Cyber kill chain odnosi się do sekwencji kroków, które cyberprzestępcy często podejmują, aby przeprowadzić atak. Jest to także ramy wprowadzone przez Lockheed Martin, które mapują te sekwencje, pomagając organizacjom zrozumieć i zakłócić cyberataki w procesie.
Spis treści
Model ten jest szczególnie przydatny do analizowania zaawansowanych, uporczywych zagrożeń (APT) oraz wyrafinowanych ataków łączących takie taktyki, jak złośliwe oprogramowanie, ransomware, trojany, spoofing i inżynieria społeczna.
Firma Lockheed Martin pierwotnie opracowała strukturę cyber kill chain jako sposób na dostosowanie wojskowego podejścia „kill chain” do cyberbezpieczeństwa. W strategii wojskowej łańcuch zagrożeń opisuje uporządkowane kroki podejmowane przez przeciwnika w celu zidentyfikowania i zaatakowania celu oraz możliwości, jakie mają obrońcy, aby te kroki zakłócić.
Podobnie, model cłańcuch cyberzagrażeń dzieli atak na poszczególne fazy, dając obrońcom jasny obraz tego, gdzie i jak należy interweniować. Zespoły ds. bezpieczeństwa wykorzystują obecnie ten model do przyporządkowywania zagrożeń do konkretnych etapów, co pomaga im ustalać priorytety działań obronnych i wykrywać luki w zabezpieczeniach.
Model łańcucha cyberzagrażeń identyfikuje siedem kroków, które cyberprzestępcy podejmą:
Rozpoznanie: Atakujący zbierają informacje na temat celu, takie jak otwarte porty lub wiadomości e-mail pracowników.
Uzbrojenie: Przygotowują złośliwe oprogramowanie, często wiążąc exploity ze złośliwymi plikami lub łączami.
Dostawa: Wysyłanie ładunku, zazwyczaj za pośrednictwem phishingowych wiadomości e-mail lub pobrań typu drive-by.
Wykorzystywanie: Złośliwy kod działa w systemie docelowym, wykorzystując lukę w zabezpieczeniach.
Instalacja: Złośliwe oprogramowanie tworzy trwałość poprzez instalację tylnych drzwi lub trojanów.
Command and Control (C2): Atakujący komunikują się z zaatakowanym systemem, aby wydawać polecenia.
Działania dotyczące celów: Osiągają swój cel, niezależnie od tego, czy kradną dane, szyfrują pliki, czy zakłócają działanie usług.
Ten model pokazuje, że cyberataki to nie pojedyncze zdarzenia, ale seria połączonych ze sobą kroków. Przerywając nawet jeden etap tego łańcucha, zespoły ds. bezpieczeństwa mogą uniemożliwić atakującym osiągnięcie ich celów i zmniejszyć ogólny wpływ naruszenia.
Mogą na przykład wykorzystywać dane wywiadowcze dotyczące zagrożeń do wykrywania działań rozpoznawczych, stosować środowisko sandbox do wykrywania złośliwego oprogramowania służącego do ataków lub monitorować ruch sieciowy pod kątem podejrzanych połączeń C2.
Łańcuch cyberzagrażeń zapewnia liniowy obraz ataku na wysokim poziomie, podczas gdy struktura MITRE ATT&CK zapewnia szczegółową matrycę taktyk i technik przeciwnych. Jedno i drugie wzmacnia wykrywanie, reagowanie na incydenty i ciągłe doskonalenie cyberbezpieczeństwa.
Zintegrowany cyber kill chain łączy model Lockheed Martin z taktykami MITRE ATT&CK, aby lepiej uchwycić złożoność nowoczesnych ataków, zwłaszcza zaawansowanych trwałych zagrożeń (APT). Rozszerza kill chain poza początkowy kompromis, aby uwzględnić ruchy lateralne po eksploatacji i kradzież poświadczeń, oferując obrońcom bardziej kompletną mapę drogową do wykrywania i zakłócania włamań.
Ramy
Skupienie
Mocne Strony
Cyber Kill Chain
Liniowe etapy ataku
Łatwe do zrozumienia, zatrzymuje ataki wcześnie
MITRE ATT&CK
Matryca taktyk i technik
Bardzo szczegółowe, wspiera łowy na zagrożenia
Zintegrowany Cyber Kill Chain
Łączy oba podejścia
Uchwyca cykl życia APT, wspiera obronę na pełnym spektrum
Zatrzymywanie cyberataków często polega na identyfikacji i zakłóceniu jednego lub więcej etapów łańcucha cyberzagrażeń. Takie wielopoziomowe podejście zmniejsza szanse atakującego na powodzenie i ogranicza szkody w przypadku, gdy uda mu się przełamać pierwsze linie obrony.
Etap Kill Chain
Typowe Ataki / Taktyki
Typowa / Najlepsza Prewencja
Rekonesans
OSINT, profilowanie w mediach społecznościowych, skanowanie odsłoniętych zasobów
Inteligencja zagrożeń i zarządzanie powierzchnią ataku, aby zidentyfikować, co widzą atakujący, minimalizować ekspozycję.
Uzbrojenie
Tworzenie ładunków malware, złośliwe makra, zestawy exploitów
Zarządzanie łatkami i lukami, redukowanie luk do wykorzystania; aktualizacja narzędzi endpoint.
Dostarczenie
E-maile phishingowe, złośliwe linki, ataki typu watering hole
Bezpieczeństwo e-mail i filtrowanie sieci, aby blokować złośliwe e-maile i strony.
Eksploatacja
Wykorzystywanie luk w oprogramowaniu, ataki na poświadczenia
Ochrona endpointów (EPP/EDR) do wykrywania i blokowania działań złośliwych.
Instalacja
Malware instaluje backdoory, ransomware, trojany
Kontrola aplikacji i sandboxing, aby zatrzymać nieznane lub podejrzane instalacje.
Komenda i Kontrola (C2)
Narzędzia zdalnego dostępu, takie jak Cobalt Strike, podejrzane połączenia wychodzące
Systemy zapobiegania włamaniom sieciowym (IPS) i wykrywanie anomalii, aby blokować ruch C2.
Działania na celach
Kradzież danych, szyfrowanie dla ransomware, sabotaż
W 2024 roku LockBit wykorzystał trojana QakBot podczas faz dostarczania i eksploatacji, aby uzyskać dostęp, a następnie użył Cobalt Strike, aby uzyskać komendę i kontrolę. Ostatecznie zaszyfrowali krytyczne systemy, żądając milionów w płatnościach okupu, co pokazuje koszt pominięcia wykrywania na wczesnych etapach cyber kill chain.
Clop jest znany z bezpiecznego przesyłania plików w celu uzyskania dostępu. Po dostarczeniu szybko przechodzą do wycieku danych (instalacja i działania dotyczące celów), łącząc szyfrowanie z publicznymi wyciekami danych w celu podwójnego wymuszenia.
Zmniejsza koszty naruszeń: Wczesne wykrywanie oznacza powstrzymywanie ataków przed ich eskalacją, co pozwala zaoszczędzić na odzyskiwaniu danych i kosztach prawnych.
Wspiera zgodność z przepisami: Pomaga wykazać aktywne środki zgodnie z RODO, NIS2 i podobnymi przepisami.
Poprawia gotowość SOC i IR: Zapewnia zespołom ds. bezpieczeństwa ustrukturyzowane podejście do wyszukiwania zagrożeń i reagowania na incydenty. Dowiedz się, jak to się wiąże zZero Trust Networking
Zrozumienie cyber kill chain pomaga przewidywać i zakłócać każdy etap ataku - od początkowego rekonesansu do eksfiltracji danych. Ale znajomość taktyk nie wystarczy bez zdolności do wykrywania, reagowania i adaptacji w czasie rzeczywistym.
Trend Vision One™ dostarcza zintegrowaną widoczność, potężne analizy i rozszerzone wykrywanie i reakcję (XDR) w całym twoim środowisku. Korelując aktywność na każdym etapie kill chain, możesz zatrzymać zagrożenia wcześniej, skrócić czas przebywania i chronić krytyczne zasoby z pewnością.
Jon Clay pracuje w branży cyberbezpieczeństwa od ponad 29 lat. Jon wykorzystuje swoje doświadczenie branżowe, aby edukować i dzielić się spostrzeżeniami na temat wszystkich opublikowanych zewnętrznie badań i informacji dotyczących zagrożeń firmy Trend Micro.
Cyber Kill Chain to model bezpieczeństwa opisujący etapy ataku, pomagający organizacjom wcześnie wykrywać zagrożenia i skutecznie zakłócać działania cyberprzestępców.
Cyber kill chain określa siedem kroków, które atakujący zazwyczaj wykonują: rekonesans, uzbrojenie, dostarczenie, eksploatacja, instalacja, komenda i kontrola (C2) oraz działania na celach. Każdy krok daje obrońcom szansę na wykrycie i zatrzymanie ataku.
Lockheed Martin wprowadził cyber kill chain w 2011 roku. Zaadaptowali koncepcję z tradycyjnych wojskowych kill chain, aby pomóc zespołom cyberbezpieczeństwa zrozumieć i zakłócać zagrożenia cyfrowe.
Rozbijając atak na etapy, kill chain pomaga zespołom bezpieczeństwa zidentyfikować, gdzie interweniować. Zatrzymanie ataku wcześnie - na przykład blokowanie e-maila phishingowego lub łatanie luk - może zapobiec dotarciu do systemów krytycznych.
Cyber kill chain to model liniowy pokazujący typowy przebieg ataku. MITRE ATT&CK to szczegółowa matryca taktyk i technik używanych przez atakujących. Wiele organizacji używa obu modeli razem dla silniejszego bezpieczeństwa.
Tak. Chociaż ataki ewoluowały, kill chain pozostaje użytecznym sposobem wizualizacji zagrożeń i projektowania warstwowych obron. Wiele zespołów łączy go również z nowszymi modelami, takimi jak ramy MITRE ATT&CK.
Absolutnie. Nawet małe firmy mogą zastosować koncepcję kill chain, mapując zagrożenia, poprawiając świadomość pracowników i inwestując w warstwowe zabezpieczenia, aby blokować ataki na wielu etapach.