Qu’est-ce que la cyber-kill chain ?

En 2011, Lockheed Martin a adapté un concept militaire de kill chain pour le secteur de la cybersécurité et l’a nommé « cyber-kill chain ». Comme la kill chain, la cyber-kill chain identifie les étapes d’une attaque et donne aux protecteurs des insights sur les tactiques et techniques classiques des adversaires au cours de chaque étape. Les deux modèles sont également linéaires avec l’idée que les attaquants suivent chaque étape de manière séquentielle.

Depuis l’introduction de la cyber-kill chain, les acteurs de cybermenaces ont fait évoluer leurs tactiques et ne suivent pas toujours toutes les étapes de la cyber-kill chain. En réponse, le secteur de la sécurité a mis à jour son approche et a développé de nouveaux modèles. La matrice MITRE ATT&CK® est une liste détaillée de tactiques et de techniques basées sur des attaques réelles. Elle utilise des étapes similaires à la cyber-kill chain, mais ne suit pas d’ordre linéaire.

En 2017, Paul Pols, en collaboration avec Fox-IT et Leiden University, a développé une autre infrastructure, la kill chain unifiée, qui combine les éléments de la matrice MITRE ATT&CK et de la cyber-kill chain en un modèle de 18 étapes.

Reconnaissance

La cyber-kill chain définit une séquence de phases d’une cyberattaque dans le but de comprendre l’état d’esprit des attaquants, y compris leurs motivations, leurs outils, leurs méthodes et leurs techniques, comment ils prennent des décisions et comment ils trompent la détection. Comprendre le fonctionnement de la cyber-kill chain aide les protecteurs à arrêter les cyberattaques dès les premières étapes.

Pendant la phase d’armement, les acteurs malveillants utilisent les informations découvertes lors de la reconnaissance pour créer ou modifier le programme malveillant afin d’exploiter au mieux les faiblesses de l’organisation ciblée.

Une fois qu’ils ont créé des programmes malveillants, les cyberattaquants tentent de lancer leur attaque. L’une des méthodes les plus courantes consiste à utiliser des techniques d’ingénierie sociale telles que le hameçonnage pour inciter les employés à leur remettre leurs informations d’identification de connexion. Les acteurs malveillants peuvent également obtenir leur accès en profitant d’une connexion sans fil publique peu sécurisée ou en exploitant une vulnérabilité logicielle ou matérielle découverte lors de la reconnaissance.

Une fois que les acteurs de cyber-menaces ont infiltré l’organisation, ils utilisent leur accès pour passer latéralement de système en système. Leur objectif est de rechercher des données sensibles, des vulnérabilités supplémentaires, des comptes d’administration ou des serveurs de messagerie à exploiter pour endommager l’organisation.

Au cours de l’étape d’installation, les acteurs installent des programmes malveillants qui leur donnent le contrôle d’un plus grand nombre de systèmes et de comptes.

Une fois que les cyberattaques ont pris le contrôle d’un nombre important de systèmes, ils créent un centre de contrôle qui leur permet de fonctionner à distance. Au cours de cette étape, ils utilisent l’obfuscation pour couvrir leurs pistes et tromper la détection. Ils utilisent également des attaques par déni de service pour distraire les professionnels de la sécurité de leur véritable objectif.

À ce stade, les cyberattaques prennent des mesures pour atteindre leur objectif principal qui peuvent se traduire par des attaques de chaîne d’approvisionnement, l’exfiltration de données, le chiffrement des données ou la destruction des données.

Bien que la cyber-kill chain initiale de Lockheed Martin ne comprenait que sept étapes, de nombreux experts en cybersécurité l’ont étendue à huit pour tenir compte des activités que les acteurs malveillants effectuent pour générer des revenus à partir de l’attaque, telles que l’utilisation d’un ransomware pour extraire un paiement de leurs victimes ou la vente de données sensibles sur le dark web.

Comprendre comment les acteurs de la cybermenace planifient et effectuent leurs attaques aide les professionnels de la cybersécurité à détecter et à atténuer les vulnérabilités au sein de l’organisation. Cela les aide également à identifier les indicateurs de compromission lors des premières étapes d’une cyberattaque. De nombreuses organisations utilisent le modèle de cyber-kill chain pour mettre en place de manière proactive des mesures de sécurité et guider la réponse aux incidents.

Veille des menaces

L’un des outils les plus importants pour protéger une organisation contre les cybermenaces est la veille des menaces. De bonnes solutions de veille des menaces synthétisent les données provenant de l’environnement d’une organisation et fournissent des insights actionnables qui aident les professionnels de la sécurité à détecter les cyberattaques le plus tôt possible.

Souvent, les acteurs malveillants infiltrent une organisation en devinant ou en volant des mots de passe. Une fois qu’ils sont à l’intérieur, ils tentent de faire remonter les privilèges pour accéder aux données et systèmes sensibles. Des solutions de Gestion des identités et des accès : Découvrez comment IAM sécurise, gère et définit les rôles d’utilisateur et les privilèges d’accèsgestion des identités et des accès permettent de détecter les activités anormales qui peuvent indiquer qu’un utilisateur non autorisé a obtenu l’accès. Elles offrent également des contrôles et des mesures de sécurité, tels que l’authentification à deux facteurs, qui compliquent l’utilisation d’informations d’identification volées pour se connecter.

De nombreuses organisations conservent une longueur d’avance sur les dernières cybermenaces à l’aide d’une solution SIEM (Security Information and Event Management). Les solutions SIEM regroupent des données provenant de l’ensemble de l’organisation et de sources tierces pour exposer les cybermenaces critiques que les équipes de sécurité pourront trier et traiter. De nombreuses solutions SIEM répondent également automatiquement à certaines menaces connues, ce qui réduit le nombre d’incidents qu’une équipe doit examiner.

Dans une organisation, il existe des centaines ou des milliers de points de terminaison. Entre les serveurs, les ordinateurs, les appareils mobiles et les appareils Internet des objets (IoT) utilisés par les entreprises pour mener des activités commerciales, il peut être très difficile de les maintenir à jour. Les acteurs malveillants le savent, c’est pourquoi de nombreuses cyberattaques commencent par un point de terminaison compromis. Les solutions de Protection évolutive des points de terminaison Découvrez comment la technologie EDR aide les organisations à se protéger contre les cybermenaces graves telles que les ransomwares.protection évolutive des points de terminaison aident les équipes de sécurité à les surveiller pour détecter les menaces et à répondre rapidement lorsqu’elles détectent un problème de sécurité avec un appareil.

Les solutions Détection et réponse étendues (XDR) Découvrez comment les solutions de détection et de réponse étendues (XDR) fournissent une protection contre les menaces et réduisent le temps de réponse entre les charges de travail.Détection et réponse étendues (XDR) poussent la détection et la réponse des points de terminaison encore plus loin avec une solution unique qui protège les points de terminaison, les identités, les applications cloud et les e-mails.

Toutes les entreprises ne disposent pas forcément de ressources internes pour détecter efficacement les menaces et y répondre. Pour renforcer leur équipe de sécurité existante, ces organisations se tournent vers des fournisseurs de services qui offrent une Détection et réponse gérées Découvrez la détection et la réponse gérées (MDR) et comment elle peut aider à protéger votre organisation contre les cybermenaces.détection et une réponse managées. Ces fournisseurs de services prennent la responsabilité de surveiller l’environnement d’une organisation et de répondre aux menaces.

Bien que comprendre la cyber-kill chain puisse aider les entreprises et les gouvernements à se préparer de manière proactive à des cybermenaces complexes et à y répondre, s’appuyer exclusivement sur celle-ci peut rendre une organisation vulnérable à d’autres types de cyberattaques. Voici quelques critiques courantes de la cyber-kill chain :

• Axée sur les programmes malveillants. L’infrastructure de la cyber-kill chain d’origine a été conçue pour détecter et répondre aux programmes malveillants et n’est pas aussi efficace contre d’autres types d’attaques, comme un utilisateur non autorisé accédant avec des informations d’identification compromises.

• Idéale pour la sécurité de périmètre. En mettant l’accent sur la protection des points de terminaison, le modèle de cyber-kill chain fonctionnait bien lorsqu’il y avait un seul périmètre réseau à protéger. Désormais, avec tant de travailleurs à distance, le cloud et toujours plus d’appareils accédant aux ressources d’une entreprise, il peut être presque impossible de résoudre chaque vulnérabilité de point de terminaison.

• Manque d’outils pour les menaces internes. Les Insiders, qui ont déjà accès à certains systèmes, sont plus difficiles à détecter avec un modèle de cyber-kill chain. Au lieu de cela, les organisations doivent surveiller et détecter les modifications apportées à l’activité des utilisateurs.

• Trop linéaire. Bien que de nombreuses cyberattaques suivent les huit étapes décrites dans la cyber-kill chain, beaucoup d’autres ne le font pas ou combinent plusieurs étapes en une seule action. Les organisations trop axées sur chacune des phases peuvent passer à côté de ces cybermenaces.

Depuis 2011, lorsque Lockheed Martin a introduit la cyber-kill chain, beaucoup de choses ont changé dans le paysage de la technologie et de la cybermenace. Le cloud computing, les appareils mobiles et les appareils IoT ont transformé le fonctionnement des utilisateurs et des entreprises. Les acteurs de la cybermenace ont répondu à ces nouvelles technologies avec leurs propres innovations, notamment en utilisant l’automatisation et l’IA pour accélérer et améliorer leurs cyberattaques. La cyber-kill chain constitue un excellent point de départ pour le développement d’une stratégie de sécurité proactive qui prend en compte l’esprit et les objectifs de la cyberattaque. Sécurité Microsoft propose une plateforme SecOps unifiée Unifiez vos opérations de sécurité (SecOps) dans la prévention, la détection et la réponse avec une plateforme basée sur l’IA.plateforme SecOps unifiée qui regroupe XDR et SIEM dans une solution adaptable pour aider les organisations à développer une défense multicouche qui protège toutes les étapes de la cyber-kill chain. Et les organisations se préparent également aux cybermenaces émergentes alimentées par l’IA en investissant dans l’IA pour les solutions de cybersécurité, comme Sécurité Microsoft Copilot.