Afinal, o que é Cyber Kill Chain e como funciona?

cyber_attack

A internet e a tecnologia trouxeram muitas facilidades para a vida das pessoas e, principalmente, das empresas. Hoje, é praticamente impossível encontrar alguém que não use essas ferramentas no seu dia a dia a fim de melhorar a sua rotina.

Porém, nem tudo são flores: com essas facilidades, vieram também algumas vulnerabilidades que estão relacionadas à segurança desse universo. Hoje, vamos falar sobre algo que você precisa saber o que é: a Cyber Kill Chain!

O fato é que vivemos em um cenário cibernético em que muitos ataques maliciosos podem acontecer a qualquer momento. Para se ter uma ideia, o Brasil ocupa a 70º colocação no Índice de Segurança Cibernética Global (GCI), estudo feito pela União Internacional de Telecomunicações da ONU (UIT). De acordo com os dados apresentados, o país hoje é o segundo no mundo que mais tem sofrido perdas econômicas decorrentes de ataques cibernéticos, ultrapassando a faixa de R$ 80 bilhões de prejuízos num período de 12 meses entre 2017 e 2018.

Deu para ver que esse assunto é sério, não é mesmo? Por isso, no post de hoje, vamos falar melhor sobre o conceito de Cyber Kill Chain, bem como sobre o seu processo de funcionamento. Continue acompanhando a leitura conosco para saber mais sobre o tema!

O que é Cyber Kill Chain?

Cyber Kill Chain é o nome dado ao processo que descreve os estágios de um ataque cibernético do tipo APT (Advanced Persistent Threat, ou Ataque Persistente Avançado) que são ataques orquestrados por indivíduos ou organizações fortemente motivadas, planejados com cuidado, e efetuados com paciência, quase sempre com tempo. O processo recebe este nome porque, a partir do momento em que uma de suas partes é quebrada, torna-se possível interromper o ataque, que pode ser executado em forma de malware, ransomware ou qualquer outro tipo de ameaça cibernética.

Esse termo surgiu lá em 2011, quando colaboradores de uma empresa que é fabricante de produtos aeroespaciais, chamada Lockheed Martin, criaram o conceito para auxiliar na tomada de decisão para detectar intrusões e fornecer respostas a isso.

Para que Serve a Cyber Kill Chain?

Como já falamos, a Cyber Kill Chain descreve o passo a passo do processo de um ataque. Tendo em vista isso, ao identificar em que fase este se encontra, se torna muito mais fácil trabalhar em ações para saná-lo imediatamente, visto que será possível criar um plano para interromper a sua atuação da maneira mais rápida possível!

Como funciona a Cyber Kill Chain?

Agora que você já sabe o que é Cyber Kill Chain e conhece o porquê da sua existência, vamos aprofundar um pouco mais na explicação desse conceito e descrever o seu funcionamento, para que seja possível entender plenamente sobre o que estamos falando. Veja, abaixo, quais são as suas etapas.

Reconhecimento

A primeira etapa é chamada de Reconhecimento. Aqui, o autor da ameaça – que pode ser um indivíduo, um grupo, uma organização privada ou financiada por governos – decide quem irá atacar ou recebe a missão de atacar um alvo específico, e aprofunda conhecimentos sobre a rede a ser invadida e seus usuários.

É importante que você saiba que as redes sociais são uma grande porta de entrada para que o autor do ataque consiga reunir informações sobre o alvo, e geralmente o foco da pesquisa está nas pessoas que têm mais privilégios dentro de uma organização. Isso dá subsídio para que o atacante entenda o perfil do potencial alvo da empresa-vítima e o utilize como um vetor do ataque, o expondo a vulnerabilidades como um e-mail à primeira vista ingênuo contendo um link o qual ele poderá clicar sem se dar conta e ser contaminado.

Armamento

A partir do momento em que o alvo é identificado e estudado, os atores responsáveis pelo ataque começam a agir iniciando um planejamento do ataque em si, bem como das ferramentas que serão utilizadas para isso ocorrer.

Geralmente, essas ferramentas focam a exploração da vulnerabilidade da rede. Essa é uma fase um tanto quanto complexa, visto que são identificados elementos da rede que podem ajudar a abrir essa porta para o ataque, sem correr o risco de ser bloqueado pelas camadas de segurança perimetral.

Entrega

Já a etapa de entrega corresponde ao momento em que o ataque é realizado por meio da entrega de um código malicioso para o alvo definido na fase de reconhecimento.

Se o atacante decidiu utilizar alvos humanos, um dos métodos mais utilizados é o chamado de Spear Phising, que consiste no envio de mensagens direcionadas ao alvo, como uma oferta atrativa de e-commerce contendo um link malicioso. Uma vez que o código é baixado e executado no dispositivo da vítima, o atacante passa a ter total acesso a ele e está livre para agir.

Caso o atacante tenha definido explorar as vulnerabilidades dos sistemas de segurança da organização, existe uma série de ferramentas capazes de auxiliá-lo nessa missão, afim de obter o controle da rede em questão.

Comando e Controle

A próxima etapa é chamada de Comando e Controle (C&C), quando é estabelecido o canal de comunicação entre o código inicial, ou ameaça, e o atacante.

Uma vez que a infiltração no dispositivo da rede alvo é bem sucedida, o processo de C&C é iniciado e o atacante pode instruir o código inicial a fazer o download de mais pedaços criptografados de código para estender o ataque e atingir o objetivo. Essa ação pode durar semanas ou meses, enganando os sistemas de detecção de arquivos da rede.

Após receber o último pedaço de código, o código inicial monta e desencripta todas as peças, executando o novo programa.

Ações para o Objetivo

Após passar por todos os passos anteriores, chegamos à etapa chamada Ações para o Objetivo, que representa realmente o que o autor do ataque pode fazer para alcançar o que tanto deseja, uma vez que não está mais sob vigilância dos sistemas de prevenção. Nela, ele poderá executar as ações que estão no seu radar, que podem ser:

  • iniciar movimentação lateral para chegar até os ativos desejados,
  • obter credenciais de acesso de executivos e administradores;
  • extrair informações confidenciais;
  • interromper a operação de um sistema.

Muitas vezes essa etapa servirá apenas para entrar no sistema almejado como mais uma ação para concluir um objetivo maior, tal como infectar outro sistema.

Deu para perceber o quanto é importante entender o conceito de Cyber Kill Chain para aprimorar a segurança cibernética de uma organização, não é mesmo? O fato é que vivemos na era da informação, e, sem dúvida alguma, esse é um dos principais ativos que um negócio carrega consigo, se não for o principal.

Para minimizar a chance de sofrer ataques persistentes e avançados, é importante compreender que qualquer suspeita de comprometimento deve ser investigada minuciosamente e de maneira automatizada, visto que as tecnologias de prevenção tradicionais não são suficientes para conter contê-los. Gostou deste post? O que acha, agora, de assinar a nosso newsletter para receber todas as novidades do nosso blog em primeira mão? Não perca tempo e assine já!