O que é a cyber kill chain?

Em 2011, a Lockheed Martin adaptou um conceito militar chamado “kill chain” para o sector da cibersegurança e deu-lhe o nome de “cyber kill chain”. Tal como a kill chain, a cyber kill chain identifica as fases de um ataque e dá aos defensores uma visão das táticas e técnicas típicas dos seus adversários durante cada fase. Ambos os modelos são também lineares, com a expetativa de que os atacantes sigam cada fase sequencialmente.

Desde que a cyber kill chain foi introduzida pela primeira vez, os autores de ciberameaças evoluíram as suas táticas e nem sempre seguem todas as fases da cyber kill chain. Em resposta, a indústria da segurança atualizou a sua abordagem e desenvolveu novos modelos. A matriz MITRE ATT&CK® é uma lista detalhada de táticas e técnicas baseadas em ataques reais. Utiliza fases semelhantes às da cyber kill chain, mas não segue uma ordem linear.

Em 2017, Paul Pols, em colaboração com a Fox-IT e a Universidade de Leiden, desenvolveu outro quadro, a cyber kill chain, que combina elementos da matriz MITRE ATT CK e da cyber kill chain num modelo com 18 fases.

Reconhecimento

A cyber kill chain define uma sequência de fases de ciberataque com o objetivo de compreender a mentalidade dos ciberatacantes, incluindo os seus motivos, ferramentas, métodos e técnicas, a forma como tomam decisões e como evitam a deteção. Compreender como funciona a cyber kill chain ajuda os defensores a parar os ciberataques nas fases iniciais.

Durante a fase de armamento, os malfeitores utilizam as informações descobertas durante o reconhecimento para criar ou modificar o malware para melhor explorar as fraquezas da organização visada.

Uma vez criado o malware, os ciberataques tentam lançar o seu ataque. Um dos métodos mais comuns é a utilização de técnicas de engenharia social, como o phishing, para enganar os funcionários e levá-los a entregar as suas credenciais de acesso. Os criminosos também podem conseguir entrar tirando partido de uma ligação sem fios pública que não seja muito segura ou explorando uma vulnerabilidade de software ou hardware descoberta durante o reconhecimento.

Depois de se infiltrarem na organização, os cibercriminosos utilizam o seu acesso para se deslocarem lateralmente de sistema para sistema. O seu objetivo é encontrar dados sensíveis, vulnerabilidades adicionais, contas administrativas ou servidores de correio eletrónico que possam utilizar para infligir danos à organização.

Na fase de instalação, os criminosos instalam malware que lhes dá controlo de mais sistemas e contas.

Depois de os ciberataques terem obtido o controlo de um número significativo de sistemas, criam um centro de controlo que lhes permite operar remotamente. Durante esta fase, utilizam a ofuscação para cobrir os seus rastos e evitar a deteção. Também utilizam ataques Denial-of-service para desviar os profissionais de segurança do seu verdadeiro objetivo.

Nesta fase, os ciberataques toma medidas para alcançar o objetivo principal, que pode incluir ataques de cadeia de fornecimento, transferência de dados não autorizada, encriptação de dados ou destruição de dados.

Embora a “ cyber kill chain” original da Lockhead Martin incluísse apenas sete passos, muitos especialistas em cibersegurança alargaram-na para oito, de modo a ter em conta as atividades que os criminosos realizam para gerar rendimentos com o ataque, como a utilização de ransomware para extrair um pagamento das suas vítimas ou a venda de dados sensíveis na dark web.

Compreender a forma como os agentes de ciberameaças planeiam e conduzem os seus ataques ajuda os profissionais de cibersegurança a encontrar e atenuar as vulnerabilidades em toda a organização. Também os ajuda a identificar indicadores de comprometimento durante as fases iniciais de um ciberataque. Muitas organizações utilizam o modelo da cyber kill chain para implementar medidas de segurança de forma proactiva e para orientar a resposta a incidentes.

Informações sobre ameaças

A inteligência contra ameaças fornece uma visão abrangente dos dados e  informações de segurança. As boas soluções de informações sobre ameaças sintetizam os dados de todo o ambiente de uma organização e fornecem informações acionáveis que ajudam os profissionais de segurança a detetar precocemente os ciberataques.

Muitas vezes, os criminosos infiltram-se numa organização adivinhando ou roubando palavras-passe. Depois de entrarem, tentam aumentar os privilégios para obter acesso a dados e sistemas sensíveis. As soluções de gestão de identidade e acesso ajudam a detetar atividades anómalas que podem ser uma indicação de que um utilizador não autorizado obteve acesso. Também oferecem controlos e medidas de segurança, como a autenticação de dois fatores, que dificultam a utilização de credenciais roubadas para iniciar sessão.

Muitas organizações mantêm-se à frente das mais recentes ameaças cibernéticas com a ajuda de uma solução de gestão de eventos e informações de segurança (SIEM). As soluções SIEM agregam dados de toda a organização e de fontes de terceiros para revelar ameaças cibernéticas críticas para as equipas de segurança fazerem a triagem e resolverem. Muitas soluções SIEM também respondem automaticamente a determinadas ameaças conhecidas, reduzindo o número de incidentes que uma equipa tem de investigar.

Em qualquer organização existem centenas ou milhares de pontos terminais. Entre os servidores, computadores, dispositivos móveis e dispositivos da Internet das Coisas (IoT) que as empresas utilizam para realizar negócios, pode ser quase impossível mantê-los todos atualizados. Os criminosos sabem disso, e é por isso que muitos ciberataques começam com um ponto de extremidade comprometido. As soluções de deteção e resposta de pontos finais ajudam as equipas de segurança a monitorizá-los para detetar ameaças e a responder rapidamente quando descobrem um problema de segurança num dispositivo.

As soluções de deteção e resposta alargadas (XDR) levam a deteção e resposta de pontos finais um passo mais além com uma única solução que protege pontos finais, identidades, aplicações na nuvem e e-mails.

Nem todas as empresas têm recursos internos disponíveis para detetar e responder eficazmente às ameaças. Para aumentar a sua equipa de segurança existente, estas organizações recorrem a fornecedores de serviços que oferecem deteção e resposta geridas. Estes fornecedores de serviços assumem a responsabilidade de monitorizar o ambiente de uma organização e responder às ameaças.

Embora a compreensão da cyber kill chain possa ajudar as empresas e os governos a prepararem-se proactivamente e a responderem a ciberameaças complexas e de várias fases, confiar exclusivamente nela pode tornar uma organização vulnerável a outros tipos de ciberataques. Algumas das críticas comuns à cyber kill chain são o facto de ser:

• Focado em malware. A estrutura original da cyber kill chain foi concebida para detetar e responder a malware e não é tão eficaz contra outros tipos de ataques, como o acesso de um utilizador não autorizado com credenciais comprometidas.

• Ideal para a segurança do perímetro. Com ênfase na proteção dos terminais, o modelo de cyber kill chain funcionou bem quando havia um único perímetro de rede para proteger. Agora, com tantos trabalhadores remotos, a nuvem e um número cada vez maior de dispositivos que acedem aos ativos de uma empresa, pode ser quase impossível resolver todas as vulnerabilidades dos terminais.

• Não está preparado para ameaças internas. Os infiltrados, que já têm acesso a alguns sistemas, são mais difíceis de detetar com um modelo de cyber kill chain. Em vez disso, as organizações precisam de monitorizar e detetar alterações na atividade do utilizador.

• Demasiado linear. Embora muitos ciberataques sigam as oito fases descritas na cyber kill chain, há também muitos que não o fazem ou que combinam várias etapas numa única ação. As organizações que estão demasiado concentradas em cada uma das fases podem não ver estas ciberameaças.

Desde 2011, quando a Lockhead Martin apresentou pela primeira vez a cyber kill chain, muita coisa mudou no panorama da tecnologia e das ciberameaças. A computação em nuvem, os dispositivos móveis e os dispositivos IoT transformaram a forma como as pessoas trabalham e as empresas funcionam. Os autores de ciberameaças responderam a estas novas tecnologias com as suas próprias inovações, incluindo a utilização da automatização e da IA para acelerar e melhorar os seus ciberataques. Uma cibercadeia de ataque oferece um excelente ponto de partida para o desenvolvimento de uma estratégia de segurança proactiva que tenha em conta a mentalidade e os objetivos do ciberataque. A Microsoft Security oferece uma plataforma SecOps unificada que reúne XDR e SIEM numa única solução adaptável para ajudar as organizações a desenvolver uma defesa multicamada que protege todas as fases da cibercadeia de ataque. As organizações também se estão a preparar para ciberameaças emergentes, com tecnologia de IA, investindo em soluções de IA para cibersegurança, como Microsoft Security Copilot.