O Cyber Kill Chain é um modelo de cibersegurança desenvolvido pela Lockheed Martin que descreve as etapas usadas por criminosos cibernéticos para realizar ataques a sistemas. Originalmente aplicado em contextos militares, foi adaptado para o ambiente digital como uma forma de identificar, prevenir e mitigar ciberataques. O modelo se baseia no entendimento de como os ataques são conduzidos e propõe medidas para interrompê-los em cada estágio.
As 7 etapas do Cyber Kill Chain:
- Reconhecimento (Reconnaissance): os atacantes realizam pesquisas e coletam informações sobre os sistemas e vulnerabilidades de uma empresa;
- Armamento (Weaponization): os atacantes criam um malware ou outra ferramenta personalizada para explorar as vulnerabilidades descobertas;
- Entrega (Delivery): o malware é entregue à empresa, geralmente por phishing, e-mails maliciosos ou downloads comprometidos;
- Exploração (Exploitation): o malware é ativado ao explorar as vulnerabilidades do sistema ou dos usuários;
- Instalação (Installation): o malware é instalado no sistema da empresa para manter o controle e realizar ações maliciosas;
- Comando e Controle (Command & Control): os atacantes estabelecem um canal de comunicação com o sistema comprometido para controlar o ataque;
- Ações no Objetivo (Actions on Objectives): finalmente, os atacantes atingem seus objetivos, como roubar dados, danificar sistemas ou interromper operações.
Ao mapear essas etapas, o Cyber Kill Chain permite que as equipes de segurança identifiquem e interrompam um ataque em qualquer fase do processo. Por exemplo:
- Na fase de reconhecimento, é possível usar ferramentas de monitoramento para detectar e bloquear tentativas de coleta de informações;
- Na fase de entrega, soluções de firewall e de filtro de e-mails ajudam a impedir que o malware entre no sistema;
- Em fases mais avançadas, como comando e controle, é possível detectar atividades incomuns e bloquear comunicações maliciosas antes que os atacantes possam completar seu objetivo.
A segurança em múltiplas camadas da WatchGuard com o WatchGuard EPDR ajuda a interromper sempre a Cyber Kill Chain e deixar os invasores de mãos vazias. O maior objetivo da estratégia de segurança de endpoint de uma organização deve ser o desenvolvimento de uma empresa mais resiliente. Isso não prevenirá todosos ataques, mas impedirá mais deles, e em estágios mais iniciais. Um dos objetivos é contar com mecanismos de defesa eficientes para a Cyber Kill Chain expandida, de modo a desacelerar ataques, torná-los cada vez mais caros e dificultar ao máximo a progressão às próximas etapas. Se os adversários não conseguirem atingir seus objetivos com métodos lucrativos, eles tratarão de objetivos diferentes ou parecidos, mas o alvo será outro.
O mapeamento da estratégia de defesa para o modelo da CKC expandida demonstra como uma organização pode prevenir, detectar, interromper e se recuperar em meio aos estágios de ataque. Assim, a segurança da organização se alinha aos mesmos critérios de sucesso dos adversários. É difícil atingir esse objetivo por conta de diversos fatores. Os aplicativos estão cada vez mais complexos e interconectados. Como tal, são vulneráveis, pois a maioria
dos softwares não é desenvolvida com princípios de segurança apropriados. Além disso, funcionários e parceiros continuam a representar um grande vetor de risco, uma porta de entrada para ataques baseados em engenharia social.
WatchGuard EPDR combate esses problemas de segurança por meio da prevenção, da detecção e da resposta às técnicas mais avançadas usadas por adversários em todas as etapas da Cyber Kill Chain expandida. Graças ao recurso inteligente de Detecção e Resposta de Endpoints (EDR), as equipes de segurança podem desenvolver uma estratégia alinhada à Cyber Kill Chain expandida sem aumentar o número de funcionários.
A SecureOne é GOLD Partner da WatchGuard.
Quer implementar essa solução na sua empresa? Fale com a gente!