Desde a sua concepção, o modelo da cadeia de eliminação cibernética tem sido fundamental para a identificação e neutralização de ameaças cibernéticas complexas. Contudo, nos dias de hoje, muitos especialistas em segurança cibernética consideram esta metodologia insuficiente para assegurar a proteção contra invasores cibernéticos no ambiente de ameaças atual, que está em constante evolução.
Qual a estrutura da cadeia de eliminação cibernética, como ela funciona e quais as suas limitações? Continue a leitura para descobrir.
O que é uma estrutura de cadeia de eliminação cibernética?
Desenvolvida pela Lockheed Martin, a estrutura da cadeia de eliminação cibernética adapta o modelo da cadeia de eliminação militar para identificar e prevenir atividades inimigas.
Ela auxilia as equipes de segurança a entender e combater invasões, descrevendo várias etapas dos ataques cibernéticos. Também explica os diferentes pontos nessas etapas onde os profissionais de segurança cibernética podem identificar, detectar e interceptar os invasores.
A cadeia de eliminação cibernética ajuda a proteger contra ameaças persistentes avançadas (APTs), nas quais os agentes de ameaças dedicam um tempo considerável a rastrear as suas vítimas e a planear ataques cibernéticos. Estes ataques frequentemente combinam malware, trojans, ataques de engenharia social, entre outros.
O modelo da cadeia de eliminação cibernética possui sete fases: Reconhecimento, Armamento, Entrega, Exploração, Instalação, Comando e Controlo, e Ações sobre Objetivos.
Cada fase representa uma etapa na jornada do atacante.
Fases da estrutura da cadeia de eliminação cibernética
A estrutura de segurança cibernética da cadeia de eliminação cibernética auxilia as equipas de segurança a prever os movimentos dos invasores para uma interceção mais rápida.
Crédito da imagem: Lockheed Martin
Aqui estão as sete etapas do processo da cadeia de eliminação cibernética.
#1. Reconhecimento
A fase de reconhecimento consiste na recolha de informação sobre a vítima ou rede alvo.
Existem dois tipos de fases de reconhecimento.
Reconhecimento Passivo
Nesta fase, os hackers procuram recolher informações de fontes publicamente acessíveis. Isso pode incluir a verificação de WHOIS, anúncios de emprego, LinkedIn, perfis de redes sociais, sites de empresas, etc. Eles também podem usar ferramentas como ARIN, SHODAN, entre outras, para identificar vulnerabilidades e potenciais pontos de entrada.
Dado que a fase de reconhecimento passivo não envolve interação com organizações, os hackers procuram recolher o máximo de informação possível sobre o seu alvo durante esta fase.
Reconhecimento Ativo
Na fase de reconhecimento ativo, os agentes de ameaça contactam a sua organização a algum nível para recolher informação que possa ajudá-los a entrar na sua rede corporativa. Utilizam ferramentas como NMAP, scanners de vulnerabilidade, scanners de porta, captura de banner, etc.
A fase de reconhecimento desempenha um papel crucial em qualquer ataque cibernético. Quanto mais informação um agente de ameaça tiver sobre a rede do seu alvo, melhor poderá planear os seus ataques.
Para deter os agentes de ameaça no reconhecimento passivo e ativo, pode adotar as seguintes medidas:
- Limitar a exposição de informação pública que os hackers possam utilizar para planear ataques de phishing.
- Criar uma política para o uso aceitável das redes sociais.
- Modificar as mensagens de erro do servidor para que não divulguem publicamente informações cruciais sobre a sua rede.
- Desativar portas e serviços não utilizados.
- Implementar uma firewall com capacidade de sistema de prevenção de intrusões (IPS).
O principal objetivo da fase de reconhecimento é encontrar uma falha que os hackers possam explorar para entrar na sua rede.
Portanto, configurar honeypots e honeynets é uma excelente forma de encontrar vulnerabilidades na sua rede e reforçar as defesas.
#2. Armamento
A fase de armamento tem como objetivo criar uma ferramenta de ataque (vetor de ataque) que possa explorar a vulnerabilidade do sistema ou rede identificada na fase de reconhecimento.
O processo de armamento pode incluir a seleção (ou criação) do malware, ransomware ou código malicioso de acesso remoto correto para corresponder à vulnerabilidade.
O invasor agrupa o malware num formato de ficheiro que parece inofensivo. Pode usar um documento Word ou PDF. O objetivo é induzir o alvo a abri-lo.
Metasploit, SQLMAP, Exploit-DB e kits de ferramentas de engenharia social são ferramentas frequentemente utilizadas na fase de armamento.
A fase de armamento diz respeito a qual vetor de ataque os hackers irão usar para atacar sistemas e redes.
Assim, aumentar a sua defesa é uma estratégia sólida de segurança cibernética para evitar que vetores de ataque entrem nos seus sistemas e redes.
Aqui estão algumas dicas para começar.
- Seja agressivo no gerenciamento de patches na sua empresa. Isto irá reduzir a superfície de ataque caso não existam vulnerabilidades no software e nos sistemas operacionais.
- Instale um bom antivírus em todos os endpoints.
- Desative macros de escritório, JavaScript e plug-ins de navegador desnecessários.
- Implemente ferramentas de segurança de e-mail e utilize o isolamento do navegador na sua empresa.
- Logs de auditoria para identificar quaisquer anomalias na rede.
Você deve também ter um bom sistema de deteção e prevenção de intrusões. E assegure-se de que a autenticação multifator está implementada na sua empresa.
#3. Entrega
Desta forma, os hackers selecionaram um vetor de ataque adequado para explorar as vulnerabilidades. Agora chega a hora da entrega, quando os invasores tentam infiltrar-se na sua rede.
Os meios de entrega podem variar, dependendo do tipo de vetor de ataque utilizado.
Exemplos típicos de entrega podem incluir:
- Sites: os agentes de ameaças podem infetar sites de terceiros que alvos potenciais visitam frequentemente.
- E-mails: os invasores podem enviar e-mails infetados com software malicioso.
- USBs — Eles podem deixar USBs infetados em áreas comuns, esperando que os utilizadores liguem esses USBs nos seus sistemas.
- Redes sociais – Os cibercriminosos podem utilizar as redes sociais para efetuar ataques de phishing que podem induzir os utilizadores a clicar em links infetados.
A defesa mais eficaz contra a entrega de vetores de ataque comuns é focar na formação dos funcionários.
Outras medidas de segurança que você pode adotar são implementar uma filtragem da web, uma solução de filtragem de DNS e desabilitar portas USB em dispositivos.
#4. Exploração
Durante a fase de exploração na estrutura da cadeia de eliminação cibernética, os invasores usam a arma para explorar pontos fracos no sistema do alvo. Isto marca o início do ataque real após a entrega da arma.
Aqui está uma análise mais detalhada:
- Os invasores localizam vulnerabilidades no software, sistema ou rede.
- Eles introduzem a ferramenta ou código malicioso destinado a explorar essas vulnerabilidades.
- O código de exploração é ativado, aproveitando as vulnerabilidades para obter acesso ou privilégios não autorizados.
- Ao penetrar no perímetro, os invasores podem explorar ainda mais os sistemas do alvo, instalando ferramentas maliciosas, executando scripts ou modificando certificados de segurança.
Esta fase é crucial, pois passa de uma mera ameaça para um incidente de segurança. O objetivo da fase de exploração é obter acesso aos seus sistemas ou rede.
Um ataque real pode ocorrer sob a forma de injeção de SQL, estouro de buffer, malware, sequestro de JavaScript, entre outros.
Eles podem mover-se lateralmente dentro da rede, identificando pontos de entrada adicionais à medida que avançam.
Nesta fase, um hacker está dentro da sua rede a explorar vulnerabilidades. Você tem recursos limitados para proteger os seus sistemas e rede.
Você pode utilizar a prevenção de execução de dados (DEP) e o recurso anti-exploração do seu antivírus (se disponível) para proteção contra exploração.
Algumas ferramentas de EDR também podem ajudar a detetar e responder rapidamente a ataques cibernéticos.
#5. Instalação
Também conhecido como fase de escalonamento de privilégios, a fase de instalação envolve a instalação de malware e a implantação de outras ferramentas maliciosas para que os agentes de ameaça possam ter acesso persistente aos seus sistemas e redes, mesmo após ter corrigido e reiniciado o sistema comprometido.
As técnicas padrão envolvidas na fase de instalação incluem:
- Sequestro de DLL
- Instalação de um Trojan de acesso remoto (RAT)
- Mudanças no registo para que programas maliciosos possam iniciar automaticamente
Os invasores podem também tentar criar um backdoor para aceder a sistemas ou redes continuamente, mesmo quando o ponto de entrada original é fechado por especialistas em segurança.
Se os cibercriminosos alcançarem esta fase com sucesso, você terá proteção limitada. O seu sistema ou rede foi infetado.
Agora, você pode usar ferramentas pós-infecção, como ferramentas de análise de comportamento do utilizador (UBA) ou ferramentas EDR, para verificar se há alguma atividade incomum pertinente ao registo e aos ficheiros do sistema. E você deve estar pronto para implementar o seu plano de resposta a incidentes.
#6. Comando e controlo
Na fase de Comando e Controlo, o invasor estabelece uma conexão com o sistema comprometido. Esta ligação permite o controlo remoto do alvo. O invasor agora pode enviar comandos, receber dados ou até mesmo fazer o upload de malware adicional.
Duas táticas frequentemente usadas aqui são Ofuscação e Negação de Serviço (DoS).
- A ofuscação ajuda os invasores a ocultar a sua presença. Eles podem excluir ficheiros ou alterar o código para evitar a deteção. Em essência, eles encobrem os seus rastos.
- A negação de serviço distrai as equipas de segurança. Ao causar problemas em outros sistemas, eles desviam a sua atenção do seu objetivo principal. Isto pode envolver interrupções na rede ou o desligamento de sistemas.
Nesta fase, o seu sistema está totalmente comprometido. Você deve concentrar-se em limitar o que os hackers podem controlar e detetar atividades incomuns.
Segmentação de rede, sistemas de deteção de intrusões (IDS) e gestão de eventos e informações de segurança (SIEM) podem ajudá-lo a limitar os danos.
#7. Ações no Objetivo
As sete etapas da cadeia de eliminação cibernética culminam na fase de “Ações sobre Objetivos”. Aqui, os atacantes cumprem o seu objetivo principal. Esta fase pode durar semanas ou meses, com base em sucessos anteriores.
Os objetivos finais típicos incluem, entre outros, o roubo de dados, a encriptação de dados confidenciais, ataques à cadeia de abastecimento e muitos outros.
Ao implementar soluções de segurança de dados, soluções de segurança de endpoint e segurança de confiança zero, pode limitar os danos e impedir que os hackers atinjam os seus objetivos.
A Cyber Kill Chain consegue enfrentar os desafios de segurança atuais?
O modelo Cyber Kill Chain auxilia na compreensão e no combate a diversos ataques cibernéticos. Contudo, a sua estrutura linear pode ser insuficiente perante os ataques sofisticados e multivetoriais de hoje.
Aqui estão as deficiências da estrutura tradicional da cadeia de eliminação cibernética.
#1. Ignora ameaças internas
As ameaças internas provêm de indivíduos dentro da organização, como funcionários ou prestadores de serviços, que têm acesso legítimo aos seus sistemas e rede. Eles podem usar indevidamente o seu acesso, intencionalmente ou não, o que pode levar a violações de dados ou outros incidentes de segurança.
De facto, 74% das empresas acreditam que as ameaças internas se tornaram mais frequentes.
O modelo tradicional da cadeia de eliminação cibernética não considera estas ameaças internas, uma vez que foi desenvolvido para rastrear as atividades de invasores externos.
No cenário de ameaças internas, um invasor não precisa passar por muitas das etapas descritas na cadeia de eliminação cibernética, como o reconhecimento, o armamento ou a entrega, pois já tem acesso aos sistemas e à rede.
Esta supervisão significativa na estrutura torna-a incapaz de detetar ou mitigar ameaças internas. A falta de um mecanismo para monitorizar e analisar o comportamento ou os padrões de acesso dos indivíduos dentro da organização é uma limitação substancial na estrutura da cadeia de eliminação cibernética.
#2. Têm capacidade limitada para deteção de ataques
A cadeia de eliminação cibernética tem um âmbito relativamente restrito na identificação de vários ataques cibernéticos. Esta estrutura centra-se principalmente na deteção de atividades de malware e cargas maliciosas, deixando uma lacuna significativa no tratamento de outras formas de ataques.
Um excelente exemplo inclui ataques baseados na Web, como SQL Injection, Cross-Site Scripting (XSS), vários tipos de ataques de negação de serviço (DoS) e ataques de dia zero. Estes tipos de ataques podem facilmente passar despercebidos, uma vez que não seguem os padrões típicos que a cadeia de eliminação foi concebida para detetar.
Além disso, a estrutura é insuficiente no tratamento de ataques iniciados por indivíduos não autorizados que exploram credenciais comprometidas.
Nestes cenários, existe um descuido flagrante, pois estes ataques podem causar danos substanciais, mas podem passar despercebidos devido à capacidade limitada de deteção da cadeia de eliminação cibernética.
#3. Falta flexibilidade
A estrutura da cadeia de eliminação cibernética, focada principalmente em malware e ataques baseados em carga útil, carece de flexibilidade.
O modelo linear da estrutura da cadeia de eliminação cibernética não corresponde à natureza dinâmica das ameaças modernas, tornando-o menos eficaz.
Além disso, tem dificuldade em adaptar-se a novas técnicas de ataque e pode ignorar atividades cruciais pós-violação, sugerindo a necessidade de abordagens de segurança cibernética mais adaptativas.
#4. Concentra-se apenas na segurança do perímetro
O modelo Cyber Kill Chain é frequentemente criticado pelo seu foco na segurança perimetral e na prevenção de malware, o que se torna uma preocupação à medida que as organizações passam de redes locais tradicionais para soluções baseadas na nuvem.
Além disso, o aumento do trabalho remoto, dos dispositivos pessoais, da tecnologia IoT e de aplicações avançadas como a Automação Robótica de Processos (RPA) expandiram a superfície de ataque para muitas empresas.
Esta expansão significa que os cibercriminosos têm mais pontos de acesso para explorar, tornando um desafio para as empresas proteger todos os endpoints, mostrando as limitações do modelo no atual cenário de ameaças em evolução.
Leia mais: Como Malha de segurança cibernética Ajuda na Nova Era de Proteção
Alternativas ao modelo Cyber Kill Chain
Aqui estão algumas alternativas ao modelo da cadeia de eliminação cibernética que pode explorar para escolher uma das melhores estruturas de segurança cibernética para a sua empresa.
#1. Estrutura MITRE ATT&CK
A Estrutura MITRE ATT&CK descreve táticas, técnicas e procedimentos utilizados pelos invasores. Considere-a como um manual para compreender as ameaças cibernéticas. O Cyber Kill Chain foca-se apenas nas etapas de ataque, enquanto a ATT&CK oferece uma visão detalhada. Ela mostra também o que os invasores fazem após entrarem, tornando-a mais abrangente.
Os especialistas em segurança geralmente preferem a MITRE ATT&CK devido à sua profundidade. É útil tanto para atacar como para defender.
#2. Estrutura de segurança cibernética do NIST
A Estrutura de segurança cibernética do NIST oferece diretrizes para as organizações gerirem e mitigarem os riscos de segurança cibernética. Enfatiza uma abordagem proativa. Em contraste, a Cyber Kill Chain foca-se na compreensão das ações do invasor durante uma violação.
A estrutura descreve cinco funções principais: Identificar, Proteger, Detetar, Responder e Recuperar. Estas etapas auxiliam as organizações a compreender e gerir os seus riscos de segurança cibernética.
O âmbito mais amplo da estrutura do NIST ajuda a melhorar a postura geral de segurança cibernética, enquanto a Cyber Kill Chain auxilia principalmente na análise e interrupção de sequências de ataques.
Ao abordar a segurança de forma holística, a estrutura NIST revela-se frequentemente mais eficaz na promoção da resiliência e da melhoria contínua.
Conclusão
A cadeia de eliminação cibernética, quando lançada, era uma boa estrutura de segurança cibernética para identificar e mitigar ameaças. Contudo, atualmente, os ataques cibernéticos tornaram-se mais complexos devido ao uso da nuvem, IoTs e outras tecnologias colaborativas. E pior, os hackers estão cada vez mais a perpetrar ataques baseados na web, como injeções de SQL.
Portanto, uma estrutura de segurança moderna como a MITRE ATT&CK ou a NIST irá oferecer melhor proteção no atual cenário de ameaças em constante mudança.
Além disso, deve utilizar regularmente ferramentas de simulação de ataques cibernéticos para avaliar a segurança da sua rede.