie
21-40% : Niskie Prawdopodobieństwo : Niskie : Niskie : Średnie : Średnie : Wysokie
1- 20% : Bardzo niskie Prawdopodobieństwo : Niskie : Niskie : Średnie : Średnie : Wysokie
Powyższa tabela jest graficzną reprezentacją macierzy ryzyka, która służy do wizualizacji i porównywania ryzyka. Rozróżnia dwa poziomy ryzyka i jest prostym sposobem ich analizy.
• Prawdopodobieństwo: prawdopodobieństwo wystąpienia ryzyka
• Konsekwencja: dotkliwość występującego zdarzenia ryzyka
Uwaga: To jest przykład macierzy ryzyka. Organizacje muszą tworzyć indywidualne macierze ryzyka w oparciu o swoje potrzeby biznesowe.
Zarządzanie ryzykiem
• Zarządzanie ryzykiem to proces ograniczania i utrzymywania ryzyka na akceptowalnym poziomie za pomocą dobrze zdefiniowanego i aktywnie stosowanego programu bezpieczeństwa
Fazy zarządzania ryzykiem
• Identyfikacja ryzyka: identyfikuje źródła, przyczyny, konsekwencje i inne szczegóły dotyczące wewnętrznych i zewnętrznych zagrożeń mających wpływ na bezpieczeństwo organizacji
• Ocena ryzyka: ocenia ryzyko organizacji i zapewnia oszacowanie prawdopodobieństwa i wpływu ryzyka
• Postępowanie z ryzykiem: wybiera i wdraża odpowiednie kontrole dla zidentyfikowanych zagrożeń
• RiskTracking: Zapewnia wdrożenie odpowiednich kontroli w celu obsługi znanych zagrożeń i oblicza szanse wystąpienia nowego ryzyka
• Przegląd Ryzyka: ocenia skuteczność wdrożonych strategii zarządzania ryzykiem
Zarządzanie ryzykiem to proces identyfikowania, oceniania, reagowania i wdrażania działań kontrolujących sposób, w jaki organizacja zarządza potencjalnymi skutkami ryzyka. Zajmuje ważne miejsce w całym cyklu życia zabezpieczeń i jest ciągłym i coraz bardziej złożonym procesem. Rodzaje ryzyka różnią się w zależności od organizacji, ale przygotowanie planu zarządzania ryzykiem jest wspólne dla wszystkich organizacji.
Cele zarządzania ryzykiem
• Identyfikacja potencjalnych zagrożeń - to główny cel zarządzania ryzykiem
• Zidentyfikuj wpływ ryzyka i pomóż organizacji opracować lepsze strategie i plany zarządzania ryzykiem
• Ustal priorytety ryzyka, w zależności od wpływu lub dotkliwości r
yzyka, i użyj ustalonych metod, narzędzi i technik zarządzania ryzykiem, aby pomóc w tym zadaniu
• Zrozumieć i przeanalizować ryzyko oraz zgłosić zidentyfikowane zdarzenia ryzyka.
• Kontroluj ryzyko i ograniczaj jego skutki.
• Stwórz świadomość wśród pracowników ochrony oraz opracuj strategie i plany dotyczące trwałych strategii zarządzania ryzykiem.
Zarządzanie ryzykiem to ciągły proces realizowany poprzez osiąganie celów na każdym etapie. Pomaga zmniejszyć i utrzymać ryzyko na akceptowalnym poziomie, wykorzystując dobrze zdefiniowany i aktywnie stosowany program bezpieczeństwa. Proces ten jest stosowany na wszystkich etapach organizacji, na przykład w określonych lokalizacjach sieciowych, zarówno w kontekście strategicznym, jak i operacyjnym. Cztery kluczowe etapy powszechnie określane jako fazy zarządzania ryzykiem to:
• Identyfikacja ryzyka
• Ocena ryzyka
• Leczenie ryzyka
• Śledzenie i przegląd ryzyka
Każda organizacja powinna postępować zgodnie z powyższymi krokami realizując proces zarządzania ryzykiem.
Identyfikacja ryzyka
Początkowy krok planu zarządzania ryzykiem. Jego głównym celem jest identyfikacja zagrożeń - w tym źródeł, przyczyn i skutków zagrożeń wewnętrznych i zewnętrznych wpływających na bezpieczeństwo organizacji, zanim spowodują szkody. Proces identyfikacji ryzyka zależy od zestawu umiejętności ludzi i różni się w zależności od organizacji.
Ocena ryzyka
Ta faza ocenia ryzyko organizacji oraz szacuje prawdopodobieństwo i wpływ tych ryzyk. Ocena ryzyka to ciągły proces iteracyjny, który wyznacza priorytety dla planów ograniczania ryzyka i wdrażania, które z kolei pomagają określić ilościową i jakościową wartość ryzyka. Każda organizacja powinna przyjąć proces oceny ryzyka w celu wykrywania, ustalania priorytetów i usuwania ryzyka. Ocena ryzyka określa rodzaj występujących zagrożeń, ich prawdopodobieństwo i dotkliwość oraz priorytety i plany kontroli ryzyka. Organizacje przeprowadzają ocenę ryzyka, gdy identyfikują zagrożenie, ale nie są w stanie natychmiast go kontrolować. Po ocenie ryzyka następuje regularna aktualizacja wszystkich narzędzi informacyjnych.
Leczenie ryzyka
Postępowanie z ryzykiem to proces wyboru i wdrożenia odpowiednich kontroli zidentyfikowanych ryzyk w celu ich modyfikacji. Metoda postępowania z ryzykiem odnosi się do ryzyka i traktuje je zgodnie z ich poziomem dotkliwości. Decyzje podejmowane w tej fazie opierają się na wynikach oceny ryzyka. Celem tego kroku jest zidentyfikowanie sposobów postępowania w przypadku zagrożeń, które wykraczają poza tolerancję ryzyka działu, oraz zapewnienie zrozumienia poziomu ryzyka za pomocą środków kontroli i działań. Określa kolejność priorytetów, w jakiej poszczególne ryzyka powinny być traktowane, monitorowane i przeglądane. Przed przystąpieniem do leczenia ryzyka potrzebne są następujące informacje:
• Odpowiednia metoda leczenia
• Osoby odpowiedzialne za leczenie
• Koszty z tym związane
• Korzyści z leczenia
• Prawdopodobieństwo sukcesu
• Sposoby pomiaru i oceny leczenia
• Śledzenie i przegląd ryzyka
Skuteczny plan zarządzania ryzykiem wymaga struktury śledzenia i przeglądu, aby zapewnić skuteczną identyfikację i ocenę ryzyka, a także stosowanie odpowiednich kontroli i reakcji. Proces śledzenia i przeglądu powinien określać przyjęte środki i procedury oraz zapewniać, że informacje zebrane w celu przeprowadzenia oceny są odpowiednie. Faza przeglądu ocenia skuteczność wdrożonych strategii zarządzania ryzykiem. Przeprowadzanie regularnych kontroli polityk i standardów, a także regularny ich przegląd, pomaga zidentyfikować możliwości poprawy. Ponadto proces monitorowania gwarantuje, że istnieją odpowiednie kontrole działań organizacji oraz że wszystkie procedury są zrozumiałe i przestrzegane.
Analiza zagrożeń cybernetycznych
• CyberThreat Intelligence (CTI) definiuje się jako gromadzenie i analizę informacji o zagrożeniach i przeciwnikach oraz rysowanie wzorców, które zapewniają możliwość podejmowania świadomych decyzji dotyczących gotowości, zapobiegania i reagowania na różne ataki cybernetyczne
• Analiza zagrożeń cybernetycznych pomaga organizacji identyfikować i ograniczać różne ryzyka biznesowe poprzez przekształcanie nieznanych zagrożeń w znane zagrożenia; pomaga we wdrażaniu różnych zaawansowanych i proaktywnych strategii obronnych
Rodzaje informacji o zagrożeniach
Strategiczne
• Ogólne informacje na temat zmieniających się ryzyk
• Spożywane przez kadrę kierowniczą wysokiego szczebla i kierownictwo
Taktyczne
• Informacje o TTP atakujących
• Konsumowane przez Menedżerów Usług IT i SOC, Administratorów
Operacyjne e Informacje o nadchodzącym ataku
• Używane przez menedżerów ds. bezpieczeństwa i obrońców sieci
Techniczne
• Informacje o konkretnych wskaźnikach kompromisu
• Spożywane przez personel SOC i zespoły IR
Według słownika oksfordzkiego zagrożenie definiuje się jako "możliwość złośliwej próby uszkodzenia lub zakłócenia działania sieci lub systemu komputerowego". Zagrożenie to potencjalne wystąpienie niepożądanego zdarzenia, które ostatecznie może zaszkodzić i przerwać działalność operacyjną i funkcjonalną organizacji. Zagrożenie może wpłynąć na czynniki integralności i dostępności organizacji. Wpływ zagrożeń jest bardzo duży i może wpływać na stan fizycznych zasobów IT w organizacji. Istnienie zagrożeń może być przypadkowe, zamierzone lub na skutek jakiegoś działania. Wywiad dotyczący cyberzagrożeń, zwykle znany jako CTI, to gromadzenie i analiza informacji o zagrożeniach i przeciwnikach oraz opracowywanie wzorców, które zapewniają możliwość podejmowania świadomych decyzji dotyczących gotowości, zapobiegania i reagowania na różne cyberataki. Jest to proces rozpoznawania lub odkrywania wszelkich "nieznanych zagrożeń", przed którymi może stanąć organizacja, tak aby można było zastosować niezbędne mechanizmy obronne w celu uniknięcia takich zdarzeń. Polega na gromadzeniu, badaniu i analizowaniu trendów i osiągnięć technicznych w dziedzinie cyberzagrożeń (w tym cyberprzestępczości, haktywizmu i szpiegostwa). Każda wiedza o zagrożeniach, która skutkuje planowaniem i podejmowaniem przez organizację decyzji w celu radzenia sobie z nimi, jest częścią analizy zagrożeń. Głównym celem CTI jest uświadomienie organizacji istniejących lub pojawiających się zagrożeń i przygotowanie ich do wypracowania proaktywnej postawy cyberbezpieczeństwa przed ich eksploatacją. Ten proces, w którym nieznane zagrożenia są przekształcane w prawdopodobnie znane, pomaga przewidzieć atak, zanim może on nastąpić, a ostatecznie skutkuje lepszym i bezpieczniejszym systemem. W związku z tym analiza zagrożeń jest przydatna w zapewnianiu bezpiecznego udostępniania danych i globalnych transakcji między organizacjami. Procesy analizy zagrożeń mogą być wykorzystywane do identyfikowania czynników ryzyka odpowiedzialnych za ataki złośliwego oprogramowania, wstrzyknięcia kodu SQL, ataki na aplikacje internetowe, wycieki danych, phishing, ataki typu "odmowa usługi" i inne ataki. Takie ryzyka, po odfiltrowaniu, można umieścić na liście kontrolnej i odpowiednio nimi zarządzać. Analiza zagrożeń jest korzystna dla organizacji w zakresie radzenia sobie z cyberzagrożeniami dzięki skutecznemu planowaniu i realizacji. Wraz z dogłębną analizą zagrożenia, CTI wzmacnia również system obronny organizacji, buduje świadomość o zbliżającym się ryzyku i pomaga w reagowaniu na nie
Rodzaje informacji o zagrożeniach
Analiza zagrożeń to informacje kontekstowe, które opisują zagrożenia i pomagają organizacjom w podejmowaniu różnych decyzji biznesowych. Jest on wyodrębniany z ogromnego zbioru źródeł i informacji. Zapewnia wgląd operacyjny, spoglądając poza organizację i wysyłając alerty dotyczące zmieniających się zagrożeń dla organizacji. W celu lepszego zarządzania informacjami zbieranymi z różnych źródeł ważne jest podzielenie analizy zagrożeń na różne typy. Ten podział jest przeprowadzany na podstawie konsumentów i celów wywiadu. Z punktu widzenia konsumpcji wywiad o zagrożeniach dzieli się na cztery różne typy. Są to mianowicie informacje o zagrożeniach strategicznych, taktycznych, operacyjnych i technicznych. Te cztery typy różnią się pod względem gromadzenia danych, analizy danych i zużycia informacji.
Analiza zagrożeń strategicznych
Analiza zagrożeń strategicznych dostarcza ogólnych informacji dotyczących stanu cyberbezpieczeństwa, zagrożeń, szczegółowych informacji na temat wpływu finansowego różnych działań cybernetycznych, trendów ataków oraz wpływu decyzji biznesowych wysokiego szczebla. Informacje te są wykorzystywane przez kadrę kierowniczą wysokiego szczebla i kierownictwo organizacji, takie jak kierownictwo IT i CISO. Pomaga kierownictwu identyfikować bieżące zagrożenia cybernetyczne, nieznane przyszłe zagrożenia, grupy zagrożeń i przypisywać naruszenia. Uzyskane informacje zapewniają pogląd oparty na ryzyku, który koncentruje się głównie na ogólnych koncepcjach ryzyka i ich prawdopodobieństwa. Zajmuje się głównie problemami długoterminowymi i zapewnia alerty w czasie rzeczywistym dotyczące zagrożeń dla krytycznych zasobów organizacji, takich jak infrastruktura IT, pracownicy, klienci i aplikacje. Ta inteligencja jest wykorzystywana przez kierownictwo do podejmowania strategicznych decyzji biznesowych i analizowania ich skutków. Na podstawie analizy kierownictwo może przeznaczyć wystarczający budżet i personel na ochronę krytycznych zasobów IT i procesów biznesowych. Analiza zagrożeń strategicznych ma zazwyczaj formę raportu, który koncentruje się głównie na strategiach biznesowych wysokiego poziomu. Ponieważ cecha wywiadu o zagrożeniach strategicznych jest wybitna, gromadzenie danych dotyczy również źródeł wysokiego poziomu i wymaga wysoko wykwalifikowanych specjalistów do wydobywania informacji. Te informacje są zbierane z takich źródeł, jak OSINT, dostawcy CTI oraz ISAO i ISAC. Strategiczna analiza zagrożeń pomaga organizacjom zidentyfikować wszelkie podobne incydenty z przeszłości, ich intencje i wszelkie atrybuty, które mogą zidentyfikować atakujących przeciwników, dlaczego organizacja znajduje się w zasięgu ataku, główne trendy ataków i sposoby zmniejszenia poziomu ryzyka. Ogólnie rzecz biorąc, strategiczne informacje o zagrożeniach obejmują następujące informacje:
• Finansowy wpływ działań cybernetycznych
• Atrybucja w przypadku włamań i naruszeń danych
• Aktorzy zagrożeń i trendy w atakach
• Krajobraz zagrożeń dla różnych sektorów przemysłu
• Informacje statystyczne dotyczące naruszeń danych, kradzieży danych i złośliwego oprogramowania
• Konflikty geopolityczne związane z różnymi cyberatakami
• Informacje o tym, jak TTP przeciwnika zmieniają się w czasie
• Sektory przemysłu, które mogą mieć wpływ ze względu na decyzje biznesowe na wysokim szczeblu
Wywiad o zagrożeniach taktycznych
Taktyczne rozpoznanie zagrożeń odgrywa ważną rolę w ochronie zasobów organizacji. Dostarcza informacji związanych z TTP wykorzystywanymi przez cyberprzestępców (atakujących) do przeprowadzania ataków. Taktyczne informacje o zagrożeniach są wykorzystywane przez specjalistów ds. bezpieczeństwa cybernetycznego, takich jak kierownicy usług IT, kierownicy operacji bezpieczeństwa, personel centrum operacji sieciowych (NOC), administratorzy i architekci. Pomaga specjalistom ds. cyberbezpieczeństwa zrozumieć, w jaki sposób przeciwnicy mają przeprowadzić atak na organizację, zidentyfikować wyciek informacji z organizacji oraz ocenić możliwości techniczne i cele atakujących wraz z wektorami ataku. Wykorzystując taktyczne informacje o zagrożeniach, personel ds. bezpieczeństwa opracowuje z wyprzedzeniem strategie wykrywania i łagodzenia zagrożeń poprzez procedury, takie jak aktualizacja produktów zabezpieczających za pomocą zidentyfikowanych wskaźników oraz łatanie wrażliwych systemów. Źródła gromadzenia taktycznych informacji o zagrożeniach obejmują między innymi raporty z kampanii, złośliwe oprogramowanie, raporty o incydentach, raporty grup atakujących i dane wywiadowcze. Informacje te są zazwyczaj uzyskiwane poprzez czytanie oficjalnych dokumentów lub dokumentów technicznych, komunikowanie się z innymi organizacjami lub kupowanie danych wywiadowczych od osób trzecich. Zawiera wysoce techniczne informacje na takie tematy, jak złośliwe oprogramowanie, kampanie, techniki i narzędzia w formie raportów kryminalistycznych. Taktyczna analiza zagrożeń zapewnia codzienne wsparcie operacyjne, pomagając analitykom w ocenie różnych incydentów związanych z bezpieczeństwem związanych ze zdarzeniami, dochodzeniami i innymi działaniami. Pomaga również kierownictwu wysokiego szczebla organizacji w podejmowaniu strategicznych decyzji biznesowych.
Analiza zagrożeń operacyjnych
Analiza zagrożeń operacyjnych dostarcza informacji o konkretnych zagrożeniach dla organizacji. Dostarcza kontekstowych informacji o zdarzeniach i incydentach związanych z bezpieczeństwem, które pomagają obrońcom ujawniać potencjalne zagrożenia, zapewniają lepszy wgląd w metodologie atakujących, identyfikują złośliwe działania w przeszłości i przeprowadzają dochodzenia w sprawie złośliwej aktywności w bardziej efektywny sposób. Jest używany przez menedżerów bezpieczeństwa lub szefów odpowiedzi na incydenty, obrońców sieci, analityków bezpieczeństwa i zespoły wykrywania oszustw. Pomaga organizacjom zrozumieć potencjalnych aktorów zagrożeń oraz ich intencje, możliwości i możliwości zaatakowania wrażliwych zasobów IT oraz wpływ udanego ataku. W wielu przypadkach tylko organizacje rządowe mogą gromadzić tego rodzaju dane wywiadowcze. Jednak takie postępowanie pomaga zespołom IR i kryminalistycznym wdrażać zasoby bezpieczeństwa w celu identyfikowania i powstrzymywania nadchodzących ataków, poprawiać możliwości wykrywania ataków na wczesnym etapie oraz zmniejszać szkody wyrządzane przez ataki na zasoby IT. Informacje o zagrożeniach operacyjnych są zazwyczaj zbierane z takich źródeł, jak ludzie, media społecznościowe i czaty; mogą być również zbierane z rzeczywistych działań i wydarzeń, które skutkują cyberatakami. Informacje o zagrożeniach operacyjnych uzyskuje się poprzez analizę zachowania ludzi, grup zagrożeń i podobnymi środkami. Informacje te pomagają przewidywać przyszłe ataki, a tym samym ulepszają plany reagowania na incydenty i strategie łagodzenia skutków. Analiza zagrożeń operacyjnych ma zazwyczaj postać raportu zawierającego zidentyfikowane szkodliwe działania, zalecane działania i ostrzeżenia o pojawiających się atakach.
Informacje o zagrożeniach technicznych
Analiza zagrożeń technicznych dostarcza informacji o zasobach, których atakujący używa do przeprowadzenia ataku; obejmuje to kanały dowodzenia i kontroli, narzędzia i inne elementy. Ma krótszą żywotność w porównaniu z taktycznym wywiadem o zagrożeniach i koncentruje się głównie na określonym loC. Zapewnia szybką dystrybucję i reakcję na zagrożenia. Na przykład fragment złośliwego oprogramowania wykorzystywany do przeprowadzenia ataku to taktyczna analiza zagrożeń, podczas gdy szczegóły związane z konkretną implementacją złośliwego oprogramowania należą do technicznej analizy zagrożeń. Inne przykłady analizy zagrożeń technicznych obejmują między innymi określone adresy IP i domeny wykorzystywane przez złośliwe punkty końcowe, nagłówki wiadomości phishingowych i sumy kontrolne skrótu złośliwego oprogramowania. Informacje o zagrożeniach technicznych są wykorzystywane przez personel SOC i zespoły IR. Wskaźniki analizy zagrożeń technicznych są zbierane z aktywnych kampanii, ataków przeprowadzanych na inne organizacje lub źródeł danych dostarczanych przez zewnętrzne strony trzecie. Wskaźniki te są zazwyczaj gromadzone w ramach dochodzeń w sprawie ataków przeprowadzanych na różne organizacje. Informacje te pomagają specjalistom ds. bezpieczeństwa dodawać zidentyfikowane wskaźniki do systemów obronnych, takich jak IDS i IPS, zapory ogniowe i systemy bezpieczeństwa punktów końcowych, ulepszając w ten sposób mechanizmy wykrywania wykorzystywane do identyfikowania ataków na wczesnym etapie. Pomaga im również identyfikować złośliwy ruch i adresy IP podejrzane o rozprzestrzenianie złośliwego oprogramowania i spamu. Ta inteligencja jest bezpośrednio przesyłana do urządzeń zabezpieczających w formacie cyfrowym w celu blokowania i identyfikowania przychodzącego i wychodzącego szkodliwego ruchu wchodzącego do sieci organizacji.
Cykl życia informacji o zagrożeniach
1. Planowanie i kierunek
• Zdefiniuj wymagania wywiadowcze
• Zrób plan kolekcji
• Stwórz zespół wywiadowczy
• Wysyłaj prośby o gromadzenie danych
• Zaplanuj i ustal wymagania dla innych faz
2.Zbieranie / Zbieranie wymaganych danych, które spełniają cele wywiadowcze
Źródła kolekcji obejmują:
• OSINT
• HUMINT
• NATYCHMIAST
• MASINT itp.
3. Przetwarzanie i Eksploatacja
• Przetwarzaj surowe dane do wykorzystania
• Konwertuj przetworzone dane do formatu użytecznego do analizy danych
4. Analiza i produkcja
• Połącz informacje z fazy 3 w jedną całość
• Uwzględnij fakty, ustalenia i prognozy
• Analiza powinna być
• Cel
• Terminowe
• Dokładne
• Możliwość zaskarżenia
• Wykonaj analizę opartą na zaufaniu
5. Rozpowszechnianie i integracja
Dostarczaj informacje do zamierzonych konsumentów na różnych poziomach
• Strategiczne (strategie biznesowe wysokiego szczebla)
• Taktyczne (TTP) /
• Operacyjne (specyficzne zagrożenia)
• Techniczne (loC)
Cykl życia informacji o zagrożeniach to ciągły proces opracowywania informacji z surowych danych, który wspiera organizacje w opracowywaniu mechanizmów obronnych w celu udaremnienia pojawiających się zagrożeń i gróźb. Kierownictwo wyższego szczebla organizacji zapewni ciągłe wsparcie zespołowi wywiadu, oceniając i przekazując informacje zwrotne na każdym etapie. Cykl życia informacji o zagrożeniach składa się z pięciu faz: planowania i kierowania, zbierania, przetwarzania i wykorzystywania, analizy i produkcji oraz rozpowszechniania i integracji.
Planowanie i kierunek
W tej fazie opracowywany jest odpowiedni plan w oparciu o wymagania wywiadu strategicznego, na przykład, jakie są wymagania dotyczące opracowywania wywiadu o zagrożeniach, którym informacjom wywiadowczym należy nadać priorytet itp. Ta faza definiuje cały program wywiadowczy od zbierania danych do dostarczenia końcowego produktu wywiadowczego i stanowi podstawę całego procesu wywiadowczego. Obejmuje to również określenie wymagań dotyczących danych, metod, które mają być stosowane do gromadzenia danych, oraz ustanowienie planu gromadzenia danych. Wymagania stawiane są w taki sposób, aby możliwe było gromadzenie efektywnych i autentycznych danych wywiadowczych przy wykorzystaniu stałej liczby zasobów z różnych otwartych źródeł informacji wywiadowczych (OSINT). Wraz z wymaganiami wysyłane są prośby o zebranie danych z różnych źródeł wewnętrznych i zewnętrznych. Podczas tej fazy tworzony jest zespół wywiadowczy, a także określane są jego kluczowe role i obowiązki. Ponadto ustala się planowanie i wymagania dotyczące późniejszych etapów cyklu odpowiednie wsparcie dla jego funkcjonowania.
Kolekcja
W tej fazie musimy bardziej skupić się na zbieraniu pożądanych danych wywiadowczych, które są zdefiniowane w fazie pierwszej. Dane mogą być gromadzone na różne sposoby za pomocą środków technicznych lub ludzkich. Zbieranie informacji może odbywać się bezpośrednio lub potajemnie w oparciu o poufność informacji. Dane wywiadowcze są gromadzone za pośrednictwem takich źródeł, jak wywiad ludzki (HUMINT), wywiad obrazowy (IMINT), wywiad pomiarowy i sygnaturowy (MASINT), wywiad sygnałowy (SIGNT), wywiad open source (OSINT) i loC oraz inne strony trzecie. Obejmuje to zbieranie danych z krytycznych aplikacji, infrastruktury sieciowej, infrastruktury bezpieczeństwa itp. Po zakończeniu procesu zbierania dane są przekazywane do przetwarzania w kolejnym etapie.
Przetwarzanie i Eksploatacja
Do tej fazy dane nie mają odpowiedniego formatu i mają postać nieprzetworzonych danych. Dane pozyskane z poprzednich faz są przetwarzane w celu ich wykorzystania i przekształcania w wartościowe informacje, które mogą być zrozumiałe dla konsumentów. Surowe dane są przekształcane w znaczące informacje przez wysoko wykwalifikowanych specjalistów przy użyciu zaawansowanej technologii i narzędzi. Te zinterpretowane dane są przekształcane w użyteczny format, który można bezpośrednio wykorzystać w fazie analizy danych. Skuteczność przetwarzania wymaga właściwego zrozumienia planu zbierania danych, wymagań konsumenta, strategii analitycznej oraz typów danych, które są przetwarzane. Wiele zautomatyzowanych narzędzi jest używanych do stosowania funkcji przetwarzania danych, takich jak strukturyzacja, deszyfrowanie, tłumaczenie językowe, parsowanie, redukcja danych, filtrowanie, korelacja danych i agregacja danych.
Analiza i produkcja
Po przetworzeniu inteligencji do odpowiedniego formatu, w tej fazie przeprowadzana jest analiza inteligencji w celu uzyskania udoskonalonych informacji. Analiza obejmuje fakty, ustalenia i prognozy, które umożliwiają oszacowanie i przewidywanie ataków oraz ich skutków. Analiza powinna być obiektywna, terminowa, dokładna i wykonalna. Aby uzyskać aktualne i dokładne informacje, analitycy muszą wdrożyć cztery rodzaje technik wnioskowania, które obejmują dedukcję, indukcję, uprowadzenie i metodę naukową opartą na zaufaniu. Ponieważ informacje są uzyskiwane z różnych źródeł, analitycy próbują połączyć te różne źródła w jedną całość na tym etapie.
Surowe dane są przekształcane w informacje za pomocą różnych technik analizy danych, takich jak analizy jakościowe i ilościowe, techniki maszynowe i metody statystyczne. Gdy przeanalizowane informacje dostarczają wystarczającego kontekstu do zidentyfikowania zagrożenia, zostają one podniesione do rangi wywiadu. Ta faza identyfikuje potencjalne zagrożenia dla organizacji i dalej pomaga w opracowaniu odpowiednich środków zaradczych w odpowiedzi na zidentyfikowane zagrożenia.
Upowszechnianie i integracja
Analizowane informacje są następnie gotowe do integracji i dystrybucji do zamierzonych konsumentów, co odbywa się za pomocą środków automatycznych lub metod ręcznych. Główne typy informacji o zagrożeniach, które są zwykle używane do rozpowszechniania, obejmują wskaźniki zagrożeń, TTP przeciwnika, alerty bezpieczeństwa, raporty analizy zagrożeń oraz informacje o konfiguracji narzędzi do używania narzędzi do automatyzacji wszystkich faz analizy zagrożeń. Generowane są różne raporty wywiadowcze, aby spełnić wymagania kierownictwa i kadry kierowniczej wyższego szczebla na poziomie strategicznym, operacyjnym, taktycznym i technicznym. Strategiczne informacje o zagrożeniach są wykorzystywane przez kadrę kierowniczą wysokiego szczebla i kierownictwo i koncentrują się na strategiach biznesowych wysokiego szczebla. Analiza zagrożeń operacyjnych jest wykorzystywana przez specjalistów ds. bezpieczeństwa cybernetycznego, takich jak menedżerowie ds. bezpieczeństwa i obrońcy sieci, i koncentruje się głównie na konkretnych zagrożeniach dla organizacji. Taktyczne informacje o zagrożeniach są wykorzystywane przez specjalistów ds. bezpieczeństwa cybernetycznego, takich jak menedżerowie usług IT i SOC, administratorzy i architekci, i koncentrują się na TTP przeciwnika. Analiza zagrożeń technicznych jest wykorzystywana przez personel SOC i zespoły IR i obejmuje informacje dotyczące zidentyfikowanych loC. Rozproszony wywiad pomaga organizacjom w budowaniu strategii obrony i łagodzenia zidentyfikowanych zagrożeń. Udostępnianie informacji o zagrożeniach wewnętrznie i zewnętrznie pomaga organizacjom uzyskać świadomość sytuacyjną, a także ulepszyć obecny stan bezpieczeństwa i procesy zarządzania ryzykiem. Ta faza zapewnia również informacje zwrotne, które dają więcej danych wejściowych do wymagań informacyjnych, powtarzając w ten sposób cykl życia analizy zagrożeń. Informacja zwrotna to ocena, która opisuje, czy wyodrębniona inteligencja spełnia wymagania konsumenta inteligencji. Te informacje zwrotne pomagają w tworzeniu dokładniejszych informacji dzięki odpowiednim i terminowym ocenom
Modelowanie zagrożeń
Modelowanie zagrożeń to podejście do oceny ryzyka służące do analizy bezpieczeństwa aplikacji poprzez przechwytywanie, organizowanie i analizowanie wszystkich informacji, które mają wpływ na bezpieczeństwo aplikacji
Proces modelowania zagrożeń
01. Zidentyfikuj cele bezpieczeństwa: Pomaga określić, ile wysiłku należy włożyć w kolejne kroki
02. Przegląd aplikacji: Zidentyfikuj komponenty, przepływy danych i granice zaufania
03. Dekompozycja aplikacji Pomaga znaleźć bardziej istotne i szczegółowe zagrożenia
04. Zidentyfikuj zagrożenia: Zidentyfikuj zagrożenia istotne dla scenariusza kontroli i kontekstu, korzystając z informacji uzyskanych w krokach 2 i 3
05. Zidentyfikuj luki w zabezpieczeniach: Zidentyfikuj słabe punkty związane z zagrożeniami wykrytymi za pomocą kategorii podatności
Modelowanie zagrożeń to metoda oceny ryzyka służąca do analizowania bezpieczeństwa aplikacji poprzez przechwytywanie, organizowanie i analizowanie wszystkich informacji, które mają na nią wpływ. Model zagrożeń składa się z trzech głównych elementów konstrukcyjnych: zrozumienia perspektywy przeciwnika, scharakteryzowania bezpieczeństwa systemu i określenia zagrożeń. Każda aplikacja powinna mieć opracowany i udokumentowany model zagrożeń, który należy przeglądać w miarę rozwoju aplikacji i postępu prac rozwojowych. Modelowanie zagrożeń pomaga:
• Zidentyfikować istotne zagrożenia dla konkretnego scenariusza aplikacji
• Zidentyfikować kluczowe luki w projekcie aplikacji
• Poprawić projekt zabezpieczeń
Korzystając z tego podejścia, administrator powinien pamiętać o następujących kwestiach:
• Staraj się nie być sztywnym co do konkretnych kroków lub implementacji; zamiast tego skup się na podejściu. Jeśli jakikolwiek krok stanie się nie do przejścia, przejdź od razu do kroku 4 procesu modelowania zagrożeń i zidentyfikuj problem.
• Użyj scenariuszy, aby określić zakres działania modelowania.
• Wykorzystaj istniejące dokumenty projektowe. Używaj elementów, takich jak udokumentowane przypadki użycia lub historie użycia, diagramy architektoniczne, diagramy przepływu danych lub inna dokumentacja projektowa.
• Zacznij od tablicy przed zapisaniem informacji w dokumentach lub zagubieniem się w szczegółach. Pomocne może być użycie aparatu cyfrowego z możliwością drukowania w celu udokumentowania i rozpowszechnienia informacji z tablicy.
• Użyj podejścia iteracyjnego. Dodawaj więcej szczegółów i ulepszaj model zagrożeń w miarę kontynuacji projektowania i rozwoju. Pomoże to w zapoznaniu się z procesem modelowania i opracowaniu modelu zagrożeń w celu lepszego zbadania większej liczby możliwych scenariuszy.
• Uzyskaj informacje na temat ograniczeń hosta i sieci od administratorów systemu i sieci. Aby lepiej zrozumieć schemat wdrożenia typu end-to-end, należy uzyskać jak najwięcej informacji na temat konfiguracji hosta, zasad zapory, dozwolonych protokołów i portów oraz innych istotnych szczegółów.
Zidentyfikuj role
Administrator powinien zidentyfikować osoby oraz role i czynności, które mogą wykonywać w aplikacji. Na przykład, czy istnieją bardziej uprzywilejowane grupy użytkowników? Kto może odczytywać dane? Kto może aktualizować dane? Kto może usunąć dane?
Zidentyfikuj kluczowe scenariusze użycia
Administrator powinien wykorzystać przypadki użycia aplikacji do określenia jej celu. Przypadki użycia wyjaśniają, w jaki sposób aplikacja jest używana i niewłaściwie używana.
Zidentyfikuj technologie
Administrator powinien wymienić technologie i najważniejsze cechy oprogramowania, a także następujące technologie, które są w użyciu:
• Systemy operacyjne
• Oprogramowanie serwera WWW
• Oprogramowanie serwera bazy danych
• Technologie warstw prezentacji, biznesu i dostępu do danych
• Języki programowania
Zidentyfikowanie tych technologii pomaga skoncentrować się na zagrożeniach związanych z technologią.
Zidentyfikuj mechanizmy bezpieczeństwa aplikacji
Administrator powinien określić kilka kluczowych punktów dotyczących następujących kwestii:
• Wprowadzanie i walidacja danych
• Autoryzacja i uwierzytelnianie
• Dane wrażliwe
• Zarządzanie konfiguracją
• Zarządzanie sesją
• Manipulacja parametrami
• Kryptografia
• Zarządzanie wyjątkami
• Audyt i logowanie
Wysiłki te mają na celu zidentyfikowanie istotnych szczegółów i dodanie szczegółów tam, gdzie jest to wymagane, lub zidentyfikowanie obszarów, które wymagają więcej.
Rozłóż aplikację
Na tym etapie administrator rozkłada aplikację, aby zidentyfikować granice zaufania, przepływy danych, punkty wejścia i punkty wyjścia. W ten sposób znacznie łatwiej jest znaleźć bardziej istotne i bardziej szczegółowe zagrożenia i luki w zabezpieczeniach.
Zidentyfikuj granice zaufania
Określenie granic zaufania aplikacji pomaga administratorowi skoncentrować się na odpowiednich obszarach aplikacji. Wskazuje, gdzie zmieniają się poziomy zaufania.
• Zidentyfikuj zewnętrzne granice systemu
• Zidentyfikuj punkty kontroli dostępu lub kluczowe miejsca, do których dostęp wymaga dodatkowych uprawnień lub członkostwa w roli
• Zidentyfikuj granice zaufania z perspektywy przepływu danych
Zidentyfikuj przepływy danych
Administrator powinien wyszczególnić dane wprowadzane przez aplikację od wejścia do wyjścia. Pomaga to zrozumieć, w jaki sposób aplikacja komunikuje się z systemami zewnętrznymi i klientami oraz w jaki sposób współdziałają komponenty wewnętrzne. Powinni zwrócić szczególną uwagę na przepływ danych przez granice zaufania i sprawdzanie poprawności danych w punkcie wejścia na granicę zaufania. Dobrym podejściem jest rozpoczęcie od najwyższego poziomu, a następnie zdekonstruowanie aplikacji poprzez przetestowanie przepływu danych pomiędzy różnymi podsystemami.
Zidentyfikuj punkty wejścia
Punkt wejścia aplikacji może również służyć jako punkt wejścia dla ataków. Wszyscy użytkownicy wchodzą w interakcje z aplikacją w tych punktach wejścia. Inne wewnętrzne punkty wejścia odkryte przez podkomponenty w warstwach aplikacji mogą być obecne tylko w celu obsługi wewnętrznej komunikacji z innymi komponentami. Administrator powinien zidentyfikować te punkty wejścia, aby określić metody zastosowane przez intruza, aby się przez nie dostać. Powinny koncentrować się na punktach wejścia, które umożliwiają dostęp do krytycznych funkcjonalności i zapewniają im odpowiednią ochronę.
Zidentyfikuj punkty wyjścia
Administrator powinien również zidentyfikować punkty, w których aplikacja przekazuje dane do klienta lub systemów zewnętrznych. Powinni nadać priorytet punktom wyjścia, w których aplikacja zapisuje dane zawierające dane wejściowe klienta lub dane z niezaufanych źródeł, takich jak współdzielona baza danych.
Identyfikuj zagrożenia
Administrator powinien identyfikować zagrożenia istotne dla scenariusza i kontekstu kontroli, korzystając z informacji uzyskanych w przeglądzie aplikacji i dekomponować kroki aplikacji. Powinny łączyć członków zespołów deweloperskich i testowych w celu identyfikacji potencjalnych zagrożeń. Zespół powinien zacząć od listy typowych zagrożeń pogrupowanych według kategorii podatności aplikacji. Ten krok wykorzystuje podejście oparte na pytaniach, aby pomóc zidentyfikować zagrożenia.
Zidentyfikuj luki w zabezpieczeniach
Luka w zabezpieczeniach to słabość aplikacji (wdrożonej w systemie informatycznym), która umożliwia atakującemu wykorzystanie, co prowadzi do naruszenia bezpieczeństwa. Administratorzy bezpieczeństwa powinni identyfikować wszelkie słabości związane z wykrytymi zagrożeniami, korzystając z kategorii luk w celu identyfikacji luk i naprawiać je wcześniej, aby odstraszyć intruzów.
Zarządzanie incydentami
Zarządzanie incydentami to zestaw zdefiniowanych procesów służących do identyfikowania, analizowania, ustalania priorytetów i rozwiązywania incydentów związanych z bezpieczeństwem w celu jak najszybszego przywrócenia normalnego działania usługi i zapobieżenia ponownemu wystąpieniu incydentu w przyszłości
Zarządzanie incydentami
• Obsługa luk w zabezpieczeniach
• Obsługa artefaktów
• Ogłoszenia
• Alerty
• Obsługa incydentów
• Ocena stanu zdrowia rannych
• Raportowanie i wykrywanie
• Incydent
• Analiza odpowiedzi
• Inne usługi zarządzania incydentami
• Zarządzanie incydentami to zestaw zdefiniowanych procesów służących do identyfikowania, analizowania, ustalania priorytetów i rozwiązywania incydentów bezpieczeństwa w celu jak najszybszego przywrócenia normalnego działania systemu i zapobieżenia ponownemu wystąpieniu incydentu. Obejmuje nie tylko reagowanie na incydenty, ale także uruchamianie alertów w celu zapobiegania potencjalnym ryzykom i zagrożeniom. Administrator bezpieczeństwa musi zidentyfikować oprogramowanie, które jest podatne na ataki, zanim ktoś wykorzysta luki w zabezpieczeniach.
Zarządzanie incydentami obejmuje:
• Analiza podatności
• Analiza artefaktów
• Szkolenie w zakresie świadomości bezpieczeństwa
• Wykrywanie wtargnięcia
• Monitorowanie publiczne lub technologiczne
Proces zarządzania incydentami ma na celu:
• Poprawić jakość usług
• Rozwiązać problemy proaktywnie
• Ograniczyć wpływ incydentów na organizację lub jej działalność
• Spełnić wymagania dotyczące dostępności usług
• Zwiększyć efektywność i produktywność personelu
• Poprawić zadowolenie użytkowników i klientów
• Pomóc w obsłudze przyszłych incydentów
Prowadzenie sesji szkoleniowych w celu szerzenia świadomości wśród użytkowników jest ważną częścią zarządzania incydentami. Takie sesje pomagają użytkownikom końcowym łatwo rozpoznawać podejrzane zdarzenia lub incydenty i zgłaszać zachowanie atakującego odpowiednim organom. Następujące osoby wykonują czynności związane z zarządzaniem incydentami:
• Personel działu kadr podejmuje kroki w celu zwolnienia pracowników podejrzanych o szkodliwe działania komputerowe.
• Radca prawny ustala zasady i regulacje w organizacji. Reguły te mogą wpływać na wewnętrzne zasady bezpieczeństwa i praktyki organizacji w przypadku, gdy osoba mająca dostęp do informacji poufnych lub osoba atakująca użyje systemu organizacji do szkodliwych lub złośliwych działań.
• Menedżer zapory utrzymuje filtry na swoim miejscu. Filtry te są często miejscem przeprowadzania ataków typu "odmowa usługi".
•nbsp&; Zewnętrzny dostawca usług naprawia systemy zainfekowane wirusami i złośliwym oprogramowaniem.
Reagowanie na incydenty jest jedną z funkcji realizowanych w ramach obsługi incydentów. Z kolei obsługa incydentów jest jedną z usług świadczonych w ramach zarządzania incydentami. Poniższy diagram ilustruje związek między reagowaniem na incydenty, obsługą incydentów i zarządzaniem incydentami.
Obsługa i reagowanie na incydenty
• Obsługa i reagowanie na incydenty (IH&R) to proces podejmowania zorganizowanych i ostrożnych kroków podczas reagowania na incydent bezpieczeństwa lub cyberatak
Etapy procesu IH&R:
1. Przygotowanie
2. Nagrywanie i przydzielanie incydentów
4. Klasyfikacja incydentów
5. Powiadomienie
6 Przechowywanie
7. Gromadzenie dowodów i analiza kryminalistyczna
7. Likwidacja
8. Odzyskiwanie
9. Działania po incydencie
10. Dokumentacja incydentu
11. Ocena wpływu incydentu
12. Przejrzyj i zrewiduj zasady
13. Zamknij dochodzenie
14. Ujawnienie incydentu
Obsługa i reagowanie na incydenty (IH&R) to proces podejmowania zorganizowanych i ostrożnych kroków podczas reagowania na incydent bezpieczeństwa lub cyberatak. Jest to zestaw procedur, działań i środków podejmowanych w przypadku wystąpienia nieoczekiwanego zdarzenia. Polega na rejestrowaniu, rejestrowaniu i rozwiązywaniu incydentów, które mają miejsce w organizacji. Odnotowuje incydent, kiedy miał miejsce, jego wpływ i przyczynę. Jest to praktyka zarządzania procesami reagowania na incydenty, takimi jak przygotowanie, wykrywanie, powstrzymywanie, eliminacja i odzyskiwanie, aby szybko i skutecznie przezwyciężyć skutki incydentu. Procesy IH&R są ważne, aby zapewnić ukierunkowane podejście do przywracania normalnych operacji biznesowych tak szybko, jak to możliwe po incydencie i przy minimalnym wpływie na biznes. Proces IH&R obejmuje definiowanie zasad dotyczących użytkowników, opracowywanie protokołów, budowanie zespołów reagowania na incydenty, audyt zasobów organizacyjnych, planowanie procedur reagowania na incydenty, uzyskiwanie zgody kierownictwa, zgłaszanie incydentów, ustalanie priorytetów i zarządzanie reakcją. Obejmuje to również ustanowienie właściwej komunikacji między osobami reagującymi na incydent i prowadzenie ich w celu wykrywania, analizowania, powstrzymywania, odzyskiwania i zapobiegania incydentom. Poniżej omówiono etapy procesu IH&R:
Krok 1: Przygotowanie
Faza przygotowawcza obejmuje przeprowadzenie audytu zasobów w celu określenia celu bezpieczeństwa oraz zdefiniowania zasad, polityk i procedur, które napędzają proces IH&R. Obejmuje to również budowanie i szkolenie zespołu reagowania na incydenty, określanie procedur gotowości na incydenty i gromadzenie wymaganych narzędzi, a także szkolenie pracowników w zakresie zabezpieczania ich systemów i kont.
Krok 2: Nagrywanie i przydzielanie incydentów
W tej fazie następuje wstępne zgłoszenie i zarejestrowanie incydentu. Ta faza obejmuje identyfikację incydentu i zdefiniowanie odpowiednich planów komunikacji incydentu dla pracowników, a także obejmuje metody komunikacji, które obejmują poinformowanie personelu wsparcia IT lub przesłanie odpowiedniego zgłoszenia.
Krok 3: Klasyfikacja incydentów
W tej fazie zidentyfikowane incydenty bezpieczeństwa są analizowane, weryfikowane, kategoryzowane i ustalane priorytety. Zespół IH&R dalej analizuje zainfekowane urządzenie, aby znaleźć szczegóły incydentu, takie jak typ ataku, jego dotkliwość, cel, wpływ i metoda propagacji oraz wszelkie luki, które wykorzystał.
Krok 4: Powiadomienie
Na etapie powiadamiania zespół IH&R informuje różnych interesariuszy, w tym kierownictwo, dostawców zewnętrznych i klientów, o zidentyfikowanym incydencie.
Krok 5: Przechowywanie
Ta faza pomaga zapobiegać rozprzestrzenianiu się infekcji na inne zasoby organizacji, zapobiegając dodatkowym szkodom.
Krok 6: Zbieranie dowodów i analiza kryminalistyczna
W tej fazie zespół IH&R gromadzi wszystkie możliwe dowody związane z incydentem i przesyła je do wydziału medycyny sądowej w celu zbadania. Analiza kryminalistyczna incydentu ujawnia szczegóły, takie jak metoda ataku, wykorzystane luki w zabezpieczeniach, ominięte mechanizmy bezpieczeństwa, zainfekowane urządzenia sieciowe i naruszone aplikacje.
Krok 7: Eliminacja
W fazie eliminowania zespół IH&R usuwa lub eliminuje pierwotną przyczynę incydentu i zamyka wszystkie wektory ataku, aby zapobiec podobnym incydentom w przyszłości.
Krok 8: Odzyskiwanie
Po wyeliminowaniu przyczyn incydentów zespół iH&R przywraca dotknięte nimi systemy, usługi, zasoby i dane poprzez przywracanie. Zespół reagowania na incydenty jest odpowiedzialny za zapewnienie, że incydent nie spowoduje zakłóceń w usługach lub działalności organizacji.
Krok 9: Działania po incydencie
Po zakończeniu procesu incydent bezpieczeństwa wymaga dodatkowego przeglądu i analizy przed zamknięciem sprawy. Przeprowadzenie przeglądu końcowego jest ważnym krokiem w procesie IH&R, który obejmuje:
• Dokumentacja incydentu
• Ocena skutków incydentu
• Przegląd i weryfikacja polityk
• Zamknięcie dochodzenia
• Ujawnienie incydentu
Rola AI i ML w cyberbezpieczeństwie
• Uczenie maszynowe (ML) i sztuczna inteligencja (AI) są obecnie szeroko stosowane w różnych branżach i aplikacjach ze względu na wzrost mocy obliczeniowej, gromadzenia danych i możliwości przechowywania
• ML to nienadzorowany, samouczący się system, który służy do definiowania wyglądu normalnej sieci wraz z jej urządzeniami, a następnie do śledzenia i zgłaszania wszelkich odchyleń lub anomalii w czasie rzeczywistym
• Bezpieczeństwo cybernetyczne AI i MLin pomaga identyfikować nowe luki w zabezpieczeniach i słabości, które następnie można łatwo analizować w celu złagodzenia dalszych ataków
Techniki klasyfikacji ML:
- Uczenie nadzorowane wykorzystuje algorytmy, które wprowadzają zestaw oznaczonych danych treningowych w celu poznania różnic między etykietami.
- Uczenie bez nadzoru wykorzystuje algorytmy, które wprowadzają nieoznakowane dane treningowe, w celu samodzielnego wydedukowania wszystkich kategorii
Nauczanie maszynowe
Uczenie się bez nadzoru
- Redukcja wymiarowości
- Grupowanie
Nadzorowana nauka
- Klasyfikacja
-Regresja
Uczenie maszynowe (ML) i sztuczna inteligencja (AI) są obecnie powszechnie stosowane w różnych branżach i zastosowaniach ze względu na wzrost mocy obliczeniowej, możliwości gromadzenia i przechowywania danych. Wraz z postępem technologicznym w sztucznej inteligencji, takim jak samojezdne samochody, tłumacze języków i duże zbiory danych, rośnie również zagrożenie, takie jak oprogramowanie ransomware, botnety, złośliwe oprogramowanie i phishing. Wykorzystanie sztucznej inteligencji i uczenia maszynowego w cyberbezpieczeństwie pomaga identyfikować nowe luki w zabezpieczeniach i słabe punkty, które można łatwo analizować w celu złagodzenia dalszych ataków. Zmniejsza presję wywieraną na specjalistów ds. bezpieczeństwa i ostrzega ich, gdy konieczne jest podjęcie działań.
Czym są sztuczna inteligencja i uczenie maszynowe?
Sztuczna inteligencja to jedyne rozwiązanie chroniące sieci przed różnymi atakami, których skanowanie antywirusowe nie jest w stanie wykryć. Ogromna ilość zebranych danych jest wprowadzana do sztucznej inteligencji, która je przetwarza i analizuje, aby zrozumieć ich szczegóły i trendy. ML to gałąź sztucznej inteligencji (AI), która daje systemom możliwość samouczenia się bez żadnych jawnych programów. Ten samouczący się system służy do definiowania wyglądu normalnej sieci wraz z jej urządzeniami, a następnie wykorzystuje to do śledzenia i zgłaszania wszelkich odchyleń lub anomalii w czasie rzeczywistym. Istnieją dwa rodzaje technik klasyfikacji ML:
Nadzorowana nauka
Uczenie nadzorowane wykorzystuje algorytmy, które wprowadzają zestaw oznaczonych danych treningowych, aby spróbować poznać różnice między podanymi etykietami. Uczenie nadzorowane jest dalej podzielone na dwie podkategorie, a mianowicie klasyfikację i regresję. Klasyfikacja obejmuje całkowicie podzielone klasy. Jego głównym zadaniem jest zdefiniowanie próbki testowej w celu określenia jej klasy. Regresja jest używana, gdy klasy danych nie są rozdzielone, na przykład gdy dane są ciągłe.
Uczenie się bez nadzoru
Uczenie bez nadzoru wykorzystuje algorytmy, które wprowadzają nieoznaczone dane szkoleniowe, aby spróbować wydedukować wszystkie kategorie bez wskazówek. Uczenie się bez nadzoru jest dalej podzielone na dwie podkategorie, a mianowicie grupowanie i redukcję wymiarowości. Clustering dzieli dane na klastry w oparciu o ich podobieństwa, niezależnie od informacji o klasach. Redukcja wymiarowości to proces redukcji wymiarów (atrybutów) danych.
W jaki sposób AI i ML zapobiegają cyberatakom?
1. Ochrona hasłem i uwierzytelnianie
2. Wykrywanie i zapobieganie phishingowi
3. Wykrywanie zagrożeń
4. Zarządzanie lukami w zabezpieczeniach
5. Analityka behawioralna
6. Bezpieczeństwo sieci
7. Antywirus oparty na Al
8. Wykrywanie oszustw
9. Wykrywanie botnetów
10. AI do zwalczania zagrożeń AI
W jaki sposób AI i ML zapobiegają cyberatakom?
Sztuczna inteligencja (AI), a wraz z nią uczenie maszynowe (ML), to nowa technologia w dziedzinie cyberbezpieczeństwa. Jest szeroko stosowany w dużych gałęziach przemysłu, takich jak automatyzacja, usługi IT, produkcja, produkcja i finanse. Sztuczna inteligencja odgrywa kluczową rolę w wykrywaniu zbliżających się cyberzagrożeń poprzez włączenie uczenia maszynowego jako podzbioru. Poniżej przedstawiono różne sposoby, w jakie sztuczna inteligencja i uczenie maszynowe chronią branże przed atakami cyberbezpieczeństwa:
Ochrona hasłem i uwierzytelnianie: poświadczenia hasła odgrywają kluczową rolę w zapobieganiu nielegalnemu dostępowi do danych organizacji lub użytkownika. Jeśli poświadczenia zostaną naruszone, reputacja organizacji lub osoby może ucierpieć. Czasami tradycyjne wykrywanie twarzy i inne środki bezpieczeństwa biometrycznego mogą być również podatne na takie naruszenia danych uwierzytelniających. Programiści wykorzystują sztuczną inteligencję do ulepszania weryfikacji danych biometrycznych i rozpoznawania twarzy w celu udaremnienia takich ataków. Sztuczna inteligencja zapewnia najnowsze modele rozpoznawania twarzy osoby poprzez śledzenie kluczowych korelacji i wzorców.
Wykrywanie i zapobieganie phishingowi: phishing to powszechna metoda wykorzystywana przez hakerów do wysyłania ładunków za pośrednictwem wiadomości e-mail. Większość użytkowników nie jest w stanie określić, które otrzymane wiadomości e-mail zawierają złośliwy załącznik lub ładunek. W takim przypadku sztuczna inteligencja i uczenie maszynowe mogą odegrać kluczową rolę w identyfikowaniu takich ataków phishingowych i zapobieganiu im. Mogą skanować i identyfikować wiadomości phishingowe znacznie szybciej niż człowiek. Mogą również szybko odróżnić złośliwe strony internetowe od legalnych stron internetowych.
Wykrywanie zagrożeń: uczenie maszynowe pomaga firmom wykrywać cyberataki, zanim systemy zostaną naruszone. Będąc częścią sztucznej inteligencji, uczenie maszynowe stale informuje administratorów o zbliżających się cyberzagrożeniach, przeprowadzając logiczną analizę danych. ML pozwala systemom uruchamiać swoje algorytmy na otrzymanych danych, a następnie przeprowadza głębokie uczenie się i rozumie postępy wymagane do zapewnienia bezpieczeństwa systemów informatycznych.
Zarządzanie lukami w zabezpieczeniach: systemy oparte na Al i ML nigdy nie pozwalają na długotrwałe istnienie luki w zabezpieczeniach; dynamicznie skanują w poszukiwaniu wszelkiego rodzaju luk w zabezpieczeniach i ostrzegają administratorów, zanim system zostanie wykorzystany. Mogą również dostarczyć informacji o osobie atakującej i wzorcach użytych do przeprowadzenia ataku. Te systemy oparte na AI i ML mogą również przewidywać, w jaki sposób i kiedy może nastąpić wykorzystanie luki w zabezpieczeniach.
Analityka behawioralna: Kolejnym godnym uwagi ulepszeniem zabezpieczeń wprowadzonym przez sztuczną inteligencję jest "Analiza behawioralna". Atakujący, którzy ukradli dane uwierzytelniające uprawnionego użytkownika, mogą wykonywać złośliwe działania w sieci organizacji; takie próby są trudne do wykrycia i udaremnienia. Tutaj Al z ML generuje określone wzorce użytkowników w oparciu o ich regularne użycie. Oprogramowanie Al natychmiast ostrzega administratora, jeśli wykryje jakąkolwiek podejrzaną aktywność lub odstępstwo od normalnego użytkowania.
Bezpieczeństwo sieci: Dwa istotne czynniki bezpieczeństwa sieci to generowanie kompleksowych zasad bezpieczeństwa i mapowanie topologii sieci przedsiębiorstwa. Niestety oba te czynniki są czasochłonne. Dlatego administratorzy przyjmują Al w celu usprawnienia tej operacji; może przeprowadzić analizę ruchu sieciowego i domyślnie zaproponować skuteczną politykę bezpieczeństwa.
Al-based Antivirus: Tradycyjne narzędzia antywirusowe wykonują skanowanie plików w sieciach organizacji, aby sprawdzić, czy jakiekolwiek sygnatury pasują do znanych wirusów lub złośliwego oprogramowania. Problem polega na tym, że narzędzia antywirusowe muszą być aktualizowane, gdy użytkownik chce przeskanować w poszukiwaniu nowego złośliwego oprogramowania lub wirusów. Aktualizacja jest czasochłonna, a nowe wdrożenie często zajmuje określoną ilość czasu. Aby przezwyciężyć te problemy, organizacje stosują antywirusy oparte na Al, które wykorzystują wykrywanie anomalii do zrozumienia zachowania programów. Antywirus oparty na Al wykrywa podejrzane zachowanie programu zamiast dopasowywania sygnatur wirusów.
Wykrywanie oszustw: Algorytmy AI i ML przeprowadzają wykrywanie anomalii w celu identyfikacji niespójności płatności i nieuczciwych transakcji. Wykonują również automatyczne wykrywanie wzorców w różnych transakcjach. ML może łatwo rozróżnić autentyczne i nielegalne transakcje oraz blokować oszukańcze transakcje.
Wykrywanie botnetów: Botnety mogą ominąć system wykrywania włamań (IDS), wykorzystując jego nieskuteczność w dopasowywaniu sygnatur. Botnety można osadzać przy użyciu wysoce zaawansowanego kodu, który uniemożliwia ich wykrycie przez tradycyjne implementacje IDS. Dlatego specjaliści ds. bezpieczeństwa używają algorytmów AI i ML, które ostrzegają o podejrzanym zachowaniu sieci i wykrywają nieautoryzowane włamania.
AI do walki z zagrożeniami Al: Atakujący mogą również wykorzystać technologię AI, aby przedostać się do sieci organizacji; takie cyberzagrożenia muszą zostać natychmiast wykryte. Glin. oprogramowanie może wykryć takie nieuchronne ataki wspomagane przez Al, zanim sieć zostanie naruszona.
Przepisy i standardy bezpieczeństwa informacji
Prawa to system zasad i wytycznych, które są egzekwowane przez określony kraj lub społeczność w celu regulowania zachowań. Standard to "dokument ustanowiony w drodze konsensusu i zatwierdzony przez uznaną instytucję, który zawiera, do powszechnego i wielokrotnego użytku, zasady, wytyczne lub charakterystykę działań lub ich wyników, mających na celu osiągnięcie optymalnego stopnia uporządkowania w danym kontekście" . Ta sekcja dotyczy różnych praw i norm dotyczących bezpieczeństwa informacji w różnych krajach.
Standard bezpieczeństwa danych branży kart płatniczych (PCI DSS)
• Payment Card IndustryData Security Standard (PCI DSS) to zastrzeżony standard bezpieczeństwa informacji dla organizacji, które przetwarzają informacje o posiadaczach głównych kart debetowych, kredytowych, przedpłaconych, e-portmonetek, bankomatów i kart POS
• PCI DSS dotyczy wszystkich podmiotów zaangażowanych w przetwarzanie kart płatniczych - w tym akceptantów, procesorów, agentów rozliczeniowych, wydawców i usługodawców, a także wszystkich innych podmiotów, które przechowują, przetwarzają lub przesyłają dane posiadaczy kart
Standard bezpieczeństwa danych PCI - ogólne omówienie
Zbuduj i utrzymuj bezpieczną sieć: Wdrażaj silne środki kontroli dostępu
Chroń dane posiadaczy kart: Regularnie monitoruj i testuj sieci
Utrzymuj program zarządzania lukami w zabezpieczeniach: Utrzymuj politykę bezpieczeństwa informacji
Niespełnienie wymagań PCI DSS może skutkować karami pieniężnymi lub pozbawieniem uprawnień do przetwarzania kart płatniczych
Payment Card Industry Data Security Standard (PCI DSS) to zastrzeżony standard bezpieczeństwa informacji dla organizacji, które przetwarzają informacje o posiadaczach głównych kart debetowych, kredytowych, przedpłaconych, e-portmonetek, bankomatów i kart POS. Ten standard oferuje solidne i kompleksowe standardy oraz materiały pomocnicze w celu zwiększenia bezpieczeństwa danych kart płatniczych. Materiały te obejmują ramy specyfikacji, narzędzi, pomiarów i zasobów pomocniczych, aby pomóc organizacjom w zapewnieniu bezpiecznego postępowania z informacjami o posiadaczach kart. Standard PCI DSS dotyczy wszystkich podmiotów zaangażowanych w przetwarzanie kart płatniczych, w tym akceptantów, procesorów, agentów rozliczeniowych, wydawców i usługodawców, a także wszystkich innych podmiotów, które przechowują, przetwarzają lub przesyłają dane posiadaczy kart. PCI DSS obejmuje minimalny zestaw wymagań dotyczących ochrony danych posiadaczy kart. Payment Card Industry (PCI) Security Standards Council opracowała i utrzymuje ogólny przegląd wymagań PCI DSS.
ISO/IEC 27001:2013
• ISO/IEC 27001:2013 określa wymagania dotyczące ustanawiania, wdrażania, utrzymywania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji w kontekście organizacji
• Ma nadawać się do kilku różnych zastosowań, w tym:
1. Używać w organizacjach do formułowania wymagań i celów bezpieczeństwa
2 Używaj w organizacjach, aby zapewnić efektywne kosztowo zarządzanie zagrożeniami bezpieczeństwa
3. Stosować w organizacjach w celu zapewnienia zgodności z przepisami ustawowymi i wykonawczymi
4.Zdefiniowanie nowych procesów zarządzania bezpieczeństwem informacji
5. Identyfikacja i wyjaśnienie istniejących procesów zarządzania bezpieczeństwem informacji
6. Wykorzystanie przez kierownictwo organizacji do określenia stanu działań związanych z zarządzaniem bezpieczeństwem informacji
7. Wdrażanie biznesowego bezpieczeństwa informacji
8. Wykorzystanie przez organizacje do dostarczania klientom odpowiednich informacji o bezpieczeństwie informacji
ISO/IEC 27001:2013 określa wymagania dotyczące ustanawiania, wdrażania, utrzymywania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji w kontekście organizacji. Zawiera wymagania dotyczące oceny i postępowania z zagrożeniami bezpieczeństwa informacji dostosowanymi do potrzeb organizacji. Rozporządzenie ma być odpowiednie do kilku różnych zastosowań, w tym:
• Używaj w organizacjach do formułowania wymagań i celów bezpieczeństwa
• Używaj w organizacjach jako sposobu na zapewnienie efektywnego kosztowo zarządzania zagrożeniami bezpieczeństwa
• Używaj w organizacjach, aby zapewnić zgodność z przepisami ustawowymi i wykonawczymi
• Definiowanie nowych procesów zarządzania bezpieczeństwem informacji
• Identyfikacja i wyjaśnienie istniejących procesów zarządzania bezpieczeństwem informacji
• Wykorzystanie przez kierownictwo organizacji do określenia stanu działań związanych z zarządzaniem bezpieczeństwem informacji
• Wdrażanie biznesowego bezpieczeństwa informacji
• Wykorzystywane przez organizacje do dostarczania klientom odpowiednich informacji o bezpieczeństwie informacji
Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA)
Statut i zasady upraszczania administracyjnego HIPAA
Standardy dotyczące transakcji elektronicznych i zestawów kodów: wymagają, aby każdy usługodawca prowadzący działalność drogą elektroniczną korzystał z tych samych transakcji, zestawów kodów i identyfikatorów dotyczących opieki zdrowotnej
Zasada prywatności: Zapewnia federalną ochronę danych osobowych dotyczących zdrowia przechowywanych przez objęte nią podmioty i daje pacjentom szereg praw w odniesieniu do tych informacji
Zasada bezpieczeństwa: Określa szereg zabezpieczeń administracyjnych, fizycznych i technicznych, które mają być stosowane przez objęte podmioty w celu zapewnienia poufności, integralności i dostępności elektronicznie chronionych informacji zdrowotnych
Wymagania dotyczące identyfikatora krajowego: wymaga, aby świadczeniodawcy, plany zdrowotne i pracodawcy posiadali standardowe numery krajowe, które ich identyfikują, dołączone do standardowych transakcji
Reguła egzekwowania : Zapewnia standardy egzekwowania wszystkich Reguł uproszczenia administrowania
Zasada prywatności HIPAA zapewnia federalną ochronę danych osobowych dotyczących zdrowia przechowywanych przez objęte nią podmioty i ich partnerów biznesowych oraz daje pacjentom szereg praw do tych informacji. Jednocześnie Zasada Prywatności zezwala na ujawnianie informacji zdrowotnych potrzebnych do opieki nad pacjentem i innych niezbędnych celów. Zasada bezpieczeństwa określa szereg zabezpieczeń administracyjnych, fizycznych i technicznych dla objętych nią podmiotów i ich współpracowników, które mają zapewnić poufność, integralność i dostępność elektronicznie chronionych informacji zdrowotnych. Urząd praw obywatelskich wdrożył statut i zasady uproszczenia administracyjnego HIPAA, jak omówiono poniżej:
Transakcje elektroniczne i standardy zestawów kodów: Transakcje to wymiana elektroniczna obejmująca przesyłanie informacji między dwiema stronami w określonych celach. Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych z 1996 r. (HIPAA) wyznaczyła określone rodzaje organizacji jako podmioty objęte ubezpieczeniem, w tym plany zdrowotne, izby rozliczeniowe opieki zdrowotnej i niektórych świadczeniodawców opieki zdrowotnej. W przepisach HIPAA Sekretarz Zdrowia i Opieki Społecznej (HHS) przyjął pewne standardowe transakcje dotyczące elektronicznej wymiany danych (EDI) danych dotyczących opieki zdrowotnej. Transakcje te obejmują informacje o roszczeniach i spotkaniach, porady dotyczące płatności i przekazów pieniężnych, status roszczeń, kwalifikowalność, zapisy i wyrejestrowania, skierowania i autoryzacje, koordynację świadczeń i płatności składek. Zgodnie z ustawą HIPAA, jeśli podmiot objęty ochroną przeprowadza elektronicznie jedną z przyjętych transakcji, musi użyć przyjętego standardu - albo z ASC, X12N, albo NCPDP (w przypadku niektórych transakcji aptecznych). Podmioty objęte zobowiązaniem muszą przestrzegać wymagań dotyczących treści i formatu każdej transakcji. Każdy dostawca, który prowadzi działalność drogą elektroniczną, musi używać tych samych transakcji opieki zdrowotnej, zestawów kodów i identyfikatorów.
Zasada prywatności: Zasada prywatności HIPAA ustanawia krajowe standardy ochrony dokumentacji medycznej i innych osobistych informacji zdrowotnych i ma zastosowanie do planów zdrowotnych, izb rozrachunkowych opieki zdrowotnej i świadczeniodawców, którzy przeprowadzają niektóre transakcje związane z opieką zdrowotną drogą elektroniczną. Reguła wymaga odpowiednich zabezpieczeń w celu ochrony prywatności osobistych informacji zdrowotnych. Określa ograniczenia i warunki dotyczące wykorzystania i ujawnienia takich informacji bez zgody pacjenta. Reguła przyznaje również pacjentom prawa w zakresie informacji o ich stanie zdrowia, w tym prawo do wglądu i uzyskania kopii dokumentacji medycznej oraz żądania sprostowania.
Zasada bezpieczeństwa: Zasada bezpieczeństwa HIPAA ustanawia krajowe standardy ochrony elektronicznych danych osobowych dotyczących zdrowia osób, które są tworzone, otrzymywane, wykorzystywane lub utrzymywane przez podmiot objęty ochroną. Zasada bezpieczeństwa wymaga odpowiednich zabezpieczeń administracyjnych, fizycznych i technicznych w celu zapewnienia poufności, integralności i bezpieczeństwa informacji zdrowotnych chronionych elektronicznie. Standard identyfikatora pracodawcy: HIPAA wymaga, aby każdy pracodawca posiadał standardowy numer krajowy, który identyfikuje go w standardowych transakcjach.
National Provider Identifier Standard (NPI): National Provider Identifier (NPI) to standard uproszczenia administracyjnego HIPAA. NPI to unikalny numer identyfikacyjny przypisany świadczeniodawcom objętym ubezpieczeniem. Podmioty świadczące opiekę zdrowotną objęte ubezpieczeniem oraz wszystkie plany zdrowotne i izby rozliczeniowe w zakresie opieki zdrowotnej muszą korzystać z NPI w transakcjach administracyjnych i finansowych przyjętych na mocy ustawy HIPAA. NPI to 10-pozycyjny, pozbawiony inteligencji identyfikator numeryczny (liczba 10-cyfrowa). Oznacza to, że liczby nie zawierają innych informacji o świadczeniodawcach, takich jak stan, w którym mieszkają lub specjalizacja medyczna.
Reguła egzekucyjna: Reguła egzekucyjna HIPAA zawiera przepisy dotyczące zgodności i dochodzenia, a także nakładania cywilnych kar pieniężnych za naruszenie zasad upraszczania administracyjnego HIPAA i procedur przesłuchań.
Ustawa Sarbanesa Oxleya (SOX)
Ustawa Sarbanes-Oxley, uchwalona w 2002 r., ma na celu ochronę opinii publicznej i inwestorów poprzez zwiększenie dokładności i wiarygodności ujawnień korporacyjnych. W akcie tym nie wyjaśniono, w jaki sposób organizacja musi przechowywać dokumentację, ale opisano dokumentację, którą organizacja musi przechowywać, oraz czas jej przechowywania. Ustawa nakazała kilka reform w celu zwiększenia odpowiedzialności korporacyjnej, zwiększenia ujawniania informacji finansowych oraz zwalczania oszustw korporacyjnych i księgowych. Kluczowe wymagania i przepisy SOX są podzielone na 11 tytułów:
Tytuł I: Rada Nadzoru Rachunkowości Spółek Publicznych (PCAOB): Tytuł I składa się z dziewięciu sekcji i ustanawia Radę Nadzoru Rachunkowości Spółek Publicznych w celu zapewnienia niezależnego nadzoru nad publicznymi firmami księgowymi świadczącymi usługi audytorskie ("audytorzy"). Tworzy również centralną radę nadzorczą, której zadaniem jest rejestracja usług audytorskich, definiowanie konkretnych procesów i procedur audytów zgodności, kontrolowanie i nadzorowanie postępowania i kontroli jakości oraz egzekwowanie zgodności z określonymi mandatami SOX.
Tytuł II: Niezależność audytora: Tytuł II składa się z dziewięciu sekcji i ustanawia standardy niezależności audytora zewnętrznego w celu ograniczenia konfliktów interesów. Odnosi się również do nowych wymagań dotyczących zatwierdzania audytorów, rotacji partnerów audytowych i wymogów dotyczących sprawozdawczości audytorów. Ogranicza firmom audytorskim świadczenie usług niezwiązanych z audytem (takich jak doradztwo) dla tych samych klientów.
Tytuł III: Odpowiedzialność korporacyjna: Tytuł III składa się z ośmiu sekcji i nakazuje kierownictwu wyższego szczebla branie indywidualnej odpowiedzialności za dokładność i kompletność korporacyjnych raportów finansowych. Definiuje interakcje między audytorami zewnętrznymi a komitetami audytu korporacyjnego oraz określa odpowiedzialność funkcjonariuszy korporacyjnych za dokładność i ważność sprawozdań finansowych przedsiębiorstwa. Wymienia konkretne ograniczenia zachowań funkcjonariuszy korporacji i opisuje konkretne przepadki świadczeń i kary cywilne za nieprzestrzeganie przepisów.
Tytuł IV: Rozszerzone ujawnianie informacji finansowych: Tytuł IV składa się z dziewięciu sekcji. Opisuje rozszerzone wymagania sprawozdawcze dotyczące transakcji finansowych, w tym transakcji pozabilansowych, danych pro-forma i transakcji giełdowych funkcjonariuszy korporacyjnych. Wymaga kontroli wewnętrznych w celu zapewnienia dokładności sprawozdań finansowych i ujawnień oraz nakazuje zarówno audyty, jak i raporty dotyczące tych kontroli. Wymaga to również terminowego zgłaszania istotnych zmian w warunkach finansowych oraz specjalnych ulepszonych przeglądów sprawozdań korporacyjnych przez SEC lub jej agentów.
Tytuł V: Konflikty interesów analityków: Tytuł V składa się tylko z jednej sekcji, w której omówiono środki mające na celu przywrócenie zaufania inwestorów do sprawozdawczości analityków papierów wartościowych. Określa kodeks postępowania dla analityków papierów wartościowych i wymaga od nich ujawniania wszelkich znanych konfliktów interesów.
Tytuł VI: Zasoby i uprawnienia Komisji: Tytuł VI składa się z czterech sekcji i określa praktyki mające na celu przywrócenie zaufania inwestorów do analityków papierów wartościowych. Określa również uprawnienia SEC do potępiania lub zakazywania specjalistom ds. papierów wartościowych wykonywania zawodu oraz określa warunki zakazu wykonywania zawodu maklera, doradcy lub dealera.
Tytuł VII: Studia i raporty: Tytuł VII składa się z pięciu sekcji i wymaga od Kontrolera Generalnego oraz Komisji Papierów Wartościowych i Giełd (SEC) przeprowadzania różnych badań i zgłaszania ich wyników. Wymagane badania i raporty obejmują skutki konsolidacji publicznych firm księgowych, rolę agencji ratingowych w funkcjonowaniu rynków papierów wartościowych, naruszenia papierów wartościowych, działania egzekucyjne oraz to, czy banki inwestycyjne pomagały Enron, Global Crossing i innym w manipulowaniu dochodami i zaciemniać prawdziwe warunki finansowe.
Tytuł VIII: Odpowiedzialność za oszustwa korporacyjne i karne: Tytuł VIII, znany również jako "Ustawa o odpowiedzialności za oszustwa korporacyjne i karne z 2002 r.", składa się z siedmiu sekcji. Opisuje konkretne sankcje karne za manipulację, zniszczenie lub zmianę dokumentacji finansowej lub ingerencji w dochodzenia, przy jednoczesnym zapewnieniu pewnej ochrony sygnalistów.
Tytuł IX: Zaostrzenie kar za przestępstwa umysłowe: Tytuł IX, znany również jako "Ustawa o zaostrzeniu kar za przestępstwa umysłowe z 2002 r.", Składa się z sześciu sekcji. Tytuł ten zaostrza sankcje karne związane z przestępstwami umysłowymi i spiskami. Zaleca surowsze wytyczne dotyczące wyroków, a konkretnie dodaje brak poświadczania sprawozdań finansowych przedsiębiorstw jako przestępstwo.
Tytuł X: Zeznania podatkowe osób prawnych: Tytuł X składa się z jednej sekcji, w której stwierdza się, że dyrektor generalny powinien podpisać zeznanie podatkowe firmy.
Tytuł XI: Odpowiedzialność za oszustwa korporacyjne: Tytuł XI składa się z siedmiu sekcji. Sekcja 1101 zaleca następującą nazwę tytułu: "Ustawa o odpowiedzialności za oszustwa korporacyjne z 2002 r.". Określa oszustwa korporacyjne i manipulowanie zapisami jako przestępstwa i łączy te przestępstwa z określonymi karami. Zmienia również wytyczne dotyczące wymiaru kary i zaostrza kary. Dzięki temu SEC może tymczasowo zamrozić "duże" lub "nietypowe" transakcje lub płatności.
Ustawa DigitalMillenniumCopyright Act (DMCA) i Federalna ustawa o zarządzaniu bezpieczeństwem informacji (FISMA)
Ustawa Digital Millennium Copyright Act (DMCA)
• DMCA to amerykańskie prawo autorskie, które wdraża dwa traktaty Światowej Organizacji Własności Intelektualnej (WIPO) z 1996 r.
• Określa prawne zakazy obchodzenia technologicznych środków ochrony stosowanych przez właścicieli praw autorskich w celu ochrony ich utworów oraz usuwania lub zmiany informacji o zarządzaniu prawami autorskimi
Federalna ustawa o zarządzaniu bezpieczeństwem informacji (FISMA)
• FISMA zapewnia kompleksowe ramy zapewniające skuteczność kontroli bezpieczeństwa informacji nad zasobami informacyjnymi, które wspierają operacje i aktywa federalne
Zawiera :
• Standardy kategoryzowania informacji i systemów informatycznych według wpływu misji
• Normy dotyczące minimalnych wymagań bezpieczeństwa dla informacji i systemów informatycznych
• Wskazówki dotyczące wyboru odpowiednich środków kontroli bezpieczeństwa dla systemów informatycznych
• Wytyczne dotyczące oceny kontroli bezpieczeństwa w systemach informatycznych i określania skuteczności kontroli bezpieczeństwa
• Wytyczne dotyczące autoryzacji bezpieczeństwa systemów informatycznych
Ustawa Digital Millennium Copyright Act (DMCA)
DMCA to amerykańskie prawo autorskie, które implementuje dwa traktaty Światowej Organizacji Własności Intelektualnej (WIPO) z 1996 r.: Traktat WIPO o prawach autorskich oraz Traktat WIPO o artystycznych wykonaniach i fonogramach. W celu wykonania zobowiązań traktatowych Stanów Zjednoczonych ustawa DMCA określa prawne zakazy obchodzenia technologicznych środków ochrony stosowanych przez właścicieli praw autorskich w celu ochrony ich dzieł oraz zakazy usuwania lub zmiany informacji o zarządzaniu prawami autorskimi. Ustawa DMCA zawiera pięć tytułów:
Tytuł I: WDRAŻANIE TRAKTATÓW WIPO: Tytuł I wdraża traktaty WIPO. Po pierwsze, wprowadza pewne techniczne poprawki do prawa Stanów Zjednoczonych w celu zapewnienia odpowiednich odniesień i linków do traktatów. Po drugie, tworzy dwa nowe zakazy w tytule 17 Kodeksu Stanów Zjednoczonych - jeden dotyczący obchodzenia środków technologicznych stosowanych przez właścicieli praw autorskich w celu ochrony ich dzieł, a drugi dotyczący manipulowania informacjami dotyczącymi zarządzania prawami autorskimi - oraz dodaje środki cywilne i sankcje karne za naruszenie zakazów .
Tytuł II: OGRANICZENIE ODPOWIEDZIALNOŚCI ZA NARUSZENIE PRAW AUTORSKICH ONLINE: Tytuł II ustawy DMCA dodaje nową sekcję 512 do ustawy o prawie autorskim, aby utworzyć cztery nowe ograniczenia odpowiedzialności za naruszenie praw autorskich przez dostawców usług internetowych. Usługodawca opiera te ograniczenia na następujących czterech kategoriach postępowania:
• Komunikaty przejściowe
Buforowanie systemu
• Ukierunkowane na użytkownika przechowywanie informacji w systemach lub sieciach
• Narzędzia lokalizacji informacji
Nowa sekcja 512 zawiera również specjalne zasady dotyczące stosowania tych ograniczeń w instytucjach edukacyjnych non-profit.
Tytuł III: KONSERWACJA LUB NAPRAWA KOMPUTERA: Tytuł III ustawy DMCA zezwala właścicielowi kopii programu na dokonywanie reprodukcji lub adaptacji, jeśli jest to konieczne do korzystania z programu w połączeniu z komputerem. Nowelizacja umożliwia właścicielowi lub najemcy komputera wykonanie lub upoważnienie do wykonania kopii programu komputerowego w ramach konserwacji lub naprawy tego komputera.
Tytuł IV: POSTANOWIENIA RÓŻNE: Tytuł IV zawiera sześć przepisów różnych. Pierwszy przepis zapowiada Wyjaśnienie uprawnień Urzędu Praw Autorskich; druga przyznaje zwolnienie dla dokonywania "nagrań efemerycznych"; trzeci promuje naukę na odległość; czwarta przewiduje zwolnienie dla bibliotek i archiwów non-profit; piąty zezwala na webcasting Poprawki do praw do cyfrowego wykonania w nagraniach dźwiękowych, a wreszcie szósty przepis odnosi się do obaw dotyczących możliwości uzyskiwania przez scenarzystów, reżyserów i aktorów ekranowych płatności rezydualnych za eksploatację filmów w sytuacjach, gdy producent nie jest nie jest już w stanie dokonywać tych płatności.
Tytuł V: OCHRONA NIEKTÓRYCH ORYGINALNYCH WZORÓW: Tytuł V ustawy DMCA uprawnia do ustawy o ochronie projektu kadłuba statku (VHDPA). Ustawa ta tworzy nowy system ochrony oryginalnych projektów niektórych przydatnych artykułów, które sprawiają, że artykuł jest atrakcyjny lub wyróżnia się wyglądem. Dla celów VHDPA "użyteczne przedmioty" są ograniczone do kadłubów (w tym pokładów) statków nie dłuższych niż 200 stóp.
Federalna ustawa o zarządzaniu bezpieczeństwem informacji (FISMA)
Federalna ustawa o zarządzaniu bezpieczeństwem informacji z 2002 r. została uchwalona w celu opracowania kilku kluczowych standardów bezpieczeństwa i wytycznych wymaganych przez ustawodawstwo Kongresu. FISMA zapewnia kompleksowe ramy zapewniające skuteczność kontroli bezpieczeństwa informacji nad zasobami informacyjnymi, które wspierają operacje i aktywa federalne. Wymaga od każdej agencji federalnej opracowania, udokumentowania i wdrożenia programu obejmującego całą agencję w celu zapewnienia bezpieczeństwa informacji dla informacji i systemów informatycznych, które obsługują operacje i aktywa agencji, w tym dostarczane lub zarządzane przez inną agencję, wykonawcę lub inny podmiot. źródło. Ramy FISMA obejmują:
• Standardy kategoryzacji informacji i systemów informatycznych według wpływu misji
• Normy dotyczące minimalnych wymagań bezpieczeństwa dla informacji i systemów informatycznych
• Wskazówki dotyczące wyboru odpowiednich środków kontroli bezpieczeństwa dla systemów informatycznych
• Wytyczne dotyczące oceny zabezpieczeń w systemach informatycznych i określania ich skuteczności
• Wytyczne dotyczące autoryzacji bezpieczeństwa systemów informatycznych
Ogólne rozporządzenie o ochronie danych (RODO)
• Rozporządzenie RODO weszło w życie 25 maja 2018 r. i jest jednym z najbardziej rygorystycznych przepisów dotyczących prywatności i bezpieczeństwa na świecie
• RODO nakłada surowe grzywny na tych, którzy naruszają jego standardy prywatności i bezpieczeństwa, z karami sięgającymi dziesiątek milionów euro
Zasady ochrony danych RODO
• Zgodność z prawem, rzetelność i przejrzystość: Przetwarzanie musi być zgodne z prawem, uczciwe i przejrzyste dla osoby, której dane dotyczą
• Ograniczenie celu: Musisz przetwarzać dane w uzasadnionych celach, które zostały wyraźnie określone osobie, której dane dotyczą, podczas ich zbierania
• Minimalizacja danych: należy gromadzić i przetwarzać tylko tyle danych, ile jest niezbędne do określonych celów
• Dokładność: Musisz dbać o dokładność i aktualność danych osobowych
• Ograniczenie przechowywania: Możesz przechowywać dane osobowe tylko tak długo, jak jest to konieczne do określonego celu
• Integralność i poufność: Przetwarzanie musi odbywać się w sposób zapewniający odpowiednie bezpieczeństwo, integralność i poufność (np. poprzez zastosowanie szyfrowania)
• Odpowiedzialność: Administrator danych jest odpowiedzialny za wykazanie zgodności RODO ze wszystkimi tymi zasadami
Ogólne rozporządzenie o ochronie danych (RODO) jest jednym z najbardziej rygorystycznych przepisów dotyczących prywatności i bezpieczeństwa na całym świecie. Chociaż został opracowany i przyjęty przez Unię Europejską (UE), nakłada obowiązki na organizacje w dowolnym miejscu, o ile celują w dane lub zbierają dane dotyczące osób w UE. Rozporządzenie weszło w życie 25 maja 2018 r. RODO nakłada surowe kary na tych, którzy naruszają jego standardy prywatności i bezpieczeństwa, sięgające dziesiątek milionów euro. Dzięki RODO Europa wyraża swoje zdecydowane stanowisko w sprawie prywatności i bezpieczeństwa danych, ponieważ coraz więcej osób powierza swoje dane usługom w chmurze, a naruszenia są na porządku dziennym. Samo rozporządzenie jest obszerne, dalekosiężne i stosunkowo mało szczegółowe, co sprawia, że zgodność z RODO jest zniechęcającą perspektywą, szczególnie dla małych i średnich przedsiębiorstw (MŚP).
RODO obejmuje siedem zasad ochrony i rozliczalności określonych w artykule 5.1-2:
Zgodność z prawem, rzetelność i przejrzystość: Przetwarzanie musi być zgodne z prawem, uczciwe i przejrzyste dla osoby, której dane dotyczą.
Ograniczenie celu: Musisz przetwarzać dane w uzasadnionych celach, które zostały wyraźnie określone osobie, której dane dotyczą, podczas ich zbierania.
Minimalizacja danych: należy gromadzić i przetwarzać tylko tyle danych, ile jest niezbędne do określonych celów.
Dokładność: Dane osobowe muszą być dokładne i aktualne.
Ograniczenie przechowywania: Możesz przechowywać dane osobowe tylko tak długo, jak jest to konieczne do określonego celu.
Integralność i poufność: Przetwarzanie musi odbywać się w sposób zapewniający odpowiednie bezpieczeństwo, integralność i poufność (np. poprzez zastosowanie szyfrowania).
Odpowiedzialność: Administrator danych jest odpowiedzialny za wykazanie zgodności RODO ze wszystkimi tymi zasadami.
Ustawa o ochronie danych 2018 (DPA)
• DPA 2018 określa ramy prawne dotyczące ochrony danych w Wielkiej Brytanii
• Aktualizuje i zastępuje ustawę o ochronie danych osobowych z 1998 r. i weszła w życie 25 maja 2018 r.
• Ustawa o ochronie danych jest aktem regulującym sprostowanie danych osobowych i przetwarzanie informacji dotyczących osób fizycznych; w celu zapewnienia w związku z funkcjami Komisarza ds. Informacji określonych przepisów dotyczących informacji; zapewnić przepisy dotyczące kodeksu postępowania w zakresie marketingu bezpośredniego i powiązanych celów
RODO chroni osoby fizyczne w związku z przetwarzaniem danych osobowych, w szczególności poprzez:
• Żądania, aby dane osobowe były przetwarzane zgodnie z prawem i rzetelnie, na podstawie zgody osoby, której dane dotyczą, lub innej określonej podstawy,
• Przyznanie osobie, której dane dotyczą, prawa do uzyskania informacji o przetwarzaniu danych osobowych oraz żądania, by były one nieprawdziwe
• Powierzenie funkcji Rzecznikowi, powierzając osobie sprawującej ten urząd odpowiedzialność za monitorowanie i egzekwowanie ich postanowień
DPA 2018 określa ramy prawne dotyczące ochrony danych w Wielkiej Brytanii. Aktualizuje i zastępuje ustawę o ochronie danych z 1998 r. i weszła w życie 25 maja 2018 r. Została zmieniona 01 stycznia 2021 r. przepisami wynikającymi z ustawy o Unii Europejskiej (wystąpienie) z 2018 r., aby odzwierciedlić status Wielkiej Brytanii poza UE. DPA to akt regulujący przetwarzanie informacji dotyczących osób fizycznych; w celu zapewnienia w związku z funkcjami Komisarza ds. Informacji określonych przepisów dotyczących informacji; zapewnić przepisy dotyczące kodeksu postępowania w zakresie marketingu bezpośredniego i powiązanych celów. Ustawa o ochronie danych określa również odrębne zasady ochrony danych dla organów ścigania, rozszerza ochronę danych na inne obszary, takie jak bezpieczeństwo narodowe i obronność, oraz określa funkcje i uprawnienia Komisarza ds. Informacji.
Pełniąc funkcje wynikające z RODO, stosowanego RODO oraz niniejszej ustawy, Rzecznik musi mieć na uwadze wagę zapewnienia odpowiedniego stopnia ochrony danych osobowych, uwzględniającego interesy osób, których dane dotyczą, administratorów i innych osób oraz spraw ogólnego interesu publicznego.
Prawo cybernetyczne w różnych krajach
Cyberprawo lub prawo internetowe odnosi się do wszelkich przepisów, które dotyczą ochrony Internetu i innych technologii komunikacji online. Cyberprawo obejmuje takie tematy, jak dostęp do Internetu i korzystanie z niego, prywatność, wolność słowa i jurysdykcja. Przepisy dotyczące cyberbezpieczeństwa zapewniają integralność, bezpieczeństwo, prywatność i poufność informacji zarówno w organizacjach rządowych, jak i prywatnych. Prawa te stały się widoczne ze względu na wzrost korzystania z Internetu na całym świecie. Przepisy dotyczące cyberbezpieczeństwa różnią się w zależności od jurysdykcji i kraju, więc ich wdrożenie jest dość trudne. Naruszenie tych przepisów skutkuje karami od grzywny do pozbawienia wolności.
Podsumowanie modułu
W tym module omówiono elementy bezpieczeństwa informacji, ataki na bezpieczeństwo informacji i wojnę informacyjną. Omówiono różne metodologie i ramy hakerskie, w tym metodologię hakowania CEH (CHM), metodologię łańcucha cyberzabójstw, strukturę MITRE ATT&CK oraz model diamentowy do analizy włamań. Omówiono również koncepcje hakerskie i klasy hakerów. Moduł ten dokładnie zbadał koncepcje etycznego hakowania, takie jak jego zakres i ograniczenia oraz umiejętności etycznego hakera. Obejmował również kontrole bezpieczeństwa informacji, takie jak dogłębna obrona, zarządzanie ryzykiem, analiza zagrożeń cybernetycznych, modelowanie zagrożeń, proces zarządzania incydentami oraz Al i ML. Moduł ten zakończył się szczegółowym omówieniem różnych ustaw i przepisów dotyczących bezpieczeństwa informacji. W następnym module zbadamy, w jaki sposób osoby atakujące, a także etyczni hakerzy i testerzy pióra wykonują footprinting w celu zebrania informacji o swoim celu przed atakiem lub audytem.