Attack Kill Chain, ovvero la metodologia di attacco spiegata!
Con questo articolo vogliamo iniziare a raccontare come avviene un attacco e poi, soprattutto, come è possibile difendersi.
Mostreremo anche come Microsoft risponde alla kill chain, e quali strumenti mette a disposizione.
Ma iniziamo ad entrare nel merito.
Reconnaissance
Ovvero quando un attaccante inizia a guardarsi intorno per capire come è fatto il sistema che vuole compromettere: ad esempio quali domini, quali tecnologie, quali sistemi di posta. E poi ancora quali sono gli utenti interessanti, quali utenti fanno parte dei gruppi privilegiati, etc. E’ la fase in cui l’attaccante ci studia e cerca i nostri punti deboli; in questa fase, se abbiamo costruito bene le nostre difese, potremmo iniiare a realizzare che qualcosa si sta preparando. Ma del resto questo è talmente frequente che potremmo non darci peso (senza gli strumenti adeguati)
Weaponization
In questa fase l’attaccante ha immaginato di avere individuato una debolezza e quindi inizia a costruire l’arsenale per iniziare l’attacco, ad esempio costruendo un payload per sfruttare una vulnerabilità del nostro sito, od una macro ancora non individuata come malevola dai nostri antivirus, E’ una fase delicata, ma l’attaccante è ancora invisibile per noi.
Delivery
Ta-dah!
Arriva una mail con un documento Word contenente una macro, oppure la richiesta di fare click su una certa URL; o ancora, un dipendente trova una chiavetta USB vicino alla macchinetta del caffè (cosa vi ricorda???). E’ la fase di delivery, lo strumento per compromettere le nostre difese è stato consegnato. Cosa succederà ora?
Installation
Manco a dirlo, senza sistemi di difesa i nostri sistemi vengono compromessi e soprattutto, non ci accorgeremo della compromissione. L’attaccante potrà pertanto iniziare a guardarsi attorno per individuare altri punti deboli.
Command & Control
Ovvero quando l’attaccante ha installato un cavallo di Troia nei nostri sistemi, AKA ha trovato il modo di mantenere un socket aperto o comunque un sistema per mantenere l’accesso. L’attaccante ha costruito una qualche tipo di persistenza, fosse anche un semplice scheduled task su una singola workstation.
Actions
Adesso l’attaccante può iniziare a pensare in grande; ad esempio compromettendo ulteriori workstation (lateral movement) alla ricerca di identità più ghiotte (global o domain admins) con cui andare a curiosare in giro e a compiere misfatti: cifrare dati con richiesta di riscatto, ottenere golden ticket per mantenere la persistenza, carpire dati sensibili dell’azienda e così via.
Naturalmente è possibile mitigare questa kill-chain; Microsoft propone una suite di prodotti appositamente per contenere, prevenire e reagire ai cyber-attacchi. Nei prossimi articoli mostreremo alcuni esempi della Attack Kill Chain e come difendersi, ad esempio come individuare una reconnaissance o come bloccare un attacco pass-the-hash.
Per il momento eccovi un video, per spiegare velocemente quanto sopra:
Don't stop there, read more
Defender for Cloud Apps: funzionalità e casi d’uso
Defender for Cloud Apps, ovvero cos’è? a cosa mi serve? come può aiutarmi a rafforzare la security posture in azienda? Emiliano Iacomino e Pacho Baratta hanno provato a spiegare ed a rispondere ad alcune domande relative alle principali features del prodotto. Dalla Shadow IT, alla files governance e protezione dell’accesso, passando per la protezione del […]
Defender for Cloud Apps: Files Governance
Hai tanti file sul cloud Microsoft o su cloud di terze parti? Ti spieghiamo come fare files governance grazie a Defender for Cloud Apps.
Defender for Cloud Apps: Session Policies
Le Session Policies sono uno degli strumenti più potenti per gestire la sicurezza in azienda, permettendo nel contempo la massima flessibilità e semplicità.
Enter the digital universe
With Yooda you can lead your company towards a new mindset that will change everyone's experience for the better and generate new value for you.