Os ataques cibernéticos parecem estar sendo o assunto do momento, principalmente devido as diversas leis regulatórias, como a LGPD. Porém, não é de hoje que modelos que ataques estão sendo analisados.
Mais do que nunca, empresas estão em busca da segurança cibernética e fortificando o time de TI, principalmente aqueles que cuidam de sua defesa. Hoje, iremos falar sobre o modelo cyber kill chain, criado em 2011.
Continue lendo para entender como ele ajuda as empresas no quesito de proteção cibernética.
Cyber Kill Chain: o que é?Â
O cyber kill chain, em tradução livre cadeia de destruição cibernética, é um conceito que veio da estratégia militar, criado pelo Lockheed Martin e foi adaptado para um modelo de segurança cibernética em que um ataque é dividido em 7 etapas para que assim, uma vez identificado em que estágio está um ataque, esta cadeia possa ser quebrada.
Seu intuito é antecipar as ações de invasores e diminuir o impacto dos ataques, identificando as ameaças quando elas estão ainda em seus estágios iniciais. Quando mais a cadeia avança, mais o invasor quebrou as barreiras de segurança.
7 etapas do cyber kill chainÂ
Cada uma das fases do cyber kill chain representa uma atividade que será feita por um criminoso para fazer o ataque, sendo considerados crimes cibernéticos.
O modelo desenvolvido por Lockheed Martin ainda é o mais utilizado, composto pelas etapas: reconhecimento, armamento, entrega, exploração, instalação, comando e controle e ações nos objetivos.
1. Reconhecimento (Recon)
A primeira fase é a para obter informações, por isso ela também é conhecida como fase de observação. Aqui, serão analisados os cenários, identificação de alvos e inÃcio do planejamento de como será o ataque. Os atacantes irão utilizar diversos recursos e ferramentas para tentar obter dados e quanto mais conseguirem, maior a probabilidade de serem bem sucedidos no ataque.
2. Armamento (Weaponization)Â
Depois de obtidas as informações, é o momento de determinar os vetores de ataques. Vetor de ataque é o meio que os invasores entram em uma rede ou sistema, como engenharia social, credenciais roubadas, invasores internos, ataques DoS, entre outros.
Aqui, os hackers irão pensar em todos os modos de fazer uma invasão e procurar vulnerabilidades. Por isso, é importante que as empresas protejam todo o ambiente e infraestrutura, procurando e protegendo todas as possÃveis brechas.
3. Â Entrega (Delivery)Â
Chegou o momento de entregar a “carga” maliciosa (malware, ransomware, spyware, etc) para o seu ambiente. Ou seja, depois de decidido o vetor, é o momento de o enviar.
4.  Exploração (Exploitation)Â
A exploração é o código malicioso vasculhando o sistema procurando oportunidades de se instalar por meio de ferramentas ou da modificação de certificados de segurança para ter acesso e controle no sistema.
5.  Instalação (Installation)Â
Para ter acesso contÃnuo ao sistema, é necessário que o invasor instale um backdoor. Isso serve para que ele consiga entrar e sair do ambiente sem ser detectado, enquanto não há nenhum sinal de alerta de segurança. Geralmente, esses sinais são logins incomuns ou grande movimentação de dados.
6. Comando e controle (C2)Â
Nesta fase, o alvo já estará quase completamente comprometido. Os invasores tomam controle dos ativos e se aproveitam para extrair informações confidencias. Alguns podem usar seus dispositivos para criar uma rede de botnet.
7. Ação nos objetivos (Actions on objectives) Â
A última etapa é o resultado do ataque, ou seja, o que o criminoso irá fazer com os seus dados: cobrar pelo resgate, utilizar exfiltração para ganhos financeiros, derrubar sua rede via negação de serviço, entre outros.
Como sua empresa pode usar o cyber kill chain?Â
O cyber kill chain é uma ótima forma de testar a cibersegurança da empresa, utilizando-se do pentest. O pentest é um exercÃcio de segurança em que um especialista em segurança cibernética tenta encontrar e explorar vulnerabilidades em um sistema.
Com este exercÃcio, se sua equipe de segurança conseguir adentrar por meio de vulnerabilidades, é possÃvel identificar em qual fase ocorreu a brecha e as corrigir, aumentando assim a sua defesa. Esta é uma prática que pode ser frequentemente testada e fortalecida pelo blue team e red team.
Este método também ajuda as equipes de segurança a visualizarem o passo a passo que os atacantes seguem e dessa forma fazerem um planejamento mais estruturado com o que pode ser implementado em cada etapa para mitigar os riscos de ataque.
Ao detectar um ataque em suas fases iniciais e o interromper, os danos diminuem significativamente, principalmente levando em conta as perdas de dados. Quando falamos de incidentes cibernéticos, o tempo de detecção é essencial para o controle de danos.
ConclusãoÂ
Entender como a mente do invasor funciona, assim como ele planeja o ataque, é uma maneira de criar uma proteção efetiva para a sua empresa. A equipe de cibersegurança, entendendo cada etapa da cyber kill chain, consegue implementar recursos em cada uma delas que irá tornar o ambiente mais difÃcil de penetrar.
A ManageEngine possui diversas soluções para fortalecer a segurança cibernética das empresas e que irá quebrar a cadeira de invasão de hackers.
O ADAudit Plus faz o monitoramento de usuários e seus logons, rastreia mudanças de arquivos e usuários, mudanças de polÃticas de segurança, tudo com notificações em tempo real.
O Log360 é a nossa solução SIEM completa, com detecção de incidentes, monitoramento da integridade dos arquivos, recurso UEBA, detecção de ameaças, como ataques DoS e análises em tempo real.
Já o Endpoint Central traz proteção contra ransomware e proteção para todos os seus endpoints, com patches automatizados e detecção e correção de ameaças!