O conceito de Cyber Kill Chain é algo que surgiu a partir da necessidade de identificar as etapas de um ataque cibernético para melhorar a segurança das informações dos sistemas e das redes.
De forma bem simples, ele serve para as equipes de cibersegurança se anteciparem às ações dos invasores e diminuir o impacto dos ataques. Mas, para aprofundar sobre o tema, preparamos este artigo onde vamos falar quais são os passos acompanhados pela cyber kill chain e como essa estrutura ajuda a prevenir os ataques cibernéticos.
O que é Cyber Kill Chain?
Cyber kill chain, ou cadeia de mortes cibernéticas em tradução livre para o português, é uma abordagem passo a passo cujo principal objetivo é identificar e interromper ataques cibernéticos ou atividades ofensivas.
Ou seja, o foco da cyber kill chain é identificar ameaças, como malwares ou ransomwares, para desestruturar e inibir ataques ofensivos antes que eles cheguem ao alvo.
A cyber kill chain foi desenvolvida pela Lockheed Martin com base em modelos de ataque militar que foram adaptados para o ambiente digital. Essa abordagem é chamada de cadeia de mortes cibernéticas porque para inibir um ataque todas as etapas precisam estar conectadas. Caso contrário, todo o trabalho estará prejudicado.
Como funciona o Cyber Kill Chain?
Cyber kill chain é uma abordagem utilizada tanto para o bem, quanto para o mal. Isso porque profissionais de cibersegurança e hackers a utilizam com objetivos totalmente distintos.
Cibesegurança
No caso dos profissionais de cibersegurança, a ciber kill chain é utilizada para proteger os sistemas ou os usuários de invasões conhecidas como ameaças persistentes avançadas (APTs). Nesses tipos de ameaças, os profissionais trabalham para mapear e identificar vulnerabilidades de modo a evitar que os ataques se concretizem.
Ataques cibernéticos
Já nos ataques cibernéticos, os invasores utilizam a estrutura da cyber kill chain para pesquisar e planejar um ataque. Nesses casos, os invasores uma a kill chain com objetivo de identificar as melhores técnicas de engenharia social ou combinações de malware, ransomware, etc, para realizar uma invasão.
Ataques cibernéticos mais comuns que utilizam o Cyber Kill Chain
Os tipos de ataques cibernéticos ou vetores, como costumam ser chamados na estrutura cyber kill chain, são:
- Ataque de malware: software malicioso que se aproveita da vulnerabilidade do sistema ou da rede para invadi-la através do download de programas ou softwares com códigos maliciosos;
- Phishing: tipo de ataque disparado em massa que consiste no envio de anexos ou links infectados por meio de e-mails, ou mensagens em redes sociais e SMS;
- Ransomware: um tipo de ataque de malware, o ransomware é um tipo de software de extorsão cujo objetivo é bloquear o alvo de acessar as suas próprias informações para cobrar resgate e extorquir a vítima.
Fases do Cyber Kill Chain
Uma abordagem kill chain não acontece de uma hora para outra. Pelo contrário, ela acontece em diferentes fases, onde cada uma representa uma certa atividade que faz parte de um crime cibernético.
Inicialmente, tanto especialistas de segurança quanto invasores utilizavam o modelo da Lockheed Martin, a cadeia de destruição cibernética mais conhecida. Esse modelo foi desenvolvido em 2011 e é composto por sete fases: reconhecimento, armamento, entrega, exploração, instalação, comando e controle, e ações nos objetivos.
Entretanto, há alguns anos os especialistas em cibersegurança sentiram necessidade de mais uma fase e aderiram à exfiltração.
Abaixo, falamos das oito fases da cadeira de destruição cibernética e dos seus respectivos papéis:
1. Reconhecimento
Também chamada de fase de observação, o reconhecimento consiste no processo de avaliação do cenário e coleta de informações para identificar alvos e como atacá-los. Quanto mais informações, maiores são as chances do ataque ser bem sucedido.
2. Armamento
Esta é a fase de planejamento e criação do vetor que será utilizado no ataque. Por exemplo, um ransomware ou um malware de acesso remoto. Além disso, é nessa fase que os invasores procuram vulnerabilidades e testam a segurança do dispositivo.
3. Entrega
A entrega se refere ao ato de enviar o vetor de ataque para o usuário. Nesses casos, a entrega pode acontecer por meio de uma invasão ao sistema ou através de um e-mail de phishing.
4. Exploração
Logo depois de se infiltrar no sistema, a próxima etapa é a da exploração. Em resumo, o que acontece é o seguinte: o código malicioso vasculha o sistema procurando oportunidades de se instalar por meio de ferramentas ou da modificação de certificados de segurança.
5. Instalação
A etapa da instalação consiste em instalar um backdoor para sempre ter acesso ao sistema ou rede do alvo sem que a sua presença seja detectada por outros vetores de ataque. Normalmente, essas presenças só conseguem ser detectadas quando sinais de alerta, como grande movimentação de dados ou logins incomuns, são enviados para a equipe de segurança.
6. Comando e Controle (C2)
Quando o alvo está completamente comprometido, os invasores utilizam o vetor de ataque instalado no sistema para controlar de forma remota os dispositivos e as redes do alvo. Além disso, nessa etapa de comando e controle os invasores aproveitam para descobrir informações confidenciais e identificar dados críticos que possam prejudicar ainda mais o alvo.
7. Ações nos objetivos
Em síntese, a última fase da cadeia cibernética da Lockheed Martin se resume ao que o invasor deseja fazer com o seu alvo. Por exemplo, criptografar ou roubar seus dados, derrubar sua rede para que ela fique sem acesso, entre outras ações.
8. Exfiltração
Por fim, a última fase da cadeia cibernética é a exfiltração. Basicamente, é a estratégia de saída dos invasores para conseguirem ganhos financeiros por meio dos dados roubados do alvo. Para isso, os cibercriminosos podem cobrar um resgate à vítima para devolver ou não vazar seus dados, vender na dark web, enviar para o wikileaks, etc.
Como utilizar o Cyber Kill Chain contra ataques cibernéticos?
De forma bem simples, podemos dizer que a estrutura da cyber kill chain dá a chance das equipes de cibersegurança identificarem os ataques antes que eles aconteçam ou tenham mais chances de interpretá-lo caso esteja acontecendo.
A utilização dessa estratégia é importante para evitar ataques cibernéticos que podem destruir uma instituição. De acordo com um relatório do FortiGuard Labs, divulgado em novembro de 2022, o Brasil acumulou 50,3 bilhões de tentativas de ataques no ano, sendo 18,8 bilhões de tentativas de invasões entre os meses de julho a setembro.
Para exemplificar como a cyber kill chain é capaz de evitar ataques cibernéticos e pode fazer a proteção dos dados de forma eficiente, listamos algumas ações:
- Identificar e corrigir falhas de segurança;
- Mapear o caminho que o invasor deve percorrer até o alvo;
- Orientar estratégias e ferramentas de segurança para a empresa;
- Realizar simulações para treinar a equipe sobre como lidar com uma ameaça cibernética.
Sofri um ataque, o que devo fazer?
Caso você seja vítima de uma invasão de dados, mesmo utilizando a cyber kill chain como um recurso de proteção, o mais indicado é reunir a maior quantidade de provas possíveis e abrir um boletim de ocorrência em uma delegacia especializada em crimes cibernéticos.
Apesar da vontade de resolver logo a situação, especialistas de segurança não recomendam ceder às chantagens dos invasores.
Críticas e desafios do Cyber Kill Chain
O cyber kill chain é um excelente recurso de segurança cibernética, mas ainda assim não está livre das críticas. De acordo com os usuários, as maiores falhas do cyber kill chain estão relacionadas a segurança de perímetro e a vulnerabilidades de ataque.
No caso da segurança do perímetro, as críticas estão relacionadas ao fato das duas primeiras fases do ataque acontecerem fora da rede de destino e serem mais difíceis de serem identificadas.
Já quando se fala das vulnerabilidades de ataque, as críticas acontecem porque as estratégias de defesa tradicionais não são mais suficientes para lidar com os ataques. Atualmente, o mais indicado é combinar o cyber kill chain com outras estratégias de segurança.
Conclusão
Independente do tipo de ataque cibernético, ao utilizar o cyber kill chain como uma ferramenta de segurança, quase sempre é possível antecipar as ameaças e preparar as suas estratégias de segurança. Além disso, também é possível mensurar o impacto do ataque e como eles podem afetar a integridade dos dados.
Por isso, investir nos estudos sobre cibersegurança é tão importante. Se você tem interesse na área, o Bootcamp Online Analista de Ataque Cibernético da XP Educação ensina, em apenas 10 semanas, explorar vulnerabilidades, identificar ameaças, e arquitetar e executar testes de intrusão.
