Open in app

Sign in

Write

Sign in

Cyber Kill Chain

Bruno Cavalcanti
hurb.labs
Published in
6 min readMay 19, 2021

--

O que é Cyber Kill Chain?

Para entender o que é Cyber Kill Chain, seu conceito e como aplicá-lo ao dia a dia da operação, é necessário entender como está o cenário de ameaças cibernéticas. Entendendo o cenário e fazendo a análise da ameaça, é possível remediar danos e em alguns casos, quando a ameaça é identificada em um firewall, por exemplo, impedir sua atuação.

O que é??

Vamos falar sobre o conceito de kill chain, e para explicarmos esse tema, o conceito de ransomware será muito abordado.

Como é possível que as ameaças continuem sendo tão bem-sucedidas em seus propósitos apesar de tantos investimentos em tecnologias de ponta e tanta preocupação dos líderes de TI em proteger seu ambiente?

Uma das principais razões para isso são as APT — ameaças persistentes avançadas. Essas ameaças exigem mais planejamento e investimento dos hackers para burlar as diversas camadas de segurança do alvo e por isso são tão avançadas e difíceis de serem percebidas e tratadas.

O outro motivo é que as defesas cibernéticas continuam focando seus esforços em prevenção e perímetro. E quando a defesa do ambiente está focada em perímetro, concentrando-se nos ativos mais vulneráveis, o atacante só precisa ser bem-sucedido uma única vez, pois uma vez que ele passou pela borda e conseguiu acesso à rede alvo, ele estará livre para realizar suas ações maliciosas movimentando-se lateralmente.

Estar prevenido contra ameaças é importante, mas com a mudança no cenário de ameaças e a evolução delas, a prevenção não pode mais ser tratada como única forma de defesa. A defesa precisa estar em todas as camadas da rede e do computador, não somente no perímetro.

E é exatamente por isso, que a abordagem de Cyber Kill Chain é um aliado nessa necessidade. Já que é um modelo de inteligência com foco em defesa para identificação e prevenção de ciberataques.

Entendendo melhor: cenário fictício

Em uma rede de computadores focada em prevenção e perímetro, uma ameaça ou APT conseguiu passar da prevenção e chegar até o computador do CEO, que tem informações valiosíssimas e confidenciais.

Esse caso foi percebido pelo administrador da rede, que estava olhando os logs da ferramenta e percebeu uma comunicação suspeita originária do IP do computador do CEO. Neste cenário, significa que o ataque foi realizado com sucesso?

Resposta: não necessariamente. Para saber se o ataque foi bem-sucedido, são necessárias mais informações e a compreensão do objetivo daquela ameaça. Afinal, se você não sabe a intenção da ameaça, ou seja, o que ela queria realizar com o ataque, nunca vai saber se ela concluiu os objetivos.

O que é o Cyber Kill Chain?

O Cyber Kill Chain é um processo que descreve os estágios que um atacante passa para se infiltrar com sucesso em uma rede, e extrair dela com sucesso o seu objetivo.

Estágios de um ataque:

1. Reconnaissance (Reconhecimento):

Durante o estágio de reconhecimento, o autor da ameaça realiza pesquisas sobre o alvo. Esta pesquisa pode ser feita de várias maneiras, como visualização do alvo em sites públicos, seguindo funcionários da empresa, coletando informações técnicas como IP públicos e servidores web, por exemplo.

O LinkedIn e outros sites de redes sociais facilitam a reunião de informações sobre o alvo e os colaboradores. Na maior parte das vezes, o foco fica naqueles cujos cargos possuem maiores privilégios dentro do sistema da organização, como os analistas de TI de cargos mais altos.

2. Weaponization (Armação)

Quando o alvo é identificado e estudado, os atacantes começam a desenvolver seus ataques e as ferramentas que serão utilizadas. Podem tanto ser ferramentas criadas e desenvolvidas por eles mesmo quanto ferramentas compradas na deep web.

Essas ferramentas podem explorar vulnerabilidades de sistemas que sejam publicamente conhecidas ou não.

3. Deliver & Exploit & Install (Entrega & Exploração & Instalação)

A etapa de entrega é quando o atacante vai enviar o seu programa malicioso para o alvo. A forma mais utilizada costuma ser o spear-phishing, que é um vetor de ataque direcionado, ou seja, com alvos bem determinados.

A etapa de Exploit é quando o atacante explora alguma vulnerabilidade, seja ela já conhecida ou não. As vulnerabilidades que não são publicamente conhecidas são conhecidas como zero-day.

A etapa de Install é a instalação de um RAT (remote access trojan) ou backdoor no sistema alvo que permite ao atacante ter controle sobre o sistema infectado.

4. Command & Control (Comando e Controle)

Para que uma ameaça seja considerada uma AT (advanced threat), ou seja, persistente e avançada, vai precisar existir uma comunicação entre a ameaça e o atacante que a enviou. Chamamos essa comunicação de Command & Control.

Logo, quando a ameaça não tem essa comunicação, ela não é considerada persistente, e portanto não é mais uma APT, mas ainda assim pode ser uma ameaça avançada, como por exemplo o famoso caso do Stuxnet, que foi considerado um APT, mas na verdade é apenas um AT.

5. Actions on Objectives (Ações no Objetivo)

Somente depois de passar por todas as etapas anteriores, o atacante poderá realizar seu objetivo, que pode ser roubo de informações confidenciais, criptografia de dados (com um ransomware, por exemplo), destruição do sistema ou somente entrar no sistema daquela vítima como mais uma etapa para se mover lateralmente pela rede para infectar outro sistema e concluir um objetivo maior.

Como quebrar a corrente?

Resposta: aplicando a arquitetura de segurança adaptativa.

Arquitetura de Segurança Adaptativa Contínua (CARTA)

CARTA (Continuous Adaptative Risk and Trust Assessment) é uma estratégia que amplia a capacidade dos profissionais de diversas áreas de entenderem o que é risco.”

Se a questão agora é quando um incidente de segurança vai acontecer, a preocupação é como detectar e responder ao incidente. Por isso algumas abordagens já partem da premissa que os sistemas estão comprometidos e exigem monitoramento contínuo, com mecanismos de resposta automática e imediata, visando conter ameaças ativas e neutralizar potenciais vetores de ataque, como a CARTA.

A CARTA é composta por 4 pilares. São eles:

Capacidade preventiva

Este é o conjunto de políticas, ferramentas e processos que visam prevenir a ocorrência de ataques bem-sucedidos. Como mencionado no início deste artigo, a prevenção ainda é importante, mas não será o único foco a partir de agora.

Capacidades de detecção

São os controles planejados para identificar ataques que obtiveram sucesso nas medidas preventivas. Atualmente, isso vai além do simples correlacionamento de eventos (dadas por ferramentas SIEMSecurity Information and Event Management), que agora precisam incorporar algoritmos de Data Analytics, detecção de padrões de comportamentos, machine learning, capacidades cognitivas, etc .

Capacidades de resposta

A forma como a equipe vai responder àquela ameaça — seja ela automática ou não. Aqui é realizado o ciclo de resposta a incidentes que vai permitir investigar e remediar o incidente encontrado.

Capacidades preditivas

São as capacidades de prever ataques e analisar tendências. Como o panorama de ameaças é dinâmico e evolui de forma rápida, é fundamental uma combinação eficaz das técnicas de detecção avançadas apontadas acima com uma sofisticada rede de Inteligência de Ameaças Cibernéticas — que agregue inteligência específica do setor da economia, fornecidas por fabricantes, identificadas por provedores globais de serviços de monitoramento de segurança.

E quando falamos de Inteligência de Ameaças Cibernéticas, estamos falando do que a informação de ameaça cibernética se torna, uma vez que foi coletada, avaliada no contexto de sua fonte e confiabilidade e analisada através de técnicas estruturadas.

Cybersecurity
Cyberattack
Kill Chain
Ransomware
Engineering

--

--

Bruno Cavalcanti
hurb.labs

Written by Bruno Cavalcanti

7 Followers
Editor for

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams