Begrepet drapskjede har sin opprinnelse i et militært konsept som beskriver strukturen i et angrep. For forsvaret er det om å gjøre å bryte kjeden og hindre motstanderen i å nå sitt mål. Forskere ved Lockheed Martin overførte i sin tid denne modellen fra vanlig krigføring til cyberkrig og kalte den Cyber Kill Chain®. Den bidrar til å identifisere og forebygge typiske aktiviteter knyttet til nettangrep, som er inndelt i sju forskjellige eller kronologiske faser. Rammeverket viser hva angripere må fullføre for å foreta et vellykket innbrudd.
Du kan stoppe dem når som helst og avskjære angrepskjeden. I og med at de nettkriminelle må komme seg gjennom alle etapper for å lykkes, er oddsene i vår favør. Lockheed Martins modell, som ble lansert i 2011, er etter hvert blitt utvidet og tilpasset vår tid. Derfor er det blitt mer vanlig å snakke om drapskjede generelt. Her drøftes den opprinnelige cyberdrapskjeden, senere tilføyelser og modifikasjoner, hvorfor disse modellene er velegnet for å visualisere angrep, og hvilke verktøy Microsoft 365 forsyner oss med for å forsvare oss.
Lockheed Martin Cyber Kill Chain
Lockheed Martin er mest kjent for fly-, forsvars- og romfartsteknologi. Dataforskere i selskapet har utviklet disse sju trinnene i deres cyberdrapskjede:
Rekognosering – identifisere målet. De kriminelle undersøker angrepsmålet og prøver å finne svake punkter i forsvaret, som sårbarheter eller manglende fysisk sikkerhet. Dette er planleggingsfasen. Det omfatter å innhente e-postadresser, skaffe en oversikt over ansatte på sosiale medier, samle pressemeldinger og deltakerlister på konferanser, oppdage servere som vender mot Internett. For forsvaret er det svært vanskelig å avdekke rekognosering idet den pågår. Men om det skjer, kan det avsløre angripernes hensikter.
Utvikling av våpen – forberede operasjonen. På bakgrunn av innsamlet informasjon lager angriperen verktøy som skal brukes i angrepet. Det kan være generisk eller skreddersydd skadelig programvare som sørger for fjerntilgang. Dette er forberedelses- og iscenesettelsesfasen av operasjonen. Forsvaret får ikke øye på denne prosessen. Fasen i seg selv er viktig å forstå. Analyser av skadevaren i etterkant vil bidra til en mer varig og robust beredskap.
Leveranse – sette i gang operasjonen. Motparten overfører skadelig programvare til målet. Angrepet har startet. Det kan være rettet mot webservere og omfatte phishing-e-post, ondsinnet programkode på USB-brikker og kompromitterte nettsteder. Dette er første og viktigste mulighet for forsvaret til å blokkere operasjonen. Analyser leveringsmedium – forstå oppstrøms infrastruktur, utsatte servere og personer, deres roller og ansvar. Samle e-post- og nettlogger. Rekonstruer intensjonen.
Utnyttelse – få tilgang til offeret. Angripere må utnytte en sårbarhet for å få tilgang. Uttrykket nulldagers trussel refererer til utnyttelseskoden som blir brukt på akkurat dette trinnet. Verktøyet som ble levert i forrige fase, kjøres og starter neste hendelseskjede. Tradisjonelle tiltak for å herde sikkerheten bidrar til beskyttelsen. Men det er også nødvendig med mekanismer som klarer å håndtere ukjent programkode.
Installasjon – etablere et brohode på offeret. I denne fasen installeres vanligvis en bakdør, så angriperen kan få et mer vedvarende fotfeste i miljøet. Det legges til tjenester, AutoRun-nøkler med mer. Forsvaret må oppdage og logge installasjonsaktivitet. Du må forstå om skadelig programvare krever administratorprivilegier eller klarer seg med bare brukerrettigheter. Du må oppdage aktiviteter som at det opprettes filer utenom det vanlige.
Kommando og kontroll (C2) – fjernkontrollere implantatene. Ved hjelp av de tidligere leverte verktøyene eller bakdøren kan angripere eksternt samhandle med offerets miljø. Angriperne har nå «hendene på tastaturet» med varig tilgang til målnettverket. Forsvarets siste beste sjanse for å slå ned operasjonen er å stenge C2-kanalen. Foreta en grundig analyse for å oppdage C2-infrastrukturen. Herd nettverket eller maskiner og konsolider antall Internett-punkter.
Handlinger på angrepsmålet – fullføre misjonen. Angriperne følger nå sine egne planer. Dette kan være å eksfiltrere data, kryptere dokumenter og be om løsepenger. De kan samle brukerlegitimasjon og eskalere privilegier, foreta intern rekognosering og bevege seg lateralt gjennom miljøet og ødelegge systemer. Forsvaret trenger verktøy som klarer å oppdage og avverge innbruddet.
Cyber Kill Chain og MITRE ATT&CK
MITRE ATT&CK utfyller Lockheed Martins cyberdrapskjede. MITRE er en spin-off fra Massachusetts Institute of Technology (MIT) som styrer føderalt finansierte forsknings- og utviklingssentre i USA. ATT&CK står for Adversarial Tactics, Techniques & Common Knowledge – motstandstaktikk, -teknikker og felles kunnskap. Utgangspunktet deres er også «en beretning om et angrep», med aktiviteter som å bryte seg inn, være skjult, stjele data. Mens Cyber Kill Chain har en klart definert lineær sekvens av faser, danner ATT&CK-rammeverket en matrise av innbruddsteknikker som ikke nødvendigvis er begrenset til en bestemt rekkefølge av operasjoner.
Innledende tilgang benytter forskjellige inngangsvektorer for å få et første fotfeste (f.eks. spydfiske). Utførelse angår teknikker som resulterer i å kjøre angriperstyrt kode på et lokalt eller eksternt system (f.eks. PowerShell). Med Persistens menes å opprettholde vedvarende tilgang til et system (f.eks. påloggingsskript). Eskalering av privilegier sørger for mer rettigheter i et system eller nettverk (f.eks. prosessinjeksjon). Forsvarsunndragelse holder angripere skjult (f.eks. DLL-sidelasting).
Identitetstyveri er tekniker for å stjele legitimasjon som kontonavn og passord (f.eks. Kerberoasting). Oppdagelse benyttes for å få kunnskap om systemer og interne nettverk (f.eks. nettverkssniffing). Lateral bevegelse innebærer at angripere beveger seg gjennom flere maskiner, vanligvis fra den svakeste lenken i maskinkjeden for å nå sluttmålet (f.eks. Pass-the-Ticket). Innsamling brukes til å sanke relevant informasjon for å følge opp angriperens mål (f.eks. Input Capture).
Med Eksfiltrering menes en skjult måte å stjele data på (f.eks. kompromitterte data). Kommando og kontroll er teknikker angripere bruker i kommunikasjonen med systemer under deres kontroll, ofte forkledd som vanlig HTTP-trafikk (f.eks. Domain Fronting). Effekt er teknikker som benyttes til å forstyrre tilgjengeligheten eller kompromittere integriteten av systemer ved å manipulere forretnings- og operasjonsprosesser (f.eks. fastvarekorrupsjon).
ATT&CK-rammeverket benyttes av sikkerhetseksperter verden over for å identifisere og fange opp angrep. Samtidig gir fasene i Cyber Kill Chain – med tilpasninger og tilføyelser – et godt grunnlag for å utforme sikkerheten i enhver virksomhet. Det lar deg visualisere hvordan cyberangrep arter seg, så du kan bygge opp et solid lagdelt dybdeforsvar.
Eksempel på et innbrudd
Modeller for innbrudd representerer mer eller mindre de samme fasene i samme rekkefølge. En drapskjede er den perfekte måten å beskrive et angrep på. La oss se på dette scenarioet:
- En angriper søker på sosiale medier og andre nettbaserte plattformer (f.eks. kodelager) for å få tak i nyttig informasjon som kan hjelpe dem til bedre å forstå miljøet til offeret, samt identifisere eventuelle svakheter som kan utnyttes.
- Basert på informasjonen ovenfor sender angriperen en phishing-e-post til én eller flere av de ansatte i målorganisasjonen som inneholder en ondsinnet kobling eller et skadelig vedlegg.
- Bruker(e) som er mål for angrepet, klikker på koblingen eller åpner vedlegget, som så utfører programkode direkte eller laster ned en ekstra nyttelast.
- Den skadelige programvaren utnytter en programvarefeil eller sårbarhet på målsystemet som til slutt fører til at enheten blir kompromittert.
- Den ondsinnete koden på de kompromitterte enhetene prøver å unngå at den blir oppdaget av antivirus. Så kan den distribuere flere komponenter, gjennomføre et angrep med løsepengevirus eller opprette en forbindelse med en kommando & kontroll-server (C2).
- Når angriperne har fått fjernkontroll over enheten, for eksempel gjennom et omvendt skall, vil de utforske miljøet og prøve å gå videre med en lateral (sidelengs) bevegelse, i håp om å øke privilegiene på andre enheter og i hele organisasjonen.
- Når angriperne har klart å tilrane seg administratorrettigheter, er det bare et tidsspørsmål til de har fått herredømmet over domenet – i praksis kontroll over IT-miljøet.
- Nå har inntrengerne enten allerede adgang til følsom informasjon eller kan tildele seg selv nødvendige tillatelser.
- Med tilgang til de ordspråklige kronjuvelene kan de ondsinnede aktørene nå fokusere på å hente ut data fra miljøet. Dette oppdager du statistisk sett først etter 120 dager.
I hovedsak er dette det arketypiske mønstret for et vellykket angrep. Det er noen flere aktiviteter enn trinn i Cyber Kill Chain. Men de kan enkelt tilordnes de forskjellige fasene. Mot denne bakgrunn kan du bruke innsiktene i drapskjeden til å styrke forsvaret ditt. Du bør ha kontroller på hvert trinn for å forhindre eller oppdage ondsinnete aktiviteter og trusler. For å sitere et gammelt ordtak i cybersikkerhet: «Forsvarere trenger å forsvare seg mot alt, mens angripere bare trenger å utnytte én svakhet.»
Moderne sikkerhet for en moderne tid
Nettverksperimetre med brannmurer og systemer for å oppdage og forebygge innbrudd (IDS/IPS) definerer ikke lenger beskyttelsen av en virksomhet. Fjernarbeid flytter grensen bort fra der den en gang var. Virksomhetsapplikasjoner kjører i mindre grad i lokale datasentre og er erstattet av SaaS-tilbud – Software as a Service (programvare som tjeneste). Ansatte tar med seg egne enheter. Den yngre garde krever og forventer en mer fleksibel arbeidskultur.
Korona-pandemien har ytterligere tvunget oss til å tenke nytt over hvordan vi jobber og samhandler. Nesten alt er på en eller annen måte koblet til Internett – opp til et punkt der det nær sagt ikke er grenser lenger. Det gjør at vi ikke kan nøye oss med tradisjonell nettverksbeskyttelse. Sikkerheten må forankres i brukeridentitetene, enhetene brukere logger på fra, og skytjenestene som benyttes. Da beveger vi oss mot en sikkerhetsmodell som kalles Zero Trust (Ingen klarering).
Microsoft 365 kommer med en førsteklasses sikkerhetsportefølje som beskytter hele skymiljøet og lokal infrastruktur. Du kan sikre skybrukere og hybride identiteter og gi trygg tilgang til partnere og kunder. Det er verktøy for omfattende beskyttelse av enheter (endepunkter). Du får full kontroll over data som er lagret på tvers av skytjenester. Det er mekanismer for å skjerme e-post og dokumenter mot nulldagers trusler. Sammen dekker disse beskyttelseslagene drapskjeden ende-til-ende.
Microsoft 365 og drapskjeder
Microsoft Defender for Office 365 (tidl. Office 365 ATP) oppdager og beskytter mot trusler som kommer inn i organisasjonen din via e-post eller dokumenter som lastes opp til OneDrive for Business, SharePoint Online og Microsoft Teams. Mens Exchange Online Protection (EOP) skjermer deg mot kjente virus, søppelpost og forskjellige typer nettfiske, utvider Defender for Office 365 beskyttelsen til å omfatte nulldagers trusler, skadelige koblinger og avanserte former for phishing.
Microsoft Defender for Endpoint (tidl. Defender ATP) forhindrer, oppdager, undersøker og svarer på avanserte trusler på endepunkter. Det beskytter proaktivt ved å fjerne sårbarheter og redusere angrepsflater. Defender for Endpoint sørger for neste generasjons skydrevne forsvar mot skadelige programvare. For å slå ned angrep reaktivt inkluderer løsningen endepunktsdeteksjon og -respons (EDR), automatiserte undersøkelser og utbedringer, ved behov med assistanse av trussel-eksperter.
Azure AD og Microsoft Defender for Identity (tidl. Azure ATP) fokuserer på identitetene, både lokalt og i skyen. Azure AD stanser angripere allerede i inngangsdøren med identitetsbeskyttelse, multifaktor-autentisering og betinget tilgang. Defender for Identity indentifiserer skadelig atferd i lokalnettet ditt. Den kan oppdage om en inntrenger beveger seg rundt i miljøet og prøver å eskalere privilegier eller etablere herredømme over domenet.
Microsoft Cloud App Security er en sikkerhetsmegler for trygg skytilgang, som gjenkjenner og bekjemper datatrusler på tvers av skytjenester. Cloud App Security oppdager skygge-IT og beskytter sensitive data hvor som helst i skyen. Den lar deg avdekke uregelmessig atferd for å identifisere løsepengevirus, utsatte brukere og programmer med for mange privilegier. Du kan kontrollere om skyappene overholder regler og standarder som er gyldige i virksomheten din.
Avsluttende ord
Lockheed Martin Cyber Kill Chain danner en modell for hvor du bør sette opp sikkerhetskontroller. Sammen med MITRE ATT&CK gir den en forståelse av hvordan angripere opererer. Microsoft 365 leverer markedsledende verktøy for produktivitet og samarbeid og det du trenger for å forsvare deg mot cybertrusler. Business Premium dekker grunnleggende sikkerhetsbehov for ekstern samhandling og fjernarbeid. Med E5 eller E3+E5-Sikkerhet får du en sikkerhet i verdensklasse.
Business Premium er lett å administrere og reduserer kostnader. Plattformen gir deg Defender for Office 365 for å beskytte mot nulldagers trusler og phishing. Det følger med innebygd antivirus i form av Windows Defender som i løpet av de nærmeste ukene kan administreres sentralt (rulles ut i Q4). Med Azure AD Premium får du satt opp betinget tilgang med multifaktor-autentisering, så bare klarerte brukere på klarerte enheter med klarerte apper får tilgang til bedriftsdata. For å beskytte deg mot inntrengere i ditt lokale nettverk må du lisensiere Defender for Identity separat. Det følger med en nedskalert versjon av Cloud App Security som lar deg oppdage skygge-IT.
Microsoft E3+E5-Sikkerhet gir deg alle sikkerhetsprodukter som er drøftet her. Prislappen per bruker i måneden er rundt 230 kroner høyere. Men det er forsvinnende lite i forhold til hva bedrifter og ansatte sparer på hjemmekontor som subsidiert kantinemat og reiseutgifter. Når brukerne attpåtil blir mer produktive – noe stadig flere undersøkelser tyder på – er det lite å spare. Nettkriminelle har lagt det an mot folk som jobber hjemmefra, som for mange virksomheter fortsatt er det svakeste ledd i cyberdrapskjeden. Databrudd er kostbare. Det kan være god økonomi i å gi fjernarbeidere det ypperste innen sikkerhet Microsoft har å by på.
Her gjaldt det å gi en introduksjon til drapskjeden i cyberangrep og sentrale sikkerhetsmekanismer i Microsoft 365. Sikkerheten i de to produktene ovenfor omfatter langt mer. Intune – Microsofts plattform for mobil enhets- og applikasjonsbehandling – sikrer enheter og apper, dermed tilgangen til bedriftsdata. Informasjonsbeskyttelse krypterer og rettighetsstyrer e-post og dokumenter. Hindring av datatap forebygger at informasjon siver ut av virksomheten. Avanserte E5-funksjoner oppdager og avverger forsøk på identitetstyveri, beskytter privilegerte kontoer og stenger infiserte enheter ute. Automatiserte verktøy hjelper deg å lære opp brukere og rydde opp etter et angrep.