Le4f x Wiki
0%

Advent of Cyber 2022

Posted on In

Day1 - Someone’s coming to town!

Security Framework

Security frameworks are documented processes that define policies and procedures organisations should follow to establish and manage security controls.

NIST Cybersecurity Framework

The Cybersecurity Framework (CSF) was developed by the National Institute of Standards and Technology (NIST), and it provides detailed guidance for organisations to manage and reduce cybersecurity risk. The framework focuses on five essential functions: Identify -> Protect -> Detect -> Respond -> Recover. With these functions, the framework allows organisations to prioritise their cybersecurity investments and engage in continuous improvement towards a target cybersecurity profile.

MITRE ATT&CK Framework

Identifying adversary plans of attack can be challenging to embark on blindly. They can be understood through the behaviours, methods, tools and strategies established for an attack, commonly known as Tactics, Techniques and Procedures (TTPs). The MITRE ATT&CK framework is a knowledge base of TTPs, carefully curated and detailed to ensure security teams can identify attack patterns. The framework’s structure is similar to a periodic table, mapping techniques against phases of the attack chain and referencing system platforms exploited.

Cyber Kill Chain

该图展示了网络杀伤链的七个步骤。

Unified Kill Chain(UKC)

CYCLE 1: In

这一系列阶段的主要重点是让攻击者获得对系统或网络环境的访问权限。通常,网络攻击是由外部攻击者发起的。他们将遵循的关键步骤是:

  1. 侦察(Reconnaissance):攻击者利用公开信息对目标进行研究;
  2. 武器化(Weaponisation):建立所需的基础设施来承载指挥和控制中心(C2)对于实施攻击至关重要;
  3. 分发(Delivery):payload是通过多种方式传递给目标的恶意工具,例如电子邮件网络钓鱼和供应链攻击;
  4. 社会工程学(Social Engineering):攻击者会诱骗目标对他们刚刚传递的payload执行不受信任和不安全的操作,通常会使他们的信息看起来来自受信任的内部来源;
  5. 利用(Exploitation):如果攻击者在网络资产中发现现有的漏洞、软件或硬件弱点,他们可能会利用这一点来触发其payload;
  6. 持久性(Persistence):攻击者会在网络或资产上留下后备存在,以确保他们能够访问目标;
  7. 防御逃避(Defence Evasion):攻击者必须在整个攻击过程中保持匿名,通过禁用和避免任何启用的安全防御机制,包括删除其存在的证据;
  8. 命令与控制(Command & Control):还记得攻击者准备的基础设施吗?受感染系统与攻击者基础设施之间的通信渠道通过互联网建立。

CYCLE 2: Through

在此阶段,攻击者将有兴趣获得对网络内资产的更多访问权和特权。

⚠注意:攻击者可能会重复此阶段,直到获得所需的访问权限。

  1. Pivoting(枢纽?):还记得攻击者可能用来持久化的系统吗?该系统将成为网络中其他系统的攻击发射台。
  2. 发现(Discovery):攻击者将试图收集有关受感染系统的尽可能多的信息,例如可用用户和数据。或者,他们可能会远程发现网络内的漏洞和资产。这为下一阶段铺平了道路。
  3. 权限提升(Privilege Escalation):受限的访问会阻止攻击者执行其任务。因此,他们将利用已发现的漏洞或错误配置在受感染的系统上寻求更高的权限。
  4. 执行(Execution):利用提升的权限,可以下载并执行恶意代码来提取敏感信息或对系统造成进一步破坏。
  5. 凭证访问(Credential Access):提取的敏感信息中的一部分包括存储在硬盘或内存中的登录凭证。这为攻击者的攻击提供了更强大的火力。
  6. 横向移动(Lateral Movement):使用提取的凭证,攻击者可以在网络内的不同系统或数据存储之间移动,例如在单个部门内。

CYCLE 3: Out

在此阶段,资产或服务的机密性、完整性和可用性 ( CIA ) 会受到损害。金钱、名誉或破坏将驱使攻击者实施攻击,造成尽可能多的破坏,然后消失得无影无踪。

  • Access
  • Collection:在找到大量数据和信息后,攻击者将试图汇总所需的一切。这样做会彻底破坏资产的机密性,尤其是在处理需要保护的商业机密和财务或个人身份信息 ( PII ) 时。
  • Exfiltration:攻击者必须将战利品带出网络。可以使用各种技术来确保他们达成目标而不引起怀疑。
  • Impact:当资产或信息的可用性或完整性受到损害时,攻击者将使用获得的所有权限进行操纵、干扰和破坏。想象一下,组织将不得不从中恢复声誉、财务和社会损失。
  • Objectives:攻击者可能还有其他目标,这些目标可能会影响其目标所在的社会或技术环境。定义和理解这些目标往往有助于安全团队熟悉对抗性攻击工具并进行风险评估以保护其资产。