Trace Id is missing
Passer directement au contenu principal
Sécurité Microsoft

Qu’est-ce que la cyber-kill chain ?

Découvrez une infrastructure d’opérations de sécurité (SecOps) qui décrit les étapes d’une cyberattaque, notamment la reconnaissance, les violations et l’exfiltration de données.

La cyber-kill chain dans la cybersécurité

La cyber-kill chain, également appelée chaîne de cyberattaques, est un modèle de cybersécurité conçu pour interrompre et empêcher les cyberattaques sophistiquées. En décomposant une cyberattaque classique en plusieurs étapes, les équipes de sécurité sont en mesure d’identifier les cyberattaques en cours et de les arrêter avant qu’elles n’endommagent une organisation.

Principaux points à retenir

  • La cyber-kill chain est un modèle de cybersécurité qui décompose une cyberattaque classique en étapes pour aider les équipes de sécurité à identifier les cyberattaques en cours et à y mettre un terme.
  • La cyber-kill chain comprend huit phases : la reconnaissance, l’armement, la possession, l’exploitation, l’installation, la commande et le contrôle, les actions sur les objectifs et la monétisation.
  • L’implémentation du modèle de cyber-kill chain commence par l’analyse de chaque étape du modèle vis-à-vis de l’organisation concernée.
  • Une critique courante faite au modèle de cyber-kill chain est qu’il est moins efficace contre les menaces et les attaques internes qui n’impliquent pas de programmes malveillants.

Historique de la cyber-kill chain

En 2011, Lockheed Martin a adapté un concept militaire de kill chain pour le secteur de la cybersécurité et l’a nommé « cyber-kill chain ». Comme la kill chain, la cyber-kill chain identifie les étapes d’une attaque et donne aux protecteurs des insights sur les tactiques et techniques classiques des adversaires au cours de chaque étape. Les deux modèles sont également linéaires avec l’idée que les attaquants suivent chaque étape de manière séquentielle.

Depuis l’introduction de la cyber-kill chain, les acteurs de cybermenaces ont fait évoluer leurs tactiques et ne suivent pas toujours toutes les étapes de la cyber-kill chain. En réponse, le secteur de la sécurité a mis à jour son approche et a développé de nouveaux modèles. La matrice MITRE ATT&CK® est une liste détaillée de tactiques et de techniques basées sur des attaques réelles. Elle utilise des étapes similaires à la cyber-kill chain, mais ne suit pas d’ordre linéaire.

En 2017, Paul Pols, en collaboration avec Fox-IT et Leiden University, a développé une autre infrastructure, la kill chain unifiée, qui combine les éléments de la matrice MITRE ATT&CK et de la cyber-kill chain en un modèle de 18 étapes.

Étapes de la cyber-kill chain

Reconnaissance


La cyber-kill chain définit une séquence de phases d’une cyberattaque dans le but de comprendre l’état d’esprit des attaquants, y compris leurs motivations, leurs outils, leurs méthodes et leurs techniques, comment ils prennent des décisions et comment ils trompent la détection. Comprendre le fonctionnement de la cyber-kill chain aide les protecteurs à arrêter les cyberattaques dès les premières étapes.

Armement

Pendant la phase d’armement, les acteurs malveillants utilisent les informations découvertes lors de la reconnaissance pour créer ou modifier le programme malveillant afin d’exploiter au mieux les faiblesses de l’organisation ciblée.

Possession

Une fois qu’ils ont créé des programmes malveillants, les cyberattaquants tentent de lancer leur attaque. L’une des méthodes les plus courantes consiste à utiliser des techniques d’ingénierie sociale telles que le hameçonnage pour inciter les employés à leur remettre leurs informations d’identification de connexion. Les acteurs malveillants peuvent également obtenir leur accès en profitant d’une connexion sans fil publique peu sécurisée ou en exploitant une vulnérabilité logicielle ou matérielle découverte lors de la reconnaissance.

Exploitation

Une fois que les acteurs de cyber-menaces ont infiltré l’organisation, ils utilisent leur accès pour passer latéralement de système en système. Leur objectif est de rechercher des données sensibles, des vulnérabilités supplémentaires, des comptes d’administration ou des serveurs de messagerie à exploiter pour endommager l’organisation.

Installation

Au cours de l’étape d’installation, les acteurs installent des programmes malveillants qui leur donnent le contrôle d’un plus grand nombre de systèmes et de comptes.

Commande et contrôle

Une fois que les cyberattaques ont pris le contrôle d’un nombre important de systèmes, ils créent un centre de contrôle qui leur permet de fonctionner à distance. Au cours de cette étape, ils utilisent l’obfuscation pour couvrir leurs pistes et tromper la détection. Ils utilisent également des attaques par déni de service pour distraire les professionnels de la sécurité de leur véritable objectif.

Actions sur les objectifs

À ce stade, les cyberattaques prennent des mesures pour atteindre leur objectif principal qui peuvent se traduire par des attaques de chaîne d’approvisionnement, l’exfiltration de données, le chiffrement des données ou la destruction des données.

Monétisation

Bien que la cyber-kill chain initiale de Lockheed Martin ne comprenait que sept étapes, de nombreux experts en cybersécurité l’ont étendue à huit pour tenir compte des activités que les acteurs malveillants effectuent pour générer des revenus à partir de l’attaque, telles que l’utilisation d’un ransomware pour extraire un paiement de leurs victimes ou la vente de données sensibles sur le dark web.

Impact de la cyber-kill chain sur la cybersécurité

Comprendre comment les acteurs de la cybermenace planifient et effectuent leurs attaques aide les professionnels de la cybersécurité à détecter et à atténuer les vulnérabilités au sein de l’organisation. Cela les aide également à identifier les indicateurs de compromission lors des premières étapes d’une cyberattaque. De nombreuses organisations utilisent le modèle de cyber-kill chain pour mettre en place de manière proactive des mesures de sécurité et guider la réponse aux incidents.

Avantages du modèle de cyber-kill chain

Le modèle de cyber-kill chain aide les professionnels de la sécurité à :

  • Identifier les menaces à chaque étape de la cyber-kill chain.

  • Compliquer l’accès des utilisateurs non autorisés.

  • Renforcer les comptes privilégiés, les données et les systèmes.

  • Corriger et mettre régulièrement à niveau les anciens matériels et logiciels.

  • Apprendre aux employés à repérer un courriel d’hameçonnage.

  • Découvrir et répondre rapidement au mouvement latéral.

  • Arrêter les cyberattaques en cours.

Implémentation de la cyber-kill chain

Veille des menaces

L’un des outils les plus importants pour protéger une organisation contre les cybermenaces est la veille des menaces. De bonnes solutions de veille des menaces synthétisent les données provenant de l’environnement d’une organisation et fournissent des insights actionnables qui aident les professionnels de la sécurité à détecter les cyberattaques le plus tôt possible.

Gestion des identités et des accès

Souvent, les acteurs malveillants infiltrent une organisation en devinant ou en volant des mots de passe. Une fois qu’ils sont à l’intérieur, ils tentent de faire remonter les privilèges pour accéder aux données et systèmes sensibles. Des solutions de Gestion des identités et des accès : Découvrez comment IAM sécurise, gère et définit les rôles d’utilisateur et les privilèges d’accèsgestion des identités et des accès permettent de détecter les activités anormales qui peuvent indiquer qu’un utilisateur non autorisé a obtenu l’accès. Elles offrent également des contrôles et des mesures de sécurité, tels que l’authentification à deux facteurs, qui compliquent l’utilisation d’informations d’identification volées pour se connecter.

Gestion des informations de sécurité et des événements

De nombreuses organisations conservent une longueur d’avance sur les dernières cybermenaces à l’aide d’une solution SIEM (Security Information and Event Management). Les solutions SIEM regroupent des données provenant de l’ensemble de l’organisation et de sources tierces pour exposer les cybermenaces critiques que les équipes de sécurité pourront trier et traiter. De nombreuses solutions SIEM répondent également automatiquement à certaines menaces connues, ce qui réduit le nombre d’incidents qu’une équipe doit examiner.

Protection évolutive des points de terminaison

Dans une organisation, il existe des centaines ou des milliers de points de terminaison. Entre les serveurs, les ordinateurs, les appareils mobiles et les appareils Internet des objets (IoT) utilisés par les entreprises pour mener des activités commerciales, il peut être très difficile de les maintenir à jour. Les acteurs malveillants le savent, c’est pourquoi de nombreuses cyberattaques commencent par un point de terminaison compromis. Les solutions de Protection évolutive des points de terminaison Découvrez comment la technologie EDR aide les organisations à se protéger contre les cybermenaces graves telles que les ransomwares.protection évolutive des points de terminaison aident les équipes de sécurité à les surveiller pour détecter les menaces et à répondre rapidement lorsqu’elles détectent un problème de sécurité avec un appareil.

Détection et réponse étendues

Les solutions Détection et réponse étendues (XDR) Découvrez comment les solutions de détection et de réponse étendues (XDR) fournissent une protection contre les menaces et réduisent le temps de réponse entre les charges de travail.Détection et réponse étendues (XDR) poussent la détection et la réponse des points de terminaison encore plus loin avec une solution unique qui protège les points de terminaison, les identités, les applications nuage et les courriels.

Détection et réponse gérées

Toutes les entreprises ne disposent pas forcément de ressources internes pour détecter efficacement les menaces et y répondre. Pour renforcer leur équipe de sécurité existante, ces organisations se tournent vers des fournisseurs de services qui offrent une Détection et réponse gérées Découvrez la détection et la réponse gérées (MDR) et comment elle peut aider à protéger votre organisation contre les cybermenaces.détection et une réponse managées. Ces fournisseurs de services prennent la responsabilité de surveiller l’environnement d’une organisation et de répondre aux menaces.

Défis de la cyber-kill chain

Bien que comprendre la cyber-kill chain puisse aider les entreprises et les gouvernements à se préparer de manière proactive à des cybermenaces complexes et à y répondre, s’appuyer exclusivement sur celle-ci peut rendre une organisation vulnérable à d’autres types de cyberattaques. Voici quelques critiques courantes de la cyber-kill chain :
  • Axée sur les programmes malveillants. L’infrastructure de la cyber-kill chain d’origine a été conçue pour détecter et répondre aux programmes malveillants et n’est pas aussi efficace contre d’autres types d’attaques, comme un utilisateur non autorisé accédant avec des informations d’identification compromises.
  • Idéale pour la sécurité de périmètre. En mettant l’accent sur la protection des points de terminaison, le modèle de cyber-kill chain fonctionnait bien lorsqu’il y avait un seul périmètre réseau à protéger. Désormais, avec tant de travailleurs à distance, le nuage et toujours plus d’appareils accédant aux ressources d’une entreprise, il peut être presque impossible de résoudre chaque vulnérabilité de point de terminaison.
  • Manque d’outils pour les menaces internes. Les Insiders, qui ont déjà accès à certains systèmes, sont plus difficiles à détecter avec un modèle de cyber-kill chain. Au lieu de cela, les organisations doivent surveiller et détecter les modifications apportées à l’activité des utilisateurs.
  • Trop linéaire. Bien que de nombreuses cyberattaques suivent les huit étapes décrites dans la cyber-kill chain, beaucoup d’autres ne le font pas ou combinent plusieurs étapes en une seule action. Les organisations trop axées sur chacune des phases peuvent passer à côté de ces cybermenaces.

Solutions de cyber-kill chain

Depuis 2011, lorsque Lockheed Martin a introduit la cyber-kill chain, beaucoup de choses ont changé dans le paysage de la technologie et de la cybermenace. Le cloud computing, les appareils mobiles et les appareils IoT ont transformé le fonctionnement des utilisateurs et des entreprises. Les acteurs de la cybermenace ont répondu à ces nouvelles technologies avec leurs propres innovations, notamment en utilisant l’automatisation et l’IA pour accélérer et améliorer leurs cyberattaques. La cyber-kill chain constitue un excellent point de départ pour le développement d’une stratégie de sécurité proactive qui prend en compte l’esprit et les objectifs de la cyberattaque. Sécurité Microsoft propose une plateforme SecOps unifiée Unifiez vos opérations de sécurité (SecOps) dans la prévention, la détection et la réponse avec une plateforme basée sur l’IA.plateforme SecOps unifiée qui regroupe XDR et SIEM dans une solution adaptable pour aider les organisations à développer une défense multicouche qui protège toutes les étapes de la cyber-kill chain. Et les organisations se préparent également aux cybermenaces émergentes alimentées par l’IA en investissant dans l’IA pour les solutions de cybersécurité, comme Sécurité Microsoft Copilot.

Forum aux questions

  • La cyber-kill chain est un modèle de cybersécurité qui décompose une cyberattaque classique en étapes pour aider les équipes de sécurité à identifier les cyberattaques en cours et à y mettre un terme avant qu’elles ne fassent des dégâts.

    La matrice MITRE ATT&CK est une liste plus détaillée de tactiques et de techniques basées sur des cyberattaques. Elle utilise des étapes similaires à la cyber-kill chain, mais ne suit pas d’ordre linéaire.
  • Les outils que les organisations utilisent pour détecter et arrêter les cyberattaques au sein de la cyber-kill chain sont les solutions SIEM, les solutions XDR et la veille des menaces.
  • La cyber-kill chain classique comprend les sept étapes suivantes :
    • Reconnaissance
    • Armement
    • Possession 
    • Exploitation
    • Installation
    • Commande et contrôle
    • Actions sur les objectifs 
       
    Certaines personnes incluent également une huitième étape, celle de la monétisation.
  • L’implémentation du modèle de cyber-kill chain commence par l’analyse de chaque étape du modèle vis-à-vis de l’organisation concernée. Cela aidera les équipes de sécurité à identifier les vulnérabilités et les zones les plus risquées. Une fois qu’une organisation sait ce qu’il faut hiérarchiser, les stratégies et outils suivants peuvent aider les équipes de sécurité à détecter les cybermenaces sophistiquées et à y répondre :
     
    • Développer un programme de renseignement sur les menaces de bout en bout.
    • Implémenter une solution SIEM.
    • Déployer une solution XDR.
    • Mettre en place une gestion complète des identités et des accès.
    • Exécuter une formation de sécurité régulière pour tous les employés.
    • Développer des playbooks de réponse aux incidents.
  • La cyber-kill chain protège contre les attaques de programmes malveillants multisites.

Suivez la Sécurité Microsoft