Koncept Cyber Kill Chain, představený společností Lockheed Martin v roce 2011, představuje bezpečnostní model, který podrobně popisuje jednotlivé kroky kybernetického útoku. Jeho účelem je pomoci v pochopení, identifikaci a obraně před hrozbami v kyberprostoru.
Pro ty, které zajímá pozadí, Lockheed Martin je mezinárodní korporace působící v oblasti letectví, obrany, zbrojení a bezpečnosti.
Cyber Kill Chain (CKC) je často citován odborníky na kybernetickou bezpečnost jako klíčový model pro tvorbu strategií a ochranu organizací před útoky v digitálním světě.
Význam Cyber Kill Chain v kybernetické bezpečnosti
Pojďme si to říct upřímně; kybernetická bezpečnost není jednoduchá záležitost. I když se na první pohled může zdát, že stačí poskytnout uživatelům základní tipy pro bezpečné surfování po internetu, realita je mnohem složitější.
Když organizace čelí skutečnému kybernetickému útoku, musí být připravena řešit řadu technických výzev. Očekávat, že se organizace ubrání pomocí jednoduchých bezpečnostních rad, je naivní.
Proto je nutný rámec (neboli model), který položí základy pro hlubší pochopení kybernetických útoků a umožní efektivní obranu proti nim.
Cyber Kill Chain je osvědčený bezpečnostní model, který slouží jako základní kámen pro pochopení jednotlivých fází kybernetického útoku. Skládá se ze sedmi fází, které si podrobně rozebereme níže.
Úloha Cyber Kill Chain v kybernetické bezpečnosti
Cyber Kill Chain není jen o poskytování informací o průběhu kybernetického útoku. Pomáhá organizacím pochopit, jak odhalovat útočníky, bránit neoprávněnému přístupu, minimalizovat dopad aktivního útoku a zabránit útočníkovi v pohybu po síti.
Tímto způsobem Cyber Kill Chain pomáhá organizacím a profesionálům v oblasti kybernetické bezpečnosti vyvíjet účinné strategie.
Je však důležité si uvědomit, že samotný Cyber Kill Chain nemůže zaručit absolutní ochranu. Úspěch obrany závisí na mnoha faktorech, jak interních, tak externích, které tento model neobsahuje.
Fáze Cyber Kill Chain
Obrázek s laskavým svolením: Lockheed Martin
Rámec CKC se skládá ze sedmi kroků popisujících průběh kybernetického útoku. Jedná se o:
- Průzkum
- Zbrojení
- Doručení
- Využití
- Instalace
- Řízení a ovládání
- Akce
#1. Průzkum
Průzkum je úvodní fází Cyber Kill Chain a je zaměřen na shromažďování informací.
Útočník se snaží získat informace o potenciálních vstupních bodech a slabinách v síti, hledá zranitelnosti. Nejde jen o identifikaci slabých míst, ale také o shromažďování e-mailových adres, fyzických adres a dalších údajů o softwaru, které by mohly pomoci při tvorbě škodlivých strategií pro provedení útoku.
Čím více informací útočník získá, tím účinnější může jeho útok být. Tato průzkumná fáze může probíhat jak online, tak offline, a proto nemusí být útočník v této fázi vůbec odhalen.
Organizace a jejich zaměstnanci se mohou proti této fázi bránit tím, že se zaměří na ochranu soukromí. To zahrnuje omezení fyzického přístupu k prostorám pouze na oprávněné osoby a vzdělávání zaměstnanců o tom, jak nesdílet citlivé osobní údaje online. Je důležité využívat nástroje pro ochranu soukromí a chránit svou online identitu.
#2. Zbrojení
V této fázi útočník vytváří zbraň, ať už je to malware nebo speciální nástroj pro provedení kybernetického útoku.
Útočníci často využívají stávající nástroje, které modifikují pro konkrétní účel, aby se připravili na další krok – doručení.
Typ zbraně závisí na cíli útočníka. Někteří se zaměřují na přerušení služeb, jiní na krádež dat nebo na vydírání za účelem zisku. Zbraní může být cokoliv, co je s tímto cílem v souladu.
#3. Doručení
Toto je klíčová fáze, kde se rozhoduje o úspěchu útoku.
Pokud je doručení úspěšné, malware se dostane do systému a může začít plnit svůj účel. Pokud se doručení nezdaří, všechny útočné strategie selžou.
Útočník používá různé prostředky k doručení malwaru, například škodlivé přílohy e-mailů, phishingové e-maily, textové zprávy, které uživatele oklamou k udělení přístupu a podobně. Útočník se snaží využít informace získané v průzkumné fázi a přesvědčit cíl o legitimitě zprávy nebo odkazu.
Pokud jsou organizace a její zaměstnanci informováni o hrozbě phishingových útoků a dalších běžných kybernetických útoků, bude doručení mnohem obtížnější.
#4. Využití
V této fázi má útočník informace o zranitelnostech a dokázal proniknout do systému oběti.
Nyní využije zjištěné zranitelnosti ke spuštění dodaného škodlivého kódu. Útočník získá hlubší vhled do systému a objeví další slabá místa.
Jakýkoli systém připojený k síti, který je zranitelný, se může stát obětí útoku.
#5. Instalace
Po prozkoumání všech zranitelností se útočník zaměří na instalaci malwaru a dalšího škodlivého kódu, aby mohl využívat různé neznámé zranitelnosti.
V této fázi je infiltrace dokončena a útočník se dostává hluboko do napadené sítě.
#6. Řízení a ovládání
Po dokončení infiltrace je čas, aby útočník převzal kontrolu nad napadeným systémem nebo sítí.
Útočník se může rozhodnout pro dálkové sledování a monitoring informací, nebo může začít sabotovat systém a služby. Může se jednat o DDoS útoky, nebo přidání zadních vrátek, které umožní vstup do systému bez odhalení.
#7. Akce
V závislosti na cíli útoku útočník provede finální akci k dosažení svého cíle.
Může šifrovat data a požadovat výkupné, infikovat systém a šířit malware, narušit služby nebo ukrást data za účelem zveřejnění nebo změny. Možností je mnoho.
Jak Cyber Kill Chain pomáhá chránit před útoky?
Pochopení toho, jak se útočníci dostávají do sítě a systémů, pomáhá organizacím a jejich zaměstnancům bránit se kybernetickým útokům.
Například s pomocí Cyber Kill Chain si uvědomíme, že zranitelnosti v síti umožňují útočníkovi rychlou infiltraci. Organizace tedy mohou zvážit nasazení nástrojů pro detekci a reakci na koncové body, aby posílily svou strategii kybernetické bezpečnosti v oblasti včasné detekce.
Dále je vhodné využívat firewally pro ochranu cloudové infrastruktury a cloudových služeb pro ochranu proti DDoS útokům.
Nesmíme zapomenout na VPN, které mohou zvýšit bezpečnost podnikání.
Organizace mohou efektivně využít model Cyber Kill Chain výběrem řešení, která se zaměří na jednotlivé fáze kybernetického útoku.
Je Cyber Kill Chain dostačující?
Odpověď zní ano i ne.
Jak již bylo zmíněno, Cyber Kill Chain popisuje pouze základy kybernetického útoku. I když se organizaci podaří zabezpečit všechny tyto body, jedná se o velký úspěch.
Někteří odborníci na kybernetickou bezpečnost tento model rozšířili o 8. fázi.
Tato 8. fáze se zaměřuje na monetizaci:
Tato fáze vysvětluje, jak útočníci vydělávají peníze na úspěšném útoku. Ať už se jedná o výkupné, nebo využití kryptoměny, organizace musí být připraveny i na takové situace.
Celkově je tento model považován za zastaralý, protože se digitální svět neustále vyvíjí. Kybernetické útoky jsou nyní sofistikovanější, i když základy zůstávají stejné. Rámec CKC například nezahrnuje všechny typy útoků, ale zaměřuje se především na malware.
Nezabývá se ani interními hrozbami, jelikož i nepoctiví zaměstnanci mohou představovat riziko pro organizaci.
S ohledem na to, že kybernetické útoky jsou čím dál sofistikovanější, a to i díky cloudu a umělé inteligenci, je dobré zvážit i další modely, jako je MITER ATT&CK a Unified Kill Chain.