Che cos'è cyber kill chain?

Nel 2011, ockheed Martin ha adattato un concetto militare denominato kill chain per il settore della cybersecurity e lo ha definito cyber kill chain. Come la kill chain, la cyber kill chain identifica le fasi di un attacco e fornisce e fornisce ai difensori una visione delle tattiche e delle tecniche tipiche degli avversari in ogni fase. Entrambi i modelli sono inoltre lineari e prevedono che gli attaccanti seguano ogni fase in modo sequenziale.

Dalla prima introduzione della cyber kill chain, gli attori di minacce informatiche si sono evoluti nelle loro tattiche e non seguono sempre ogni fase della cyber kill chain. In risposta, il settore della sicurezza ha aggiornato il proprio approccio e sviluppato nuovi modelli. La matrice MITRE ATT&CK® è un elenco dettagliato di tattiche e tecniche basate su attacchi reali. Usa fasi simili a quelle della cyber kill chain, ma non segue un ordine lineare.

Nel 2017 Paul Pols in collaborazione con Fox-IT e Leiden University ha sviluppato un altro framework, la kill chain unificata, che combina gli elementi sia della matrice MITRE ATT&CK sia della cyber kill chain in un modello con 18 fasi.

Ricognizione

La cyber kill chain definisce una sequenza di fasi di attacco informatico con l'obiettivo di comprendere la mentalità dei cyberattacker, inclusi i comportamenti, gli strumenti, i metodi e le tecniche, il modo in cui prendono decisioni e il modo in cui ignorano il rilevamento. Comprendere il funzionamento della cyber kill chain aiuta i difensori a fermare i cyberattacchi nelle prime fasi.

Durante la fase di armamento, gli utenti malintenzionati usano le informazioni individuate durante la ricognizione per creare o modificare malware per sfruttare al meglio i punti deboli dell'organizzazione di destinazione.

Dopo aver creato malware, i cyberattacker tentano di avviare l'attacco. Uno dei metodi più comuni consiste nell'usare tecniche di ingegneria sociale come phishing per indurre i dipendenti a consegnare le credenziali di accesso. Gli utenti malintenzionati possono anche ottenere l'accesso sfruttando una connessione wireless pubblica che non è’molto sicura o sfruttando una vulnerabilità software o hardware non individuata durante la ricognizione.

Quando gli utenti malintenzionati si sono infiltrati nell'organizzazione, usano il loro accesso per passare lateralmente da sistema a sistema. L'obiettivo è trovare dati sensibili, vulnerabilità aggiuntive, account amministrativi o server di posta elettronica che possono usare per danneggiare l'organizzazione.

Nella fase di installazione, gli utrenti malintenzionati installano malware che offre loro il controllo di più sistemi e account.

Dopo che i cyberattacker hanno acquisito il controllo di un numero significativo di sistemi, creano un centro di controllo che consente loro di operare in remoto. Durante questa fase usano l'offuscamento per coprire le tracce ed evitare il rilevamento. Usano anche attacchi Denial of Service per distrarre i professionisti della sicurezza dal loro vero obiettivo.

In questa fase, i cyberattacker prendono misure per raggiungere il loro obiettivo principale, che potrebbe includere attacchi alla supply chain, esfiltrazione di dati, crittografia dei dati o distruzione dei dati.

Anche se l'originale cyber kill chain di Martin Lockhead includeva solo sette passaggi, molti esperti di cybersecurity l'hanno espansa a otto per tenere conto delle attività eseguite dagli utenti malintenzionati per generare reddito dall'attacco, ad esempio l'uso di ransomware per estrarre un pagamento dalle loro vittime o la vendita di dati sensibili sul Dark Web.

Comprendere in che modo gli attori di minacce informatiche pianificano e conducono i loro attacchi aiuta i professionisti della sicurezza informatica a individuare e mitigare le vulnerabilità nell'intera organizzazione. Consente inoltre di identificare gli indicatori di compromissione durante le prime fasi di un attacco informatico. Molte organizzazioni usano il modello cyber kill chain per mettere in atto in modo proattivo le misure di sicurezza e per guidare la risposta agli eventi imprevisti.

Intelligence sulle minacce

Uno degli strumenti più importanti per proteggere un'organizzazione dalle minacce informatiche è intelligence sulle minacce. Le soluzioni di intelligence sulle minacce efficaci sintetizzano i dati provenienti da un’ambiente aziendale e forniscono informazioni dettagliate di utilità pratica che consentono ai professionisti della sicurezza di rilevare in anticipo gli attacchi informatici.

Spesso gli attori non validi si infiltrano in un'organizzazione indovinando o rubando le password. Dopo l'accesso, tentano di inoltrare i privilegi per ottenere l'accesso a dati e sistemi sensibili. Le Gestione delle identità e degli accessi: Scopri di più su come IAM protegge, gestisce e definisce i ruoli utente e i privilegi di accessosoluzioni di gestione delle identità e degli accessi consentono di rilevare attività anomale che potrebbero indicare che un utente non autorizzato ha ottenuto l'accesso. Offrono anche controlli e misure di sicurezza, ad esempio autenticazione a due fattori, che rendono più difficile l'uso delle credenziali rubate per l'accesso.

Molte organizzazioni sono sempre al passo con le minacce informatiche più recenti con l'aiuto di una soluzione SIEM (Security Information and Event Management). Le soluzioni SIEM aggregano i dati provenienti da tutta l'organizzazione e da origini di terze parti per esporre minacce informatiche critiche per i team di sicurezza da valutare e risolvere. Molte soluzioni SIEM rispondono automaticamente anche a determinate minacce note, riducendo il numero di eventi imprevisti che un team deve analizzare.

In qualsiasi organizzazione sono presenti centinaia o migliaia di endpoint. La presenza di server, computer, dispositivi mobili e dispositivi Internet delle cose (IoT) usati dalle aziende per svolgere attività aziendali, può fare sì che sia quasi impossibile mantenerli tutti aggiornati. Questo è il motivo per cui molti cyberattacchi iniziano con un endpoint compromesso. LeRilevamento e reazione degli endpoint Scopri in che modo EDR aiuta le organizzazioni a proteggersi da minacce informatiche gravi come il ransomware.soluzioni di rilevamento e reazione degli endpoint consentono ai team di sicurezza di monitorarle per rilevare le minacce e rispondere rapidamente quando individuano un problema di sicurezza con un dispositivo.

Le Funzionalità di rilevamento e reazione estese (XDR) Scopri come le soluzioni XDR (funzionalità di rilevamento e reazione estese) forniscono la protezione dalle minacce e riducono i tempi di risposta nei carichi di lavoro.soluzioni XDR (Funzionalità di rilevamento e reazione estese) consentono di rilevare e rispondere in modo più approfondito con un'unica soluzione che protegge endpoint, identità, app cloud e messaggi di posta elettronica.

Non tutte le aziende dispongono di risorse interne per rilevare e rispondere in modo efficace alle minacce. Per aumentare il team di sicurezza esistente, queste organizzazioni si rivolgono a provider di servizi che offrono rilevamento e risposta gestiti. Questi provider di servizi si assumono la responsabilità di monitorare l'ambiente di un'organizzazione e di rispondere alle minacce.

Anche se la comprensione della cyber kill chain può aiutare le aziende e gli enti pubblici a prepararsi in modo proattivo e a rispondere a minacce informatiche complesse e multistatali, affidarsi esclusivamente a tale catena può rendere un'organizzazione vulnerabile ad altri tipi di cyberattacchi. Alcune delle critiche comuni della cyber kill chain sono le seguenti’:

• Incentrato sul malware. Il framework di cyber kill chain originale è stato progettato per rilevare e rispondere al malware e non è efficace contro altri tipi di attacchi, ad esempio un utente non autorizzato che ottiene l'accesso con credenziali compromesse.

• Ideale per la sicurezza perimetrale. Con un'enfasi sulla protezione degli endpoint, il modello di cyber kill chain funzionava bene quando era presente un singolo perimetro di rete da proteggere. Ora, con così tanti lavoratori remoti, il cloud e un numero sempre crescente di dispositivi che accedono agli asset di un'azienda, può essere quasi impossibile risolvere ogni vulnerabilità degli endpoint.

• Non sono in grado di affrontare le minacce interne. Gli insider, che hanno già accesso ad alcuni sistemi, sono più difficili da rilevare con un modello di cyber kill chain. Al contrario, le organizzazioni devono monitorare e rilevare le modifiche nell'attività dell'utente.

• Troppo lineare. Sebbene molti attacchi informatici seguano le otto fasi delineate nella cyber kill chain, ce ne sono anche molti che non lo fanno o che combinano diverse fasi in un'unica azione. Le organizzazioni che sono troppo concentrate su ognuna delle fasi potrebbero non vedere queste minacce informatiche.

Dal 2011, quando Lockhead Martin ha introdotto per la prima volta la cyber kill chain, molto è cambiato nel panorama della tecnologia e delle minacce informatiche. Il cloud computing, i dispositivi mobili e i dispositivi IoT hanno trasformato l'operato delle persone e delle aziende. Gli attori di minacce informatiche hanno risposto a queste nuove tecnologie con le proprie innovazioni, tra cui l'uso dell'automazione e dell'intelligenza artificiale per accelerare e migliorare i cyberattacchi. La cyber kill chain offre un ottimo punto di partenza per lo sviluppo di una strategia di sicurezza proattiva che tenga conto della mentalità e degli obiettivi del cyberattacker. Microsoft Security offre una piattaforma SecOps unificata Unifica le tue operazioni per la sicurezza (SecOps) attraverso la prevenzione, il rilevamento e la risposta con una piattaforma basata su intelligenza artificiale.piattaforma SecOps unificata che riunisce XDR e SIEM in un'unica soluzione adattabile per aiutare le organizzazioni a sviluppare una difesa a più livelli che protegge tutte le fasi nella cyber kill chain. Inoltre, le organizzazioni si stanno preparando per le minacce informatiche emergenti basate sull'intelligenza artificiale, investendo in intelligenza artificiale per soluzioni di cybersecurity, come Microsoft Security Copilot.