6.2. מתודולויית ATT@ck Mitre להבנת תהליך התקיפה
מטרת המתודולוגיה של MITRE היא לספק מסגרת מקיפה ומפורטת לתיאור ולניתוח של התנהגות התוקף במחשבים וברשתות. היא עוסקת בזיהוי ובהבנה של טקטיקות, טכניקות והתנהגויות שארגוני האיומים משתמשים בהן במהלך התקפות סייבר.
MITER ATT&CK® הוא בסיס ידע בין לאומי של טקטיקות וטכניקות של תוקף, המבוסס על אירועים ותצפיות בעולם האמיתי. בסיס הידע של ATT&CK משמש כבסיס לפיתוח מודלים ומתודולוגיות איומים ספציפיים במגזר הפרטי, בממשלה ובקהילת המוצרים והשירותים בתחום אבטחת הסייבר, והוא מגיע ומצטבר מהמשתמשים עצמם.
מודל זה יצא לראשונה בשנת 2015 ומאז עבר עדכונים ושינויים רבים בכדי להתעדכן בנוף האיומים המתפתח ללא הרף, ונוצר על ידי Mitre Corporation, ארגון ללא מטרות רווח המפעיל מרכזי מחקר ופיתוח (R&D) במימון פדרלי.
מסגרת MITER ATT&CK קיימת כבר שנים, אך כעת היא מאומצת ביתר שאת על ידי ארגונים, ככל שהם מבינים את הצורך בצוות אבטחת IT חזק וככל שהמימון זמין יותר לתוכניות הגנת סייבר.
המטרות המרכזיות של מתודולוגית ATT&CK MITRE הן:
- מתן מסגרת קונספטואלית: יצירת שפה משותפת ומסגרת לתיאור וניתוח התקפות סייבר שמאפשרת שיתוף ידע בין ארגונים ומומחים.
- הבנת טקטיקות וטכניקות התוקף: זיהוי וקטלוג של טקטיקות וטכניקות שמשתמשים בהן התוקפים, כדי להבין את אופי האיומים ואת אופן פעולתם.
- שיפור ההגנה והתגובה: הכוונה היא לאפשר לארגונים לשפר את מוכנותם ויכולתם להגן על עצמם מפני התקפות סייבר, על ידי הבנה טובה יותר של איומים פוטנציאליים.
- פיתוח והערכת פתרונות אבטחת מידע: מסגרת ATT&CK משמשת כמודל לפיתוח ולהערכה של כלים ופתרונות אבטחת מידע.
- הכשרה וחינוך: משמשת כמשאב להכשרה ולחינוך בתחום האבטחת סייבר, תוך עזרה בבניית תוכניות לימוד והכשרות בתחום.
- זיהוי וניתוח איומים חדשים: ATT&CK מעודכנת באופן תדיר כדי לכלול מידע על איומים חדשים ומתפתחים, מה שמאפשר תגובה מהירה ומדויקת לאיומים עכשוויים.
לכן, פרק זה מהווה "גשר" – מעבר מעולם הבנת האיומים והתוקפים, אל העולם של הגנה: מה עלינו לעשות כמומחי הגנת סייבר.
ה- MITRE ATT&CK הינה מתודולוגיה לשימוש הציבור, שמאפשרת ביצוע הערכה של יצרני פתרונות אבטחת המידע לתחנות קצה בארגונים. כדי לנתח את תוצאות המבדק, חשוב להבין את המתודולוגיה באמצעות מספר מושגי מפתח. MITRE מספקים תיעוד ברור עבור המבדק, החל ממאמר בלוג על המבדק וכלה בספריית תוכניות ושיטות תקיפה של גורם תוקף, לרבות קוד מקור שבאמצעותו כל אחד יכול לשחזר את הקוד העוין.
מבדקי ATT&CK שונים ממבחני בדיקת תוכנות אבטחה מסורתיים. אין למבדקים "ציון" או "דירוג".. הסיבה היא, שבכל ארגון, צוות ה-SOC וה-CISO נדרשים לעמוד בחוקים ובתקנות שונים, ועליהם להתאים את הפתרון לצרכים הספציפיים בתחום עיסוקם.
הוא נועד לסייע לארגונים בהערכת מצב האבטחה שלהם וזיהוי פערים קיימים בהגנות הסייבר שלהם, כמו כן לסייע לצוותי האבטחה בזיהוי, תגובה והתאוששות יעילה לאחר אירוע. הוא מספק שפה מוסכמת, מעין סטנדרט לתיאור איומי הסייבר, הטקטיקות ואת הטכניקות שבהן משתמשים פושעי הסייבר.
MIRTE מרכז את כל הטכניקות והכלים שנמצאים בשימוש של תוקפים, וכך ניתן לבצע שיוך על בסיס קונטקסטואלי של כל סוג תקיפה או תוקף, כחלק מהמאמץ של מודיעין איומים. לדוגמא: אם ארגון מזהה כלים מסוימים שמשויכים לתוקף מסוים, ניתן להניח שאותו תוקף עומד מאחורי התקיפה.
מודל Mitre הינו מודל מקיף ומוכר בעולם של איומי הסייבר וטקטיקות המשמשות תוקפים במהלך מחזור חיים של מתקפה (Tools Techniques And Procedures).
לפני יצירת המודל, היה חוסר סטנדרטיזציה ועקביות משווע באופן שבו תוארו איומי סייבר, והדבר הקשה על ארגונים לשתף מידע ולעבוד בשיתוף פעולה בכל הנוגע לאסטרטגיות הגנה ועבודה בצורה יעילה.
חלקי MITRE
ATT&CK של MITRE כולל מספר חלקים עיקריים ומטרות שונות לכל חלק:
- Tactics (טקטיקות): מייצגות את המטרות העיקריות של התוקפים, כגון השגת גישה, התחמקות מהגנות ואיסוף מידע. כל טקטיקה מחולקת למספר טכניקות שונות.
- Techniques (טכניקות): פרטים על השיטות הספציפיות שהתוקפים משתמשים בהן כדי להשיג את מטרותיהם. כל טכניקה יכולה להיות מיושמת בדרכים שונות, המכונות תת-טכניקות.
- Procedures (נהלים): הם התיאורים הפרטיים של הדרך בה תוקפים פועלים בפועל. הם מבוססים על טכניקות ומספקים דוגמאות מציאותיות.
- Mitigations (הקלות): מציעות דרכים למנוע או להקטין את ההשפעה של התקפות. הן כוללות המלצות למדיניות, קונפיגורציה והתקנה של מערכות.
- Software (תוכנה): פורטים על תוכנות זדוניות וכלים שהתוקפים משתמשים בהם. זה כולל וירוסים, תולעים, טרויאנים וכלים של האקרים.
- Groups (קבוצות): מתארים קבוצות איום ספציפיות, כולל התנהלויות ומאפיינים ייחודיים.
- המודל מחולק לשתי קטגוריות עיקריות - טקטיקות וטכניקות, ומתאר 14 שלבים (טקטיקות) ולכל אחד מהם טכניקות שונות לפעולה רלוונטית על ידי תוקף זדוני, כולן ממוספרות ומתוארות בפירוט רב.
טקטיקות וטכניקות
להלן סקירה כללית של כל טקטיקה קיימת, יחד עם כמה תת טכניקות ודוגמאות קשורות :
- Reconessence: התוקף מבצע טכניקות מודיעין על מנת לאסוף מידע לקראת פעולה (מל''מ) ומנסה לצבור כמה שיותר תובנות על הקורבן בשביל להשמיש אותן לכדי פעולות בשלב מאוחר יותר.תת טכניקה תהיה למשל סריקת פורטים על מערכות הקורבן על מנת לגלות אילו שירותים קיימים ניתנים לניצול זדוני בשלב מאוחר יותר.דוגמא לטקטיקה זו תהיה תוקף המבצע חיפוש של דלף מידע רלוונטי שכולל סיסמאות או פרטים רגישים על הארגון על מנת להשתמש בהם.
- Resource Development: התוקף מנסה לבסס תשתית יציבה על מנת לבצע פעולות בהמשך. תת טכניקה תהיה למשל בניית הקוד הזדוני שישמש לתקיפה עצמה ויבצע פעולה מוגדרת (יגנוב סיסמאות, יצפין קבצים, יפתח חיבור מרוחק למחשב התוקף על מנת לרגל…). דוגמא לטקטיקה זו תהיה תוקף שהשתלט או רכש חשבונות פרוצים על מנת לבצע את התקיפה העתידית דרכם.
- Initial Access: טקטיקה זו מתארת תוקף שמקבל גישה ראשונית למערכת היעד שאותה תקף. תת טכניקה תהיה למשל Spear Phishing וניצול חולשות קיימות במערכת או בשרשרת האספקה. דוגמא לטקטיקה זו תהיה תוקף ששולח מייל דיוג לעובד, וכולל קובץ זדוני שברגע שייפתח, יתקין תוכנה זדונית במחשב העובד.
- Execution: טקטיקה זו מתארת את הרצת הקוד הזדוני בפועל, מה שהוכן בשלב השני במודל. תת טכניקה תהיה למשל שימוש לרעה בחתימת קוד או סקריפט שרץ ברקע. דוגמא לטקטיקה זו תהיה תוקף המשתמש בסקריפט הרצה שנבנה ב Powershell שרץ בפועל על מחשב הקורבן ומבצע פעולות זדוניות על מערכת היעד.
- Persistence: טקטיקה זו מתארת מצב שבו התוקף מנסה לשמור על אחיזה במערכות הקורבן לאחר חדירה ראשונית, על מנת למנוע מצב שבו יאבד את הגישה לגמרי במידה וחיבור הרשת יפגע או שהמחשב יעבור אתחול. תת טכניקה תהיה למשל הגדרה של משימה מתוזמנת (Scheduled Task) במערכת ההפעלה להריץ שוב ושוב את התוכנה הזדונית. דוגמא לטקטיקה זו תהיה תוקף המגדיר תוסף דפדפן שנראה לגיטימי אך בפועל משמש לפעילות זדונית ברקע ללא ידיעת המשתמש.
- Privilege Escalation: טקטיקה זו מתארת מצב שבו לתוקף יש גישה למערכת אך הוא רוצה לעלות ברמות ההרשאות הקיימות ולכן מחפש "הסלמה" של משתמשים חזקים יותר עם גישה מורחבת יותר לביצוע פעולות. תת טכניקה תהיה למשל שימוש באקספלויטים לקרנל וחולשות ב Registry. דוגמא לטקטיקה כזו תהיה תוקף שמשנה סקריפטים ברמת System Level (רמה מאוד גבוהה) בשביל לשנות את הפעולות שאמורות לקרות בפועל כשמערכת ההפעלה מאתחלת את עצמה.
- Defense Evasion: טקטיקה המתארת מצב שבו התוקף ינסה להימנע מזיהוי של מערכות אבטחה הקיימות בארגון. תת טכניקה תהיה למשל מחיקת קבצים או שילוב של וירטואליזציה על מערכות הארגון (מעין מערכת נוספת שיודעת "לחיות" בתוך המערכת הראשית כשהיא מסתמכת על משאבים של המארח אך עומדת בפני עצמה). דוגמא לטקטיקה כזו תהיה תוקף המשתמש בפקודות Powershell על מנת לעקוף את זיהוי האנטי-וירוס ולמנוע חסימה.
- Credential Access: טקטיקה המתארת מצב שבו התוקף מנסה לגנוב חשבונות משתמשים קיימים על מנת לבצע איתם פעולות במהלך הדרך. תת טכניקה תהיה למשל גניבת Credentials (שם משתמש + סיסמא) מהזיכרון או שימוש בתוכנה שמקליטה את ה Input של המשתמש (Keylogger). דוגמא לטקטיקה כזו תהיה תוקף המשתמש ב Keylogger בשביל להשיג חשבונות משתמשים ולהתחבר איתם בשלב מאוחר יותר ולבצע פעולות בשמם.
- Discovery: טקטיקה המתארת את התוקף שמנסה למפות את הרשת הארגונית מבפנים ולסווג אותה לפי רמות הרגישות השונות בה. תת טכניקה תהיה למשל סריקת רשת פנימית בשביל לגלות רשת חדשה שזו הפרוצה יכולה לתקשר איתה. דוגמא לטקטיקה כזו תהיה תוקף המבצע את פקודת Net View על מנת לגלות קבצים, דומיינים ומחשבים ששותפו עם אותו מחשב בשליטת התוקף.
- Lateral Movement: טקטיקה המתארת את התוקף שנע בתוך הרשת על מנת לקבל גישה למערכות נוספות או שרתים שונים בארגון. תת טכניקה תהיה תהיה "חטיפה" של סשן RDP (חיבור מרוחק לשולחן העבודה) או "חטיפה" של סשן SMB. דוגמא לטקטיקה כזו תהיה תוקף המשתמש ב "חטיפת" סשן RDP על מנת לקבל גישה למערכת מרוחקת בתוך רשת היעד.
- Collection: טקטיקה המתארת את התוקף שאוסף נתונים ממערכת היעד (מידע רגיש, סשנים קיימים וכו'). תת טכניקה תהיה גניבת נתונים דרך Clipboard, הקלטת מסך או אודיו. דוגמא לטקטיקה כזו תהיה תוקף המשתמש בכלי ללכידת מסך (Screenshot) על מנת לצלם מידע רגיש המוצג על מסך המשתמש.
- Exfiltration: טקטיקה המתארת את התוקף שמנסה לגנוב את המידע. תת טכניקה תהיה שימוש בערוצים חיצוניים כמו מייל או שירות FTP ושימוש בהצפנה על מנת להסתיר את הנתונים המוחלפים בפועל. דוגמא לטקטיקה כזו תהיה העברה יזומה של מידע מתיקייה מסוימת לשרת אחר בבעלות התוקף (מעין משימה מתוזמנת).
- Command And Control: טקטיקה המתארת את התוקף שמנסה לתקשר עם שרת חיצוני למטרות שליטה ובקרה (C2) שתחת ניהולו, ודרכו הוא משדר למחשבים הנתקפים את פקודות הפעולה או לשדר נתונים גנובים מתוך הארגון. תת טכניקה תהיה שימוש בהסתרת מידע (סטגנוגרפיה) או שימוש בערוצים מוצפנים. דוגמא לטקטיקה כזו תהיה קידוד מידע המגיע לשרת ה C2C על מנת להקשות על זיהוי שלו.
- Impact: טקטיקה המתארת את התוקף מבצע את הנזק בפועל, זו מטרת התקיפה עצמה. היא יכולה להיות הצפנה של הארגון תמורת כופר, גניבת מידע על מנת לבצע סחיטה או הרס והשמדה של קבצים.
תת טכניקה תהיה תוקף המשתמש בתוכנת הצפנה בארגון על מנת להגביל את הקורבן משימוש לגיטימי במערכותיו עד שישלם כסף תמורת מפתח הפענוח. דוגמא לטקטיקה כזו תהיה פגיעה בכל המידע הקיים בארגון עד לכדי הרס כליל שלו ומניעה לכל שימוש עתידי בו.
שלבים וטכניקות תקיפה
Reconessence (איסוף מודיעין)
התוקף מבצע טכניקות מודיעין על מנת לאסוף מידע לקראת פעולה (מל''מ) ומנסה לצבור כמה שיותר תובנות על הקורבן בשביל להשמיש אותן לכדי פעולות בשלב מאוחר יותר. תת טכניקה תהיה למשל סריקת פורטים על מערכות הקורבן על מנת לגלות אילו שירותים קיימים ניתנים לניצול זדוני בשלב מאוחר יותר.
Reconnaissance הוא שלב חשוב בהתקפה קיברנטית. זהו "סיור מודיעין", שלב "מחקר הצד היריב" בשפת המודיעין, והוא השלב הראשון והקריטי במחזור החיים של התקפת סייבר. החקר מתייחס לאיסוף מידע על יעדים לפני התקיפה עצמה. פעילויות אלו מהוות את הקרקע הפורייה לפיתוח תכנית התקפה מותאמת אישית, ויכולות לכלול הן חקר דיגיטלי והן חקר פיזי.
בשלב זה, התוקף מנסה לאסוף מידע על המטרה שלו, להבין את המבנה, המערכות, הפגיעויות וההתנהגויות של יעדו. מידע זה יכול להיות מקצועי וטכני, כמו פרטי התשתית המחשובית, רשתות, פרטי עובדים, ומערכות אבטחת מידע. יתרה מכך, הוא יכול לכלול גם מידע על תרבות הארגון, תוכניות עסקיות, ואפילו אירועים חברתיים הקשורים לעובדים, שהכל עשוי לספק נקודות תורפה לניצול:
- מידע על הרשת, כגון רשימת המחשבים והמשתמשים, שירותים זמינים וחולשות אבטחה.
- מידע על מערכת המחשב, כגון מערכת הפעלה, יישומים התקינים וחשבונות משתמשים.
- מידע על העובדים, כגון שם, תפקיד, כתובת דואר אלקטרוני וחשבונות מדיה חברתית.
- מידע זה יכול לעזור לתוקף לבחור את הטכניקה הנכונה לפריצה למערכת המחשב ולהשיג את מטרותיו.
Reconnaissance מחולק לשני תת-שלבים:
- Passive Reconnaissance: בשלב זה, התוקף אוסף מידע ללא אינטראקציה עם המטרה. לדוגמה, התוקף יכול להשתמש ב-Google Hacking כדי לחפש מידע על המטרה באינטרנט, או להשתמש ב-OSINT כדי לחפש מידע על המטרה באתרי מדיה חברתית או בפורומים.
- Active Reconnaissance: בשלב זה, התוקף מבצע אינטראקציה עם המטרה כדי לאסוף מידע. לדוגמה, התוקף יכול לשלוח דואר אלקטרוני פישינג למטרה כדי לאסוף את פרטי הגישה שלה, או להשתמש ב-Port Scanning כדי למצוא חולשות אבטחה ברשת המטרה.
טכניקות וכלים ב-Reconnaissance:
- חיפוש מידע פומבי: התוקף עשוי לחפש מידע דרך מנועי חיפוש, בסיסי נתונים ציבוריים, רשתות חברתיות, פורומים מקצועיים, ואתרים קורפורטיביים.
- Social Engineering: כולל פניות ישירות או עקיפות לעובדים באמצעות פלטפורמות שונות כדי להשיג מידע מובנה.
- Phishing Campaigns: שליחת דוא"לים זדוניים לעובדים כדי לגרום להם לחשוף מידע או לקחת פעולה שתאפשר חדירה למערכת.
- Scanning and Enumeration: סריקת רשתות ושרתים כדי לאסוף מידע טכני כמו פרטי IP, פתחים פתוחים, שירותים פעילים, וגרסאות של מערכות הפעלה ותוכנות.
- DNS Footprinting: איסוף מידע על רישומי DNS של הארגון כדי למפות את מבנה התת-דומיינים ואת מבנה הרשת.
דוגמאות להתקפות Reconnaissance
להלן כמה דוגמאות להתקפות Reconnaissance:
- שימוש ב-Google Hacking כדי לחפש מידע על חברה מסוימת באינטרנט. הוא מוצא אתר אינטרנט של החברה שמציג את רשימת המחשבים ברשת שלה.
- דואר אלקטרוני פישינג לעובד של חברה מסוימת. הדוא"ל מכיל קישור זדוני שמאפשר לתוקף לגנוב את פרטי הגישה של העובד.
- שימוש ב-Port Scanning כדי למצוא חולשות אבטחה ברשת של חברה מסוימת. הוא מגלה ששירות מסוים ברשת פועל על פורט לא מאובטח.
האתגרים והתגובה
זיהוי שלב ה-Reconnaissance על ידי ארגונים הוא מאתגר, מאחר ורוב הפעילות מתבצעת מחוץ לגבולות הארגון ולא נחשבת בהכרח למזיקה. על ארגונים להקפיד על נהלים ומדיניות שמגנים על מידע רגיש ולאמן עובדים להיות מודעים לניסיונות חדירה או חקירה.
Reconnaissance הוא השלב שמקדים כל התקפה סייבר מתוחכמת, וההכנה שתוקפים מבצעים במהלכו יכולה להיות ההבדל בין כשלון להצלחה של ההתקפה. לכן, ארגונים צריכים להיות מודעים לחשיבות של שלב זה ולהקצות משאבים להגנה מפניו.
Resource Development (פיתוח משאבי תקיפה)
התוקף מנסה לבסס תשתית יציבה על מנת לבצע פעולות בהמשך. תת טכניקה תהיה למשל בניית הקוד הזדוני שישמש לתקיפה עצמה ויבצע פעולה מוגדרת (יגנוב סיסמאות, יצפין קבצים, יפתח חיבור מרוחק למחשב התוקף על מנת לרגל…). דוגמא לטקטיקה זו תהיה תוקף שהשתלט או רכש חשבונות פרוצים על מנת לבצע את התקיפה העתידית דרכם.
פיתוח משאבי תקיפה הוא שלב בהתקפה קיברנטית שבו התוקף מפתח את המשאבים הדרושים לו כדי לבצע את ההתקפה. זהו שלב קריטי בתהליך התקיפה במרחב הסייבר. בשלב זה, התוקפים מפתחים או רוכשים משאבים שישמשו אותם במהלך ההתקפה.
Resource Development מאפשר לתוקפים להכין את הקרקע לקראת השלבים הפעילים של ההתקפה. משאבים אלה יכולים לכלול כל מה שדרוש לתוקף כדי להצליח, וכדי לעקוף אמצעי אבטחה, ליצור תקשורת חסויה ואמינה עם התשתיות הנפגעות, ולנצל נקודות תורפה שהתגלו במהלך ה-Reconnaissance, מודיעין סייבר, כלים לניהול מערכות נפגעות, תשתיות לשידור פקודות, וקוד להתקנת תוכנה זדונית.
דרכי הפיתוח והרכישה של משאבים:
- פיתוח פנימי: כולל כתיבת קוד זדוני, יצירת מודולים וכלים שמותאמים למטרות מסוימות.
- רכישה מהשוק השחור / הרשת האפלה: רכישת כלי האקינג מתקדמים, נתוני פריצה, ואפילו שירותים של האקרים שניתן להשכיר.
- שימוש בשירותים קיימים: ניצול שירותים לגיטימיים למטרות זדוניות, כמו שרתי אימייל לקמפיינים של פישינג או שירותי ענן לאירוח תוכנה זדונית.
- משאבים
- תוכנה זדונית: התוקף יכול לפתח תוכנה זדונית בעצמו, או להשתמש בתוכנה זדונית קיימת.
- גישה לאינטרנט: התוקף זקוק לגישה לאינטרנט כדי להוריד תוכנה זדונית, לתקשר עם תוכנה זדונית קיימת ולקבל עדכונים על חולשות אבטחה.
- גישה למחשב: התוקף זקוק לגישה למחשב של המטרה כדי להתקין את התוכנה הזדונית או לבצע פעולות אחרות.
- רישום דומיינים לתקשורת מרחוק.
- תשתיות תומכות: התוקף מפתח תשתיות תומכות להתקפה שלו, כגון שרתי C&C או רשתות שיתוף קבצים.
האתגרים והתגובה:
אחד האתגרים הגדולים שארגונים נתקלים בו הוא זיהוי פעילות Resource Development זדונית בזמן אמת. פעמים רבות, הפעילות הזו נעשית בשקט, מתחת לרדאר, עד שהתוקף מוכן לפעול. תגובה נכונה תכלול שימוש בפתרונות סייבר מודיעיניים, שימוש בטכנולוגיות זיהוי וניטור מתקדמות, והקפדה על מדיניות בטיחות מידע מחמירה.
Resource Development הוא שלב חשוב בהתקפה קיברנטית. בשלב זה, התוקף מפתח את המשאבים הדרושים לו כדי לבצע את ההתקפה. המשאבים הללו יכולים לעזור לתוקף לבחור את הטכניקה הנכונה לפריצה ולהשיג את מטרותיו.
Initial Access (שליטה ראשונית)
טקטיקה זו מתארת תוקף שמקבל גישה ראשונית למערכת היעד שאותה תקף. תת טכניקה תהיה למשל Spear Phishing וניצול חולשות קיימות במערכת או בשרשרת האספקה. דוגמא לטקטיקה זו תהיה תוקף ששולח מייל דיוג לעובד, וכולל קובץ זדוני שברגע שייפתח, יתקין תוכנה זדונית במחשב העובד.
Initial Access הוא השלב הראשון בהתקפה קיברנטית. בשלב זה, התוקף משיג גישה ראשונית למטרה. גישה זו יכולה להיות למערכת מחשב, לרשת או למידע.
גישה ראשונית היא השלב בו התוקף יוצר נקודת חדירה לרשת של הקורבן. ללא גישה זו, כל השלבים הבאים של התקיפה אינם יכולים להתבצע. זוהי כניסתו הגדולה של התוקף לבמת המשחק שבה הוא מתחיל להרחיב את השפעתו ולהשיג את מטרותיו.
גישה ראשונית הוא אחד השלבים המרכזיים במודל ATT&CK של MITRE ומתייחס לשיטות וטכניקות שהתוקפים משתמשים בהן כדי לקבל גישה ראשונית לרשת או למערכת של הקורבן. כניסה זו מהווה את הצעד הראשון לביצוע התקפה מסודרת וכוללת כניסה פיזית או דיגיטלית למערכת. במאמר זה נבחן את טכניקות ה-Initial Access הנפוצות והשלכותיהן.
טכניקות נפוצות להשגת גישה ראשונית:
- Phishing: שימוש בדוא"ל, תוכנת מסרים, או רשתות חברתיות כדי לשכנע משתמשים לפתוח קישורים זדוניים או קבצים מזוקקים.
- Drive-by Compromise: השתלטות על אתר אינטרנט חוקי והוספת קוד זדוני שמוריד תוכנה זדונית למחשב של הקורבן בעת ביקור באתר.
- Exploiting Public-Facing Applications: ניצול פרצות בתוכנות שמופעלות בשרתים הזמינים לציבור כדי להשיג שליטה על שרתים אלו.
- Credential Stuffing: שימוש בשמות משתמש וסיסמאות שהודלפו מהתקפות קודמות על מערכות ושירותים שונים.
- Supply Chain Attack: חדירה לרשת של ארגון דרך מוצר או שירות שנפגע מהתקפת סייבר.
- שימוש בחולשות אבטחה: התוקף יכול לנצל חולשות אבטחה במערכת המחשב או ברשת כדי להשיג גישה. חולשות אבטחה יכולות להיות בתוכנה, במערכת ההפעלה או בתצורת הרשת.
- שימוש בתוכנה זדונית: התוקף יכול להשתמש בתוכנה זדונית כדי לזהם את מערכת המחשב או הרשת. תוכנה זדונית יכולה להיות וירוס, תולעת, רוגלה או תוכנה זדונית אחרת.
- שימוש בשיטות חברתיות: התוקף יכול להשתמש בשיטות חברתיות, כגון פישינג או התקפת אדם באמצע, כדי לגרום לקורבן להקליד את פרטי הגישה שלו או להוריד תוכנה זדונית למחשב שלו.
האתגרים והתגובה
אחד האתגרים המשמעותיים בהגנה נגד Initial Access הוא המגוון הרחב של טכניקות והתאמתן למטרה ספציפית. אימון עובדים לזיהוי התקפות פישינג, שימוש במערכות אבטחה מתקדמות לזיהוי וחסימת תנועה זדונית, וביצוע ניהול זהויות והרשאות מאובטח יכולים לעזור במניעת חדירה ראשונית.
Initial Access מהווה את השער שדרכו התוקף יכול להיכנס ולהשפיע על הרשת ומערכות המידע של הקורבן. ללא זיהוי והגנה מוקדמת נגד שלב זה, התוקפים יכולים להתקדם ולהגיע לשלבים מתקדמים יותר של התקיפה שבהם הם יכולים לגרום נזק רב יותר. לכן, הקפדה על הגנות נכונות ופרקטיקות אבטחה מוצקות היא חיונית למניעת חדירות אלו ולהגנה על מערכת המידע של הארגון.
Execution (הפעלה)
Execution הוא השלב השני בהתקפה קיברנטית. בשלב זה, התוקף מנצל את הגישה הראשונית שלו למטרה כדי להשיג שליטה מלאה עליה.
השלב של "Execution" מתאר את הפעולות שבהן מיישם התוקף תוכנה זדונית או קוד זדוני במערכת המטרה. הביצוע הוא השלב שבו התוקפים "מפעילים" את היכולות שלהם על המכונה הנפגעת. זה יכול לכלול הרצת קוד זדוני שהובא למערכת דרך פרצה אבטחתית, פקודת סקריפט שמנצלת תצורה לקויה או שימוש בכלי רגילים של מערכת ההפעלה לביצוע פעולות לא מורשות.
דרכים לניצול הגישה הראשונית:
- הפעלת תוכנה זדונית: התוקף יכול להפעיל תוכנה זדונית שהוריד למחשב של המטרה בשלב Initial Access. התוכנה הזדונית יכולה לתת לתוקף שליטה מלאה על המחשב, כולל גישה לנתונים, לרשת ולמחשבים אחרים ברשת.
- ניצול חולשות אבטחה נוספות: התוקף יכול לנצל חולשות אבטחה נוספות במחשב של המטרה כדי לקבל שליטה מלאה עליו.
- שימוש בשיטות חברתיות: התוקף יכול להשתמש בשיטות חברתיות, כגון פישינג או הונאה, כדי לגרום לקורבן לבצע פעולה שתאפשר לתוקף להשיג שליטה מלאה על המחשב שלו.
- Command-Line Interface: שימוש בממשק שורת הפקודה להרצת סקריפטים או תוכנות.
- Scripting: הפעלת סקריפטים לאוטומציה של פעולות זדוניות וניצול פגיעויות.
- Exploitation of Vulnerability: הרצת קוד זדוני דרך פגיעויות ידועות במערכת.
- User Execution: שכנוע המשתמש להריץ קובץ זדוני דרך פישינג או הונאות אחרות.
- Scheduled Task/Job: יצירת משימה מתוזמנת שתבצע את הפעולה הזדונית בזמן מוגדר.
לאחר שהתוקף השיג שליטה מלאה על המטרה, הוא יכול להמשיך לשלבים הבאים של ההתקפה, כגון התקנה, שליטה ותפעול.
דוגמאות להתקפות Execution
להלן כמה דוגמאות להתקפות Execution:
- תוקף מפעיל תוכנה זדונית שהוריד למחשב של משתמש. התוכנה הזדונית מאפשרת לתוקף לגשת למצלמת המחשב ולשתף את התמונות שלה עם התוקף.
- תוקף מנצל חולשה במערכת הפעלה מסוימת כדי להשתלט על מחשב של מנהל רשת. הוא משתמש במחשב של המנהל כדי לגשת למידע רגיש של החברה.
- תוקף משתמש בשיטות חברתיות כדי לגרום לעובד של חברה להוריד תוכנה זדונית למחשב שלו. התוכנה הזדונית מאפשרת לתוקף לשלוט במחשב של העובד ולגשת למידע של החברה.
האתגרים והתגובה:
הגנה נגד שלב הביצוע מחייבת אבטחת רמה גבוהה של המערכות והתשתיות. זה כולל שימוש בפתרונות אנטי-וירוס ו-EDR (Endpoint Detection and Response), הגבלת הרשאות משתמשים, והשגחה רציפה על פעילות המערכת. כמו כן, חשובה הקפדה על עדכונים אבטחתיים והדרכה של המשתמשים כדי למנוע הרצת קובץ זדוני בטעות.
שלב הביצוע הוא הרגע שבו התכניות הזדוניות של התוקף יוצאות לפועל ולכן זיהוי מוקדם שלו והתערבות יכולים להיות מכריעים במניעת נזק משמעותי למערכת. על ארגונים לקחת צעדים מונעים ולהשתמש בכלים הנכונים כדי לאתר ולחסום נסיונות ביצוע של תוקפים, לפני שהם מספיקים להשיג את מטרותיהם הזדוניות.
Persistence (התמדה בהיאחזות)
טקטיקה זו מתארת מצב שבו התוקף מנסה לשמור על אחיזה במערכות הקורבן לאחר חדירה ראשונית, על מנת למנוע מצב שבו יאבד את הגישה לגמרי במידה וחיבור הרשת יפגע או שהמחשב יעבור אתחול. תת טכניקה תהיה למשל הגדרה של משימה מתוזמנת (Scheduled Task) במערכת ההפעלה להריץ שוב ושוב את התוכנה הזדונית. דוגמא לטקטיקה זו תהיה תוקף המגדיר תוסף דפדפן שנראה לגיטימי אך בפועל משמש לפעילות זדונית ברקע ללא ידיעת המשתמש.
התמדה (Persistence) היא שלב קריטי במתקפת סייבר שמטרתו לאפשר לתוקף גישה מתמשכת למערכת הקורבן. בשלב זה התוקף מנסה להתבסס במערכת על ידי התקנת תוכנות זדוניות, שינוי הגדרות מערכת ויצירת חשבונות משתמש לצורך גישה עתידית. Persistence הוא השלב השלישי בהתקפה קיברנטית. בשלב זה, התוקף מנסה להבטיח את המשך הגישה שלו למטרה, גם לאחר שההתקפה הראשונית הסתיימה.
ה-Persistence הוא המכשיר שבאמצעותו התוקף מאבטח את עצמו מפני ניסיונות לסילוק מהמערכת. זה כולל שיטות שונות כדי להבטיח שהגישה הזדונית לא תסתיים עם הפעלה מחדש של המערכת, עדכון אבטחה או חיפוש אחר תוכנות זדוניות.
דרכים להיאחזות ארוכת טווח ביעד המותקף:
- הוספת תוכנה זדונית למחשב של המטרה: התוקף יכול להוסיף תוכנה זדונית למחשב של המטרה, כגון וירוס, תולעת או רוגלה. התוכנה הזדונית יכולה להפעיל את עצמה באופן אוטומטי בעת הפעלת המחשב, או כאשר התוקף מפעיל אותה באופן ידני.
- שימוש ב-Scheduled Task: התוקף יכול להשתמש ב-Scheduled Task כדי להפעיל את התוכנה הזדונית שלו באופן אוטומטי במועד קבוע. Scheduled Task כדי להבטיח את ה-Persistence שלו]
- שימוש ב-Windows Registry: התוקף יכול להשתמש ב-Windows Registry כדי להוסיף את התוכנה הזדונית שלו לתהליך ההפעלה של המחשב. Windows Registry כדי להבטיח את ה-Persistence שלו]
ה-Persistence הוא שלב חשוב בהתקפה קיברנטית. הוא מאפשר לתוקף להמשיך לשלוט במטרה גם לאחר שההתקפה הראשונית הסתיימה.
טכניקות להשגת התמדה
- התקנת רוגלות (Backdoors) - קוד המאפשר גישה מאוחרת למערכת דרך פרצות אבטחה
- שינוי רישומי Registry - שינוי הגדרות רישום במערכת ההפעלה כדי להפעיל תוכנות זדוניות
- Registry Keys: הוספת מפתחות רישום ב-Windows שמאפשרים לתוכנה להתחיל עם הפעלת המערכת.
- התקנת Rootkits - תוכנות המסתירות את נוכחות התוקף במערכת
- יצירת חשבונות משתמש - יצירת חשבונות נוספים עם הרשאות גבוהות
- כתיבה לקובצי אתחול - הוספת קוד לקבצים המופעלים בעת אתחול המערכת
- שינוי דפדפן ברירת מחדל - הגדרת דפדפן זדוני כברירת מחדל
- Startup Folders: הכנסת קבצי אוטו-סטארט שיפעילו תוכנה זדונית בזמן הדלקת המחשב.
- Scheduled Tasks: יצירת משימות מתוזמנות שיריצו את התוכנה הזדונית באופן קבוע.
- Service Creation: הפיכת התוכנה הזדונית לשירות של מערכת ההפעלה שיופעל אוטומטית.
- Account Manipulation: יצירה או שינוי של חשבונות משתמש כדי לאפשר גישה זדונית לאורך זמן.
- Web Shells: הפיכת שרתי אינטרנט לפתח כניסה עבור התוקף על ידי התקנת קוד שרתי (Web shell) שמאפשר שליטה מרחוק.
האתגרים והתגובה:
ההבדלה בין פעילות זדונית לבין פעילות לגיטימית יכולה להיות קשה מאוד בשלב ה-Persistence. כדי להתמודד עם איומים אלה, ארגונים צריכים להשתמש בכלים מתקדמים כמו פתרונות ניהול זהויות והרשאות, ניטור אבטחתי רציף ומענה מהיר לאירועים, וכן ביצוע סריקות אבטחה תקופתיות.
דוגמאות
- התוקף מוסיף תוכנה זדונית למחשב של עובד. התוכנה הזדונית מאפשרת לתוקף לשלוט במחשב של העובד גם לאחר שהעובד יסגור את המחשב שלו.
- התוקף משתמש ב-Scheduled Task כדי להפעיל תוכנה זדונית באופן אוטומטי בכל יום בשעה 00:00. התוכנה הזדונית מאפשרת לתוקף לאסוף מידע מהמחשב של העובד.
- התוקף משתמש ב-Windows Registry כדי להוסיף את התוכנה הזדונית שלו לתהליך ההפעלה של המחשב. התוכנה הזדונית מאפשרת לתוקף לקבל גישה למחשב של העובד בכל עת.
- התמדה והשרדות בחצר המותקף מאפשרת לתוקף שליטה ארוכת טווח על המערכת, ומהווה בסיס לשלבים מתקדמים יותר במתקפה כגון התפשטות ואיסוף מידע. לכן יש חשיבות רבה לזהות ולחסום טכניקות התמדות בשלב מוקדם ככל האפשר.
Persistence הוא שלב חשוב בהתקפה קיברנטית. הוא מאפשר לתוקף להמשיך לשלוט במטרה גם לאחר שההתקפה הראשונית הסתיימה. שלב זה הוא חלק בלתי נפרד מהתקפות סייבר מתוחכמות. התוקפים ישתמשו במגוון רחב של טכניקות כדי להבטיח שהם יוכלו לשמור על גישה למערכת גם לאחר ניסיונות סילוק.
Privilege Escalation (הרחבת הרשאות גישה)
טקטיקה זו מתארת מצב שבו לתוקף יש גישה למערכת אך הוא רוצה לעלות ברמות ההרשאות הקיימות ולכן מחפש "הסלמה" של משתמשים חזקים יותר עם גישה מורחבת יותר לביצוע פעולות. תת טכניקה תהיה למשל שימוש באקספלויטים לקרנל וחולשות ב Registry. דוגמא לטקטיקה כזו תהיה תוקף שמשנה סקריפטים ברמת System Level (רמה מאוד גבוהה) בשביל לשנות את הפעולות שאמורות לקרות בפועל כשמערכת ההפעלה מאתחלת את עצמה.
העלאת הרשאות (Privilege Escalation) במתקפת סייבר:
העלאת הרשאות (Privilege Escalation) היא השלב הרביעי בהתקפה קיברנטית, שבו התוקף מנסה להשיג הרשאות גבוהות יותר ברשת או במערכת הקורבן, מעבר לאלו שהושגו בשלב הפריצה הראשוני.
טכניקות נפוצות להעלאת הרשאות כוללות ניצול פרצות אבטחה, הנדסה חברתית, ושימוש בכלים המאוחסנים במערכת כגון Mimikatz.
מטרות הרחבת ההרשאות
העלאת רמת הזכויות מאפשרת לתוקף לבצע פעולות שהיו חסרות לו בעבר, כגון:
- גישה למידע רגיש וקבצי מערכת קריטיים
- התקנת תוכנות ללא אישור
- שינוי הגדרות מערכת והרשאות משתמשים
- קריאה, שינוי ומחיקה של קבצים מוגנים
- ביצוע פעולות בשם משתמשים אחרים בעלי הרשאות גבוהות
- התקנת תוכנה או עדכונים
- שינוי הגדרות מערכת
- גישה למידע רגיש
- ביצוע פעולות זדוניות
- ניצול חולשות אבטחה: התוקף יכול לנצל חולשות אבטחה במערכת המחשב או ברשת המטרה כדי להעלות את רמת הזכויות שלו. חולשות אבטחה יכולות להיות בתוכנה, במערכת ההפעלה או בתצורת הרשת.
- שימוש בתוכנה זדונית: התוקף יכול להשתמש בתוכנה זדונית כדי להעלות את רמת הזכויות שלו. תוכנה זדונית יכולה להיות וירוס, תולעת או רוגלה.
- שימוש בשיטות חברתיות: התוקף יכול להשתמש בשיטות חברתיות, כגון פישינג או הונאה, כדי לגרום לקורבן להעניק לו הרשאות גבוהות יותר.
דוגמאות להתקפות Privilege Escalation
- תוקף מנצל חולשה במערכת הפעלה מסוימת כדי להפוך לחשבון מנהל.
- תוקף משתמש בתוכנה זדונית כדי להריץ קוד עם הרשאות של חשבון מנהל.
- תוקף משתמש בשיטות חברתיות כדי לגרום לעובד של חברה להעניק לו הרשאות גבוהות יותר.
Privilege Escalation הוא שלב חשוב בהתקפה קיברנטית. הוא מאפשר לתוקף לבצע פעולות שהיו חסרות לו בעבר, מה שיכול להוביל לנזק רב יותר.
על מנת למנוע העלאת הרשאות יש ליישם מדיניות הרשאות מינימלית, לעדכן תוכנות ולתקן פרצות אבטחה בזמן. כמו כן חשוב לאתר ולחסום פעילות חשודה המנסה להעלות הרשאות. אנשי אבטחת מידע יכולים להקטין את הסיכון ל-Privilege Escalation על ידי:
- עדכון תוכנה ומערכות הפעלה באופן קבוע.
- שימוש באמצעי אבטחה מתאימים, כגון ניהול הרשאות יעיל.
- הכשרת עובדים להכרת סכנות אבטחת מידע.
Defense Evasion (חמקנות)
טקטיקה המתארת מצב שבו התוקף ינסה להימנע מזיהוי של מערכות אבטחה הקיימות בארגון. תת טכניקה תהיה למשל מחיקת קבצים או שילוב של וירטואליזציה על מערכות הארגון (מעין מערכת נוספת שיודעת "לחיות" בתוך המערכת הראשית כשהיא מסתמכת על משאבים של המארח אך עומדת בפני עצמה). דוגמא לטקטיקה כזו תהיה תוקף המשתמש בפקודות PowerShell על מנת לעקוף את זיהוי האנטי-וירוס ולמנוע חסימה.
Defense Evasion הוא השלב החמישי בהתקפה קיברנטית. בשלב זה התוקף מנסה להימנע מגילוי או חסימת ההתקפה שלו על ידי אנשי אבטחת המידע. תת טכניקה תהיה למשל מחיקת קבצים או שילוב של וירטואליזציה על מערכות הארגון (מעין מערכת נוספת שיודעת "לחיות" בתוך המערכת הראשית כשהיא מסתמכת על משאבים של המארח אך עומדת בפני עצמה). דוגמא לטקטיקה כזו תהיה שהתוקף המשתמש בפקודות PowerShell על מנת לעקוף את זיהוי האנטי-וירוס ולמנוע חסימה.
ההתחמקות מהגנה היא תהליך בו התוקפים משתמשים בטכניקות שונות כדי להימנע מזיהוי על ידי תוכנות אנטי-וירוס, חומות אש, ומערכות זיהוי ומניעת חדירות. זוהי חובת קודש עבור התוקף שרוצה לשמור על ההתקפה חבויה ולהבטיח את הצלחתה לאורך זמן.
שיטות התחמקות:
- שימוש בתוכנה זדונית המוסוות: התוקף יכול להשתמש בתוכנה זדונית המוסוות כתוכנה לגיטימית. התוכנה הזדונית יכולה להיות מוסוות כתוכנת התקנה, קובץ PDF או אפילו דואר אלקטרוני.
- שימוש בטרמינולוגיה טכנית מורכבת: התוקף יכול להשתמש בטרמינולוגיה טכנית מורכבת כדי להקשות על אנשי אבטחת המידע להבין את ההתקפה שלו.
- שימוש בשיטות חברתיות: התוקף יכול להשתמש בשיטות חברתיות, כגון פישינג או הונאה, כדי לגרום לקורבן לפתוח את התוכנה הזדונית שלו או לבצע פעולה אחרת שתאפשר לתוקף להימנע מגילוי או חסימת ההתקפה שלו.
- Obfuscation: הסתרה או שינוי בקוד זדוני כדי להקשות על זיהויו על ידי תוכנות אבטחה.
- Rootkits and Stealth Techniques: שימוש ב-Rootkits לשינוי תהליכים וקבצים של מערכת ההפעלה למטרת הסתרת פעילות זדונית.
- Polymorphic Code: קוד שמשתנה באופן אוטומטי כדי למנוע זיהוי על ידי חתימות אנטי-וירוס.
- Masquerading: שימוש בשמות ותהליכים תקניים כדי להסתיר פעולות זדוניות.
- Fileless Malware: תוכנה זדונית שאינה משתמשת בקבצים על הדיסק וכך מתחמקת מזיהוי של מוצרי אבטחה.
- Disabling Security Tools: כיבוי או נטרול של כלים ושירותים של אבטחת מידע.
דוגמאות להתקפות Defense Evasion
- תוקף משתמש בתוכנה זדונית המוסוות כתוכנת התקנה של חברת תוכנה מוכרת. התוכנה הזדונית יכולה להשתמש בטרמינולוגיה טכנית מורכבת כדי להקשות על אנשי אבטחת המידע להבין אותה.
- תוקף משתמש בשיטות חברתיות כדי לגרום לעובד של חברה לפתוח דואר אלקטרוני פישינג המכיל קישור זדוני. הקישור הזדוני מוביל להורדת תוכנה זדונית המוסוות כתוכנה לגיטימית.
האתגרים והתגובה:
האתגר במיגור התחמקויות אבטחה מתבטא בצורך להתמודד עם טכניקות מתוחכמות ומשתנות תדיר. ארגונים צריכים להתאים את מערכות האבטחה שלהם לזיהוי שיטות חדשות, לעדכן חתימות אבטחה ולהשתמש בכלים של למידת מכונה והתנהגותית לזיהוי פעילות זדונית. יש להקטין את הסיכון ל-Defense Evasion על ידי:
- שימוש בתוכנות אנטי-וירוס ותוכנות הגנה אחרות.
- הכשרת עובדים להכרת סכנות אבטחת מידע.
- ביצוע ניטור רשת קבוע.
Defense Evasion הוא שלב חשוב בהתקפה קיברנטית. הוא מאפשר לתוקף להימנע מגילוי או חסימת ההתקפה שלו על ידי אנשי אבטחת המידע. Defense Evasion הוא קרב כוחות בין התוקפים למגנים של המידע. תוקפים ממשיכים לפתח טכניקות חדשות ויצירתיות כדי לעקוף את מערכות ההגנה, ומצד שני, ארגונים חייבים להשקיע בפתרונות אבטחה מתקדמים ובתשתיות רובוסטיות כדי להבטיח את הגנת המידע שברשותם. רק דרך נחישות וחדשנות מתמדת ניתן לשמור על צעד קדימה מהאיומים המתפתחים.
תנועה רוחבית ברשת Lateral Movement
על פי מסגרת MITRE ATT&CK, בשלב זה, התוקף כבר קיבל גישה למערכת המחשב, והוא מנסה להרחיב את הגישה שלו למערכת ולהגיע למידע או למשאבים נוספים.
טקטיקה זו מתארת את התוקף שנע בתוך הרשת על מנת לקבל גישה למערכות נוספות או שרתים שונים בארגון. תת טכניקה תהיה "חטיפה" של סשן RDP (חיבור מרוחק לשולחן העבודה) או "חטיפה" של סשן SMB. דוגמא לטקטיקה כזו תהיה תוקף המשתמש ב "חטיפת" סשן RDP על מנת לקבל גישה למערכת מרוחקת בתוך רשת היעד.
Network Lateral Movement הוא תהליך שבו התוקף עובר ממחשב אחד למחשב אחר באותה רשת. זהו שלב קריטי בהתקפה, מכיוון שהוא מאפשר לתוקף להגיע למידע רגיש או למשאבים קריטיים.
ישנן מספר טכניקות שונות שניתן להשתמש בהן כדי לבצע Network Lateral Movement. כמה מהטכניקות הנפוצות ביותר כוללות:
- שימוש בחשבונות מורשים: התוקף יכול להשתמש בחשבונות מורשים כדי לגשת למחשבים אחרים ברשת.
- שימוש בחולשות אבטחה: התוקף יכול לנצל חולשות אבטחה ברשת כדי לגשת למחשבים אחרים.
- שימוש בתוכנות זדוניות: התוקף יכול להשתמש בתוכנות זדוניות כדי להשתלט על מחשבים אחרים ולשלוט בהם.
במסגרת MITRE ATT&CK, Network Lateral Movement מחולק לשלושה תת-שלבים:
- Discovery: בשלב זה, התוקף מנסה לגלות מידע על הרשת, כגון רשימת המחשבים והמשתמשים, שירותים זמינים וחולשות אבטחה.
- Exploitation: בשלב זה, התוקף מנצל את המידע שגילה כדי לגשת למחשבים אחרים ברשת.
- Persistence: בשלב זה, התוקף מנסה להבטיח את המשך הגישה שלו לרשת, גם לאחר שההתקפה הראשונית הסתיימה.
להלן דוגמאות להתקפות Network Lateral Movement:
- תוקף יכול להשתמש בחשבון מורשה כדי לגשת למחשב אחר ברשת.
- תוקף יכול לנצל חולשה בשירותי הרשת כדי לגשת למחשבים אחרים.
- תוקף יכול להשתמש בתוכנה זדונית כדי להשתלט על מחשב אחר ולשלוט בו.
Network Lateral Movement הוא שלב קריטי בהתקפת סייבר. אנשי הגנת סייבר צריכים להיות מודעים לסכנות של Network Lateral Movement ולנקוט בצעדים כדי להגן על מערכות המחשוב שלהם.
כלים
Network Lateral Movement, או פשוט Lateral Movement, מתייחס לטכניקות שבהן משתמשים תוקפי סייבר, או שחקני איומים, כדי לנוע באופן הדרגתי ברשת תוך כדי חיפוש אחר הנתונים והנכסים העיקריים שהם בסופו של דבר היעד של מסעות התקיפה שלהם. בעוד שפיתוח של רצפי תקיפה מתוחכמים יותר סייע לשחקני איומים לפתח אסטרטגיות טובות יותר ולהתחמק מזיהוי בהשוואה לעבר, בדומה לתכנון שוד, מגיני סייבר למדו גם להשתמש בתנועה רוחבית נגד תוקפים בכך שהם משתמשים בה כדי לזהות את מיקומם ולהגיב בצורה יעילה יותר להתקפה.
תנועה לרוחב היא טכניקה שבה משתמשים תוקףים, לאחר התפשרות על נקודת קצה, כדי להרחיב את הגישה למארחים או יישומים אחרים בארגון. תנועה לרוחב עוזרת לתוקף לשמור על התמדה ברשת ולהתקרב לנכסים יקרי ערך. זה גם יכול לאפשר לתוקףים להשיג שליטה על המחשב של מנהל המערכת ועל ההרשאות והנתונים הקשורים אליו.
המטרה העיקרית של התוקף היא לגשת למידע בעל ערך או רגיש ולחלץ אותו בגנבה או להרוס אותו - תוך שהוא נשאר בלתי מזוהה זמן רב ככל האפשר. לאחר החדירה הראשונית, התוקף ילמד את טופולוגיית הרשת, יגנוב אישורים ויעבור לרוחב על ידי גישה למערכות נוספות ונתונים רגישים.
מכיוון שתוקפים רוצים להישאר מתחת לרדאר, לעתים קרובות הם נמנעים מתוכנות זדוניות ידועות וניצולים שיפעילו אזעקות פריצה מבוססות חתימה. במקום זאת, הם ינסו לגנוב או לנחש סיסמאות ואז להיכנס למכונות מרוחקות או להסלים הרשאות. לעתים קרובות, הם "חיים מהאדמה", תוך שימוש בתהליכים וכלים שפירים שכבר מותקנים במערכת מארחת כדי לקדם את ההתקפות שלהם. לדוגמה, הם עשויים להשתמש ב- PowerShell, Windows Management Instrumentation (WMI) ו- PsExec, כדי לבצע גילוי רשת ותנועה לרוחב. התקפות חיים מהארץ (LOL) מכונה לעתים קרובות התקפות חסרות קבצים מכיוון שתוקפים אינם משתמשים בקבצי תוכנות זדוניות מסורתיות. ניתן להשתמש בתוכנה זדונית גם בטכניקת התקפה זו. עם זאת, כאשר שחקנים זדוניים מבצעים איומים מתקדמים יותר, הם מסתמכים לרוב על כלי ניהול ו"לא תוכנות זדוניות" אחרות כדי להרחיב את טווח ההגעה שלהם תוך הימנעות מגילוי.
תזמור מוצלח של מתקפה ממוקדת דורש תכנון והתמדה. תוקף בעל משאבים טובים יכול בדרך-כלל למצוא דרך לחדור לארגון ממוקד, גם אם זה אומר קודם כל למקד לאדם מחוץ לרשת דרך החשבונות האישיים שלו. אבל הניצול הראשוני הוא רק ההתחלה. לאחר מכן על התוקף למפות את הרשת של הארגון, לעבור לרוחב להתקנים אחרים, לקבל גישה לשרתים או נתונים רצויים, ואז לגנוב, לתפעל, להרוס או להחזיק כבן ערובה את המשאבים הרצויים.
על פי MITER ATT&CK: "תנועה לרוחב מורכבת מטכניקות המאפשרות לתוקף לגשת ולשלוט במערכות מרוחקות ברשת ויכולה, אך לא בהכרח, לכלול ביצוע של כלים במערכות מרוחקות. טכניקות התנועה הצידית יכולות לאפשר לתוקף לאסוף מידע ממערכת ללא זקוק לכלים נוספים, כגון כלי גישה מרחוק."
זיהוי תנועה לרוחב
הזיהוי של תנועה לרוחב קשה מאוד לחסימה באמצעות בקרות המניעה האוטומטיות. הגילוי המוקדם הוא אסטרטגיה חיונית להשבתת התנועה הצידית. ככל שייקח זמן רב יותר לאתר אותו, כך נגרם יותר נזק, וכתוצאה מכך עלויות חקירה וההתאוששות גבוהות בהרבה.
גם אם ארגונים אוספים את הנתונים הדרושים כדי לחשוף תנועה לרוחב, הבעיה המסורתית היא שימוש נכון בהם. כלים כמו תקריות אבטחה וניהול אירועים (SIEM) יכולים לנרמל ולקשר נתונים, אבל הם מתאימים יותר לאיתור התקפות סייבר ברורות. הם מתאימים גם ליצירת פרופיל פעילות על פני או זיהוי מדויק של חריגות הקשורות לתנועה לרוחב. כתוצאה מכך, כללי המתאם שלהם מעלים יותר מדי התראות, ורוב ההתראות הללו מתעלמות בסופו של דבר על ידי צוותי SecOps.
ניתוח התנהגות הוא הדרך הקלה ביותר למצוא התקפות תנועה לרוחב. הצעד הראשון הוא לאסוף ולתפור נתוני מפתח, כולל נתוני רשת, נקודות קצה, ענן וזהות. באמצעות ניתוח התנהגות ולמידת מכונה, כלי אבטחה יכולים ליצור פרופיל של פעילות משתמשים ומכשירים כדי לזהות מנהלי מערכת, משתמשים סטנדרטיים, נקודות קצה ושרתים. Analytics יכול גם לזהות אילו משתמשים משויכים לאילו יישומים ומכשירים. בהתבסס על מידע זה, כלי אבטחה יכולים לזהות משתמש רגיל שמתנהג כמו מנהל מערכת, או מינהל שנעשה שימוש לרעה באישורים שלו לצורך גישה מנהלתית בלתי צפויה.
שחקנים מאיימים עלולים גם לסכן מארחים על ידי התקנת קוד זדוני בשיתוף קבצים ברשת או מניפולציה של סקריפטים לכניסה למחשב. צוותי הגנת סייבר יכולים לזהות טכניקות אלו על ידי חיפוש אחר ניצול לרעה של אישורים וכניסות מוגזמות כושלות. אם מספר מכשירים חולקים את אותם אישורים או אם מכשיר בודד נכנס למשאבי רשת מחשבונות שונים בפרק זמן קצר, ייתכן שהתקפה מתבצעת. אם משתמש רגיל מפגין התנהגות ניהולית, כגון ניהול מכונות מרוחקות, ייתכן שהמכשיר של המשתמש נפגע.
Collection (איסוף מידע)
טקטיקה המתארת את התוקף שאוסף נתונים ממערכת היעד (מידע רגיש, סשנים קיימים וכו'). תת טכניקה תהיה גניבת נתונים דרך Clipboard, הקלטת מסך או אודיו. דוגמא לטקטיקה כזו תהיה תוקף המשתמש בכלי ללכידת מסך (Screenshot) על מנת לצלם מידע רגיש המוצג על מסך המשתמש.
במרחב הסייבר, שלב ה-'Collection' במסגרת מודל ATT&CK של MITRE מתייחס לאסטרטגיות שונות שהתוקף משתמש בהן לאיסוף מידע זדוני מהמערכת או הרשת שנפרצו. איסוף זה יכול לכלול נתונים רגישים, כמו סודות מסחריים, מידע אישי ונתוני תעבורת רשת. פעולת האיסוף היא חלק מרכזי בתהליך התקיפה, כאשר התוקף פועל להבטיח כי המידע שנאסף ישמש את מטרותיו. במאמר זה נסקור את שלב האיסוף והמשמעות שלו בהתקפת סייבר.
מטרת האיסוף יכולה להיות לגניבת נתונים לשימוש עתידי, כמו פעולות ריגול או כופר, או לפעולות ישירות כגון יצירת התקפות מדויקות, הפרעה לפעילות הארגון, או פשט נכסים.
Collection הוא השלב השישי בהתקפה קיברנטית. בשלב זה, התוקף אוסף מידע מהמטרה, כגון:
- מידע אישי: כגון שמות, כתובות, מספרי טלפון ופרטי אשראי.
- מידע עסקי: כגון סודות מסחריים, נתוני לקוחות ומידע פיננסי.
- מידע צבאי או ממשלתי: כגון מידע על מערכות נשק, אסטרטגיות צבאיות או מידע ממשלתי רגיש.
- סיסמאות ופרטי הזדהות של משתמשים
- קבצי מערכת המכילים נתונים רגישים
- תוכן שיחות צ'אט ודוא"ל
- קוד מקור של תוכנות פנימיות
- נתוני לקוחות ועוד.
דרכי איסוף מידע
- שימוש בתוכנה זדונית: התוכנה הזדונית יכולה להיות מותקנת על מחשב המטרה, או להופיע כתוכנה לגיטימית.
- שימוש בשיטות חברתיות: התוקף יכול להשתמש בשיטות חברתיות, כגון פישינג או הונאה, כדי לגרום לקורבן לחשוף מידע אישי או רגיש.
- שימוש בהתקפות סייבר מתקדמות: התקפות אלה יכולות להשתמש בטכניקות מתקדמות כדי לגשת למידע רגיש, כגון שימוש ב-Zero-Day Exploits או ב-Advanced Persistent Threats.טכניקות איסוף נפוצות כוללות שליחת קבצים בצורה סמויה מהמערכת, התקנת Keylogger לרישום הקלדות, והפעלת כלי סריקה ואיסוף מידע אוטומטיים.
- Data Harvesting: איסוף אוטומטי של נתונים על ידי תוכנה זדונית.
- Screen Capture: צילום מסכים כדי לתעד מידע רגיש שמוצג במחשב הנפגע.
- Keylogging: רישום כל הקלדה במקלדת לצורך גניבת קרדנציאלים ומידע אישי.
- Email Harvesting: איסוף אוטומטי של דואר אלקטרוני לצורך גניבת תוכן ומידע מזהה.
- Clipboard Data: איסוף מידע שהועתק ללוח (Clipboard), שיכול להכיל פרטים רגישים.
- Automated Collection: תהליכים אוטומטיים שנועדו לאסוף מידע גדול במהירות וביעילות.
דוגמאות להתקפות Collection
- תוקף משתמש בתוכנה זדונית המותקנת על מחשב של עובד. התוכנה הזדונית יכולה לגשת למסמכים, קבצי אאוטלוק ונתוני התחברות של העובד.
- תוקף משתמש בשיטות חברתיות כדי לגרום לעובד של חברה לחשוף את הסיסמה שלו. התוקף יכול להשתמש בדואר אלקטרוני פישינג, הונאה או אפילו שיחת טלפון.
- תוקף משתמש בהתקפת סייבר מתקדמת כדי לגשת למידע רגיש מהרשת של חברה. ההתקפה יכולה להשתמש ב-Zero-Day Exploits או ב-Advanced Persistent Threats.
כדי למנוע איסוף מידע יש ליישם בקרות גישה חזקות, להצפין נתונים רגישים, ולנטר פעילות חריגה במערכת. זיהוי מוקדם של ניסיונות איסוף מידע קריטי מאוד למניעת דליפת נתונים העלולה לגרום נזק משמעותי.
Exfiltration (שאיבת מידע סמויה)
טקטיקה המתארת את התוקף שמנסה לגנוב את המידע. תת טכניקה תהיה שימוש בערוצים חיצוניים כמו מייל או שירות FTP ושימוש בהצפנה על מנת להסתיר את הנתונים המוחלפים בפועל. דוגמא לטקטיקה כזו תהיה העברה יזומה של מידע מתיקייה מסוימת לשרת אחר בבעלות התוקף (מעין משימה מתוזמנת). Exfiltration הוא השלב השביעי בהתקפה קיברנטית. בשלב זה, התוקף מעביר את המידע שאסף מהמטרה החוצה. המטרה של התוקף בשלב זה היא להעביר את המידע הרגיש למקום בטוח, שבו הוא לא יוכל להיחשף או להיגנב.
שלב ה-Exfiltration מתרחש לאחר שהתוקף השיג גישה למידע הרגיש וביצע איסוף הנתונים הדרושים לו. השלב הזה של ההתקפה הוא שבו התוקף עובר מהשלב של 'החזקה' לשלב של 'הכנסה', משום שהוא מתחיל להעביר את המידע הרגיש החוצה מהארגון הנפגע. זה יכול להיות קריטי עבור התוקף, כיוון שהמידע שהוא מצליח להוציא יכול להיות מומר לכסף, מידע, או כוח בעולם האמיתי.
דרכים להעברת מידע החוצה:
- שימוש בתוכנה זדונית: התוכנה הזדונית יכולה להשתמש במגוון טכניקות כדי להעביר את המידע החוצה, כגון FTP, SSH או אפילו דואר אלקטרוני.
- שימוש בשיטות חברתיות: התוקף יכול להשתמש בשיטות חברתיות, כגון פישינג או הונאה, כדי לגרום לקורבן להעביר את המידע החוצה עבורו.
- שימוש בהתקפות סייבר מתקדמות: התקפות אלה יכולות להשתמש בטכניקות מתקדמות כדי להעביר את המידע החוצה, כגון שימוש ב-Zero-Day Exploits או ב-Advanced Persistent Threats.
- FTP/HTTP/SMB/C2 Channels: העברת נתונים דרך פרוטוקולי רשת נפוצים או ערוצי פקודה ושליטה (Command and Control, C2).
- Data Compression and Encryption: דחיסת והצפנת נתונים כדי למזער את נפח המידע ולהגן עליו במהלך ההעברה.
- Exfiltration Over Alternative Protocol: שימוש בפרוטוקולים חלופיים ולא רגילים להעברת נתונים כדי לעקוף גילוי.
- Exfiltration Over Physical Medium: שימוש בתקשורת פיזית, כמו כוננים נשלפים או חיבורים אחרים, להוצאת נתונים.
- Automated Exfiltration: תהליכים אוטומטיים שמזהים נתונים רגישים ומעבירים אותם למקום מרוחק.
- Steganography: הסתרת מידע בתוך קבצים חוקיים, כמו תמונות או קבצי אודיו, כדי למנוע גילוי.
דוגמאות להתקפות Exfiltration
- תוקף משתמש בתוכנה זדונית המותקנת על מחשב של עובד. התוכנה הזדונית יכולה להשתמש בפרוטוקול FTP כדי להעביר את המידע שהיא אספה למחשב של התוקף.
- תוקף משתמש בשיטות חברתיות כדי לגרום לעובד של חברה לשלוח לו את המסמכים הרגישים שהוא אסף.
- תוקף משתמש בהתקפת סייבר מתקדמת כדי להעביר את המידע הרגיש מהרשת של חברה לשרתי שליטה מרוחקים.
הקטנת הסיכון ל-Exfiltration
אחד האתגרים הגדולים בהגנה נגד Exfiltration הוא היכולת לזהות ולחסום את התעבורה הזדונית בזמן אמת. זה דורש פתרונות DLP (Data Loss Prevention) מתקדמים, ניתוח תעבורת רשת מעמיק, והכשרת עובדים להיות מודעים לשיטות הוצאת המידע. בנוסף, נדרשת תיאום פעולה עם צוותי ה-IT והאבטחה כדי לזהות תקלות אבטחה ולטפל בהן במהירות.
- שימוש בתוכנות אנטי-וירוס ותוכנות הגנה אחרות.
- הכשרת עובדים להכרת סכנות אבטחת מידע.
- ביצוע ניטור רשת קבוע.
Exfiltration הוא שלב מכריע בהתקפת סייבר, שבו התוקף מנצל את המידע הרגיש שהושג. זיהוי ומניעת שלב זה יכולים להיות מכריעים במניעת נזק כלכלי ומוניטין לארגון. התמודדות יעילה עם Exfiltration דורשת שילוב של טכנולוגיה, מדיניות ואימוני עובדים כדי ליצור אסטרטגיה מרובת שכבות להגנה על מידע רגיש.
Command And Control (שרת שליטה ופיקוד)
טקטיקה המתארת את התוקף שמנסה לתקשר עם שרת חיצוני למטרות שליטה ובקרה שתחת ניהולו, ודרכו הוא משדר למחשבים הנתקפים את פקודות הפעולה או לשדר נתונים גנובים מתוך הארגון.
תת טכניקה תהיה שימוש בהסתרת מידע (סטגנוגרפיה) או שימוש בערוצים מוצפנים. דוגמא לטקטיקה כזו תהיה קידוד מידע המגיע לשרת ה C&C על מנת להקשות על זיהוי שלו.
שלב הפיקוד והשליטה מאפשר לתוקף לשלוט ולנהל את הפעילות הזדונית במערכת מרחוק. התוקף ממקם שרת פיקוד ושליטה שדרכו הוא יכול להעביר הוראות לתוכנות זדוניות שהותקנו במערכת הקורבן ולקבל מידע חזרה מהן.
C&C הוא השלב החמישי בהתקפה קיברנטית. בשלב זה, התוקף מקים קשר עם התוכנה הזדונית שלו כדי לתת לה הוראות או לקבל ממנה מידע.
מטרת התוקף בשלב זה היא לקבל שליטה מלאה על התוכנה הזדונית שלו כדי שתוכל לבצע את משימותיה.
טכניקות C&C
- שימוש בפרוטוקול TCP או UDP: התוכנה הזדונית יכולה להתחבר לשרת C&C באינטרנט או ברשת מקומית.
- שימוש בפרוטוקולים ייעודיים: ישנם פרוטוקולים ייעודיים, כגון פרוטוקול C&C של Mirai, שנועדו לאפשר לתוקף לבנות קשר עם תוכנות זדוניות.
- HTTP/HTTPS: שימוש בפרוטוקולי רשת רגילים מוצפנים לתקשורת כדי להסוות את התעבורה הזדונית כלגיטימית.
- שימוש בפרוטוקולי תקשורת לגיטימיים כמו DNS או ICMP כדרך לשלוח פקודות ולקבל מידע באופן מוסווה מול שרת C&C.
- הסתרת תעבורת הפיקוד והשליטה בתוך תעבורת רשת תקינה
- שימוש בטכניקות סטגנוגרפיה להסוואה
- תקשורת חד-כיוונית עם "האזנה" להוראות עתידיות
- שימוש בתשתיות ציבוריות כגון ענן או רשתות חברתיות
- Web Services: התקשורת עם התוקף יכולה להתבצע דרך שירותי ענן ו-APIs, שמהווים אמצעי תקשורת שגרתיים.
- Social Media Platforms: לעיתים תוקפים משתמשים בפלטפורמות חברתיות כדי לשלוח פקודות ולקבל עדכונים.
- Peer-to-Peer (P2P) Networks: יצירת רשתות P2P כדי למנוע תלות בשרת C2 מרכזי אחד.
- Multilayered Communication: שימוש במספר שכבות תקשורת כדי להסתיר פעילות ולהקשות על זיהוי.
דוגמאות להתקפות C&C:
- תוקף משתמש בתוכנה זדונית המותקנת על מחשב של עובד. התוכנה הזדונית יכולה להתחבר לשרת C&C באינטרנט כדי לקבל הוראות מהתוקף.
- תוקף משתמש בתוכנה זדונית המותקנת על מחשב של עובד. התוכנה הזדונית יכולה להתחבר לשרת C&C באינטרנט כדי לשלוח לתוקף מידע שהיא אספה.
- תוקף משתמש בתוכנה זדונית המותקנת על מחשב של עובד. התוכנה הזדונית יכולה להשתמש בפרוטוקול C&C של Mirai כדי לבנות קשר עם שרת C&C מרחוק.
הפחתת סיכוני C&C
זיהוי וחסימת ערוצי הפיקוד והשליטה חיוניים על מנת להפריע לתוקף ולמנוע שליטה מתמשכת במערכת הנתקפת. האתגר באיתור וחסימת תעבורת Command and Control הוא לזהות את התעבורה הזדונית בתוך התעבורה הלגיטימית. זה יכול לדרוש פתרונות אבטחה סייברית מתקדמים, כולל ניתוח תעבורה עמוק, זיהוי תבניות תקשורת חריגות, ושימוש בתשתיות זיהוי תגובתיות. כמו כן, חשוב להקפיד על מדיניות הגבלת הגישה לרשת ולמשאבים כדי למזער את הסיכוי לתקשורת זדונית. דרכי צמצום הסיכון:
- שימוש בתוכנות אנטי-וירוס ותוכנות הגנה אחרות.
- הכשרת עובדים להכרת סכנות אבטחת מידע.
- ביצוע ניטור רשת קבוע.
שלב ה-Command and Control הוא רגע מכריע בהתקפת סייבר, המאפשר לתוקף לשלוט ולהשפיע על המערכת הנפגעת. לכידת וניתוק של ערוצי תקשורת אלו יכולים לשבש את יכולת התוקף לבצע את ההתקפה ולכן הם מהווים מטרה עיקרית במאמצי ההגנה הסייברית. ארגונים מחויבים להישאר ערניים ולהשקיע בטכנולוגיות זיהוי ומניעה מתקדמות כדי להגן על נתוניהם ומשאביהם מפני תקיפות זדוניות.
Impact (השפעה)
טקטיקה המתארת את התוקף מבצע את הנזק בפועל, זו מטרת התקיפה עצמה. היא יכולה להיות הצפנה של הארגון תמורת כופר, גניבת מידע על מנת לבצע סחיטה או הרס והשמדה של קבצים.
תת טכניקה תהיה תוקף המשתמש בתוכנת הצפנה בארגון על מנת להגביל את הקורבן משימוש לגיטימי במערכותיו עד שישלם כסף תמורת מפתח הפענוח. דוגמא לטקטיקה כזו תהיה פגיעה בכל המידע הקיים בארגון עד לכדי הרס כליל שלו ומניעה לכל שימוש עתידי בו.
בחקר האבטחה הסייברית, שלב ה-'Impact' מתאר את ההשפעה הסופית של התקיפה על הקורבן. במסגרת מודל ATT&CK של MITRE, השלב הזה כולל את ההשלכות והנזק שהתוקף מכוון לגרום, בין אם מדובר בהשבתה של שירותים, גניבת או הרס נתונים, השפעה על תדמית הארגון, או כל השפעה אחרת שמורידה את יכולתו של הארגון לפעול כרגיל.
השלב הזה של התקיפה הסייברית ממחיש את המטרות הסופיות של התוקף. לאחר שהשיג את כל המידע והשליטה שדרושים לו, התוקף מבצע פעולות שמטרתן לגרום לנזק ממשי או לשינוי תפעולי במערכת הנפגעת. שלב זה יכול להשפיע לא רק על המערכת הדיגיטלית עצמה, אלא גם על האנשים והתהליכים העסקיים שתלויים בה.
מטרות
- גנבת מידע
- השבתה של שירותים
- פרסום מידע רגיש
- פגיעה במוניטין של הארגון
דרכי השפעה על המטרה
- פרסום מידע רגיש: התוקף יכול לפרסם מידע רגיש, כגון מסמכים סודיים או מידע אישי.
- פגיעה במוניטין של הארגון: התוקף יכול לפרסם מידע שקרי או מטעה על הארגון, כדי לפגוע במוניטין שלו.
- Data Destruction: מחיקה, הצפנה או שיבוש של נתונים כדי למנוע מהקורבן לגשת למידע חשוב.
- Service Disruption: הפסקת שירותים קריטיים, כמו שרתי DNS, שרותי אינטרנט או שירותים פיננסיים.
- Defacement: שינוי של ממשקי משתמש או אתרי אינטרנט כדי להשפיע על תדמית הארגון.
- Resource Hijacking: ניצול משאבי המחשוב של הקורבן לצורך פעילות זדונית, כגון הוצאת כרייה למטבעות דיגיטליים.
- Data Manipulation: שינוי מידע כדי לסכם תהליכים או להפיק תועלת שקרית.
- Disrupting Physical Infrastructure: תקיפות על תשתיות פיזיות שניתנות לשליטה דיגיטלית, כמו מערכות חשמל או מים.
דוגמאות להתקפות Impact
- תוקף משתמש בתוכנה זדונית המותקנת על מחשב של עובד כדי למחוק קבצי מסמכים חשובים.
- תוקף משתמש בתוכנה זדונית המותקנת על מחשב של עובד כדי להשבית את שרתי האינטרנט של החברה.
- תוקף משתמש בתוכנה זדונית המותקנת על מחשב של עובד כדי לפרסם מסמכים סודיים ברשת.
- תוקף משתמש בתוכנה זדונית המותקנת על מחשב של עובד כדי לפרסם מידע שקרי על החברה באינטרנט.
הפחתת סיכוני Impact
- שימוש בתוכנות אנטי-וירוס ותוכנות הגנה אחרות.
- הכשרת עובדים להכרת סכנות אבטחת מידע.
- ביצוע ניטור רשת קבוע.
Impact הוא שלב חשוב בהתקפה קיברנטית. הוא מאפשר לתוקף להשיג את מטרותיו ולהשפיע על המטרה.
MITRE ATT&CK Mapping Framework
המודל המשלים של בקרות אל מול ה-TTP של MITRE הוא מודל המקשר בין בקרות אבטחת סייבר לבין טקטיקות, טכניקות ונהלים (Tactics, Techniques, and Procedures-TTP) של גורמי עוינים.
המודל מאפשר לצוותי אבטחת סייבר להבין טוב יותר כיצד בקרות אבטחת סייבר יכולות לעזור להגן מפני מתקפות סייבר.
המודל מבוסס על שני מושגים עיקריים:
- בקרה: פעולה או מערכת שנועדה למנוע, לזהות או להגיב לאיום.
- TTP: טכניקה, טקטיקה או הליך המשמש גורם עוין כדי להשיג את מטרתו.
המודל מקשר בין בקרות אבטחת סייבר לבין TTP של גורמי עוינים באופן הבא:
- לכל בקרה יש יעד: כל בקרה אבטחת סייבר נועדה למנוע, לזהות או להגיב לאיום מסוים.
- לכל TTP יש מטרה: כל טקטיקה, טכניקה או הליך של גורם עוין נועד להשיג מטרה מסוימת.
על ידי הבנת הקשר בין בקרות אבטחת סייבר לבין TTP של גורמי עוינים, צוותי אבטחת סייבר יכולים לפתח אסטרטגיות הגנה יעילות יותר. לדוגמה, אם גורם עוין מנסה להשיג גישה למחשב, צוות אבטחת סייבר יכול לבחור להשתמש בקרות אבטחת סייבר כגון סיסמה חזקה, אימות רב שלב או הגנה על רשת.
להלן כמה דוגמאות לקשר בין בקרות אבטחת סייבר לבין TTP של גורמי עוינים:
- בקרת סיסמה חזקה יכולה לעזור להגן מפני TTP של "שימוש במידע רגיש".
- אימות רב שלב יכול לעזור להגן מפני TTP של "השתלטות על חשבון".
- הגנה על רשת יכולה לעזור להגן מפני TTP של "חדירה למערכת".
המודל המשלים של בקרות אל מול ה-TTP של MITRE הוא כלי רב עוצמה שיכול לעזור לצוותי אבטחת סייבר לשפר את יכולותיהם להגן על הארגון שלהם מפני מתקפות סייבר.
מסגרות הרחבה
ל- MITRE ATT&CK יש מספר מסגרות שונות, המכונות "התרחבות". התרחבות אלו מגדילות את ה- ATT&CK הבסיסי כדי לכלול מודלים ספציפיים יותר של איומים, כגון איום ענן, איום נייד או איום מתקדם ומתמשך (APT).
הנה כמה דוגמאות של התרחבות של MITRE ATT&CK:
- ATT&CK for Enterprise: זוהי המסגרת הבסיסית של MITRE ATT&CK, המכסה את כל סוגי הארגונים, ללא קשר לגודל, לתעשייה או לתחום הפעילות.
- ATT&CK for ICS: זוהי מסגרת המכוונת לארגונים הפועלים בתשתיות קריטיות, כגון תשתיות אנרגיה, תשתיות בריאות או תשתיות פיננסיות.
- ATT&CK for Mobile: זוהי מסגרת המכוונת לארגונים המשתמשים במכשירים ניידים, כגון מחשבים ניידים, טלפונים חכמים או טאבלטים.
- ATT&CK for Cloud: זוהי מסגרת המכוונת לארגונים המשתמשים בשירותי ענן, כגון AWS, Azure או GCP.
- ATT&CK for APT: זוהי מסגרת המכוונת לארגונים המותקפים על ידי קבוצות תקיפה מתקדמות ומתמשכות (APT).
בנוסף להרחבות אלו, MITRE ATT&CK כולל גם מספר מערכות יחסים, המקשרות בין הטקטיקות והטכניקות השונות. מערכות יחסים אלו יכולות לעזור לצוותי אבטחת סייבר להבין טוב יותר כיצד מתקפות סייבר מתרחשות בפועל.
להלן כמה דוגמאות של מערכות יחסים ב- MITRE ATT&CK:
- הקשרים של אחריות: מערכות יחסים אלו מצביעות על כך שטקטיקה מסוימת יכולה להיות מיושמת באמצעות מספר טכניקות שונות. לדוגמה, טקטיקת "השתלטות על חשבון" יכולה להיות מיושמת באמצעות טכניקות כגון "שימוש במידע רגיש", "השתלטות על חשבון עם גישה מרחוק" או "השתלטות על חשבון עם גישה מקומית".
- הקשרים של תנאי מקדים: מערכות יחסים אלו מצביעות על כך שטקטיקה מסוימת יכולה להיות מיושמת רק לאחר השלמת טכניקה מסוימת אחרת. לדוגמה, טקטיקת "השתלטות על מערכת" יכולה להיות מיושמת רק לאחר השלמת טכניקה כגון "החדרה למערכת".
- הקשרים של יעדים: מערכות יחסים אלו מצביעות על כך שטקטיקה מסוימת יכולה להשיג מספר מטרות שונות. לדוגמה, טקטיקת "השתלטות על חשבון" יכולה לשמש כדי להשיג מטרות כגון "העברת נתונים", "הפצת תוכנה זדונית" או "התקנת תוכנת ריגול".