outubro 14, 2019

[Segurança] Cyber Kill Chain

O "Cyber Kill Chain" é uma modelagem de ataques criada em 2011 pela empresa Lockheed Martin que descreve de forma simples e em alto nível, quais são os passos que um atacante deve seguir para ter sucesso em uma invasão. O Cyber Kill Chain ajuda no processo de tomada de decisão para melhor prevenção, detecção e resposta a ciber ataques

O modelo da Lockheed Martin considera que um atacante passa por 7 estágios para se infiltrar com sucesso durante um ciber ataque:
  1. Reconnaissance: Pesquisa sobre o alvo, incluindo a identificação e escolha de quais serão os alvos. Por exemplo: busca em sites web e redes sociais, busca em listas de e-mail, investigação sobre quais são as tecnologias utilizadas e fornecedores da empresa, dumpster diving, etc;
  2. Weaponization: Criar a ferramenta que vai permitir o ciber ataque, como juntar um trojan e um exploit específico em um payload a ser enviado para a empresa, através de um spear phishing;
  3. Delivery: Execução do ciber ataque, que pode ser feito através de um envio de um phishing com o artefato malicioso, ou realizando um ataque contra a infra-estrutura do alvo, ou, por exemplo, deixando um pen drive malicioso no escritório da vítima;
  4. Exploitation: Após enviar o artefato malicioso, a exploração acontece quando o código malicioso é acionado - ou é executado pelo usuário (inadvertidamente), ou, por exemplo, é explorada uma vulnerabilidade que vai executar o código malicioso;
  5. Installation: Uma vez executado o ataque, partimos para a instalação de algum mecanismo que garanta a persistência, como um Trojan de acesso remoto ou um backdoor;
  6. Command and Control (C2): Estabelecer uma comunicação entre o atacante e o ambiente atacado. Normalmente um malware vai entrar em contato com sua central de controle, a partir da qual o atacante envia os comandos a serem executados no ambiente invadido;
  7. Actions on Objectives: Ufa, finalmente estamos com o pé dentro do ambiente e a partir de agora o atacante começa a executar as ações desejadas, como movimentar-se lateralmente, buscar informações e extraí-las.


O nome "Cyber Kill Chain" surgiu porque uma vez que um elo da corrente é quebrado (um dos 7 passos acima), é possível interrompet toda a cadeia de ações para concretizar o ataque.

A proposta é que esse modelo ajude os profissionais de segurança a entender quais são todos os passos necessários para executar um ciber ataque, e, assim, eles conseguem identificar e detalhar como ocorreu um ataque contra a sua empresa, e podem focar em quais são as características e os detalhes mais relevantes que devem ser investigados. Com isso, é possível ter um processo de resposta a incidentes mais efetivo.

Segundo o whitepaper "Seven Ways to Apply the Cyber Kill Chain® with a Threat Intelligence Platform", a modelagem de uma cadeia de ataques ajuda a melhorar um modelo de inteligência pois permite priorizar os alertas que a empresa recebe de suas ferramentas de segurança, priorizar a escalação dos incidentes e ajuda a medir sua capacidade de responder a ciber ataques.

O video abaixo, também da Lockheed Martin, é interessante para mostrar a importância de aplicar inteligência na detecção e resposta a ataques:


Para saber mais:

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.