Cyber Kill Chains คืออะไร?
Cyber Kill Chains ตือกระบวนการทำ Pen-Test รูปแบบนึงที่พัฒนามาจาก Kill Chains ที่ใช้วางแผนการรบในทางทหาร โดยขั้นตอนของ Cyber Kill Chains มีดังนี้
- Reconnaissance ในขั้นตอนนี้เราจะทำการระบุเป้าหมาย และค้นหาช่องโหว่อย่างน่อย 1 ช่องโหว่ ซึ่งจะสอดคล้องกับขั้นตอนการวางแผนและค้นหาเป้าหมายใน NIST
- Weaponization สร้างเครื่องมือที่จะใช้โจมตีเป้าหมาย เช่น มัลแวร์ หรือโค้ดที่จะนำไปใช้โจมตี
- Delivery หาทางนำเครื่องมือที่ได้ไปถึงเครื่องของเหยื่อ เช่น Phishing Link, นำ Virus ไปใส่ใน USB หรือการส่งผ่าน Network
- Exploitation ทำการโจมตีเหยื่อโดยการ Execute เครื่องมือที่เราได้ส่งไปยังเครื่องของเหยื่อ และเข้าไปในระบบ
- Installation ใช้สิืธิของ User ที่ได้จากการโจมตีไปสร้างทางเข้า(backdoor) สำหรับเข้ามาใหม่ในตรั้งต่อไป
- Command and Control ติดตั้งเตรื่องมือเพื่อให้ Hacker สามารถควบคุมเครื่องของเหยื่อได้จากระยะไกล เช่น Remote Access Trojan(RAT)
- Actions on Objective เป็น Actions ที่เป็นจุดประสงค์ของการโจมตี เช่น การโขมยข้อมูล หรือการเจาะเข้าไปใน Network เพื่อไปโจมตีเครื่องอื่นๆต่อไป
ป้องกันการโจมตีด้วย Cyber Kill Chains
ในฐานะของผู้ที่ต้องป้องกัน(Defensive) เราจะนำ Cyber Kill Chains มาใช้ในกระบวนการต่อไปนี้
- การจำลองการโจมตี(Cyber Drills) หรือ Cyber Exercises คือการจำลองสถาณการณ์ว่าเราถูกโจมตี โดยการโจมตีจะเป็นไปตามขั้นตอนต่างๆใน Cyber Kill Chains
- ใส่ Security Controls(ป้องกัน) โดยเราจะต้องพยายามใส่ Security Controls เข้าไปให้ได้ทุกๆ Stage ของ Cyber Kill Chains โดยจะมีอยู่ 6 วิธีดังนี้่
- Detect ตรวจจับการโจมตีที่เกิดขึ้น(ต้องรู้ตัวก่อน)
- Deny หยุดการโจมตีที่เกิดขึ้น
- Disrupt พยายามปิดการเชื่อมต่อ(Data connections)ของ Attacker หรือทำให้สื่อสารแบบมีข้อจำกัด(throttling)
- Degrade ทำให้ผลกระทบที่เกิดขึ้นมีน้อยที่สุด
- Deceive ทำให้ Attacker สับสนด้วยการให้ข้อมูลที่ผิดพลาด(Misinformation) หรือพาไปผิดทาง(Honeypot)
- Contain จำกัดขอบเขตของการโจมตีโดยให้เข้าถึงได้เฉพาะบางระบบหรือบาง Network เท่านั้น
ซึ่งการป้องกันเราจะต้องนำ Security Controls ใส่เข้าไปโดยใช้วิธีการป้องกันทั้ง 6 วิธีนี้ แทรกเข้าไปในแต่ละขั้นตอนของ Cyber Kill Chains
Security Controls
เราจะต้องประเมินความครบถ้วนของ Security Controls ที่เราใส่เข้าไปโดยนำ Security Controls ใส่เข้าไปในแต่ละขั้นตอนโดยดูตามขั้นตอนต่างๆใน Cyber Kill Chains ดังนี้
-
Reconnaissance
- Detect: Web Analytics, Threat Intelligence, Network Intrusion Detection System(IDS)
- Deny: Information Sharing Policy, Firewall Access Control
-
Weaponization
- Detect: Threat Intelligence, Network Intrusion Detection System(IDS)
- Deny: Network Intrusion Prevention System(IPS)
- Detect: Endpoint Malware Protection
-
Delivery
- Deny: Application Whitelisting, Proxy Filter, Host-Based Intrusion Prevention System(IPS)
- Disrupt: Anti-Virus
- Degrade: Queuing
- Contain: Router Access Control Lists, App-aware Firewall, Trust Zones, Inter-zone Network Intrusion Detection System(IDS)
-
Exploitation
- Detect: Endpoint Malware Protection, Host-Based Intrusion Detection System(IDS)
- Deny: Secure Password, Patch Management
- Disrupt: Data Execution Prevention
- Contain: App-aware Firewall, Trust Zones; Inter-zone Network Intrusion Detection System
-
Installation
- Detect: Security Information and Event Management (SIEM), Host-Based Intrusion Detection System(IDS)
- Deny: Privilege Separation, Strong Passwords, Multi-Factor Authentication(MFA)
- Disrupt: Router Access Control
- Contain: App-aware Firewall, Trust Zones, Network Intrusion Detection System(IDS)
-
Command & Control
- Detect: Network Intrusion Detection System(IDS), Host-Based Intrusion Detection System(IDS)
- Deny: Firewall Access Control, Network Segmentation
- Disrupt: Host-Based Intrusion Prevention System(IPS)
- Degrade: Tarpit(Service ที่ run ไว้ในเครื่องเพื่อ delay connections)
- Deceive: Domain Name System Redirect
- Contain: Trust Zones, Domain Name System Sinkholes
-
Actions on Objectives
- Detect: Endpoint Malware Protection
- Deny: Encryption Data ในทุกๆ Storage
- Disrupt: Endpoint Malware Protection
- Degrade: Quality of Service
- Deceive: Honeypot
- Contain: Incident Response
