네트워크 살육 체인을 만들려면

네트워크 살상 체인

cyber kill chain(CKC)은 전통적인 안전 모델로 외부 공격자가 조치를 취해 네트워크에 침투하고 데이터를 훔치며 공격 절차를 분해하여 조직의 준비를 돕는 구식 장면을 묘사한다.CKC는 컴퓨터 보안 응답 팀이라는 팀에서 개발되었습니다.네트워크 살육 체인은 외부 공격자가 안전한 범위 내의 데이터에 접근하려는 공격을 묘사한다
네트워크 살육 체인의 모든 단계는 특정한 목표와 공격자의 방식을 나타낸다.당신의 네트워크 모델 살육 체인 감시와 응답 계획을 설계하는 것은 효과적인 방법이다. 왜냐하면 공격이 어떻게 발생하는지에 관심을 가지기 때문이다.단계는 다음과 같습니다.

정찰

무기화

배송

채굴

설치

지휘와 통제

목표 행동

이제 네트워크 살육 체인의 절차를 설명합니다.

1단계: 정찰

이메일 주소, 회의 정보 수집 등을 포함한다. 정찰 공격은 다른 더 진실한 악의적인 공격을 시작하기 전에 네트워크 시스템의 데이터를 최대한 많이 수집할 것을 위협한다.정찰 공격자는 수동 정찰과 주동 정찰 두 종류로 나뉜다.공격자가 주목하는 것은'누구'나 네트워크: 누가 특권이 있는 사람을 주목할 수 있는지, 시스템 접근을 할 수 있는지, 아니면'네트워크'기밀 데이터에 접근할 수 있는지, 중점은 구조와 구조이다.도구, 설비와 협의;그리고 관건적인 인프라 시설.피해자의 행동을 파악하고 피해자의 집에 침입하다.

2단계: 무기화

빈틈을 뒷문과 결합시켜 유효한 하중을 제공한다.
이어서 공격자는 복잡한 기술을 이용하여 그 목적에 부합되는 핵심 악성 소프트웨어를 재설계할 것이다.공격자의 수요와 능력에 따라 악성 소프트웨어는 이전에 알 수 없었던 빈틈, 즉 제로 데이 빈틈이나 빈틈의 일부 조합을 이용하여 네트워크 방어를 몰래 격파할 수 있다.공격자는 악성 소프트웨어를 재설계함으로써 전통적인 보안 솔루션이 이를 감지할 기회를 줄였다.해커들은 이전에 악성코드에 감염된 수천 대의 인터넷 장치를 사용했다. 이 악성코드를'좀비 네트워크'라고 부르거나 농담으로'좀비 대군'이라고 불리며 특히 강력한 분포식 서비스 거부 분노(DDoS)를 불러일으켰다.

3단계: 제공

공격자가 전자메일을 사용하여 피해자에게 악성 부하를 보내는 것은 공격자가 사용할 수 있는 많은 침입 방법 중의 하나일 뿐이다.100여 가지 가능한 교부 방법이 있다.
대상:
공격자가 침입하기 시작하다.기본적인 두 가지 방법은 다음과 같다.

통제하에 교부하는 것은 직접 교부를 대표하고 개방 포트를 침입하는 것을 의미한다.

은 상대방에게 전달되고 상대방은 인터넷 낚시를 통해 악성 소프트웨어를 목표에게 전송한다.

이 단계는 방어자가 행동을 방해하는 첫 번째이자 가장 중요한 기회이다.그러나 이렇게 하면 일부 관건적인 기능과 다른 중시되는 데이터 정보가 격파될 것이다.이 단계에서 우리는 전송점에서 저항받는 일부 침입 시도의 타당성을 측정한다.

4단계: 활용

공격자가 시스템의 변경 사항을 식별하면 이 빈틈을 이용하여 공격을 수행한다.공격의 이용 단계에서 공격자와 호스트는 위협을 받는다. 전달 메커니즘은 일반적으로 다음과 같은 두 가지 조치 중 하나를 취한다.

공격자 명령을 수행할 수 있는 악성 소프트웨어 (디톡스) 를 설치합니다.

맬웨어 설치 및 다운로드(다운로드)

최근 몇 년 동안 이것은 해커 커뮤니티의 전문 분야가 되었고 Blackhat, Defcon 등 활동에서 자주 나타난다.

5단계: 설치

이 단계에서 피해자의 시스템에 원격 접근 트로이목마 프로그램이나 뒷문 프로그램을 설치하면 경쟁자들이 환경에서 불요불굴의 정신을 유지할 수 있다.자산에 악성 소프트웨어를 설치하려면 무의식중에 악성 코드를 사용했기 때문에 최종 사용자의 참여가 필요하다.이 점에서 행동은 매우 중요하다.이를 실현하는 기술 중 하나는 공공 경로에 대한 경고나 장애 설정 등 호스트 기반 HIPS 시스템을 구축하는 것이다.NSA 작업, 재활용 업체.악성 소프트웨어가 관리자의 권한이 필요한지 아니면 사용자의 권한만 있어야 목표를 실행할 수 있는지 이해하는 것이 중요하다.관리자는 파일의 이상 생성을 발견하기 위해 단점 감사 과정을 이해해야 한다.그들은 악성 소프트웨어가 오래된 것인지 새 것인지 확인하기 위해 어떻게 컴파일하는지 알아야 한다.

단계 6: 명령 및 제어

협박 소프트웨어는 연결을 사용하여 제어한다.파일을 가져오기 전에 암호화 키를 다운로드하십시오.예를 들어, 트로이 목마 원격 액세스는 명령을 켜고 연결을 제어하여 시스템 데이터를 원격으로 액세스할 수 있도록 합니다.이것은 환경과 국방부의 검측 측정 활동에 대해 연속적인 연결을 허용한다.
그것은 어떻게 일합니까?
지휘와 제어 계획은 통상적으로 하나의 커서를 통해 허용된 경로에서 실행된다.신호는 여러 가지 형식이 있지만 대부분의 경우 다음과 같습니다.
HTTP 또는 HTTPS
위조된 HTTP 헤더를 통한 양호한 트래픽
통신이 암호화된 상황에서 커서는 종종 자동 서명 인증서나 사용자 정의 암호화를 사용한다.

단계 7: 대상 작업

행동은 공격자가 최종 목표를 달성하는 방식을 가리킨다.공격자의 최종 목표는 당신에게서 상환금을 추출하여 파일을 네트워크에서 고객 정보로 복호화하는 것입니다.내용에서 다음 예는 데이터가 네트워크를 떠나기 전에 데이터 분실 예방 솔루션의 필터를 멈출 수 있다.그렇지 않으면 공격은 설정된 기선에서 벗어난 활동을 식별하고 문제가 있음을 알리는 데 사용됩니다.이것은 복잡하고 동적인 공격 과정으로 몇 달 안에 완성할 수 있으며 수백 개의 작은 절차가 있어야만 완성할 수 있다.일단 환경에서 이 단계가 확정되면 준비된 반응 계획을 실시할 필요가 있다.최소한 최고위급 관리나 관리위원회에 상세한 정보 증거를 제출하고 정보 분실을 막기 위해 포트 보안 장치를 배치하며 CIRT팀에 상황을 통보할 준비를 하는 포용적인 의사소통 계획을 세워야 한다.오늘날 신속하게 발전하는 네트워크 안전 위협 구조에서 이러한 자원을 앞당겨 구축하는 것은 필수적이다.