EventTracker Enterprise i łańcuch cyberzabójstw

Model Cyber Kill Chain opracowany przez Lockheed Martin opisuje, w jaki sposób osoby atakujące wykorzystują cykl kompromisu, wytrwałości i filtracji eksfiltracyjnej przeciwko organizacji. Strategie obronne, które koncentrują się wyłącznie na obwodzie i zapobieganiu, nie uwzględniają podejścia opartego na cyklu życia łańcucha zabijania; jest to powód, dla którego napastnicy w dalszym ciągu odnoszą tak duże sukcesy. Ochrona przed trwałymi i zaawansowanymi zagrożeniami wymaga metod wykrywania i odrzucania zagrożeń na każdym etapie łańcucha eliminacji.

Koncentrowanie się na obronie obwodowej sprawia wrażenie koncentracji zasobów na najbardziej narażonych zasobach i wektorach ataku. Takie myślenie oznacza, że atakujący musi odnieść sukces tylko raz z nieograniczonej liczby prób. Z drugiej strony obrońcy muszą mieć rację za każdym razem. Jest to nie tylko błędne, ale także nie do utrzymania. Tylko dlatego, że doszło do udanej infekcji złośliwym oprogramowaniem lub ataku polegającego na wstrzyknięciu SQL na Twoją sieć, nie oznacza to, że osoba atakująca wygrała, a Ty przegrałeś. Łańcuch zabijania podkreśla, że zdecydowanie tak nie jest, ponieważ atakujący wygrywa tylko wtedy, gdy wszystkie fazy łańcucha cyberzabijania zostaną pomyślnie wykonane. Udany atak to proces kompleksowy i określany jako „łańcuch”, ponieważ przerwanie na dowolnym etapie może przerwać cały atak. To powoduje, że ciężar spada na atakującego, który musi teraz odnieść sukces na każdym kroku, podczas gdy obrońca musi odnieść sukces tylko na jednym kroku.

Rozwiązanie EventTracker Enterprise to połączenie technologii, wykwalifikowanych ekspertów i dyscypliny procesowej, zaprojektowane z myślą o zapewnieniu ochrony w całym łańcuchu cyberzabójstw. Oto jak EventTracker Enterprise odwzorowuje łańcuch cyberzabójstw.

Rozpoznanie - Zdefiniowane jako identyfikacja, wybór celu, szczegóły organizacji, informacje na temat wyborów technologicznych. EventTracker Enterprise wykrywa próby poprzez odbieranie i analizowanie dzienników serwera sieci Web, przeprowadzanie skanowania podatności na ataki i zewnętrzne testy penetracyjne, a wszystko to integrowane z analizą zagrożeń lokalnych, globalnych i społecznościowych. Nasza oferta EventTracker Honeynet ma na celu oszukiwanie atakujących i ujawnianie ich na podstawie ich działań, a nie reputacji (która zbyt często jest neutralna).

Dostarczanie - Transmisja złośliwego oprogramowania jest inicjowana albo przez cel (użytkownicy przeglądają złośliwą witrynę internetową, co prowadzi do upuszczenia złośliwego oprogramowania, lub otwierają złośliwy plik PDF) lub przez atakującego (wstrzyknięcie SQL lub wykorzystanie usług sieciowych). EventTracker Enterprise zapewnia analizę bezpieczeństwa i analizę zachowania sieci zintegrowaną z analizą zagrożeń w celu wykrywania takich prób.

Exploit - Po dostarczeniu do użytkownika lub punktu końcowego złośliwe oprogramowanie zyska przyczółek, wykorzystując znaną lukę w zabezpieczeniach. Niestety, najprawdopodobniej poprawka jest dostępna od miesięcy lub lat, ale nie została wdrożona. Usługa zarządzania lukami w zabezpieczeniach EventTracker Enterprise zapewnia zarządzaną usługę umożliwiającą systematyczne wykrywanie luk w zabezpieczeniach i ułatwianie ich naprawienia, zmniejszając w ten sposób powierzchnię ataku.

Zainstaluj - Zwykle jest to trojan dostępu zdalnego (RAT), potajemnie działający, pozwalający uzyskać trwałość lub „czas przebywania”. Atakujący stara się to kontrolować bez powiadamiania obrońców. Technologia EventTracker Enterprise obejmuje funkcje Endpoint Threat Detection, które wyłapują zagrożenia, które wymykają się programowi antywirusowemu opartemu na sygnaturach. Funkcja Change Audit (inaczej FIM) śledzi zmiany plików na punktach końcowych i jest solidną techniką wykrywania niechcianej instalacji.

C&C - Teraz, gdy osoba atakująca ma kontrolę nad zasobami w sieci, korzystając z takich metod, jak DNS, protokół komunikatów kontroli Internetu (ICMP), strony internetowe mówi kontrolowanemu „aktywowi”, co ma dalej robić i jakie informacje zebrać. Identyfikowany jest host przejściowy, na który kopiowane są wszystkie dane wewnętrzne, a następnie kompresowane i/lub szyfrowane i przygotowywane do eksfiltracji. EventTracker Enterprise może wykryć takie działania poprzez analizę aktywności DNS, monitorowanie integralności plików i analizę ruchu sieciowego, a wszystko to zintegrowane z analizą reputacji IP.

Ekfiltracja - w tej końcowej fazie atakujący eksfiltruje dane i utrzymuje czas przebywania w sieci, a następnie podejmuje działania mające na celu zidentyfikowanie większej liczby celów i zwiększenie ich zasięgu. Po włamaniu kolejny atak jest przeprowadzany jako użytkownik wewnętrzny. Funkcja monitorowania aktywności EventTracker Enterprise zapewnia ciągłe monitorowanie w celu zidentyfikowania dostępu nietypowych użytkowników do danych, w tym częstotliwości, pór dnia i lokalizacji wcześniej niewidocznych. Analiza behawioralna sieci wyróżnia urządzenia, które przenoszą dane, które nie należą do jej roli (ruch do wyróżniających się hostów), wyjątkowo duży ruch DNS do zewnętrznego serwera DNS, który nie jest zdefiniowany do rozpoznawania nazw hostów zewnętrznych, protokoły ruchu aktywnie używane, co jest sprzeczne z zasadami lub zaufany użytkownik podejmuje próbę wyraźnie złośliwej aktywności, takiej jak sesja FTP do nieoczekiwanego miejsca docelowego.

Ochrona sieci w dzisiejszym krajobrazie zagrożeń wymaga połączenia technologii, wiedzy specjalistycznej i dyscypliny procesowej. EventTracker Enterprise może pomóc w atrakcyjnej cenie.