Czym jest Cyber Kill Chain?

tball

Cyber kill chain odnosi się do sekwencji kroków, które cyberprzestępcy często podejmują, aby przeprowadzić atak. Jest to także ramy wprowadzone przez Lockheed Martin, które mapują te sekwencje, pomagając organizacjom zrozumieć i zakłócić cyberataki w procesie.

Ten model jest szczególnie przydatny do analizy zaawansowanych trwałych zagrożeń (APT) i wyrafinowanych ataków, które łączą taktyki takie jak malware, ransomware, trojany, spoofing i inżynieria społeczna.

Ramy Cyber Kill Chain 

Lockheed Martin pierwotnie opracował ramy cyber kill chain jako sposób na dostosowanie myślenia wojskowego "kill chain" do cyberbezpieczeństwa. W strategii wojskowej, kill chain opisuje strukturalne kroki, które przeciwnik podejmuje, aby zidentyfikować i zaangażować cel - i możliwości, jakie mają obrońcy, aby je zakłócić.

Podobnie, ramy cyber kill chain rozkładają atak na odrębne fazy, dając obrońcom jasny obraz, gdzie i jak interweniować. Zespoły bezpieczeństwa teraz używają tego modelu do mapowania zagrożeń na konkretne etapy, pomagając im priorytetyzować obronę i wykrywać luki.

Kroki Cyber Kill Chain 

Model cyber kill chain identyfikuje siedem kroków, które podejmują cyberprzestępcy:

  1. Rekonesans: Atakujący zbierają informacje o celu, takie jak otwarte porty czy e-maile pracowników.

  2. Uzbrojenie: Przygotowują ładunki malware, często łącząc exploity z złośliwymi plikami lub linkami. 

  3. Dostarczenie: Wysyłanie ładunku, zazwyczaj za pośrednictwem e-maili phishingowych lub pobrań drive-by.

  4. Eksploatacja: Złośliwy kod uruchamia się na systemie docelowym, wykorzystując lukę.

  5. Instalacja: Malware ustanawia trwałość, instalując backdoory lub trojany.

  6. Komenda i Kontrola (C2): Atakujący komunikują się z przejętym systemem, aby wydawać polecenia.

  7. Działania na celach: Osiągają swój cel, czy to kradzież danych, szyfrowanie plików, czy zakłócanie usług.
Cyber Kill Chain steps

Jak Model Cyber Kill Chain Wizualizuje Ataki 

Ten model pokazuje, że cyberataki nie są pojedynczymi wydarzeniami, lecz serią powiązanych kroków. Zakłócając nawet jeden etap w tej łańcuchu, zespoły bezpieczeństwa mogą uniemożliwić atakującym osiągnięcie ich celów i zmniejszyć ogólny wpływ naruszenia.

Na przykład, mogą wdrożyć inteligencję zagrożeń, aby wykryć aktywność rekonesansu, używać sandboxingu do wychwytywania uzbrojonego malware, lub monitorować ruch sieciowy pod kątem podejrzanych połączeń C2.

Cyber Kill Chain vs MITRE ATT&CK

Cyber kill chain daje liniowy, ogólny widok ataku, podczas gdy ramy MITRE ATT&CK dostarczają szczegółowej matrycy taktyk i technik przeciwników. Używanie obu razem wzmacnia wykrywanie, reakcję na incydenty i ciągłe doskonalenie cyberbezpieczeństwa.

Zintegrowany Cyber Kill Chain i Inne Modele 

Zintegrowany cyber kill chain łączy model Lockheed Martin z taktykami MITRE ATT&CK, aby lepiej uchwycić złożoność nowoczesnych ataków, zwłaszcza zaawansowanych trwałych zagrożeń (APT). Rozszerza kill chain poza początkowy kompromis, aby uwzględnić ruchy lateralne po eksploatacji i kradzież poświadczeń, oferując obrońcom bardziej kompletną mapę drogową do wykrywania i zakłócania włamań.

Cyber Kill Chain vs. Inne Modele: Tabela Porównawcza 

Ramy

Skupienie

Mocne Strony

Cyber Kill Chain

Liniowe etapy ataku

Łatwe do zrozumienia, zatrzymuje ataki wcześnie

MITRE ATT&CK

Matryca taktyk i technik

Bardzo szczegółowe, wspiera łowy na zagrożenia

Zintegrowany Cyber Kill Chain

Łączy oba podejścia

Uchwyca cykl życia APT, wspiera obronę na pełnym spektrum

Jak Zakłócać Proces Cyber Kill Chain 

Zatrzymywanie cyberataków często polega na identyfikacji i zakłócaniu jednego lub więcej etapów kill chain. To warstwowe podejście zmniejsza szanse atakującego na sukces i ogranicza szkody, jeśli przełamią początkowe obrony.

Taktyki i Prewencja Cyber Kill Chain 

Etap Kill Chain

Typowe Ataki / Taktyki

Typowa / Najlepsza Prewencja

Rekonesans

OSINT, profilowanie w mediach społecznościowych, skanowanie odsłoniętych zasobów

Inteligencja zagrożeń i zarządzanie powierzchnią ataku, aby zidentyfikować, co widzą atakujący, minimalizować ekspozycję.

Uzbrojenie

Tworzenie ładunków malware, złośliwe makra, zestawy exploitów

Zarządzanie łatkami i lukami, redukowanie luk do wykorzystania; aktualizacja narzędzi endpoint.

Dostarczenie

E-maile phishingowe, złośliwe linki, ataki typu watering hole

Bezpieczeństwo e-mail i filtrowanie sieci, aby blokować złośliwe e-maile i strony.

Eksploatacja

Wykorzystywanie luk w oprogramowaniu, ataki na poświadczenia

Ochrona endpointów (EPP/EDR) do wykrywania i blokowania działań złośliwych.

Instalacja

Malware instaluje backdoory, ransomware, trojany

Kontrola aplikacji i sandboxing, aby zatrzymać nieznane lub podejrzane instalacje.

Komenda i Kontrola (C2)

Narzędzia zdalnego dostępu, takie jak Cobalt Strike, podejrzane połączenia wychodzące

Systemy zapobiegania włamaniom sieciowym (IPS) i wykrywanie anomalii, aby blokować ruch C2.

Działania na celach

Kradzież danych, szyfrowanie dla ransomware, sabotaż

Monitorowanie XDR i SOC dla szybkiego wykrywania, izolacji i reakcji, aby ograniczyć wpływ.

Przykłady Rzeczywistych Cyber Kill 

Ransomware LockBit i BlackCat (ALPHV) 

W 2024 roku LockBit wykorzystał trojana QakBot podczas faz dostarczania i eksploatacji, aby uzyskać dostęp, a następnie użył Cobalt Strike, aby uzyskać komendę i kontrolę. Ostatecznie zaszyfrowali krytyczne systemy, żądając milionów w płatnościach okupu, co pokazuje koszt pominięcia wykrywania na wczesnych etapach cyber kill chain.

Ransomware Clop 

Clop jest znany z wykorzystywania bezpiecznych aplikacji do transferu plików, aby uzyskać dostęp. Po dostarczeniu szybko przechodzą do eksfiltracji danych (instalacja i działania na celach), łącząc szyfrowanie z publicznymi wyciekami danych dla podwójnego szantażu.

Korzyści z Używania Cyber Kill Chain w Cyberbezpieczeństwie 

  • Redukuje Koszty Naruszeń: Wczesne wykrywanie oznacza zatrzymanie ataków, zanim się nasilą, oszczędzając na kosztach odzyskiwania i prawnych.

  • Wspiera Zgodność z Przepisami: Pomaga wykazać proaktywne środki zgodnie z RODO, NIS2 i podobnymi przepisami.

  • Poprawia Gotowość SOC i IR: Daje zespołom bezpieczeństwa strukturalne podejście do łowów na zagrożenia i reakcji na incydenty. Dowiedz się, jak to wiąże się z Zero Trust Networking

Wzmocnij Swoje Obrony w Całym Cyber Kill Chain 

Zrozumienie cyber kill chain pomaga przewidywać i zakłócać każdy etap ataku - od początkowego rekonesansu do eksfiltracji danych. Ale znajomość taktyk nie wystarczy bez zdolności do wykrywania, reagowania i adaptacji w czasie rzeczywistym.

Trend Vision One™ dostarcza zintegrowaną widoczność, potężne analizy i rozszerzone wykrywanie i reakcję (XDR) w całym twoim środowisku. Korelując aktywność na każdym etapie kill chain, możesz zatrzymać zagrożenia wcześniej, skrócić czas przebywania i chronić krytyczne zasoby z pewnością.

FAQs

Expand all Hide all

Jakie jest siedem kroków cyber kill chain?

add

Cyber kill chain określa siedem kroków, które atakujący zazwyczaj wykonują: rekonesans, uzbrojenie, dostarczenie, eksploatacja, instalacja, komenda i kontrola (C2) oraz działania na celach. Każdy krok daje obrońcom szansę na wykrycie i zatrzymanie ataku.

Kto opracował model cyber kill chain?

add

Lockheed Martin wprowadził cyber kill chain w 2011 roku. Zaadaptowali koncepcję z tradycyjnych wojskowych kill chain, aby pomóc zespołom cyberbezpieczeństwa zrozumieć i zakłócać zagrożenia cyfrowe.

Jak cyber kill chain zapobiega cyberatakom?

add

Rozbijając atak na etapy, kill chain pomaga zespołom bezpieczeństwa zidentyfikować, gdzie interweniować. Zatrzymanie ataku wcześnie - na przykład blokowanie e-maila phishingowego lub łatanie luk - może zapobiec dotarciu do systemów krytycznych.

Czym różni się cyber kill chain od MITRE ATT&CK?

add

Cyber kill chain to model liniowy pokazujący typowy przebieg ataku. MITRE ATT&CK to szczegółowa matryca taktyk i technik używanych przez atakujących. Wiele organizacji używa obu modeli razem dla silniejszego bezpieczeństwa.

Czy cyber kill chain jest nadal aktualny?

add

Tak. Chociaż ataki ewoluowały, kill chain pozostaje użytecznym sposobem wizualizacji zagrożeń i projektowania warstwowych obron. Wiele zespołów łączy go również z nowszymi modelami, takimi jak ramy MITRE ATT&CK.

Czy małe firmy mogą używać cyber kill chain?

add

Absolutnie. Nawet małe firmy mogą zastosować koncepcję kill chain, mapując zagrożenia, poprawiając świadomość pracowników i inwestując w warstwowe zabezpieczenia, aby blokować ataki na wielu etapach.