O que é e como funciona a metodologia Cyber Kill Chain®?
O conceito conhecido por Kill Chain
se origina da abordagem militar em relação ao planejamento de um ataque
coordenado. As tarefas são segmentadas por objetivos como identificação do
alvo, envio da força para o alvo, decisão e ordem de ataque e, por fim, a
destruição do alvo.
Um modelo de uso militar bem difundido
é o “F2T2EA” que estabelece fases por cada letra, e as relaciona com as
atividades que deverão ser desempenhadas.
· Find (localizar): tem foco na localização do alvo;
· Fix (determinar/estabelecer): mesmo não sendo possível a tradução “ao pé da letra”, esta tarefa
determina a localização e/ou dificuldade nos movimentos;
· Track (monitorar/acompanhar): a ação de monitorar os movimentos do alvo;
· Target (alvo): a fase de selecionar o armamento adequado para o ataque;
· Engage (engajar): etapa de engajamento onde deve ser utilizado o armamento selecionado na
fase anterior;
· Assess (avaliação): quaisquer informações coletadas devem ser analisadas nesta etapa.
Neste ponto, é interessante salientar
que no modelo proposto na forma de chain, ou seja, cadeia, a execução
deste processo é integralmente sequencial e uma interrupção em qualquer fase
pode frustrar o ataque como um todo.
Mas, o que é mesmo Cyber Kill Chain®?
Cyber Kill Chain® é a marca registrada
de um framework, aqui também chamado de metodologia, que foi concebido
para atuar na identificação e prevenção de atividades de intrusão. Esse framework
faz parte do modelo de Intelligence Driven Defense®, da empresa Lockheed
Martin.
Baseado no modelo de planejamento de
manobra coordenada de ataque militar, onde são correlacionadas situações de
combate real com as de “guerra cibernética”, foi elaborado um modelo em
“cadeia” onde a interrupção de qualquer evento relacionado pode limitar ou até
mesmo cessar o ataque.
A proposta é identificar quais são as
tarefas que devem ser realizadas pelo invasor para atingir seu objetivo, bem
como pará-lo, em algum momento, quebrando a “cadeia” e impedindo o sucesso do
ataque.
O modelo Cyber Kill Chain® compreende
sete etapas:
· Reconnaissance (identificação do alvo): compreende a pesquisa que o atacante deve fazer para selecionar e
avaliar informações sobre os alvos que podem conduzir ao sucesso do seu ataque.
Ex: coleta de endereços de e-mail, identificação de empregados em redes
sociais, reconhecimento de servidores expostos publicamente na internet;
· Weaponization (preparo do armamento): a operação está na fase de planejamento. Aqui são selecionados os exploits,
criados os backdoors, payloads, trojans e demais “armas”
ou ferramentas que serão utilizadas no ataque;
· Delivery (entrega): aqui é onde acontece a entrega propriamente dita. O atacante transmite
suas “armas” para o alvo.
· Exploitation (ganhando acesso ao alvo): ocorre a exploração das vulnerabilidades encontradas por meio das
ferramentas previamente selecionadas e transmitidas;
· Installation (instalação): o objetivo é garantir o retorno do atacante, mantendo seu acesso por
meio da instalação de um backdoor persistente, por exemplo.
· Command and control (comando e controle): se faz a abertura de um canal de controle que permite ao atacante
manipular remotamente o alvo;
·Actions on objectives (alcançando os objetivos): é quando, após o comprometimento do alvo, o atacante executa
procedimentos de pós exploração realizando seus objetivos.
Considerações Finais
Esta é a apenas uma abordagem
superficial sobre a metodologia Cyber Kill Chain®, sob o ponto de vista
do invasor.
Muito ainda pode ser explorado como,
por exemplo, a aplicação desta metodologia nas atividades relacionadas à
defesa.
As informações contidas neste artigo
são resultado de um compilado de pesquisas realizadas e podem ser encontradas
com mais detalhes nas referências abaixo.
Referências
0 comentários: