As forças armadas americanas foram as primeiras a formalizar o conceito de “Cyber Kill Chain”, definido como as seis etapas de uma cadeia percorrida para eliminar um alvo: localizar, corrigir, rastrear, segmentar, envolver e avaliar.
O conceito é chamado de cadeia porque, se algum dos pontos for perdido, todo o processo pode ser prejudicado. Ela refere-se às sete etapas que são geralmente necessárias para criar um ataque cibernético. São elas:
– Reconhecimento: coleta de informações e reconhecimento do alvo. Isso pode ser feito por meio da coleta de endereços de e-mail ou de técnicas de engenharia social, como em redes sociais ou qualquer outra informação disponível na web. Também podem ser feitas varreduras de servidores abertos.
– Armamento: é criado um sistema de ataque, ou seja, uma maneira de comprometer a rede, encontrando o malware certo para o trabalho. Por exemplo, um trojan de acesso remoto e uma técnica que atrairá o alvo.
– Entrega: entregar um pacote para a vítima via e-mail, web, USB, entre outros.
– Exploração: usar uma vulnerabilidade no sistema de destino para executar o código malicioso.
– Instalação: instalar o referido código.
– Comando e Controle: após o alvo estar totalmente comprometido, o sistema retorna ao atacante, meio de um bot, zumbi ou outro sistema comprometido.
– Ações em Objetivos: é onde o atacante alcança o que planejou. Pode ser desde espionagem a comprometer sistemas mais profundos na rede, roubar credenciais, instalar ransomware ou simplesmente causar estragos.
Assim como o Cyber Kill Chain, um ataque típico normalmente exige que todos esses passos sejam bem-sucedidos para que o ataque como um todo tenha sucesso. A maior parte dos ataques segue esse modelo, enquanto ataques mais sofisticados podem estar em desenvolvimento ou fazem uso de automação.
Cyber Kill Chain
Em um documento técnico da Lockheed Martin (empresa de segurança) de 2015, autoridades analisam algumas das medidas de precaução que as organizações podem tomar para limitar os danos de cada etapa.
O Reconhecimento é difícil de ser evitado, porque pode contar com a exploração de informações disponíveis na web. Quando ocorrem violações de dados, esses detalhes acabam à venda na deep web ou até na web, como no Pastebin. O que pode ser feito é coletar logs de visitantes para que seja possível pesquisar por eles se ocorrer um ataque.
O Armamento acontece em grande parte do lado dos atacantes, então é improvável que seja possível identificá-lo até o ataque. Mas é possível impor regras rigorosas de correção em toda a organização e incentivar o treinamento dos funcionários. Duas das linhas mais comuns para invasores são conformidade com correção ou atualização incorreta e erro humano comum.
Já para a Entrega – qualquer organização deve ter soluções de proteção de firewalls e, idealmente, verificação ativa de ameaças na própria rede. Mas se o firewall não tiver sido configurado corretamente, torna-se apenas atividade de registro, em vez de impedir ou sinalizar atividades maliciosas. Do lado técnico, é preciso executar varreduras de vulnerabilidades regulares e colocar equipes em testes de penetração regulares.
Na Instalação, se detectado um malware na rede, a empresa deve fazer o melhor para isolar o ataque, ainda que isso reduza as operações do dia. Em seguida, deve examinar os processos de terminais para procurar novos arquivos incomuns e usar um sistema de prevenção de invasões de host para alertar ou bloquear caminhos comuns de instalação.
O Comando e Controle é a última chance do defensor bloquear a operação. Para isso, é preciso descobrir a infraestrutura do ataque por meio da análise de malware, deixar a rede mais segura consolidando o número de pontos de presença na Internet e solicitando proxy para todos os tipos de tráfego.
Por fim, sobre as Ações sobre objetivos, muitos ataques não são detectados por dias, semanas, meses ou até anos. Então, ao detectar uma invasão, metade do caminho está feito. Mas isso significará mitigação de danos e rapidez: descobrir quais dados vazaram, para onde o malware se espalhou e procurar por credenciais não autorizadas. Dependendo da gravidade do ataque, talvez seja necessário trazer ajuda externa especializada.
