همانگونه که در شکل (1) نیز مشاهده میشود، مدل پیشنهادی پژوهشگران Lockheed Martin، با عنوان Cyber Kill Chain از فازهای زیر تشکیل شده است.
شکل1. فازهای Kill Chain – ارایه شده توسط Lockheed Martin
بخش اول تقریباً شبیه به مدل اصلی است و مطابق با آنچه که قبلاً به عنوان عملیات جاسوسی یا اطلاعاتی طبقه بندی شده است، میباشد. فاز 1 منعكس كننده روش كاربردي و حمله هدفمند حمله است.
برنامه ریزی: این مرحله اول است و شامل کارهای شناسایی است که به منظور جمع آوری اطلاعات در مورد هدف انجام میشود. معمولاً این شامل تحقیق هدفمند با استفاده از ابزارهای رایگان است، اما اساساً مبتنی بر OSINT است، از وبلاگهای شرکتی، بروشورهای محصول، استفاده از ابزارهای نوع Sochan و غیره با هدف شناسایی نقاط ضعف هدف بهره میبرد.
آمادهسازی: هدف این مرحله تهیه مسیر نفوذ است. ممکن است شامل تهیه پرونده برای استفاده در مراحل بعدی و انتخاب هدف حمله بعدی باشد. ابزارهای مناسب بسته به هدف انتخاب میشوند. هر دو کار موجود در این مرحله ممکن است انجام شود اما اجباری نیست.
نفوذ سایبری: شامل هرگونه تلاش دسترسی به شبکه ها و سیستم های هدف، صرفنظر از موفقیت یا عدم موفقیت آنها میشود. در صورت موفقیت آمیز بودن، مهاجم باید بر روی سوء استفاده از هدف کار کند و سعی میکند روشهایی را برای اطمینان از دسترسی آینده نصب یا اصلاح کند.
مدیریت و فعال سازی: پس از اتمام نفوذ در سیستم، مرحله بعدی مدیریت دسترسی به دست آمده است، که برای آن مهاجم یک یا چند سیستم فرمان و کنترل (C2 یا C&C) ایجاد میکند.
توسعه، اجرا و پایداری: این مرحلهای است که مهاجم در آن عمل میکند. برخی اقدامات معمول در این مرحله اجرای قابلیت های اضافی، پیدا کردن تجهیزات جدید، جابجایی بین شبکهها و غیره است. این کار برای شروع مرحله دوم بسیار مهم است.
در مرحله دوم، دانش جمع آوری شده در مرحله قبلی برای تهیه یك حمله هدفمند مورد استفاده قرار میگیرد. این مرحله ممکن است بلافاصله مرحله اول را دنبال کند. تاخیر بین مراحل امکانپذیر است. مراحل اصلی فاز دو Kill Chain عبارتند از:
شکل 2. فاز دوم حمله به سیستمهای کنترل صنعتی با مدل Kill Chain
توسعه حمله و میزانسازی: در این مرحله، مهاجم سعی میکند قابلیت جدیدی (رویه، ابزار، روش و غیره) را بطور خاص به منظور کنترل زیرساخت انجام نماید.
اعتبارسنجی: هدف از مرحله اعتبار سنجی، تأیید قابلیت جدید در یک محیط یکسان یا مشابه با موردی است که مورد حمله قرار میگیرد. معمولاً مهاجم برای انجام این مرحله سخت افزار خاصی را بدست میآورد، که شامل شبیه سازی حمله مورد نظر نیز میشود. این یک چالش بزرگ است، به این دلیل که شبیه سازی یک سیستم کامل مانند سیستم های مورد استفاده در محیط های صنعتی بسیار پیچیده است.
حمله به سیستم کنترل صنعتی: مرحله آخر زنجیره. مهاجم تلاش میکند ظرفیت توسعه یافته را ارسال کند، یا آن را نصب کند، یا رفتار سیستم مورد استفاده را تغییر داده و از آن استفاده کند. عواقب معمول حمله به سیستم های کنترل، کنترل یا از دست دادن داده ها و یا انکار سرویس است.
پیچیدگی تکمیل دو مرحله مجزا از Kill Chain اقتباس شده توسط یک مهاجم در یک محیط صنعتی بستگی به اقدامات امنیتی اعمال شده برای سیستم هدف دارد.
شکل 3. پیادهسازی بدافزار Havex با استفاده از مدل Kill Chain
آگاهی از زنجیره سایبر قتل اجازه میدهد تا کاربران و مأموران امنیتی اقدامات خاصی را در این زمینه با هدف حفاظت از سیستم های کنترل در هر مرحله از زنجیره اعمال کنند. بسته به مرحله و عمل مورد نظر، ابزارهای مختلفی که امروزه در سیستم های کنترل استفاده میشوند، مورد استفاده قرار میگیرند، فقط استفاده از آنها ضروری است. اقدامات دیگر مربوط به رفتار کارمندان است که با تشویق فرهنگ ایمنی عمیق تر در شرکت، به راحتی و با استفاده از آموزش اجرا میشود.
کد: 50019510
زمان انتشار: شنبه 20 مهر 1398 01:52 ب.ظ
تعداد نمایش: 481
ما را در شبکه های اجتماعی دنبال کنید