Proprio come ogni soluzione di sicurezza dispone di un framework per eliminare i processi dannosi, così ogni aggressore dispone di un framework per penetrare in un'infrastruttura o aggirare le difese perimetrali. Il cyber kill chain è un concetto progettato per identificare e bloccare attacchi sofisticati prima che si intensifichino o abbiano un impatto sulle organizzazioni. Copre diverse fasi di questi attacchi e mostra la rilevanza delle minacce. Le cyber kill chain possono essere utilizzate per migliorare i modelli di gestione e risposta agli incidenti.
Se comprese e implementate correttamente, offrono vantaggi in termini di sicurezza. I team di sicurezza possono individuare le loro carenze e porre domande future a vantaggio dell'azienda. Inoltre, forniscono informazioni utili per le strategie di sicurezza informatica delle organizzazioni e rafforzano le difese. Questa guida illustra cos'è una cyber kill chain, evidenzia le fasi comuni di una cyber kill chain e approfondisce il quadro di riferimento. Se siete curiosi di sapere cosa sono le cyber kill chain, questo post è un ottimo punto di partenza.
Che cos'è una Cyber Kill Chain?
La Cyber Kill Chain è un modello di difesa basato sull'intelligence creato per la prima volta da Lockheed Martin. Il suo scopo era aiutare i team di sicurezza ad analizzare gli attacchi informatici, comprenderli e suddividerli in fasi. Si tratta di un modello di catena di attacco informatico che mappa le fasi che un aggressore attraversa prima di riuscire a penetrare le difese.
Le fasi della catena di attacco informatico descrivono la durata delle minacce persistenti avanzate (APT) e mostrano la sequenza degli eventi. Coprono tutte le fasi, dalla ricognizione iniziale al raggiungimento degli obiettivi dell'aggressore.
Cyber Kill Chain vs MITRE ATT&CK
Una cyber kill chain offre una visione dettagliata dei comportamenti e delle tattiche degli avversari. Viene spesso utilizzata nel red teaming, nell'analisi forense e nella risposta agli incidenti. Il framework MITRE ATT&CK è progettato per fornire maggiori informazioni e garantire una maggiore adattabilità alle varie minacce. Le cyber kill chain vengono utilizzate per costruire basi solide e sviluppare strategie di difesa proattive. Funzionano ottimamente per le organizzazioni che utilizzano una combinazione di sistemi di rilevamento delle intrusioni, firewall e soluzioni di sicurezza moderne.
Quando un'azienda desidera una visione più approfondita di come gli aggressori operano sul cloud e negli ambienti endpoint, il framework MITRE ATT&CK offre loro numerosi vantaggi. Un protocollo di catena di attacco informatico può bloccare un attacco sul nascere e fungere da prezioso strumento per migliorare le operazioni di sicurezza. MITRE ATT&CK è più granulare, flessibile e mappa tecniche, tattiche e procedure (TTP) di attacco reali. MITRE ATT&CK può anche essere utilizzato per rispondere alle minacce in qualsiasi fase dell'attacco, indipendentemente dal punto in cui si verificano nel ciclo di attacco.
Preoccupazioni relative alla catena di attacchi informatici
Il modello della catena di attacchi informatici non è adatto per rilevare attacchi multivettoriali poiché segue un approccio lineare. È in grado di tracciare solo le minacce che seguono un percorso prevedibile. I processi della Cyber Kill Chain possono essere rapidamente smantellati se gli attacchi vanno oltre la sequenza. La Cyber Kill Chain inoltre non tiene conto delle minacce interne e degli attacchi basati sul web. Si tratta di un modello di rilevamento delle minacce statico che si concentra esclusivamente sulle minacce esterne. Poiché si basa sulla sicurezza perimetrale e sul rilevamento di malware, non funziona bene per gli ambienti di sicurezza basati sul cloud.
Sebbene la Cyber Kill Chain sia stata definita nel 2011, il framework non è stato aggiornato per adattarsi alla natura mutevole delle minacce informatiche. Non è particolarmente efficace contro le minacce di livello ransomware-as-a-service (RaaS) e presenta profili di rilevamento limitati. La Cyber Kill Chain non è flessibile e non è in grado di gestire scenari di attacco complessi. Manca inoltre delle informazioni sulle minacce necessarie per essere analizzata da più fonti. Può persino non rilevare attacchi meno sofisticati, come le tattiche "spray and pray" o le minacce che non seguono i modelli regolari.
Come funziona la Cyber Kill Chain?
La Cyber Kill Chain suddivide un attacco in diverse fasi e stadi. Adotta un approccio strutturato per riconoscere le mosse degli avversari e discute come contrastarle in ogni fase. Non considera un attacco come un evento singolo.
Continuerà a cercare e contrastare le mosse degli aggressori il più presto possibile nel ciclo di attacco. Se l'organizzazione non riesce ad attuare le misure necessarie, a lungo termine potrebbe andare incontro a gravi conseguenze. In sostanza, la Cyber Kill Chain è una roadmap o un progetto che le organizzazioni possono seguire per proteggersi e difendersi dalle più recenti minacce informatiche.Le 7 fasi della Cyber Kill Chain
La Cyber Kill Chain prevede sette fasi, che sono le seguenti:
1. Ricognizione
La ricognizione è la prima fase del modello della catena di attacco informatico. Fornisce informazioni sui potenziali obiettivi e li studia. Consente inoltre di conoscere le loro vulnerabilità e di scoprire a quali terze parti questi obiettivi potrebbero essere collegati. Si esplorano anche altri potenziali punti di ingresso, se ne trovano di nuovi e la ricognizione può avvenire sia online che offline.
2. Armatura
Le armi informatiche e gli strumenti della kill chain vengono utilizzati per attaccare e penetrare nella rete dell'obiettivo. Questi strumenti possono variare da malware, ceppi di ransomware, payload e altre varianti dannose.
3. Consegna
Gli avversari cercheranno di raggiungere gli utenti e invieranno un'ampia varietà di mezzi di phishing che contengono link dannosi. Le righe dell'oggetto di queste e-mail cercheranno di persuadere o spingere la vittima ad agire. Una volta completata con successo la consegna, l'avversario può hackerare la rete dell'organizzazione e sfruttare ulteriormente le vulnerabilità hardware e software.
4. Sfruttamento
Gli aggressori cercheranno di penetrare più a fondo nelle reti e di sfruttare le vulnerabilità che hanno scoperto e sfruttato nelle fasi precedenti. Cercheranno di avanzare nei loro obiettivi e tenteranno di muoversi lateralmente attraverso le reti per raggiungere obiettivi più grandi. Se alcuni obiettivi sono responsabili della rete e non hanno implementato le misure di sicurezza necessarie, gli aggressori li prenderanno di mira.
5. Installazione
La fase di installazione prevede il tentativo di installare malware e altre varianti di ransomware sulle reti bersaglio. Gli aggressori cercheranno di assumere il controllo dei sistemi e di sottrarre dati sensibili. Potrebbero anche installare altre armi informatiche, trojan horse, backdoor e interfacce a riga di comando.
6. Comando e controllo (C2)
Nella fase di comando e controllo della catena di attacchi informatici, gli aggressori cercheranno di comunicare con il malware che hanno appena installato sulle reti. Daranno istruzioni agli strumenti per eseguire compiti specifici da remoto. Gli aggressori utilizzeranno canali di comunicazione per controllare i computer che sono stati infettati dal loro malware e dalle loro botnet. Possono cercare di sovraccaricare i siti web con traffico o istruire i server C2 a svolgere la loro missione.
7. Azioni sugli obiettivi
Questa è la fase finale in cui gli aggressori cercheranno di realizzare i loro obiettivi e di raggiungerli. I loro obiettivi possono variare a seconda del tipo di attacco informatico che stanno lanciando. Alcuni aggressori cercheranno di interrompere i servizi, metterli fuori uso o rendere l'organizzazione completamente online. Potrebbero distribuire malware per rubare dati sensibili, lanciare attacchi denial of service o utilizzare ransomware come mezzo per estorcere denaro all'organizzazione.
Limiti della Cyber Kill Chain
Ecco alcuni svantaggi e limiti delle cyber kill chain:
- Uno dei maggiori punti deboli delle fasi della cyber kill chain è che non sono in grado di rilevare le minacce interne. Anche gli attacchi che utilizzano credenziali compromesse da parte di soggetti non autorizzati non possono essere rilevati. Gli attacchi basati sul web passano inosservati al framework della cyber kill chain. Alcuni esempi sono SQL injection, DOS e attacchi DDOS, cross-site scripting e zero-day exploits.
- I modelli di cyber killchain possono anche non rilevare attacchi non troppo complessi. Questi possono includere, ad esempio, attacchi che non richiedono molte ricerche e non sono particolarmente sofisticati.
- Il framework della catena di attacchi informatici può non rilevare varianti di base, in particolare tattiche di attacco spray-and-pray che possono abilmente eludere i migliori schemi di rilevamento per puro caso.
Esempi reali di catena di attacchi informatici in azione
Ecco alcuni esempi reali di processi di cyber kill in azione:
Violazione dei dati di Target (2013)
Gli aggressori hanno iniziato la ricognizione con la scoperta di vulnerabilità nel fornitore terzo di HVAC di Target, Fazio Mechanical. Dopo aver trasformato le e-mail di phishing in armi malware, hanno consegnato il payload ai dipendenti di Fazio e hanno utilizzato credenziali legittime del fornitore per penetrare nella rete di Target. Il malware di scraping della memoria è stato caricato sui terminali dei punti vendita e, tramite comunicazioni di comando e controllo, ha rubato 70 milioni di record di clienti e 40 milioni di numeri di carte di credito.
Attacco hacker a Sony Pictures Entertainment (2014)
Gli aggressori hanno effettuato un'ampia ricognizione dell'infrastruttura di Sony prima di utilizzare malware wiper e backdoor come armi. Messaggi di spear-phishing hanno trasportato gli strumenti malware, utilizzando credenziali amministrative rubate, per diffondere payload dannosi attraverso la rete. I canali di comando e controllo sono rimasti attivi per mesi, causando la distruzione di dati, il furto di film e richieste di riscatto per impedire l'uscita del film The Interview.
Compromissione della catena di fornitura di SolarWinds (2020)
Gli autori delle minacce hanno utilizzato il processo di aggiornamento di SolarWinds per spiare, utilizzando aggiornamenti legittimi come armi attraverso la backdoor SUNBURST. Il malware si è diffuso a 18.000 utenti tramite build dirottate utilizzando vettori di aggiornamento silenziosi per distribuire payload, e le comunicazioni di comando e controllo hanno utilizzato algoritmi di generazione di domini a scopo di evasione, al fine di consentire l'accesso a reti commerciali e governative contenenti informazioni sensibili.
Attacco ransomware alla Colonial Pipeline (2021)
Gli autori dell'attacco ransomware DarkSide hanno sfruttato le vulnerabilità della VPN della Colonial Pipeline durante la fase di ricognizione e hanno utilizzato payload su misura per gli ambienti tecnologici operativi. Le credenziali rubate hanno fornito l'accesso iniziale, sfruttando il riutilizzo delle password e la mancanza di autenticazione a più fattori. L'installazione del ransomware ha interrotto le operazioni della pipeline, con i canali di comando e controllo che hanno monitorato lo stato di crittografia fino al pagamento di un riscatto di 4,4 milioni di dollari.
Migliorare la sicurezza con la Cyber Kill Chain e SentinelOne
La piattaforma di rilevamento delle minacce basata sull'intelligenza artificiale di SentinelOne è in grado di applicare il modello Cyber Kill Chain e metterlo in azione. È possibile rilevare le operazioni di ricognizione con le funzionalità di monitoraggio della rete di SentinelOne. Il motore di sicurezza offensiva di SentinelOne è sempre un passo avanti rispetto agli avversari ed è in grado di rilevare le minacce prima che si verifichino, arrivando persino a prevederle. Durante le fasi di consegna e di weaponization, i motori comportamentali basati sull'intelligenza artificiale di SentinelOne identificano gli URL e i file dannosi prima che vengano eseguiti sugli endpoint. Avrete a disposizione un rilevamento in tempo reale senza firma per identificare le nuove minacce.
Una volta che gli aggressori hanno raggiunto la fase di sfruttamento, la tecnologia ActiveEDR di SentinelOne monitora l'attività del sistema per identificare e bloccare le attività dannose. È necessario implementare le funzionalità di risposta automatizzata di SentinelOne per isolare immediatamente gli endpoint interessati quando si verificano attività sospette. Per la fase di installazione, SentinelOne fornisce funzionalità di rollback in grado di ripristinare le modifiche dannose. È possibile ottenere una visibilità completa di tutte le attività di sistema attraverso la console di gestione unificata di SentinelOne. SentinelOne è in grado di mappare risorse, account e altri eventi nell'intero ambiente cloud.
Quando gli aggressori effettuano comunicazioni di comando e controllo, SentinelOne rileva e blocca le connessioni in uscita verso server dannosi. SentinelOne è in grado di bloccare i movimenti laterali attraverso le reti e impedire l'escalation dei privilegi. È in grado di mettere in quarantena le minacce e combattere ransomware, malware, shadow IT, zero-day, ingegneria sociale e altro ancora. È inoltre possibile utilizzare SentinelOne per eseguire il backup sicuro dei dati sensibili e garantire una solida sicurezza dei dati. Gli strumenti forensi di SentinelOne consentono un'indagine dettagliata post-incidente, aiutandovi a comprendere i modelli di attacco e a rafforzare le difese contro futuri tentativi.
Prenota una demo live gratuita.
Conclusione
Comprendere la Cyber Kill Chain consente ai team di sicurezza di contrastare gli attacchi in qualsiasi fase, massimizzando la protezione contro le minacce in continua evoluzione. È possibile trasformare questo framework in strategie di difesa attuabili mappando i controlli di sicurezza su ciascuna fase. SentinelOne trasforma questo modello teorico in protezione pratica attraverso la sua piattaforma autonoma, fornendo visibilità e capacità di risposta in tutte le fasi di un attacco. Se avete bisogno di una protezione completa contro minacce sofisticate, SentinelOne fornisce gli strumenti necessari per una difesa moderna.
Implementate oggi stesso SentinelOne. Fermate immediatamente gli attacchi.
"FAQs
La Cyber Kill Chain è un framework di difesa basato sull'intelligence creato da Lockheed Martin che suddivide gli attacchi informatici in sette fasi che si susseguono in modo sequenziale. È possibile applicare questo framework per comprendere le sequenze degli attacchi e costruire difese mirate in ogni fase. Mostra come gli aggressori passano dalla ricognizione iniziale al raggiungimento dell'obiettivo.
Le sette fasi sono: 1) Ricognizione – raccolta di informazioni sul bersaglio, 2) Armamento – sviluppo di payload dannosi, 3) Consegna – consegna delle armi ai bersagli, 4) Sfruttamento – esecuzione di codice dannoso, 5) Installazione – acquisizione di persistenza, 6) Comando e controllo – creazione di canali di accesso remoto e 7) Azioni sugli obiettivi – realizzazione degli obiettivi dell'autore dell'attacco, quali il furto o la distruzione di dati.
Le organizzazioni implementano il modello Kill Chain allineando le misure di difesa a ciascuna fase dell'attacco. Possono installare strumenti di monitoraggio di allerta precoce in fase di ricognizione, filtri e-mail per bloccare la consegna, protezione degli endpoint per le fasi di sfruttamento e installazione, monitoraggio della rete per il rilevamento C2 e controlli di protezione dei dati nell'ultima fase.
La Cyber Kill Chain aiuta a individuare le minacce fornendo un mezzo sistematico per cercare gli indicatori di attacco in ogni fase. È possibile cercare la ricognizione attraverso scansioni insolite, la consegna attraverso e-mail sospette e l'installazione attraverso nuovi file o modifiche al registro. Se si cercano questi indicatori specifici per ogni fase, sarà possibile rilevare gli attacchi in una fase più precoce del loro ciclo.
È possibile bloccare gli attacchi interrompendoli in qualsiasi punto della Cyber Kill Chain. Bloccando la ricognizione attraverso il rafforzamento della rete, rimuovendo gli allegati e-mail dannosi, correggendo le vulnerabilità per evitare lo sfruttamento o intercettando le comunicazioni C2, si interromperanno gli attacchi prima che siano completati. Per ottenere una protezione ottimale, sono necessari diversi livelli di sicurezza mirati a fasi diverse.
I critici sottolineano che la Cyber Kill Chain è troppo strutturata per gli attacchi contemporanei. La troverete meno efficace nella lotta contro le minacce interne, gli attacchi web e gli ambienti cloud. Il modello presuppone un avanzamento lineare, mentre gli attacchi reali sono più complessi. È importante sapere che non è stato sottoposto a revisioni approfondite dal 2011, quindi è meno rilevante contro minacce più recenti come il ransomware-as-a-service.
Lockheed Martin ha sviluppato la metodologia Cyber Kill Chain nel 2011 come una delle sue iniziative di difesa basata sull'intelligence. Come forse ricorderete, si basava sulla teoria militare delle operazioni "kill chain", ma adattata alla sicurezza informatica. La metodologia è stata sviluppata per aiutare le organizzazioni a comprendere meglio e combattere le minacce persistenti avanzate (APT), suddividendo gli attacchi in fasi specifiche e affrontabili.
