O que é e como funciona a metodologia Cyber Kill Chain®?

11:20 Aroldo Chociai 0 Comentarios


O conceito conhecido por Kill Chain se origina da abordagem militar em relação ao planejamento de um ataque coordenado. As tarefas são segmentadas por objetivos como identificação do alvo, envio da força para o alvo, decisão e ordem de ataque e, por fim, a destruição do alvo.  

Um modelo de uso militar bem difundido é o “F2T2EA” que estabelece fases por cada letra, e as relaciona com as atividades que deverão ser desempenhadas.

· Find (localizar): tem foco na localização do alvo;
· Fix (determinar/estabelecer): mesmo não sendo possível a tradução “ao pé da letra”, esta tarefa determina a localização e/ou dificuldade nos movimentos;
· Track (monitorar/acompanhar): a ação de monitorar os movimentos do alvo;
· Target (alvo): a fase de selecionar o armamento adequado para o ataque;
· Engage (engajar): etapa de engajamento onde deve ser utilizado o armamento selecionado na fase anterior;
· Assess (avaliação): quaisquer informações coletadas devem ser analisadas nesta etapa.

Neste ponto, é interessante salientar que no modelo proposto na forma de chain, ou seja, cadeia, a execução deste processo é integralmente sequencial e uma interrupção em qualquer fase pode frustrar o ataque como um todo.


Mas, o que é mesmo Cyber Kill Chain®?

Cyber Kill Chain® é a marca registrada de um framework, aqui também chamado de metodologia, que foi concebido para atuar na identificação e prevenção de atividades de intrusão. Esse framework faz parte do modelo de Intelligence Driven Defense®, da empresa Lockheed Martin.

Baseado no modelo de planejamento de manobra coordenada de ataque militar, onde são correlacionadas situações de combate real com as de “guerra cibernética”, foi elaborado um modelo em “cadeia” onde a interrupção de qualquer evento relacionado pode limitar ou até mesmo cessar o ataque.

A proposta é identificar quais são as tarefas que devem ser realizadas pelo invasor para atingir seu objetivo, bem como pará-lo, em algum momento, quebrando a “cadeia” e impedindo o sucesso do ataque.

O modelo Cyber Kill Chain® compreende sete etapas:

· Reconnaissance (identificação do alvo): compreende a pesquisa que o atacante deve fazer para selecionar e avaliar informações sobre os alvos que podem conduzir ao sucesso do seu ataque. Ex: coleta de endereços de e-mail, identificação de empregados em redes sociais, reconhecimento de servidores expostos publicamente na internet;
· Weaponization (preparo do armamento): a operação está na fase de planejamento. Aqui são selecionados os exploits, criados os backdoors, payloads, trojans e demais “armas” ou ferramentas que serão utilizadas no ataque;
· Delivery (entrega): aqui é onde acontece a entrega propriamente dita. O atacante transmite suas “armas” para o alvo.
· Exploitation (ganhando acesso ao alvo): ocorre a exploração das vulnerabilidades encontradas por meio das ferramentas previamente selecionadas e transmitidas;
· Installation (instalação): o objetivo é garantir o retorno do atacante, mantendo seu acesso por meio da instalação de um backdoor persistente, por exemplo.
· Command and control (comando e controle):  se faz a abertura de um canal de controle que permite ao atacante manipular remotamente o alvo;
·Actions on objectives (alcançando os objetivos): é quando, após o comprometimento do alvo, o atacante executa procedimentos de pós exploração realizando seus objetivos.


Considerações Finais

Esta é a apenas uma abordagem superficial sobre a metodologia  Cyber Kill Chain®, sob o ponto de vista do invasor.

Muito ainda pode ser explorado como, por exemplo, a aplicação desta metodologia nas atividades relacionadas à defesa.

As informações contidas neste artigo são resultado de um compilado de pesquisas realizadas e podem ser encontradas com mais detalhes nas referências abaixo.


Referências

0 comentários: