– root@injetionsec:~#

Kill Chain (cadeia de destruição)

10.06.2015 (7:31 pm) – Filed under: Segurança da Informação ::

adpads

Um assunto que achei interessante lendo livro, e posts na internet; vocês já ouviram falar em kill chain (cadeia de destruição) !!!

Essa é uma prática que esta sendo adotada no meio cibernético e o kill chain, segundo o departamento de defesa do EUA  o kill chain é um processo sistemático para localizar o alvo para criar os efeitos desejados sua doutrina é a seguinte:  fixar, seguir, mirar, engajar e avaliar (find, fix, track, target, engage and assess) intitulado conhecido também com a seguinte sigla:

F2T2EA ~> encontrar os adversários apropriados para engajamento, fixar sua localização, seguir e observar, mirar o alvo com armar ou ativos apropriados para criar os efeitos desejados, engajar o adversário e então avaliar os efeitos:

  1. Reconnaissance : conhecido por muitos auditores de segurança da informação como coleta de informação, onde e feito todo o processo de levantamento de informações sobre o alvo
  2. Weaponization : criação do payload (carga maliciosa) que ataca/infecta o alvo de forma automatizada com a mínima intervenção do usuário
  3. Delivery : entrega do payload ao ambiente-alvo, os meios de entra mais utilizado que conhecemos são, e-mail, discos removíveis.
  4. Exploration : após a entrega da ciber arma, vem a execução do código malicioso, onde é dada pela exploração de uma falha de algum sistema.
  5. Installation : manutenção do acesso ou do software malicioso persistente dentro de um ambiente alvo
  6. Command & Control : comunicação entre o alvo com seu mestre(atacante) onde e enviado os dados.
  7. Actions or objectives : depois de passar por todos esses seis pontos o atacante pode planejar futuramente para atingir diretamente seu objetivo final caso seja possível, veja a figura 1.1 que retrata esse ciclo.
adpadsiuhds
figura 1.1, retirada de [1]

Com estas informação, podemos mapear as contramedidas mais eficazes contra cada uma das sete fases. Cada fase pode ser tomado como uma camada de defesa ao fazer isso tomamos á parte as contra medidas que são mais eficazes contra as ações empreendidas pelo atacante com isso temos então uma estratégia defensiva.

O malware entra na parte de weaponization, ao atacar o sistema industrial uma arma especifica deve ser criada para o ataque visto que cada infraestrutura tem um determinada configuração especifica, essa arma tem também um proposito definido como roubar informações, parar comunicação  e sabotar os ativos. Para que um malware ganhe o nome de arma cibernética ele deve possuir:

  • Alvos definidos e claro.
  • Objetivos definidos e claros
  • Ter proteção para não infectar outros sistemas
  • Grande nível de complexidade em atacar os pontos certos

Uma arma cibernética demanda de muitos recursos e dinheiro para sua concepção normalmente essas armas são patrocinadas pelo governo,agências de defesa ou grandes grupos de terroristas como mencionado acima.

Desenvolvimento de Arma Cibernética 

Alguns fatores são levados para criação dessas armas cibernéticas:

  • Inteligência interna sobre os sistemas rodando e suas configurações.
  • Equipamento idênticos para simulação e testes desses
  • Equipe de profissionais especializados na criação de malware.
  • Equipe de profissionais especializados em protocolos e sistema de controle utilizados no alvo.
  • Terceirização de empresas.

Deve-se notar que a alto propagação não é um requisito de uma arma cibernética, o projeto de uma arma cibernética e similar com de um míssil, onde e composto por 3 elementos básicos : um veiculo de entrega, um sistema de navegação e a carga explosiva.

  • Os meios de entrega de uma arma cibernética dependendo de um objetivo são por mídias removíveis, e-mail, plugins , downloads e alguns softwares que são vulneráveis a alguma quesito.
  • O sistema de navegação (exploit) permite que a carga explosiva(payload) chegue a um ponto especifico dentro de um computado ou sistema entrando por meio de um vulnerabilidade, a exploração dessa vulnerabilidade pode ser por acesso remoto não autorizado ou execução de código remoto nos ativos.
  • A carga é denominada payload e pode ser que qualquer tipo de programa, os mais comum são: copiam informações para fora da do computador para uma fonte externa, alteram arquivos, criam novas contas, transforma a rede em “botnet”, abrem backdoor na maquina ou retornam um shell no atacante.

Tratar o ciberespaço como um campo de batalha é um quesito que está ganhando força no meio de vários profissionais de segurança da informação,varias organizações adaptam as estratégias em estilo militar para se defender, por isso o termo kill chain.

Desenvolver metodologias de ciber-defesa usado por militares é fato, qualquer profissional da área de segurança da informação já deve ter ouvido que ” o atacante só precisa de uma fraqueza, enquanto que os defensores devem se proteger de todos os meios”.Usar meios para descrever as fases de intrusões do adversário mapeando os indicadores para assim defendemos e tomarmos uma ação, identificar padrões que apontam intrusões individuais em cenário e compreender a natureza iterativa do sistema é importante.

Recolher mais informações sobre a sua rede, servidores,sistemas,banco de dados dentre outros você terá uma melhor chance de descobrir o que aconteceu e assim tomar medidas para que não não volte a acontecer, é assim que você pode encurtar o seu ciclo de resposta á desastres, uma abordagem completa de monitoramento e o line base de rede e dos sistemas é crucial para frear o tempo gasto para lidar com incidentes; assim você tera registro,logs, falso positivos/negativos em determinados cenários para entender melhor e te ajudar a detectar e rastrear surtos iniciais à medida que ocorrem.

Parte desse problema se torna difícil quando á necessidade de pesquisar, um exemplo quando você detectar algo que está errado agora, você precisa ser capaz de voltar e ver como aquele incidente aconteceu é em seguida descobrir o que mais aconteceu entre outros.

Referências:
[1]http://myarick.blogspot.com.br/2014/02/f2t2ea.html
http://seclists.org/dataloss/2014/q2/66
Ayres Branquinho, Marcelo; Cardoso De Moraes, Leonardo; Jan Seidl. Segurança de Automação Industrial e Scada. 1 ed : Elsevier,2014