Cyber Kill Chain
Cyber Kill Chain (цепочка киберубийства) — это концептуальная модель, описывающая последовательность этапов, которые проходит злоумышленник при реализации целенаправленной кибератаки. Модель была разработана компанией Lockheed Martin в 2011 году на основе военной доктрины «цепочка поражения» (kill chain) и предназначена для анализа, обнаружения и предотвращения атак на информационные системы. Cyber Kill Chain позволяет структурировать действия атакующего от первоначальной разведки до достижения конечной цели, что облегчает выявление уязвимостей и разработку контрмер на каждом этапе.
История возникновения
Концепция «цепочки поражения» изначально применялась в военной сфере для описания последовательности действий по уничтожению цели: обнаружение, наведение, решение, атака. В 2011 году специалисты Lockheed Martin адаптировали эту модель для киберпространства, опубликовав работу «Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains». Авторы проанализировали реальные атаки (в частности, кампанию по краже данных из военных систем США) и выделили семь последовательных этапов, характерных для большинства сложных кибератак. Модель быстро получила распространение в профессиональном сообществе и стала основой для многих методик защиты, включая системы SIEM (Security Information and Event Management) и SOAR (Security Orchestration, Automation and Response).
Этапы модели Cyber Kill Chain
Модель включает семь этапов, каждый из которых представляет собой критическую точку, в которой атакующий должен добиться успеха, чтобы перейти к следующему шагу. Если защитные механизмы прерывают цепочку на любом этапе, атака считается неудачной.
1. Разведка (Reconnaissance)
На этом этапе злоумышленник собирает информацию о цели: открытые источники (OSINT), социальные сети, публичные базы данных, технические характеристики инфраструктуры. Цель — выявить потенциальные уязвимости, контактные данные сотрудников, используемое программное обеспечение и сетевую архитектуру. Примеры: сканирование портов, сбор адресов электронной почты, анализ сайтов компании.
2. Вооружение (Weaponization)
Злоумышленник создаёт средство атаки (вредоносное ПО, эксплойт) с учётом данных, полученных на этапе разведки. Обычно это комбинация вредоносного кода и механизма доставки (например, документа Microsoft Office с макросом или заражённый PDF-файл). Часто используются готовые инструменты (Metasploit, Cobalt Strike) или модифицируются существующие вредоносные программы.
3. Доставка (Delivery)
Передача вредоносного инструмента жертве. Основные каналы:
- Электронная почта (фишинговые письма с вложениями или ссылками);
- Заражённые веб-сайты (drive-by download);
- Физические носители (USB-флешки);
- Социальная инженерия (звонки, мессенджеры);
- Компрометация доверенных обновлений ПО.
4. Эксплуатация (Exploitation)
Запуск вредоносного кода на системе жертвы. Для этого используется уязвимость в программном обеспечении, операционной системе или человеческий фактор (например, пользователь запускает вложение). На этом этапе атакующий получает начальный доступ к системе.
5. Установка (Installation)
Злоумышленник закрепляется в скомпрометированной системе, устанавливая постоянный механизм доступа (бэкдор, троян, руткит). Это позволяет ему возвращаться в систему даже после перезагрузки или смены паролей. Часто используются такие инструменты, как веб-шеллы, службы удалённого доступа или заражение легитимных процессов.
6. Управление и контроль (Command and Control, C2)
Атакующий устанавливает канал связи с скомпрометированной системой для получения команд и передачи данных. Это может быть прямое TCP-соединение, HTTP/HTTPS-трафик, DNS-туннелирование или использование легитимных облачных сервисов. Современные C2-каналы часто маскируются под обычный сетевой трафик, что затрудняет их обнаружение.
7. Достижение целей (Actions on Objectives)
Финальный этап, на котором злоумышленник реализует свои намерения: кража данных (data exfiltration), шифрование файлов (вымогательство), уничтожение информации, нарушение работы системы, использование ресурсов для дальнейших атак (например, в составе ботнета). Цели могут различаться в зависимости от мотивации атакующего (финансовая выгода, шпионаж, саботаж).
Классификация и модификации модели
Расширенная модель (Unified Kill Chain)
В 2018 году исследователи Пол Полссон и Саймон Уилсон предложили Unified Kill Chain (UKC), объединяющую Cyber Kill Chain с другими моделями, такими как MITRE ATT&CK. UKC включает 18 этапов, разделённых на три фазы: «Вход» (In), «Закрепление» (Through) и «Достижение целей» (Out). Это позволяет детальнее описывать современные многоступенчатые атаки, включая действия внутри сети после первоначального взлома.
Модель MITRE ATT&CK
Хотя MITRE ATT&CK не является прямой модификацией Cyber Kill Chain, она часто используется совместно. ATT&CK предоставляет таксономию тактик и техник атакующих, которые можно сопоставить с этапами цепочки. Например, тактика «Первоначальный доступ» соответствует этапам «Доставка» и «Эксплуатация», а «Управление и контроль» — одноимённому этапу.
Критика и ограничения
- Линейность: Модель предполагает строгую последовательность этапов, но реальные атаки могут быть нелинейными (например, атакующий может повторять этапы или пропускать некоторые).
- Ориентация на внешние атаки: Cyber Kill Chain плохо описывает атаки инсайдеров или действия, начинающиеся с уже скомпрометированного устройства.
- Недостаточная детализация для современных угроз: Модель не учитывает такие аспекты, как использование легитимных инструментов (living off the land), атаки на цепочки поставок или действия после закрепления (lateral movement).
Применение в кибербезопасности
Cyber Kill Chain используется для:
- Проактивной защиты: На каждом этапе можно внедрить контрмеры. Например, на этапе «Разведка» — скрытие информации и ограничение публикаций; на этапе «Доставка» — фильтрация почты и обучение сотрудников.
- Расследования инцидентов: Аналитики сопоставляют события с этапами цепочки, чтобы определить, насколько далеко продвинулась атака и какие данные были скомпрометированы.
- Разработки стратегий обнаружения: Настройка систем IDS/IPS, SIEM и EDR на сигнатуры, характерные для каждого этапа.
- Оценки зрелости защиты: Компании могут оценить, на каких этапах их защита наиболее слаба.
Пример контрмер по этапам
| Этап | Контрмеры |
|---|---|
| Разведка | Минимизация публичной информации, использование honeypot, блокировка сканирования |
| Вооружение | Обновление антивирусных баз, песочницы для анализа файлов |
| Доставка | Фильтрация почты, DMARC, блокировка подозрительных вложений |
| Эксплуатация | Своевременное обновление ПО, сегментация сети, привилегии минимального доступа |
| Установка | Контроль целостности файлов, ограничение прав на установку ПО |
| Управление и контроль | Анализ сетевого трафика, блокировка неизвестных протоколов, DNS-фильтрация |
| Достижение целей | Мониторинг исходящего трафика, DLP-системы, резервное копирование |
Интересные факты
- Модель Cyber Kill Chain легла в основу многих коммерческих продуктов, включая решения компаний CrowdStrike, FireEye и Palo Alto Networks.
- В 2020 году Lockheed Martin опубликовала обновлённую версию модели, адаптированную для облачных сред и устройств Интернета вещей (IoT).
- Концепция используется не только в кибербезопасности, но и в физической безопасности (например, для анализа атак на промышленные объекты).
- Некоторые исследователи критикуют модель за её «милитаристское» название, которое, по их мнению, излишне драматизирует киберугрозы.
Источники
- Lockheed Martin. «Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains» (2011).
- Pols, P., Wilson, S. «Unified Kill Chain: A Comprehensive Model for Cyber Attack Analysis» (2018).
- MITRE Corporation. «MITRE ATT&CK Framework» (официальная документация).
- Hutchins, E. et al. «Applying the Kill Chain Method to Intrusion Analysis» (SANS Institute, 2011).
- National Institute of Standards and Technology (NIST). «Guide to Cyber Threat Information Sharing» (SP 800-150).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →