Cyber ​​Kill Chain och dess roll i cybersäkerhet förklaras på 5 minuter eller mindre

Cyber ​​Kill Chain är en säkerhetsmodell utvecklad av Lockheed Martin 2011 som beskriver stegen för en cyberattack, som hjälper till att förstå, identifiera och försvara sig mot hot.

Om du är nyfiken, Lockheed Martin är ett globalt flyg-, försvars-, vapen- och säkerhetsföretag.

Och Cyber ​​Kill Chain (CKC) är en av de populära säkerhetsmodellerna som cybersäkerhetsexperter refererar till för att utforma en strategi och försvara organisationer mot cyberattacker.

Varför är Cyber ​​Kill Chain viktig inom cybersäkerhet?

Låt oss vara ärliga; Cybersäkerhet är inte så enkelt. Det kan ibland låta enkelt och övertygande när man ger slutanvändarna de tips de behöver för att vara säkra på internet.

Men när organisationer tar itu med en riktig cyberattack måste de veta många tekniska saker om den. Man kan väl inte förvänta sig att en organisation ska försvara sig mot cyberattacker med ett par säkerhetstips?

Så, ett ramverk (eller en modell) behövs för att lägga grunden för att förstå cyberattacker och försvara dem mot dem.

Cyber ​​Kill Chain är en traditionell säkerhetsmodell som fungerar som bas för att förstå stadierna av en cyberattack. Den innehåller sju steg, som vi kommer att diskutera nedan.

Rollen för Cyber ​​Kill Chain inom cybersäkerhet

Inte bara begränsat till att ge insikter om en cyberattack, Cyber ​​Kill Chain hjälper organisationer att känna till sätt att upptäcka angripare, förhindra åtkomst från obehöriga användare, mildra en aktiv attack och stoppa en angripare inom nätverket.

Detta hjälper organisationer och cybersäkerhetsexperter att utforma en strategi som skulle hjälpa.

Cyber ​​Kill Chain kan inte ensam garantera allt, olika saker spelar roll utanför nätverket eller internt i en organisation, och den här modellen innehåller inget av det.

Stadier av Cyber ​​Kill Chain

Bildkrediter: Lockheed Martin

CKC-ramverket består av sju steg för att beskriva en cyberattack. Dom är:

  • Spaning
  • Beväpning
  • Leverans
  • Utnyttjande
  • Installation
  • Kommando och kontroll
  • Handling
  • #1. Spaning

    Spaning är den första fasen av Cyber ​​Kill Chain som handlar om informationsinsamling.

    Angriparen kommer att samla in insikter om ett nätverks ingångspunkter och svagheter och söka efter sårbarheter. Inte bara begränsat till att identifiera dem utan att samla in e-postadresser, adresser och annan mjukvarurelaterade data som kan hjälpa till att utforma skadliga strategier för att utföra attacken.

    Ju fler detaljer angriparen har, desto mer inflytelserik kan attacken vara. Denna övervakningsfas av attacken kan vara både offline och online. Så det kanske inte är möjligt för någon att få en aning om en illvillig skådespelare i detta skede.

    För att tackla denna fas måste organisationer och deras anställda fokusera på integritet, oavsett om det handlar om att hålla den fysiska platsen begränsad till behöriga användare eller att be alla associerade användare att inte dela känslig personlig information online.

    Till exempel bör alla använda sekretessverktyg för att skydda sin onlineidentitet.

    #2. Beväpning

    Här tillverkar den illvilliga aktören vapnet, det vill säga skadlig programvara eller verktyg som ska användas i cyberattacken.

    Ibland använder de befintliga verktyg eller modifierar dem enligt målet för att förbereda för leverans, vilket är nästa steg.

    Vapnet som skapas för attacken kommer att bero på målet för den illvilliga skådespelaren. En del föredrar till exempel att störa tjänster, en del vill stjäla data och en del vill begära lösen för att ha innehaft känslig data.

    Vapnet kan vara vad som helst som är i linje med det målet.

    #3. Leverans

    Detta är ett av de avgörande stadierna där angriparens tur börjar.

    Om leveransen lyckas kommer den skadliga programvaran in och börjar sitt arbete. Och om det misslyckas kommer alla strategier för attacken till ett slut.

    Angriparen använder verktyg eller medier för att leverera skadlig programvara. Till exempel skadliga e-postbilagor, nätfiske-e-postmeddelanden för att överlämna autentiseringsuppgifter, ett textmeddelande som lurar en användare till användarauktorisering och liknande. Naturligtvis använder den illvilliga aktören all information från övervakningsfasen för att göra målet övertygande för ett meddelande eller en länk, så de klickar sig igenom det utan att tänka på det.

    Om organisationen och dess anställda är medvetna om nätfiskeattacker och andra vanliga cyberattacker kommer leveransen att bli tuff att lyckas.

    #4. Utnyttjande

    Angriparen känner till bristerna och har kommit in i offrets system.

    Nu kommer den kända sårbarheten att utnyttjas för att kunna exekvera den skadliga koden som levereras. I denna process kommer angriparen också att kunna få fler insikter i systemet och ta reda på svaga punkter.

    Alla sårbara system som är anslutna till nätverket kommer att ha chansen att äventyras.

    #5. Installation

    När angriparen har skannat bort alla brister kommer angriparen att fokusera på att installera skadlig programvara och introducera annan skadlig kod för att utnyttja olika andra saker som var okända från början.

    Med andra ord, infiltrationen slutförs med denna fas där angriparen går djupt in i det komprometterade nätverket.

    #6. Kommando och kontroll

    När infiltrationen är klar är det dags för den illvilliga aktören att ta kontroll över det komprometterade systemet eller nätverket.

    De kan välja att spåra och övervaka information på distans eller börja orsaka förödelse för att störa systemet och tjänsterna. Dessa kan vara i form av DDoS-attacker eller lägga till en bakdörr som låter dem komma in i systemet när det passar dem utan att någon märker det.

    #7. Åtgärd för mål

    Enligt attackens mål utför den illvilliga skådespelaren det sista slaget för att uppnå målet.

    De kan kryptera data och hålla lösen för den, infektera systemet för att sprida skadlig programvara, störa tjänster eller stjäla data för att läcka eller modifiera den. Många liknande möjligheter inkluderar för åtgärderna.

    Hur hjälper Cyber ​​Kill Chain att skydda sig mot attacker?

    Att förstå hur angripare kommer in i ditt nätverk och dina system hjälper organisationer och deras anställda att försvara sig mot cyberattacker.

    Till exempel, med Cyber ​​Kill Chain förstår man att sårbarheter i ett nätverk kan hjälpa angriparen att snabbt infiltrera. Därför kan organisationer överväga att använda Endpoint Detection and Response-verktyg för att lägga till tidig upptäcktsteknik till sin cybersäkerhetsstrategi.

    På samma sätt kan du välja att använda en brandvägg för att skydda molninfrastrukturen och molnbaserade DDoS-skyddstjänster för att intensifiera säkerhetsspelet.

    Inte att förglömma, VPN kan också användas för att säkra saker i ett företag.

    Organisationer kan använda Cyber ​​Kill Chain-modellen effektivt genom att välja lösningar som tar itu med varje steg i en cyberattack.

    Är Cyber ​​Kill Chain tillräckligt?

    Ja och nej.

    Som jag nämnde tidigare, tar Cyber ​​Kill Chain bara upp några av grunderna i en cyberattack. Och även om en organisation försvarar sig mot allt det är det redan en stor vinst.

    Även om vissa cybersäkerhetsexperter har utökat modellen med ett åttonde steg.

    Det åttonde steget innebär intäktsgenerering:

    Denna fas förklarar hur angriparna tjänar pengar på en framgångsrik attack. Oavsett om det handlar om begäran om lösen eller användning av kryptovaluta, bör organisationen också spänna fast för att hantera sådana situationer.

    Sammantaget anses modellen vara något förlegad när innovation i den digitala världen fortskrider. Cyberattacker är nu mer komplexa, även om grunderna förblir desamma. Till exempel nämner CKC-ramverket inte alla typer av attacker – utan är begränsat till skadlig programvara.

    Dessutom hanterar den inte insiderhot, med tanke på att en oseriös anställd också kan påverka organisationen.

    Med tanke på att cyberattacker blir mer komplexa med moln och artificiell intelligens i mixen, kan andra modeller också hänvisas till, som MITER ATT&CK och Unified Kill Chain.