Setiap aktivitas keamanan cyber dan perlindungan cyber didasarkan pada penentuan perbatasan yang akan dijaga (the perimeter keamanan) dan perkiraan kemungkinan menderita kerusakan yang terkait dengan keadaan yang kurang lebih dapat diperkirakan (file tugas beresiko).
Risiko harus dinilai dengan mempertimbangkan ancaman dan kerentanan yang dapat dieksploitasi, kondisi predisposisi sekitarnya, kemungkinan implementasi dan keberhasilan perilaku berbahaya dan, terakhir, sejauh mana kerugian yang dapat ditimbulkan.
Mari kita berhenti di sini untuk mempertimbangkan hanya elemen pertama - ancaman - dan mencoba untuk menetapkan beberapa poin tetap yang akan membantu kita menghadapi metode yang sulit, tetapi bukan tidak mungkin, untuk mempelajari musuh kita. Ya, karena pertempuran, lebih dari dengan senjata, dimenangkan berkat pengetahuan lawan: "DENA", akronim yang secara tradisional dikenal di Sekolah militer untuk Dislokasi, Entitas, Sifat dan Sikap musuh; dan khususnya TTP, yaitu Taktik, Teknik dan Prosedur Operasinya.
Betapapun cerdik dan berbakatnya, lawan kita masih harus mengikuti benang merah jika dia ingin sukses. Dan logika serta pengalaman memungkinkan kita untuk membuat konsep "jalur kerusakan" atau jika Anda menginginkan "siklus hidup ancaman" yang harus diingat jika Anda ingin melakukan analisis risiko dan investasi keamanan yang efektif dan terfokus.
Biasanya siklus ini dimulai dari satu fase persiapan, dimana lawan memantau jaringan korban, sistem informasi dan layanan IT dari luar dengan kegiatan pengintaian: misalnya dengan alat aktif pemindaian atau Selenggarakan pengumpulan informasi, mencari kerentanan atau data terperinci tentang konfigurasi sistem perimeter atau tentang prosedur akses fisik ke pusat data dan desktop. Terlebih lagi, dalam fase ini, lawan memperoleh sumber daya yang diperlukan untuk melakukan serangan, seperti pembuatan botnet untuk meluncurkan tindakan Penolakan layanan atau persewaan Virtual Private Server / VPS untuk memastikan anonimitas.
Setelah fase persiapan ini, mirip dengan operasi taktis ofensif dalam manuver darat, ada penetrasi dinding pertahanan, biasanya di titik paling rentan di mana, dengan teknik yang berbeda seperti pencurian kredensial pribadi atau pemasangan malware pada flashdisk yang diberikan kepada staf internal organisasi, lawan memastikan "jembatan" yang memungkinkannya memasang kode berbahaya dalam batas keamanan.
Ini diikuti olehExecution kode berbahaya yang dengannya lawan meluncurkan serangan dan / atau menjamin kendali yang menyamar (dan anonimitas dapat berlangsung berbulan-bulan atau bertahun-tahun sebagai sel tidur) dari bagian sistem, jaringan, atau layanan untuk menerapkan persiapan lebih lanjut dan strategi serta kompromi intelijen.
Pada tahap ini lawan dapat melakukan taktik ketekunan, ditujukan tepat untuk menjaga gerbang akses, "jembatan" dalam perimeter keamanan sekalipun memotong seperti memulai ulang atau mengubah kredensial; dari eskalasi hak istimewa, yang mencoba untuk menjamin hak akses tingkat yang lebih tinggi, seperti keserakahan untuk administrasi sistem; dari penghindaran pertahanan, yang mencoba menyamar dalam aktivitas pemantauan dan deteksi sistem keamanan; dari akses kredensial, ditujukan untuk mencuri kredensial login; dari penemuan, yang dengannya dia mengamati - kali ini dari dalam - lingkungan, mengarahkan strategi serangannya dengan lebih baik atau merevisi tujuannya; dari gerakan lateral yang dengannya ia berkembang, memperoleh kendali atas segmen atau partisi jaringan yang berdekatan dari server akses yang dikendalikan atau sistem informasi jarak jauh; dari koleksi yang dengannya dia mengidentifikasi, menganalisis, dan mengumpulkan informasi yang ingin dia curi; tentang C2 yang dengannya ia menetapkan saluran komunikasi bayangan untuk menjamin komando dan kendali sistem yang dikompromikan dari luar; dan akhirnya taktik pengelupasan kulit atau dampak tergantung pada apakah tujuan serangan adalah untuk mencuri informasi atau mengganggu pengoperasian sistem; atau keduanya, seperti dalam kasus yang terkenal itu ransomware lebih canggih yang mengekstrak salinan data untuk mengancam publikasinya di darkweb, pada saat yang sama mengenkripsi dan membuat sebagian atau seluruh memori yang berisi mereka tidak tersedia.
Untuk setiap taktik ini, ada teknik dan prosedur peretasan yang halus dan canggih, serta algoritme penetrasi, pengelupasan kulit dan dampak yang dikembangkan secara khusus oleh penjahat cyber.
Untungnya, bagaimanapun, mereka adalah taktik yang dikenal dunia intelijen dan keamanan siber yang pada gilirannya mengembangkan strategi penanggulangan dalam hal perlindungan, pemantauan, deteksi, mitigasi, dan respons. Kami akan membicarakan hal ini di artikel mendatang.
Untuk memperdalam:
Pertahanan Online: "Apa rantai pembunuhan cyber itu?"
https://doi.org/10.6028/NIST.SP.800-30r1
