Cyber kill chain odnosi się do sekwencji kroków, które cyberprzestępcy często podejmują, aby przeprowadzić atak. Jest to także ramy wprowadzone przez Lockheed Martin, które mapują te sekwencje, pomagając organizacjom zrozumieć i zakłócić cyberataki w procesie.
Spis treści
Ten model jest szczególnie przydatny do analizy zaawansowanych trwałych zagrożeń (APT) i wyrafinowanych ataków, które łączą taktyki takie jak malware, ransomware, trojany, spoofing i inżynieria społeczna.
Lockheed Martin pierwotnie opracował ramy cyber kill chain jako sposób na dostosowanie myślenia wojskowego "kill chain" do cyberbezpieczeństwa. W strategii wojskowej, kill chain opisuje strukturalne kroki, które przeciwnik podejmuje, aby zidentyfikować i zaangażować cel - i możliwości, jakie mają obrońcy, aby je zakłócić.
Podobnie, ramy cyber kill chain rozkładają atak na odrębne fazy, dając obrońcom jasny obraz, gdzie i jak interweniować. Zespoły bezpieczeństwa teraz używają tego modelu do mapowania zagrożeń na konkretne etapy, pomagając im priorytetyzować obronę i wykrywać luki.
Model cyber kill chain identyfikuje siedem kroków, które podejmują cyberprzestępcy:
Rekonesans: Atakujący zbierają informacje o celu, takie jak otwarte porty czy e-maile pracowników.
Uzbrojenie: Przygotowują ładunki malware, często łącząc exploity z złośliwymi plikami lub linkami.
Dostarczenie: Wysyłanie ładunku, zazwyczaj za pośrednictwem e-maili phishingowych lub pobrań drive-by.
Eksploatacja: Złośliwy kod uruchamia się na systemie docelowym, wykorzystując lukę.
Instalacja: Malware ustanawia trwałość, instalując backdoory lub trojany.
Komenda i Kontrola (C2): Atakujący komunikują się z przejętym systemem, aby wydawać polecenia.
Ten model pokazuje, że cyberataki nie są pojedynczymi wydarzeniami, lecz serią powiązanych kroków. Zakłócając nawet jeden etap w tej łańcuchu, zespoły bezpieczeństwa mogą uniemożliwić atakującym osiągnięcie ich celów i zmniejszyć ogólny wpływ naruszenia.
Na przykład, mogą wdrożyć inteligencję zagrożeń, aby wykryć aktywność rekonesansu, używać sandboxingu do wychwytywania uzbrojonego malware, lub monitorować ruch sieciowy pod kątem podejrzanych połączeń C2.
Cyber kill chain daje liniowy, ogólny widok ataku, podczas gdy ramy MITRE ATT&CK dostarczają szczegółowej matrycy taktyk i technik przeciwników. Używanie obu razem wzmacnia wykrywanie, reakcję na incydenty i ciągłe doskonalenie cyberbezpieczeństwa.
Zintegrowany cyber kill chain łączy model Lockheed Martin z taktykami MITRE ATT&CK, aby lepiej uchwycić złożoność nowoczesnych ataków, zwłaszcza zaawansowanych trwałych zagrożeń (APT). Rozszerza kill chain poza początkowy kompromis, aby uwzględnić ruchy lateralne po eksploatacji i kradzież poświadczeń, oferując obrońcom bardziej kompletną mapę drogową do wykrywania i zakłócania włamań.
Ramy
Skupienie
Mocne Strony
Cyber Kill Chain
Liniowe etapy ataku
Łatwe do zrozumienia, zatrzymuje ataki wcześnie
MITRE ATT&CK
Matryca taktyk i technik
Bardzo szczegółowe, wspiera łowy na zagrożenia
Zintegrowany Cyber Kill Chain
Łączy oba podejścia
Uchwyca cykl życia APT, wspiera obronę na pełnym spektrum
Zatrzymywanie cyberataków często polega na identyfikacji i zakłócaniu jednego lub więcej etapów kill chain. To warstwowe podejście zmniejsza szanse atakującego na sukces i ogranicza szkody, jeśli przełamią początkowe obrony.
Etap Kill Chain
Typowe Ataki / Taktyki
Typowa / Najlepsza Prewencja
Rekonesans
OSINT, profilowanie w mediach społecznościowych, skanowanie odsłoniętych zasobów
Inteligencja zagrożeń i zarządzanie powierzchnią ataku, aby zidentyfikować, co widzą atakujący, minimalizować ekspozycję.
Uzbrojenie
Tworzenie ładunków malware, złośliwe makra, zestawy exploitów
Zarządzanie łatkami i lukami, redukowanie luk do wykorzystania; aktualizacja narzędzi endpoint.
Dostarczenie
E-maile phishingowe, złośliwe linki, ataki typu watering hole
Bezpieczeństwo e-mail i filtrowanie sieci, aby blokować złośliwe e-maile i strony.
Eksploatacja
Wykorzystywanie luk w oprogramowaniu, ataki na poświadczenia
Ochrona endpointów (EPP/EDR) do wykrywania i blokowania działań złośliwych.
Instalacja
Malware instaluje backdoory, ransomware, trojany
Kontrola aplikacji i sandboxing, aby zatrzymać nieznane lub podejrzane instalacje.
Komenda i Kontrola (C2)
Narzędzia zdalnego dostępu, takie jak Cobalt Strike, podejrzane połączenia wychodzące
Systemy zapobiegania włamaniom sieciowym (IPS) i wykrywanie anomalii, aby blokować ruch C2.
Działania na celach
Kradzież danych, szyfrowanie dla ransomware, sabotaż
W 2024 roku LockBit wykorzystał trojana QakBot podczas faz dostarczania i eksploatacji, aby uzyskać dostęp, a następnie użył Cobalt Strike, aby uzyskać komendę i kontrolę. Ostatecznie zaszyfrowali krytyczne systemy, żądając milionów w płatnościach okupu, co pokazuje koszt pominięcia wykrywania na wczesnych etapach cyber kill chain.
Clop jest znany z wykorzystywania bezpiecznych aplikacji do transferu plików, aby uzyskać dostęp. Po dostarczeniu szybko przechodzą do eksfiltracji danych (instalacja i działania na celach), łącząc szyfrowanie z publicznymi wyciekami danych dla podwójnego szantażu.
Redukuje Koszty Naruszeń: Wczesne wykrywanie oznacza zatrzymanie ataków, zanim się nasilą, oszczędzając na kosztach odzyskiwania i prawnych.
Wspiera Zgodność z Przepisami: Pomaga wykazać proaktywne środki zgodnie z RODO, NIS2 i podobnymi przepisami.
Zrozumienie cyber kill chain pomaga przewidywać i zakłócać każdy etap ataku - od początkowego rekonesansu do eksfiltracji danych. Ale znajomość taktyk nie wystarczy bez zdolności do wykrywania, reagowania i adaptacji w czasie rzeczywistym.
Trend Vision One™ dostarcza zintegrowaną widoczność, potężne analizy i rozszerzone wykrywanie i reakcję (XDR) w całym twoim środowisku. Korelując aktywność na każdym etapie kill chain, możesz zatrzymać zagrożenia wcześniej, skrócić czas przebywania i chronić krytyczne zasoby z pewnością.
Cyber kill chain określa siedem kroków, które atakujący zazwyczaj wykonują: rekonesans, uzbrojenie, dostarczenie, eksploatacja, instalacja, komenda i kontrola (C2) oraz działania na celach. Każdy krok daje obrońcom szansę na wykrycie i zatrzymanie ataku.
Lockheed Martin wprowadził cyber kill chain w 2011 roku. Zaadaptowali koncepcję z tradycyjnych wojskowych kill chain, aby pomóc zespołom cyberbezpieczeństwa zrozumieć i zakłócać zagrożenia cyfrowe.
Rozbijając atak na etapy, kill chain pomaga zespołom bezpieczeństwa zidentyfikować, gdzie interweniować. Zatrzymanie ataku wcześnie - na przykład blokowanie e-maila phishingowego lub łatanie luk - może zapobiec dotarciu do systemów krytycznych.
Cyber kill chain to model liniowy pokazujący typowy przebieg ataku. MITRE ATT&CK to szczegółowa matryca taktyk i technik używanych przez atakujących. Wiele organizacji używa obu modeli razem dla silniejszego bezpieczeństwa.
Tak. Chociaż ataki ewoluowały, kill chain pozostaje użytecznym sposobem wizualizacji zagrożeń i projektowania warstwowych obron. Wiele zespołów łączy go również z nowszymi modelami, takimi jak ramy MITRE ATT&CK.
Absolutnie. Nawet małe firmy mogą zastosować koncepcję kill chain, mapując zagrożenia, poprawiając świadomość pracowników i inwestując w warstwowe zabezpieczenia, aby blokować ataki na wielu etapach.