Cadeia de destruição cibernética

O que é a cadeia de destruição cibernética?

A Cyber Kill Chain®, desenvolvida pela Lockheed Martin, é uma lista de estágios em um ataque cibernético que os agentes de ameaças devem concluir para atingir seu objetivo. Ao identificar o estágio de progresso de um ataque, uma organização pode se defender melhor e interromper um incidente cibernético.

Embora a Cyber Kill Chain tenha sido introduzida há mais de uma década, muitas organizações ainda a utilizam para ajudar a definir seus processos de segurança cibernética. 

Estágios da cadeia de destruição cibernética

Estágios da cadeia de destruição cibernética

O modelo Cyber Kill Chain é um processo passo a passo que descreve o caminho potencial dos ataques cibernéticos. A ideia é que há vários pontos durante um ataque em que as organizações têm a oportunidade de intervir e interrompê-lo, desde que consigam identificar em que ponto do processo ele progrediu.

1. Reconhecimento

De acordo com o método Cyber Kill Chain, o primeiro sinal de um ataque cibernético envolve o atacante explorando os pontos fracos e as vulnerabilidades de uma rede. Esse é o estágio em que os agentes de ameaças usam táticas como phishing para coletar informações como endereços de e-mail, credenciais de login, aplicativos e detalhes sobre o sistema operacional.

2. Armação

Em seguida, os atacantes criam um vetor de ataque com base em suas descobertas. Por exemplo, eles podem usar malware, vírus ou worms de acesso remoto para explorar uma vulnerabilidade conhecida. Eles também colocam backdoors no sistema para obter acesso se o ponto de entrada original for bloqueado.

3. Entrega

Esse é o ponto em que o atacante lança seu ataque. Os vetores específicos que ele usa dependerão das informações coletadas nas Etapas 1 e 2, bem como dos objetivos do ataque. Em seguida, ele espera o momento perfeito para atacar. 

4. Exploração

Na fase de exploração, o invasor executa um código mal-intencionado no sistema da vítima. Ele pode atacar um dispositivo específico, enviar um e-mail com um link malicioso ou atacar toda a rede no nível do navegador. 

5. Instalação

Nessa fase, o invasor instala malware, ransomware ou um vírus no sistema da vítima. Se essa fase for executada com êxito, o ambiente será controlado por quem lançou o ataque.

6. Comando e controle (C2)

A essa altura, o invasor assumiu o controle remoto completo de um dispositivo ou identidade na rede de destino. Pode ser difícil rastrear um invasor nesse estágio porque ele se parecerá com qualquer outro usuário, o que lhe permite mover-se lateralmente pela rede e estabelecer mais pontos de entrada para ataques futuros. 

7. Ações sobre o objetivo

Essa fase pode ocorrer imediatamente, ou o invasor pode fazer um reconhecimento maior para conhecer sua rede antes de voltar para realizar um ataque em grande escala. Uma organização estará à mercê do atacante quando ele decidir agir em direção ao seu objetivo, como criptografia, exfiltração ou destruição de dados. 

Como usar o Cyber Kill Chain

A Cyber Kill Chain pode ajudar as organizações a estabelecer uma estratégia de segurança cibernética para resistir a ataques. Ela mostra às organizações os diferentes níveis de um ataque e onde a segurança pode estar faltando.

Como parte do modelo Cyber Kill Chain, as organizações devem adotar tecnologias de segurança para proteger sua rede em cada estágio do processo. Essas soluções e serviços podem incluir:

  • Ferramentas de detecção
  • Medidas preventivas que impedem que usuários não autorizados coletem credenciais
  • Criptografia para ocultar os dados que estão sendo compartilhados na rede
  • Ferramentas de resposta e alertas que permitem que as empresas respondam a ataques em tempo real
  • Procedimentos para evitar a movimentação lateral dentro da rede

O Cyber Kill Chain fornece às equipes de segurança cibernética uma estrutura para projetar seu ecossistema de segurança de acordo com suas necessidades e vulnerabilidades. 

Evolução da cadeia de destruição cibernética

Com a evolução da tecnologia, também evoluíram as habilidades e capacidades dos agentes de ameaças. Os ataques cibernéticos estão se tornando mais sofisticados e mais caros para as organizações se recuperarem. Mas o projeto básico da Cyber Kill Chain continua o mesmo.

Os especialistas em segurança criticam o modelo Cyber Kill Chain por seu foco na segurança de perímetro. Muitas organizações operam com sistemas definidos por software para permitir a colaboração e simplificar o compartilhamento de dados, mas o Cyber Kill Chain não atende às necessidades de organizações de trabalho remoto ou de dispositivos de IoT e outros endpoints que não residem em redes comerciais. 

Ele também não leva em conta os vários tipos e técnicas de ataque dos agentes de ameaças inovadoras. Ataques baseados na Web, ameaças internas e credenciais comprometidas não são considerados no modelo Cyber Kill Chain. 

Cyber Kill Chain vs. MITRE ATT&CK

Cyber Kill Chain e MITRE ATT&CK® são estruturas para lidar com ataques cibernéticos direcionados a empresas e outras organizações. Enquanto o Cyber Kill Chain aborda os processos de ataque cibernético com uma visão geral de alto nível, o MITRE ATT&CK permite que as empresas tenham informações mais detalhadas sobre os ataques cibernéticos. 

O MITRE ATT&CK foi projetado para obter inteligência sobre ameaças cibernéticas e fornecer uma referência e um vocabulário padrão para diferentes ataques cibernéticos. É um recurso gratuito e aberto que organiza informações de segurança cibernética de toda a Web em uma estrutura hierárquica simples. Além disso, cada nível da estrutura oferece procedimentos detalhados a serem seguidos, dependendo das várias técnicas de ataque, para que os profissionais de todos os níveis de habilidade possam proporcionar um ambiente seguro às suas organizações. 

Por outro lado, a Cyber Kill Chain afirma que os ataques cibernéticos tendem a seguir sempre as mesmas técnicas e estratégias. Esse não é o caso, e novos vetores e métodos de ataque estão sendo descobertos à medida que a tecnologia evolui. O MITRE ATT&CK não é uma sequência de táticas de ataque e defesa; é uma extensa base de conhecimento que fornece aos profissionais de segurança cibernética informações práticas para lidar com tipos específicos de ataque de especialistas em seu campo. 

BlackBerry Segurança cibernética comprovadamente 100% eficaz nas emulações do MITRE ATT&CK

BlackBerryO conjunto de soluções de segurança cibernética Cylance da MITRE foi 100% bem-sucedido na prevenção das emulações de ataque Wizard Spider e Sandworm logo no início da avaliação de 2022 da MITRE ATT&CK - antes que ocorresse qualquer dano. 

BlackBerry's CylancePROTECT® e CylanceOPTICS® forneceram detecções abrangentes sobre técnicas de ataque individuais com alta confiança, ajudando a reduzir o desperdício de recursos gastos na busca de falsos positivos.

Saiba mais

Recursos relacionados:

Ícone de recurso Prevenção contra perda de dados (DLP) Ícone de recurso Segurança de endpoint Ícone de recurso Plataformas de proteção de endpoints (EPP) Ícone de recurso Detecção e resposta de endpoint (EDR) Ícone de recurso Detecção e resposta estendidas (XDR) Ícone de recurso Gerenciamento de identidade e acesso (IAM) Ícone de recurso Detecção e resposta gerenciadas Ícone de recurso XDR gerenciado Ícone de recurso Estrutura MITRE ATT&CK Ícone de recurso Defesa contra ameaças móveis (MTD) Ícone de recurso Análise de comportamento de usuários e entidades (UEBA) Ícone de recurso Arquitetura Zero Trust Ícone de recurso Acesso à rede de confiança zero (ZTNA) Ícone de recurso Segurança Zero Trust Ícone de recurso Gerenciamento de eventos e informações de segurança (SIEM) Ícone de recurso Serviço de acesso seguro na borda (SASE)
Mais recursos