W każdej fazie łańcucha cyberzabijania istnieją metody radzenia sobie z aktywnym atakiem i przerywania łańcucha cyberzabijania przeciwnika, co omówiono poniżej.
Wykrycie
W każdej fazie możesz wykryć atakującego, ale często łatwiej jest wykryć atak w jego początkowej fazie. Im dalej atakujący wnika w sieć, tym bardziej zaczyna wyglądać jak zwykły użytkownik i tym trudniej go wykryć. Jest tu jeden znaczący wyjątek – metoda „oszukiwania”, którą omówimy za chwilę.
Zaprzeczenie
Skuteczną metodą rozprawienia się z atakującym jest „odmowa” mu dostępu do wrażliwych zasobów. Okazuje się to jednak trudniejsze, niż się wydaje. Ponownie, jeśli osoba atakująca po prostu wykorzystuje odkrytą lukę, która na przykład omija wbudowane mechanizmy kontroli dostępu, odmowa dostępu do tego systemu może nie być możliwa, szczególnie jeśli jest on podłączony do Internetu. Jednak w przypadku systemów wtórnych dalsza segmentacja sieci i dostęp należy zastosować mechanizmy kontrolne, aby odeprzeć atakującego. Na skrajnym krańcu tej obrony znajduje się rozwiązanie Zero Trust, które staje się popularne i, jeśli zostanie właściwie wdrożone, znacznie ulepszy tę metodę.
Zakłócanie
Zakłócenie działania atakującego wiąże się ze zwiększeniem jego kosztów poprzez nowe formy programów antywirusowych lub aktualizacje systemu operacyjnego, które wprowadzają nowe formy ochrony pamięci, takie jak zapobieganie wykonywaniu danych (DEP), randomizacja układu przestrzeni adresowej (ASLR) i Stack Canaries. Wraz z ewolucją atakującego powinniśmy ewoluować także my, obrońcy. Jest to szczególnie ważne w przypadku systemów zewnętrznych, ale nie możemy na tym poprzestać: wszystkie systemy i wewnętrzne segmenty sieci należy uznać za podatne na ataki i zastosować metody zakłócające działanie atakującego, spowalniając go i kupując cenny czas na ich wykrycie.
Degradowanie
Zdegradowanie atakującego oznacza ograniczenie jego możliwości odniesienia sukcesu. Na przykład możesz ograniczyć dane wychodzące powyżej pewnego progu, aby ograniczyć eksfiltrację. Co więcej, możesz blokować cały ruch wychodzący, z wyjątkiem zatwierdzonych i uwierzytelnionych serwerów proxy, co może dać ci czas na wykrycie takich prób, zanim osoba atakująca to wykryje i użyje tych serwerów proxy.
Zwodzenie
Oszukiwanie wroga jest znowu tak stare jak sama wojna. Jest to podstawowy element operacji cybernetycznych i jest najskuteczniejszy dla atakującego, który przedarł się przez wszystkie inne zabezpieczenia, ale czai się i węszy w sieci wewnętrznej. Istnieje nadzieja, że osoba atakująca nadepnie na jedną z cyfrowych pułapek na myszy (tj. Honeypotów), które uruchomiłeś w celu wykrycia tego właśnie działania.
Zniszczenie
Jeśli nie pracujesz dla sił cybernetycznych na poziomie państwa, prawdopodobnie nie będziesz w stanie „włamać się”. Możesz jednak zniszczyć przyczółek atakującego we własnej sieci, gdy zostanie on wykryty. W tym miejscu mała uwaga: będziesz musiał dokładnie zaplanować i upewnić się, że wyciągniesz atakującego z korzeniami; w przeciwnym razie możesz rozpocząć niebezpieczną grę w chowanego, co rozgniewa atakującego, który może znajdować się w Twojej sieci głębiej, niż początkowo sądziłeś.