Tout comme chaque solution de sécurité dispose d'un cadre permettant d'éliminer les processus malveillants, chaque pirate informatique dispose d'un cadre lui permettant de pénétrer dans une infrastructure ou de contourner les défenses périmétriques. Le cyber kill chain est un concept qui a été conçu pour identifier et stopper les attaques sophistiquées avant qu'elles ne s'intensifient ou n'aient un impact sur les organisations. Il couvre plusieurs étapes de ces attaques et met en évidence la pertinence des menaces. Les chaînes de cyberattaques peuvent être utilisées pour améliorer les modèles de gestion et de réponse aux incidents.
Elles présentent des avantages en matière de sécurité lorsqu'elles sont bien comprises et mises en œuvre. Les équipes de sécurité peuvent découvrir leurs lacunes et poser des questions utiles pour l'avenir de l'entreprise. Elles permettent également d'orienter les stratégies de cybersécurité des organisations et de renforcer leurs défenses. Ce guide explique ce qu'est une chaîne de cyberattaques, présente les étapes courantes d'une chaîne de cyberattaques et aborde plus en détail le cadre. Si vous êtes curieux d'en savoir plus sur les chaînes de cyberattaques, cet article est un excellent point de départ.
Qu'est-ce qu'une Cyber Kill Chain ?
La Cyber Kill Chain est un modèle de défense basé sur le renseignement qui a été créé par Lockheed Martin. Son objectif était d'aider les équipes de sécurité à décomposer les cyberattaques, à les comprendre et à les diviser en étapes. Il s'agit d'un modèle de chaîne de cyberattaques qui cartographie les phases par lesquelles passe un attaquant avant de réussir à pénétrer les défenses.
Les étapes de la cyber kill chain décrivent la durée des menaces persistantes avancées (APT) et présentent la séquence des événements. Elles couvrent toutes les étapes, de la reconnaissance initiale à la réalisation des objectifs de l'attaquant.
Cyber Kill Chain vs MITRE ATT&CK
Une cyber kill chain offre une vue détaillée des comportements et des tactiques adverses. Elle est souvent utilisée dans le cadre du red teaming, de l'analyse forensic et de la réponse aux incidents. Le cadre MITRE ATT&CK est conçu pour fournir des informations plus précises et offrir une plus grande adaptabilité face à diverses menaces. Les chaînes de cyberattaques sont utilisées pour établir des bases solides et développer des stratégies de défense proactives. Elles fonctionnent très bien pour les organisations qui utilisent une combinaison de systèmes de détection d'intrusion, de pare-feu et de solutions de sécurité modernes.
Lorsqu'une entreprise souhaite avoir une vision plus approfondie du mode opératoire des pirates sur le cloud et dans les environnements de terminaux, le cadre MITRE ATT&CK lui est très utile. Un protocole de cyber kill chain peut stopper une attaque dans son élan et constituer un outil précieux pour améliorer les opérations de sécurité. MITRE ATT&CK est plus granulaire, plus flexible et cartographie les techniques, tactiques et procédures (TTP) d'attaque réelles. MITRE ATT&CK peut également être utilisé pour répondre aux menaces à n'importe quel stade de l'attaque, quel que soit le moment où elles se produisent dans le cycle d'attaque.
Préoccupations liées à la chaîne de cyberattaque
Le modèle de chaîne de cyberattaque n'est pas adapté à la détection des attaques multivectorielles, car il suit une approche linéaire. Il ne peut cartographier que les menaces qui suivent un chemin prévisible. Les processus de la chaîne de cyberattaque peuvent être rapidement démantelés si des attaques dépassent la séquence. La cyber kill chain ne tient pas non plus compte des menaces internes et des attaques basées sur le Web. Il s'agit d'un modèle de détection des menaces statique qui se concentre uniquement sur les menaces externes. Comme il repose sur la sécurité périmétrique et la détection des logiciels malveillants, il ne fonctionne pas bien pour les environnements de sécurité basés sur le cloud.
Bien que la cyberchaîne de destruction ait été élaborée en 2011, le cadre n'a pas été mis à jour pour s'adapter à la nature changeante des cybermenaces. Il n'est pas particulièrement efficace contre les menaces de type ransomware-as-a-service (RaaS) et dispose de profils de détection limités. La Cyber Kill Chain n'est pas flexible et ne peut pas gérer des scénarios d'attaque complexes. Elle manque également des informations sur les menaces qui doivent être analysées à partir de plusieurs sources. Elle peut même passer à côté d'attaques moins sophistiquées, telles que les tactiques " spray and pray " ou les menaces qui ne suivent pas les schémas habituels.
Comment fonctionne la Cyber Kill Chain ?
La Cyber Kill Chain décompose une attaque en plusieurs étapes et phases. Elle adopte une approche structurée pour reconnaître les mouvements des adversaires et examine comment les perturber à chaque étape. Elle ne considère pas une attaque comme un événement isolé.
Elle continue à rechercher et à contrer les mouvements des attaquants dès que possible dans le cycle d'attaque. Si l'organisation ne met pas en œuvre ses mesures, elle risque de subir de graves conséquences à long terme. Essentiellement, la Cyber Kill Chain est une feuille de route ou un plan d'action que les organisations peuvent suivre pour rester protégées et se défendre contre les dernières cybermenaces.
threat-intelligence-ops-report1-purple
Les 7 étapes de la Cyber Kill Chain
La Cyber Kill Chain comprend sept étapes, qui sont les suivantes :
1. Reconnaissance
La reconnaissance est la première étape du modèle de la chaîne de cyberattaques. Elle permet d'obtenir des informations sur les cibles potentielles et de les étudier. Vous découvrez également leurs vulnérabilités et identifiez les tiers auxquels ces cibles peuvent être liées. Vous explorez également d'autres points d'entrée potentiels, en trouvez de nouveaux, et la reconnaissance peut se faire aussi bien en ligne que hors ligne.
2. Militarisation
Des cyberarmes et des outils killchain seront utilisés pour attaquer et pénétrer le réseau de la cible. Ces outils peuvent aller des logiciels malveillants aux ransomwares, en passant par les charges utiles et autres variantes malveillantes.
3. Livraison
Les adversaires tenteront d'atteindre les utilisateurs et d'envoyer une grande variété de moyens de phishing contenant des liens malveillants. Les objets de ces e-mails tenteront d'inciter ou d'amener la victime à agir. Une fois la livraison réussie, l'adversaire peut pirater le réseau de l'organisation et exploiter davantage les vulnérabilités matérielles et logicielles.
4. Exploitation
Les attaquants tenteront de pénétrer plus profondément dans les réseaux et de tirer parti des vulnérabilités qu'ils ont découvertes et exploitées lors des étapes précédentes. Ils tenteront d'avancer dans leurs objectifs et d'évoluer latéralement à travers les réseaux pour atteindre des cibles plus importantes. Si certaines cibles sont responsables du réseau et n'ont pas déployé les mesures de sécurité nécessaires, les attaquants s'en prendront à elles.
5. Installation
La phase d'installation consiste à tenter d'installer des logiciels malveillants et d'autres variantes de ransomware sur les réseaux cibles. Les attaquants tenteront de prendre le contrôle de vos systèmes et d'exfiltrer des données sensibles. Ils peuvent également installer d'autres cyberarmes, chevaux de Troie, portes dérobées et interfaces de ligne de commande.
6. Commande et contrôle (C2)
Au cours de la phase de commande et de contrôle de la chaîne cyberkill, les attaquants tenteront de communiquer avec le logiciel malveillant qu'ils viennent d'implanter sur vos réseaux. Ils donneront des instructions aux outils pour qu'ils exécutent des tâches spécifiques à distance. Les attaquants utiliseront des canaux de communication pour contrôler les ordinateurs qui ont été infectés par leurs logiciels malveillants et leurs botnets. Ils peuvent essayer de surcharger les sites web avec du trafic ou demander aux serveurs C2 d'exécuter leur mission.
7. Actions sur les objectifs
Il s'agit de la dernière étape, au cours de laquelle les attaquants tenteront d'atteindre leurs objectifs et de les mener à bien. Leurs objectifs peuvent varier en fonction du type de cyberattaque qu'ils lancent. Certains attaquants tenteront d'interrompre vos services, de les mettre hors service ou de mettre l'organisation entièrement en ligne. Ils peuvent distribuer des logiciels malveillants pour voler des données sensibles, lancer des attaques par déni de service ou utiliser des ransomwares pour extorquer l'organisation.
Limites de la cyber kill chain
Voici quelques inconvénients et limites des cyber kill chains :
- L'une des plus grandes faiblesses des phases de la cyber kill chain est qu'elles ne permettent pas de détecter les menaces internes. Les attaques qui utilisent des identifiants compromis par des parties non autorisées ne peuvent pas non plus être détectées. Les attaques basées sur le Web passent inaperçues dans le cadre de la cyber kill chain. Voici quelques exemples : les injections SQL, les attaques DOS et DDOS, cross-site scripting, et exploits zero-day.
- Les modèles de cyber killchain peuvent également passer à côté d'attaques qui ne sont pas trop complexes. Il peut s'agir, par exemple, d'attaques qui ne nécessitent pas beaucoup de recherche et qui manquent de sophistication.
- Le cadre de la chaîne de cyberattaques peut passer à côté de variantes basiques, en particulier les tactiques d'attaques à l'aveuglette qui peuvent habilement contourner les systèmes de détection les mieux conçus par pur hasard.
Exemples concrets de la chaîne de cyberattaques en action
Voici quelques exemples concrets de cyber-chaînes de destruction en action :
Violation des données de Target (2013)
Les attaquants ont commencé leur reconnaissance en découvrant des vulnérabilités chez Fazio Mechanical, le fournisseur tiers de Target spécialisé dans les systèmes de chauffage, ventilation et climatisation. Après avoir transformé des e-mails de phishing en armes malveillantes, ils ont transmis leur charge utile aux employés de Fazio et ont utilisé les identifiants légitimes du fournisseur pour pénétrer dans le réseau de Target. Un logiciel malveillant de récupération de mémoire a été chargé sur les terminaux de point de vente et, grâce à une communication de commande et de contrôle, a permis de voler 70 millions de dossiers clients et 40 millions de numéros de carte de crédit.
Piratage de Sony Pictures Entertainment (2014)
Les pirates ont procédé à une reconnaissance approfondie de l'infrastructure de Sony avant de se servir de logiciels malveillants de type " wiper " et de portes dérobées. Des messages de spear phishing ont véhiculé les outils malveillants, en utilisant les identifiants d'administrateur volés, afin de disséminer des charges utiles malveillantes à travers le réseau. Les canaux de commande et de contrôle ont persisté pendant des mois, entraînant la destruction de données, le vol de films et des demandes de rançon pour empêcher la sortie du film The Interview.
Compromission de la chaîne d'approvisionnement de SolarWinds (2020)
Les auteurs de la menace ont utilisé le processus de mise à jour de SolarWinds à des fins d'espionnage, utilisant des mises à jour légitimes comme armes via la porte dérobée SUNBURST. Le logiciel malveillant s'est propagé à 18 000 utilisateurs via des versions piratées utilisant des vecteurs de mise à jour silencieux pour délivrer des charges utiles, et les communications de commande et de contrôle ont utilisé des algorithmes de génération de domaines à des fins d'évasion afin de permettre l'accès à des réseaux commerciaux et gouvernementaux contenant des informations sensibles.
Attaque par ransomware contre Colonial Pipeline (2021)
Les auteurs de l'attaque par ransomware DarkSide ont exploité les vulnérabilités du VPN de Colonial Pipeline pendant la phase de reconnaissance et ont utilisé des charges utiles adaptées aux environnements technologiques opérationnels. Les identifiants volés leur ont permis d'obtenir un accès initial, en tirant parti de la réutilisation des mots de passe et de l'absence d'authentification multifactorielle. L'installation du ransomware a interrompu les opérations du pipeline, les canaux de commande et de contrôle observant l'état du chiffrement jusqu'au paiement d'une rançon de 4,4 millions de dollars.
Améliorez la sécurité avec la Cyber Kill Chain et SentinelOne
La plateforme de détection des menaces par IA de SentinelOne peut appliquer le modèle Cyber Kill Chain et le mettre en action. Vous pouvez détecter les opérations de reconnaissance grâce aux fonctionnalités de surveillance du réseau de SentinelOne. Le moteur de sécurité offensive de SentinelOne garde plusieurs longueurs d'avance sur les adversaires et peut détecter les menaces avant qu'elles ne se produisent, voire les prédire. Au cours des phases de livraison et d'armement, les moteurs comportementaux basés sur l'IA de SentinelOne identifient les URL et les fichiers malveillants avant qu'ils ne s'exécutent sur les terminaux. Vous bénéficierez d'une détection en temps réel sans signature pour identifier les nouvelles menaces.
Une fois que les attaquants ont atteint la phase d'exploitation, la technologie ActiveEDR de SentinelOne surveille l'activité du système afin d'identifier et de bloquer les activités malveillantes. Vous devez mettre en œuvre les capacités de réponse automatisée de SentinelOne afin d'isoler immédiatement les terminaux affectés lorsque des activités suspectes se produisent. Pour la phase d'installation, SentinelOne fournit des capacités de restauration qui permettent d'annuler les modifications malveillantes. Vous pouvez obtenir une visibilité complète sur toutes les activités du système grâce à la console de gestion unifiée de SentinelOne. SentinelOne peut cartographier les actifs, les ressources, les comptes et autres événements sur l'ensemble des environnements cloud.
Lorsque les attaquants établissent des communications de commande et de contrôle, SentinelOne détecte et bloque les connexions sortantes vers les serveurs malveillants. SentinelOne peut bloquer les mouvements latéraux sur les réseaux et empêcher l'escalade des privilèges. Il peut mettre en quarantaine les menaces et lutter contre les ransomwares, les malwares, les shadow IT, les zero-days, l'ingénierie sociale, et plus encore. Vous pouvez également utiliser SentinelOne pour sauvegarder vos données sensibles en toute sécurité et garantir une sécurité optimale. Les outils d'analyse forensic de SentinelOne permettent une investigation détaillée après incident, vous aidant à comprendre les schémas d'attaque et à renforcer vos défenses contre de futures tentatives.
Réservez une démonstration en direct gratuite.
Conclusion
La compréhension de la chaîne de cyberattaques permet aux équipes de sécurité de perturber les attaques à n'importe quel stade, maximisant ainsi la protection contre les menaces en constante évolution. Vous pouvez transformer ce cadre en stratégies de défense concrètes en associant des contrôles de sécurité à chaque phase. SentinelOne transforme ce modèle théorique en protection pratique grâce à sa plateforme autonome, offrant une visibilité et des capacités de réponse à toutes les étapes d'une attaque. Si vous avez besoin d'une protection complète contre les menaces sophistiquées, SentinelOne vous fournit les outils nécessaires à une défense moderne.
Déployez SentinelOne dès aujourd'hui. Mettez immédiatement fin aux attaques.
"FAQs
La Cyber Kill Chain est un cadre de défense basé sur le renseignement créé par Lockheed Martin qui décompose les cyberattaques en sept étapes qui se déroulent de manière séquentielle. Vous pouvez appliquer ce cadre pour comprendre les séquences d'attaque et mettre en place des défenses ciblées à chaque étape. Il montre comment les attaquants passent de la reconnaissance initiale à la réalisation de leur objectif.
Les sept phases sont les suivantes : 1) Reconnaissance – collecte d'informations sur la cible, 2) Armement – développement de charges utiles malveillantes, 3) Livraison – livraison des armes aux cibles, 4) Exploitation – exécution de codes malveillants, 5) Installation – obtention d'une persistance, 6) Commandement et contrôle – création de canaux d'accès à distance, et 7) Actions sur les objectifs – réalisation des objectifs des attaquants, tels que le vol ou la destruction de données.
Les organisations mettent en œuvre le modèle Kill Chain en alignant les mesures de défense sur chaque étape de l'attaque. Elles peuvent installer des outils de surveillance d'alerte précoce lors de la reconnaissance, des filtres de messagerie pour bloquer la livraison, une protection des terminaux pour les phases d'exploitation et d'installation, une surveillance du réseau pour la détection C2 et des contrôles de protection des données lors de la dernière étape.
La Cyber Kill Chain vous aide à détecter les menaces en fournissant un moyen systématique de rechercher des indicateurs d'attaque à chaque étape. Vous pouvez rechercher des activités de reconnaissance à travers des analyses inhabituelles, des livraisons à travers des e-mails suspects et des installations à travers de nouveaux fichiers ou des modifications du registre. Si vous recherchez ces indicateurs spécifiques à chaque étape, vous détecterez les attaques plus tôt dans leur cycle.
Vous pouvez arrêter les attaques en les interrompant à n'importe quel moment de la chaîne Cyber Kill Chain. En empêchant la reconnaissance grâce au renforcement du réseau, en supprimant les pièces jointes malveillantes, en corrigeant les vulnérabilités pour éviter leur exploitation ou en interceptant les communications C2, vous interromprez les attaques avant qu'elles ne soient terminées. Vous aurez besoin de plusieurs niveaux de sécurité ciblant différentes phases pour bénéficier d'une protection optimale.
Les critiques soulignent que la Cyber Kill Chain est trop structurée pour les attaques contemporaines. Vous la trouverez moins efficace pour lutter contre les menaces internes, les attaques Web et les environnements cloud. Le modèle présuppose une progression linéaire alors que les attaques réelles sont dispersées. Il faut savoir qu'il n'a pas été révisé en profondeur depuis 2011, ce qui le rend moins pertinent face aux nouvelles menaces telles que les ransomwares en tant que service.
Lockheed Martin a développé la méthodologie Cyber Kill Chain en 2011 dans le cadre de ses initiatives de défense basée sur le renseignement. Vous vous souvenez peut-être qu'elle s'inspire de la théorie militaire des opérations " kill chain ", mais adaptée à la cybersécurité. Cette méthodologie a été développée pour aider les organisations à mieux comprendre et combattre les menaces persistantes avancées (APT) en décomposant les attaques en phases spécifiques et gérables.
