Cyber Kill Chain已经过时,炭黑说
炭黑顶级网络安全专家表示,网络防守者用来指导他们的威胁检测和预防努力来指导威胁检测和预防努力。
本月早些时候在RSA亚太地区和日本的田径上对电脑谈到电脑,炭黑的首席网络安全官员汤姆·克利德曼表示,而洛克希德马丁做得很好地铺设了网络杀戮链的不同阶段,而且现在攻击周期。
在2000年代初,洛克希德马丁的网络杀链框架旨在确定网络对手的工作,以实现其目标。这些包括侦察,武器化,交付,开发,安装,指挥和控制(C2)以及目标的行动。
“它不再相关,因为现在攻击现在迭代,TTPS [策略,技术和程序]现在是充满活力的,”Kellermann说。“由于跳跃和反应反应,我们需要一个新的认知范例。”
在这个新的范式中,网络防御者应该专注于包括攻击三个阶段的攻击循环:侦察和插图;操纵和维护;和执行和开发。
在每一阶段,Kellermann表示网络防守者应注意遵守战术现象,特别是在可能发生横向运动的第二阶段。
事实上,网络攻击者正在制作横向运动70%的时间,而不仅仅是通过利用Windows PowerShell脚本和过程镂空技术,而且还通过公司Dropbox驱动器。
在某些情况下,Cyber攻击者甚至甚至攻丝的操作技术,容纳在建筑物和设施中,以便在受害者的IT基础设施内。
“这是我们所有面临的挑战,因为通常是网络安全的头不是设施安全的头部。因此,建筑安全性的传统头部正在部署技术以提高物理安全性。但在这样做,他们显着增加了攻击表面,“Kellermann说。
我不确定为什么网络空间变得更加惩罚 - 它可能是地缘政治紧张局势,但它也可能是低于起诉率的数十年。汤姆凯尔曼,炭黑在第三阶段,攻击者也可能会发起消毒活动和系统诚信攻击,以促销将受害者混为一谈并将其丢弃。“所以诚信攻击和操纵现象,我们都担心大约10年前现在表现出来,”他说。
在安装回应时,Kellermann敦促网络防御者在暴露之后不再留下受害者的环境,谨慎地进行操作。
“当你打开灯并打电话给警察时,他们不再离开 - 他们选择留下来,”凯尔曼说。“我不确定为什么为什么网络空间变得更加惩罚 - 它可能是地缘政治紧张局势,但它也可能是低检控率的数十年”。
它也可能是由于事件响应团队终止C2服务器和拆除与攻击相关的缓冲职位,并攻击令人讨厌的对手,这些反对派决定返回回报。
基于TTPS而不是妥协指标,前进的前进方式是进行常规网络威胁狩猎。“在我们晚上睡觉之前,我们需要搜索我们的房屋,以确保没有窗户在地下室或车库中开放,没有人。”
威胁狩猎的一个关键方面是利用欺骗技术将陷阱部署在组织的IT基础架构中,以便纳布网络对手并揭示他们的TTP。
注意到炭黑通过应用程序编程接口与主要欺骗供应商集成,Kellermann表示,该公司能够捕获大量的遥测数据 - 无论是好的还是坏 - 都可能指出网络攻击。
“如果某些行为是坏或不好的,我们不能总是定义,但我们需要随着时间的推移了解端点的所有活动,”Kellermann说。
“这是因为无论他们是否使用端点瞄准组织,他们将在未来某些时候抵抗或在端点上执行 - 无论是横向运动还是释放您的秘密和知识产权。
“他们甚至可以使用端点来通过您内心释放第二个有效载荷,因为他们选择保持长期。”
喜欢当前的网络安全状态到游击战,Kellermann表示,网络对手现在知道组织对他们的了解,并且希望改变网络防火板的方式。
“他们只是接受你的想法是不够的。”他说。“他们希望阻碍你对他们的反应的能力,他们希望阻碍你与他们竞争的能力,他们希望阻碍你成为你的能力。”