O que é a cyber kill chain? Processo & modelo

O que é a cyber kill chain?

Ela é uma adaptação do conceito militar de "kill chain" (cadeia de eliminação), que consiste em uma abordagem etapa por etapa para identificar e neutralizar a atividade inimiga. Criada pela Lockheed Martin em 2011, a cyber kill chain descreve as diversas etapas de ciber ataques comuns e, por consequência, os pontos em que a equipe de segurança da informação pode agir para prevenir, detectar ou interceptar invasores.

O objetivo principal da cyber kill chain é a defesa contra ciber ataques sofisticados, também conhecidos como Ameaças Persistentes Avançadas (APTs). Neles, os adversários dedicam tempo considerável à vigilância e ao planejamento. Geralmente, esses ataques combinam malware, ransomware, cavalos de Tróia, spoofing e técnicas de engenharia social para atingir os objetivos.

8 fases do processo da cyber kill chain

O modelo original de cyber kill chain proposto pela Lockheed Martin compreendia sete etapas sequenciais:

Fase 1: Reconhecimento

Nessa fase, o ator malicioso identifica um alvo e abusa de vulnerabilidades e pontos fracos da rede. Nesse processo, o invasor pode coletar credenciais de login ou outras informações relevantes, como endereços de e-mail, IDs de usuário, localizações físicas, detalhes de aplicação de software e sistemas operacionais que podem ser usadas para phishing ou spoofing. De modo geral, quanto mais informações o invasor conseguir coletar na fase de Reconhecimento, mais sofisticado e convincente será o ataque e, consequentemente, maior a chance de sucesso dele.

Fase 2: Armamentização

Nessa fase, o invasor cria um vetor de ataque, que pode ser um malware de acesso remoto, ransomware, vírus ou worm capaz de explorar uma vulnerabilidade conhecida. Nela, o invasor também pode configurar backdoors para ter acesso contínuo ao sistema, mesmo que o ponto de entrada inicial seja identificado e bloqueado pelos administradores da rede.

Fase 3: Entrega

Na etapa de Entrega, o invasor lança o ataque propriamente dito. As ações específicas tomadas nessa fase vão depender do tipo de ataque que foi planejado. Por exemplo, o invasor pode enviar anexos de e-mail ou links maliciosos, buscando induzir o usuário a realizar ações que deem prosseguimento ao plano. Essa atividade pode ser combinada com técnicas de engenharia social para aumentar a eficácia da campanha.

Fase 4: Exploração

Na fase de Exploração, o código malicioso é efetivamente executado no sistema da vítima.

Fase 5: Instalação

Imediatamente depois da fase de Exploração, o malware ou outro vetor de ataque é instalado no sistema da vítima. Este é um ponto crítico no ciclo de vida do ataque, pois marca a entrada do ator de ameaças no sistema e a possibilidade de tomar o controle.

Fase 6: Comando e Controle

Nessa fase, o invasor utiliza o malware para assumir o controle remoto de um dispositivo ou identidade dentro da rede alvo. Nessa etapa, ele pode tentar se mover lateralmente pela rede, expandindo seu acesso e estabelecendo novos pontos de entrada para ataques futuros.

Fase 7: Ações do objetivo

Nessa fase, o invasor age para concretizar seus objetivos, que podem incluir roubo, destruição, criptografia ou exfiltração de dados.

Ao longo do tempo, especialistas em segurança da informação propuseram a inclusão de uma oitava etapa na cyber kill chain: a monetização. Nessa fase, o ciber criminoso concentra esforços para ter lucro com o ataque realizado, seja pelo pagamento de resgates por parte das vítimas ou pela venda de informações confidenciais (dados pessoais, segredos industriais etc.) na dark web.

De modo geral, o quanto antes uma organização conseguir interromper a ameaça no ciclo de vida do ataque cibernético, menor será o risco assumido por ela. Ataques que chegam na fase de Comando e Controle exigem esforços de remediação significativamente mais avançados, incluindo varreduras completas da rede e dos endpoints para determinar a escala e a profundidade da invasão. Por isso, é fundamental que as organizações adotem medidas para identificar e neutralizar ameaças o mais cedo possível no ciclo de vida, minimizando o risco dos ataques e os custos associados à resolução dos mesmos.

Evolução da cyber kill chain

Como já mencionado, a cyber kill chain continua evoluindo, acompanhando as mudanças nas táticas dos invasores. Desde o lançamento do modelo em 2011, as ações dos ciber criminosos ficaram significativamente mais sofisticadas e ousadas.

Embora ainda seja uma ferramenta útil, o ciclo de vida de um ciber ataque atual é muito menos previsível e linear do que era há dez anos. Por exemplo, é comum que ciber criminosos ignorem ou combinem etapas, especialmente na primeira metade do ciclo de vida do ataque. Isso reduz o tempo e as oportunidades que as organizações têm para encontrar e neutralizar ameaças nos estágios iniciais. Além disso, a ampla utilização do modelo de cadeia de eliminação pode dar informações aos atacantes sobre como as organizações estruturam suas defesas, o que pode, inadvertidamente, ajudá-los a evitar a detecção em pontos-chave do ciclo de vida do ataque.

Críticas e preocupações relacionadas à cyber kill chain

Ainda que a cyber kill chain seja um framework comum e amplamente usado, a partir do qual as organizações podem começar a desenvolver suas estratégias de cibersegurança, ela apresenta falhas importantes e com potencial devastador.

Segurança de perímetro

Uma das críticas mais frequentes ao modelo de cyber kill chain é o foco na segurança de perímetro e na prevenção de malware. Essa questão se torna especialmente relevante à medida que as organizações migram de redes locais tradicionais para a nuvem.

Paralelamente, a intensificação do trabalho remoto e a proliferação de dispositivos pessoais, tecnologias IoT e até mesmo aplicações avançadas, tais como a automação robótica de processos (RPA), expandiram exponencialmente a superfície de ataque de várias empresas. Em outras palavras, os ciber criminosos dispõem de muito mais pontos de acesso para exploit, e as empresas lidam com uma tarefa cada vez mais complexa na proteção de cada endpoint.

Vulnerabilidades de ataque

Outra limitação da cyber kill chain é sua restrição quanto aos tipos de ataques que ela consegue detectar. Por exemplo, o framework original não é capaz de identificar ameaças internas, que representam um dos riscos mais graves para as organizações e um dos tipos de ataque com as maiores chances de sucesso. Ataques que exploram credenciais comprometidas por partes não autorizadas também não são detectados no framework original da cyber kill chain.

Ataques baseados na Web também podem passar despercebidos pelo framework da cyber kill chain. Exemplos desses ataques incluem Cross-site scripting (XSS), injeção SQL, DoS/DDoS e alguns Exploits de dia zero. O ataque massivo da Equifax em 2017, causado em parte por uma correção de software comprometida, é um exemplo notório de um ataque da Web que deixou de ser detectado devido à segurança insuficiente.

Por fim, embora o framework seja projetado para detectar ataques sofisticados e planejados, a cyber kill chain frequentemente deixa de detectar ataques que não envolvem reconhecimento extenso. Por exemplo, ciber criminosos que utilizam a técnica de "spray and pray" frequentemente deixam de ser detectados, por pura sorte.

Papel da cyber kill chain na cibersegurança

Apesar das limitações, a cyber kill chain continua desempenhando um papel relevante no auxílio às organizações na definição de suas estratégias de cibersegurança. Como parte do modelo, as organizações precisam adotar serviços e soluções que permitam que elas:

• Detectem invasores em cada da etapa do ciclo de vida da ameaça com técnicas de inteligência de ameaças
• Bloqueiem o acesso de usuários não autorizados
• Impeçam que dados sensíveis sejam compartilhados, salvos, alterados, exfiltrados ou criptografados por usuários não autorizados
• Respondam aos ataques em tempo real
• Parem o movimento lateral de um invasor dentro da rede