W ostatnim czasie znacząco wzrosła liczba incydentów hakerskich. Wiele z organizacji nie ma świadomości o grożących im atakach, inne nie są przygotowane na ofensywę. Dlatego warto przyjrzeć się modelom, w jakich działają napastnicy, przeanalizować je, a następnie odpowiednio przygotować infrastrukturę.

By móc sporządzić Plan Reagowania na Cyberincydenty, potrzebna jest wiedza, jak działa nasz przeciwnik, jakie narzędzia wykorzystuje, gdzie może „uderzyć” i jakimi technikami chce osiągnąć swój cel. Wiedzę tę buduje się na podstawie elementów analizy zagrożeń (Cyber Threat Intelligence) i przekłada się ją na metody wykrywania i zatrzymywania ataków.

> PRZEBIEG ATAKU KOMPUTEROWEGO

Chcąc prawidłowo zareagować na pojawiający się cyberincydent, należy przeanalizować proces ataku w każdej jego fazie istnienia. Poszczególne etapy tworzą bowiem łańcuch przyczynowo-skutkowy, tzw. zabójczy łańcuch (ang. Cyber Kill Chain – rys. 1). Zarówno samo określenie, jak i nazwy faz składowych łańcucha wywodzą się z terminologii wojskowej. Skuteczny atak (którego skutkiem może być kompromitacja systemu lub kradzież danych) jest łańcuchem zdarzeń – od początkowej fazy rozpoznania, która ma na celu poznanie słabości ofiary, przez włamanie, dwustronny przepływ danych w sieci komputerowej wykorzystanie podatności po zainfekowaniu systemu do przejęcia nad nim kontroli. Możemy przeanalizować każde z tych zdarzeń, zdobyć wiedzę na temat ataku i wykorzystać ją, by przerwać ten łańcuch tak wcześnie, jak to jest możliwe. Im głębiej analizujemy te zdarzenia, tym więcej uczymy się od autorów ataku. Właściwe rozpoznanie ataku staje się kluczem do obrony.

W modelu ataku komputerowego wyróżnione zostały następujące fazy:

1. Rozpoznanie, rekonesans (ang. Reconnaissance) – odnalezienie, identyfikacja oraz wybranie celu, często realizowane przez skanowanie internetu, serwisów WWW, grup dyskusyjnych, mediów społecznościowych lub dostępnych informacji (tzw. biały wywiad).
2. Uzbrojenie (ang. Weaponization) – przygotowanie narzędzi ataku takich jak konie trojańskie, eksploity wraz z danymi. Zazwyczaj jest to zbiór narzędzi automatyzujących uzbrojenie. Umieszczenie przygotowanych narzędzi w zainfekowanych plikach, których po dostarczeniu ofiara będzie używała (np. pliki PDF lub Microsoft Office).
3. Dostarczenie (ang. Delivery) – przesłanie przygotowanych „narzędzi ataku” do atakowanego środowiska poprzez przygotowany wcześniej wektor ataku (np. załącznik e-maila, stronę WWW czy nośnik mediów USB).
4. Włamanie, eksploitacja (ang. Exploitation) – po dostarczeniu „narzędzi ataku” do zaatakowanego komputera następuje wykonanie kodu w atakowanym środowisku. Najczęściej w eksploitacji wykorzystywane są podatności w aplikacjach lub w systemie operacyjnym atakowanego komputera. Zdarzają się znacznie prostsze włamania wykorzystujące błędy w konfiguracji lub nieświadomość użytkownika.
5. Instalacja (ang. Installation) – instalacja konia trojańskiego lub tzw. tylnych drzwi (ang. backdoor) w systemie ofiary pozwalających na trwałe istnienie w zaatakowanym środowisku.
6. Kontrola (ang. Command and Control) – przejęcie kontroli nad zainfekowanym urządzeniem. Zazwyczaj skompromitowany komputer łączy się na zewnątrz do komputera kontrolującego (Command and Control – C2) poprzez specjalnie utworzony kanał komunikacyjny.
7. Akcja (ang. Actions on Objective) – dopiero w tym momencie następuje właściwa akcja, mająca na celu osiągnięcie (zdobycie) zaplanowanych celów. Typowo jest to penetracja, analiza, zebranie i skopiowanie danych. Alternatywnie włamywacz może wykorzystać skompromitowany komputer tylko jako punkt wyjściowy do dalszych ataków i miejsce, z którego penetrowana jest zaufana sieć ofiary.

[...]

Ekspert w zakresie analizy i reagowania na cyberzagrożenia. Analizując zagrożenia w cyberprzestrzeni oraz techniki, taktyki i procedury w atakach, ocenia potencjalny wpływ na organizację i opracowuje plany reakcji na pojawiające się ataki i zagrożenia. Miłośnik defensywnego podejścia do cyberbezpieczeństwa.