Czym jest Cyber Kill Chain?

tball

Cyber kill chain odnosi się do sekwencji kroków, które cyberprzestępcy często podejmują, aby przeprowadzić atak. Jest to także ramy wprowadzone przez Lockheed Martin, które mapują te sekwencje, pomagając organizacjom zrozumieć i zakłócić cyberataki w procesie.

Model ten jest szczególnie przydatny do analizowania zaawansowanych, uporczywych zagrożeń (APT) oraz wyrafinowanych ataków łączących takie taktyki, jak złośliwe oprogramowanie, ransomware, trojany, spoofing i inżynieria społeczna.

Ramy Cyber Kill Chain 

Firma Lockheed Martin pierwotnie opracowała strukturę cyber kill chain jako sposób na dostosowanie wojskowego podejścia „kill chain” do cyberbezpieczeństwa. W strategii wojskowej łańcuch zagrożeń opisuje uporządkowane kroki podejmowane przez przeciwnika w celu zidentyfikowania i zaatakowania celu oraz możliwości, jakie mają obrońcy, aby te kroki zakłócić. 

Podobnie, model cłańcuch cyberzagrażeń dzieli atak na poszczególne fazy, dając obrońcom jasny obraz tego, gdzie i jak należy interweniować. Zespoły ds. bezpieczeństwa wykorzystują obecnie ten model do przyporządkowywania zagrożeń do konkretnych etapów, co pomaga im ustalać priorytety działań obronnych i wykrywać luki w zabezpieczeniach.

Kroki Cyber Kill Chain 

Model łańcucha cyberzagrażeń identyfikuje siedem kroków, które cyberprzestępcy podejmą:

  1. Rozpoznanie: Atakujący zbierają informacje na temat celu, takie jak otwarte porty lub wiadomości e-mail pracowników.

  2. Uzbrojenie: Przygotowują złośliwe oprogramowanie, często wiążąc exploity ze złośliwymi plikami lub łączami. 

  3. Dostawa: Wysyłanie ładunku, zazwyczaj za pośrednictwem phishingowych wiadomości  e-mail lub pobrań typu drive-by. 

  4. Wykorzystywanie: Złośliwy kod działa w systemie docelowym, wykorzystując lukę w zabezpieczeniach.

  5. Instalacja: Złośliwe oprogramowanie tworzy trwałość poprzez instalację tylnych drzwi lub trojanów.

  6. Command and Control (C2): Atakujący komunikują się z zaatakowanym systemem, aby wydawać polecenia.

  7. Działania dotyczące celów: Osiągają swój cel, niezależnie od tego, czy kradną dane, szyfrują pliki, czy zakłócają działanie usług.

Cyber Kill Chain steps

Jak Model Cyber Kill Chain Wizualizuje Ataki 

Ten model pokazuje, że cyberataki to nie pojedyncze zdarzenia, ale seria połączonych ze sobą kroków. Przerywając nawet jeden etap tego łańcucha, zespoły ds. bezpieczeństwa mogą uniemożliwić atakującym osiągnięcie ich celów i zmniejszyć ogólny wpływ naruszenia.

Mogą na przykład wykorzystywać dane wywiadowcze dotyczące zagrożeń do wykrywania działań rozpoznawczych, stosować środowisko sandbox do wykrywania złośliwego oprogramowania służącego do ataków lub monitorować ruch sieciowy pod kątem podejrzanych połączeń C2.

Cyber Kill Chain vs MITRE ATT&CK

Łańcuch cyberzagrażeń zapewnia liniowy obraz ataku na wysokim poziomie, podczas gdy struktura MITRE ATT&CK zapewnia szczegółową matrycę taktyk i technik przeciwnych. Jedno i drugie wzmacnia wykrywanie, reagowanie na incydenty i ciągłe doskonalenie cyberbezpieczeństwa.

Zintegrowany Cyber Kill Chain i Inne Modele 

Zintegrowany cyber kill chain łączy model Lockheed Martin z taktykami MITRE ATT&CK, aby lepiej uchwycić złożoność nowoczesnych ataków, zwłaszcza zaawansowanych trwałych zagrożeń (APT). Rozszerza kill chain poza początkowy kompromis, aby uwzględnić ruchy lateralne po eksploatacji i kradzież poświadczeń, oferując obrońcom bardziej kompletną mapę drogową do wykrywania i zakłócania włamań.

Cyber Kill Chain vs. Inne Modele: Tabela Porównawcza 

Ramy

Skupienie

Mocne Strony

Cyber Kill Chain

Liniowe etapy ataku

Łatwe do zrozumienia, zatrzymuje ataki wcześnie

MITRE ATT&CK

Matryca taktyk i technik

Bardzo szczegółowe, wspiera łowy na zagrożenia

Zintegrowany Cyber Kill Chain

Łączy oba podejścia

Uchwyca cykl życia APT, wspiera obronę na pełnym spektrum

Jak Zakłócać Proces Cyber Kill Chain 

Zatrzymywanie cyberataków często polega na identyfikacji i zakłóceniu jednego lub więcej etapów łańcucha cyberzagrażeń. Takie wielopoziomowe podejście zmniejsza szanse atakującego na powodzenie i ogranicza szkody w przypadku, gdy uda mu się przełamać pierwsze linie obrony.

Taktyki i Prewencja Cyber Kill Chain 

Etap Kill Chain

Typowe Ataki / Taktyki

Typowa / Najlepsza Prewencja

Rekonesans

OSINT, profilowanie w mediach społecznościowych, skanowanie odsłoniętych zasobów

Inteligencja zagrożeń i zarządzanie powierzchnią ataku, aby zidentyfikować, co widzą atakujący, minimalizować ekspozycję.

Uzbrojenie

Tworzenie ładunków malware, złośliwe makra, zestawy exploitów

Zarządzanie łatkami i lukami, redukowanie luk do wykorzystania; aktualizacja narzędzi endpoint.

Dostarczenie

E-maile phishingowe, złośliwe linki, ataki typu watering hole

Bezpieczeństwo e-mail i filtrowanie sieci, aby blokować złośliwe e-maile i strony.

Eksploatacja

Wykorzystywanie luk w oprogramowaniu, ataki na poświadczenia

Ochrona endpointów (EPP/EDR) do wykrywania i blokowania działań złośliwych.

Instalacja

Malware instaluje backdoory, ransomware, trojany

Kontrola aplikacji i sandboxing, aby zatrzymać nieznane lub podejrzane instalacje.

Komenda i Kontrola (C2)

Narzędzia zdalnego dostępu, takie jak Cobalt Strike, podejrzane połączenia wychodzące

Systemy zapobiegania włamaniom sieciowym (IPS) i wykrywanie anomalii, aby blokować ruch C2.

Działania na celach

Kradzież danych, szyfrowanie dla ransomware, sabotaż

Monitorowanie XDR i SOC dla szybkiego wykrywania, izolacji i reakcji, aby ograniczyć wpływ.

Przykłady Rzeczywistych Cyber Kill 

Ransomware LockBit i BlackCat (ALPHV) 

W 2024 roku LockBit wykorzystał trojana QakBot podczas faz dostarczania i eksploatacji, aby uzyskać dostęp, a następnie użył Cobalt Strike, aby uzyskać komendę i kontrolę. Ostatecznie zaszyfrowali krytyczne systemy, żądając milionów w płatnościach okupu, co pokazuje koszt pominięcia wykrywania na wczesnych etapach cyber kill chain.

Ransomware Clop 

Clop jest znany z bezpiecznego przesyłania plików w celu uzyskania dostępu. Po dostarczeniu szybko przechodzą do wycieku danych (instalacja i działania dotyczące celów), łącząc szyfrowanie z publicznymi wyciekami danych w celu podwójnego wymuszenia.

Korzyści z Używania Cyber Kill Chain w Cyberbezpieczeństwie 

  • Zmniejsza koszty naruszeń: Wczesne wykrywanie oznacza powstrzymywanie ataków przed ich eskalacją, co pozwala zaoszczędzić na odzyskiwaniu danych i kosztach prawnych.

  • Wspiera zgodność z przepisami: Pomaga wykazać aktywne środki zgodnie z RODO, NIS2 i podobnymi przepisami.

  • Poprawia gotowość SOC i IR: Zapewnia zespołom ds. bezpieczeństwa ustrukturyzowane podejście do wyszukiwania zagrożeń i reagowania na incydenty. Dowiedz się, jak to się wiąże zZero Trust Networking

 

Wzmocnij Swoje Obrony w Całym Cyber Kill Chain 

Zrozumienie cyber kill chain pomaga przewidywać i zakłócać każdy etap ataku - od początkowego rekonesansu do eksfiltracji danych. Ale znajomość taktyk nie wystarczy bez zdolności do wykrywania, reagowania i adaptacji w czasie rzeczywistym.

Trend Vision One™ dostarcza zintegrowaną widoczność, potężne analizy i rozszerzone wykrywanie i reakcję (XDR) w całym twoim środowisku. Korelując aktywność na każdym etapie kill chain, możesz zatrzymać zagrożenia wcześniej, skrócić czas przebywania i chronić krytyczne zasoby z pewnością.

jon clay headshot

Wiceprezes ds. analizy zagrożeń

pen

Jon Clay pracuje w branży cyberbezpieczeństwa od ponad 29 lat. Jon wykorzystuje swoje doświadczenie branżowe, aby edukować i dzielić się spostrzeżeniami na temat wszystkich opublikowanych zewnętrznie badań i informacji dotyczących zagrożeń firmy Trend Micro.

Często zadawane pytania (FAQ)

Expand all Hide all

Czym jest Cyber Kill Chain?

add

Cyber Kill Chain to model bezpieczeństwa opisujący etapy ataku, pomagający organizacjom wcześnie wykrywać zagrożenia i skutecznie zakłócać działania cyberprzestępców.

Jakie jest siedem kroków cyber kill chain?

add

Cyber kill chain określa siedem kroków, które atakujący zazwyczaj wykonują: rekonesans, uzbrojenie, dostarczenie, eksploatacja, instalacja, komenda i kontrola (C2) oraz działania na celach. Każdy krok daje obrońcom szansę na wykrycie i zatrzymanie ataku.

Kto opracował model cyber kill chain?

add

Lockheed Martin wprowadził cyber kill chain w 2011 roku. Zaadaptowali koncepcję z tradycyjnych wojskowych kill chain, aby pomóc zespołom cyberbezpieczeństwa zrozumieć i zakłócać zagrożenia cyfrowe.

Jak cyber kill chain zapobiega cyberatakom?

add

Rozbijając atak na etapy, kill chain pomaga zespołom bezpieczeństwa zidentyfikować, gdzie interweniować. Zatrzymanie ataku wcześnie - na przykład blokowanie e-maila phishingowego lub łatanie luk - może zapobiec dotarciu do systemów krytycznych.

Czym różni się cyber kill chain od MITRE ATT&CK?

add

Cyber kill chain to model liniowy pokazujący typowy przebieg ataku. MITRE ATT&CK to szczegółowa matryca taktyk i technik używanych przez atakujących. Wiele organizacji używa obu modeli razem dla silniejszego bezpieczeństwa.

Czy cyber kill chain jest nadal aktualny?

add

Tak. Chociaż ataki ewoluowały, kill chain pozostaje użytecznym sposobem wizualizacji zagrożeń i projektowania warstwowych obron. Wiele zespołów łączy go również z nowszymi modelami, takimi jak ramy MITRE ATT&CK.

Czy małe firmy mogą używać cyber kill chain?

add

Absolutnie. Nawet małe firmy mogą zastosować koncepcję kill chain, mapując zagrożenia, poprawiając świadomość pracowników i inwestując w warstwowe zabezpieczenia, aby blokować ataki na wielu etapach.