Artigos

Cyber Kill Chain – Estrutura de um Ataque

Por 23 de janeiro de 2023 Sem comentários

São Paulo/SP – 23 de janeiro de 2023. O Cyber Kill Chain é um modelo de segurança cibernética que visa traçar o estágio que um ataque de segurança e depois interromper o ataque antes que ele chegue na última fase, é um modelo mais focado em identificação e prevenção de intrusão.

*Por José Padilha

Cyber Kill Chain, termo “Kill Chain” é oriundo do meio militar que identifica e organiza a estrutura de um ataque, quando traduzido para o meio cibernético a Kill Chain auxilia os atacantes a organizarem os ataques e auxiliam a equipe de defesa a identificar em que fase um atacante poderia estar e como evitar que ele continue.

O que é Cyber Kill Chain?

O Cyber Kill Chain é um modelo de segurança cibernética que visa traçar o estágio que um ataque de segurança e depois interromper o ataque antes que ele chegue na última fase, é um modelo mais focado em identificação e prevenção de intrusão.

Elos do Cyber Kill Chain

O Cyber Kill Chain é dividido em 7 partes:

1 – Reconhecimento

Nesta fase o atacante realiza um realiza uma coleta de informações sobre o alvo e levanta as táticas para realizar o ataque, o atacante pode coletar as informações através de informações expostas na internet, por meio do OSINT (Open-source intelligence) ou realizando coletas diretas aos IPs e sites expostos.

2 – Armamento

O atacante começa a organizar as ferramentas que serão utilizadas para realizar o ataque contra os alvos já encontrados, geralmente serão ferramentas mais especificas e que irão atuar de maneira mais discreta, reduzindo a chance de serem detectados.

3 – Entrega

Esta fase se refere a forma com que o atacante irá fazer a entrega de uma carga maliciosa, as formas de entrega mais comuns são as baseadas em interação humana, como: e-mails, sites maliciosos, mídias de USB, entre outros.

4 – Exploração

Após a entrega da carga maliciosa o atacante irá tentar elevar seu privilégio ou fazer a exploração de alguma outra vulnerabilidade que ele possa encontrar localmente ou na rede para que ele consiga um maior privilégio.

5 – Instalação

O atacante instala uma backdoor para que possa manter seu acesso dentro da organização caso venha perder seu acesso inicial, as backdoor podem ser criadas por meio de malwares.

6 – Comando e Controle (C2)

Na fase de comando e controle o atacante faz a instalação de um agente nas máquinas comprometidas, as quais iram se conectar com um servidor do atacante, essa conexão server para que o atacante possa mandar comandos e receber a saída dos mesmos, esta faze se diferencia da anterior por conta do meio utilizado, uma C2 se diferencia de um simples RAT (Remote Access Trojan) por conta de seus mecanismos de ocultação e por ser assíncrono dificultando ainda mais sua identificação.

7 – Ações no objetivo

A última dessa cadeia é o atacante realiza seu objetivo, seja ele realizar a exfiltração de dados sensíveis, a implementação de ransomware, comprometimento da integridade das aplicações disponibilizadas a terceiros, entre outras coisas. A fase 7 não indica o fim de um ataque, o atacante pode manter uma backdoor na empresa para futuras ações.

Cyber Kill Chain

Cyber Kill Chain

Como quebrar os Elos do Kill Chain?

Como foi dito anteriormente o modelo do Cyber Kill Chain foi criado para identificar a fase em que o ataque esta e em pará-lo, quanto maior a maturidade de segurança maiores as chances de quebrarmos o elo da corrente antes que o atacante atinja seus objetivos.

Para barrar o avanço precisamos primeiro catalogar os controles e suas funções:

  • Detectar – Controles que iram identificar o ataque.
  • Negação – Controles que iram barrar o ataque quando ele ocorrer.
  • Interromper – Os controles irão interromper a comunicação do atacante.
  • Degradar – Os controles irão prejudicar a comunicação do atacante com os sistemas e em seguida as interrompem, de modo a simular um overflow na comunicação evitando que o atacante tome ações anti-defesa.
  • Enganar – Os controles iram enganar o atacante com informações falas, por exemplo iram disponibilizar sistemas intencionalmente infectados para que sejam explorados e assim seja detectada a presença do atacante na rede.
  • Conter – Os controles iram conter o ataque a uma parte da rede ou organização, de modo a limitar o acesso do atacante.

A seguir algumas das formas de identificar e evitar o avanço na corrente:

  1. Reconhecimento:
    • Detectar: Sistemas de IDS, Monitoramento de Logs;
    • Negação: WAF (Web aplication Firewall), IPS;
    • Enganar: PortSentry, Honeypot.
  2. Armamento
    • Detectar: IDS, Monitoramento de Logs;
    • Negação: IPS, EDR, Filtros de Spam.
  1. Entrega
    • Detectar: IDS;
    • Negação: IPS, EDR.
  1. Exploração
    • Detectar: IDS, HIDS;
    • Negação: IPS, EDR.
  1. Instalação
    • Detectar: HIDS;
    • Negação: HIPS, EDR.
  1. Comando e Controle (C2)
    • Detectar: IDS, HIDS, Monitoramento de Logs.
    • Negação: IPS, HIPS, EDR;
    • Interromper:
  1. Ações no objetivo
    • Detectar: IDS, HIDS, Monitoramento de Logs;
    • Negação: IPS, HIPS, EDR, Criptografia dos dados em descanso;
    • Enganar: Honeypot;
    • Interromper: Firewall.

— José Padilha é Pleno Pentester na [SAFEWAY]

Como podemos Ajudar?

SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.

Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.

Com o intuito de apoiar as empresas nesse processo de avaliação e adequação aos requisitos da LGPD, a [SAFEWAY] possui em seu portfólio de serviços, o Cybersecurity Health Check cujo objetivo é executar um diagnóstico dos controles de CyberSecurity, Segurança da Informação e Privacidade de Dados implementados na sua empresa, contemplando os pilares de ProcessosPessoas e Tecnologia.

Por meio do Cybersecurity Health Check, são identificados os riscos associados a segurança da informação e privacidade dos processos e atividades internas, os controles existentes e avaliados novos controles de acordo com o porte de sua organização para aumentar o nível de maturidade e compliance, de acordo com as boas práticas de segurança da informação. Caso deseje mais informações, entre em contato com um de nossos especialistas!