La cyber kill chain si riferisce alla sequenza di passaggi che i criminali informatici spesso seguono per eseguire un attacco. Anche un framework introdotto da Lockheed Martin, la cyber kill chain mappa queste sequenze, aiutando le organizzazioni a comprendere e interrompere gli attacchi informatici nel processo.
Indice
Questo modello è particolarmente utile per analizzare minacce persistenti avanzate (APT) e attacchi sofisticati che combinano tattiche come malware, ransomware, trojan, spoofing e ingegneria sociale.
Lockheed Martin ha originariamente sviluppato il framework della cyber kill chain come un modo per adattare il pensiero militare della "kill chain" alla sicurezza informatica. Nella strategia militare, una kill chain descrive i passaggi strutturati che un avversario compie per identificare e ingaggiare un obiettivo, e le opportunità che i difensori hanno per interromperli.
Allo stesso modo, il framework della cyber kill chain scompone un attacco in fasi distinte, offrendo ai difensori una chiara visione di dove e come intervenire. I team di sicurezza ora utilizzano questo modello per mappare le minacce in fasi specifiche, aiutandoli a dare priorità alle difese e a individuare le lacune.
Il modello della cyber kill chain identifica sette passaggi che gli attaccanti informatici seguiranno:
Ricognizione: Gli attaccanti raccolgono informazioni sul bersaglio, come porte aperte o email dei dipendenti.
Armamento: Preparano payload di malware, spesso legando exploit a file o link dannosi.
Consegna: Invio del payload, tipicamente tramite email di phishing o download drive-by.
Consegna: Invio del payload, tipicamente tramite email di phishing [link interno] o download drive-by.
Installazione: Il malware stabilisce persistenza installando backdoor o trojan.
Comando e Controllo (C2): Gli attaccanti comunicano con il sistema compromesso per impartire comandi.
Questo modello mostra che gli attacchi informatici non sono eventi singoli, ma una serie di passaggi interconnessi. Interrompendo anche solo una fase di questa catena, i team di sicurezza possono impedire agli attaccanti di raggiungere i loro obiettivi e ridurre l'impatto complessivo di una violazione.
Ad esempio, potrebbero utilizzare l'intelligence sulle minacce per rilevare l'attività di ricognizione, usare il sandboxing per catturare il malware armato o monitorare il traffico di rete per connessioni C2 sospette.
La cyber kill chain offre una visione lineare e di alto livello di un attacco, mentre il framework MITRE ATT&CK& fornisce una matrice dettagliata di tattiche e tecniche degli avversari. Usare entrambi insieme rafforza la rilevazione, la risposta agli incidenti e il miglioramento continuo della sicurezza informatica.
La cyber kill chain unificata integra il modello di Lockheed Martin con le tattiche MITRE ATT&CK per catturare meglio la complessità degli attacchi moderni, in particolare le minacce persistenti avanzate (APT). Espande la kill chain oltre il compromesso iniziale per includere il movimento laterale post-sfruttamento e il furto di credenziali, offrendo ai difensori una roadmap più completa per individuare e interrompere le intrusioni.
Framework
Focus
Punti di Forza
Cyber Kill Chain
Fasi lineari di un attacco
Facile da capire, ferma gli attacchi presto
MITRE ATT&CK
Matrice di tattiche e tecniche
Molto dettagliato, supporta la caccia alle minacce
Cyber Kill Chain Unificata
Combina entrambi gli approcci
Cattura il ciclo di vita dell'APT, supporta la difesa a spettro completo
Fermare gli attacchi informatici spesso significa identificare e interrompere una o più fasi della kill chain. Questo approccio stratificato riduce le possibilità di successo di un attaccante e limita i danni se riescono a superare le difese iniziali.
Fase della Kill Chain
Attacchi/Tattiche Comuni
Prevenzione Tipica/Migliore
Ricognizione
OSINT, profilazione sui social media, scansione di asset esposti
Intelligence sulle minacce a gestione della superficie di attacco per identificare cosa vedono gli attaccanti, minimizzare l'esposizione.
Armamento
Creazione di payload di malware, macro dannose, kit di exploit
Gestione delle patch e delle vulnerabilità, ridurre le lacune sfruttabili; mantenere aggiornati gli strumenti endpoint.
Consegna
Email di phishing, link dannosi, attacchi watering hole
Sicurezza email e filtraggio web per bloccare email e siti dannosi.
Sfruttamento
Sfruttamento di vulnerabilità software, attacchi alle credenziali
Protezione degli endpoint (EPP/EDR) per rilevare e bloccare azioni dannose.
Installazione
Il malware installa backdoor, ransomware, trojan
Controlli delle applicazioni e sandboxing per fermare installazioni sconosciute o sospette.
Comando e Controllo (C2)
Strumenti di accesso remoto come Cobalt Strike, connessioni in uscita sospette
Sistemi di prevenzione delle intrusioni di rete systems (IPS) e rilevamento delle anomalie per bloccare il traffico C2.
Azioni sugli Obiettivi
Furto di dati, cifratura per ransomware, sabotaggio
Nel 2024, LockBit ha sfruttato il trojan QakBot durante le fasi di consegna e sfruttamento per ottenere accesso, quindi ha utilizzato Cobalt Strike per ottenere comando e controllo. Alla fine, hanno criptato sistemi critici, chiedendo milioni in pagamenti di riscatto, dimostrando il costo di saltare la rilevazione mirata alle prime fasi della cyber kill chain.
Clop è noto per sfruttare applicazioni di trasferimento file sicure per ottenere accesso. Dopo la consegna, si spostano rapidamente alla esfiltrazione dei dati (installazione e azioni sugli obiettivi), combinando la cifratura con fughe di dati pubbliche per una doppia estorsione.
Comprendere la cyber kill chain ti aiuta ad anticipare e interrompere ogni fase di un attacco, dal riconoscimento iniziale all'esfiltrazione dei dati. Ma conoscere le tattiche non è sufficiente senza la capacità di rilevare, rispondere e adattarsi in tempo reale.
Trend Vision One™ offre visibilità unificata, analisi potenti e rilevazione e risposta estesa (XDR) in tutto il tuo ambiente. Correlando l'attività in ogni fase della kill chain, puoi fermare le minacce prima, ridurre il tempo di permanenza e proteggere i beni critici con fiducia.
La cyber kill chain delinea sette passaggi che gli attaccanti tipicamente seguono: ricognizione, armamento, consegna, sfruttamento, installazione, comando e controllo (C2) e azioni sugli obiettivi. Ogni passaggio offre ai difensori una possibilità di rilevare e fermare l'attacco.
Lockheed Martin ha introdotto la cyber kill chain nel 2011. Hanno adattato il concetto dalle kill chain militari tradizionali per aiutare i team di sicurezza informatica a comprendere e interrompere le minacce digitali.
Scomponendo un attacco in fasi, la kill chain aiuta i team di sicurezza a identificare dove intervenire. Fermare un attacco presto, come bloccare un'email di phishing o correggere vulnerabilità, può impedirgli di raggiungere i sistemi critici.
La cyber kill chain è un modello lineare che mostra la progressione tipica di un attacco. MITRE ATT&CK è una matrice dettagliata di tattiche e tecniche utilizzate dagli attaccanti. Molte organizzazioni utilizzano entrambi insieme per una sicurezza più forte.
Sì. Sebbene gli attacchi si siano evoluti, la kill chain rimane un modo utile per visualizzare le minacce e progettare difese stratificate. Molti team la combinano anche con modelli più recenti come il framework MITRE ATT&CK.
Assolutamente. Anche le piccole aziende possono applicare il concetto della kill chain mappando le minacce, migliorando la consapevolezza dei dipendenti e investendo in sicurezza stratificata per bloccare gli attacchi in più fasi.