Открыть сервис

Cyber Kill Chain

Cyber Kill Chain (цепочка киберубийства) — это концептуальная модель, описывающая последовательность этапов, которые проходит злоумышленник при реализации целенаправленной кибератаки. Модель была разработана компанией Lockheed Martin в 2011 году на основе военной доктрины «цепочка поражения» (kill chain) и предназначена для анализа, обнаружения и предотвращения атак на информационные системы. Cyber Kill Chain позволяет структурировать действия атакующего от первоначальной разведки до достижения конечной цели, что облегчает выявление уязвимостей и разработку контрмер на каждом этапе.

История возникновения

Концепция «цепочки поражения» изначально применялась в военной сфере для описания последовательности действий по уничтожению цели: обнаружение, наведение, решение, атака. В 2011 году специалисты Lockheed Martin адаптировали эту модель для киберпространства, опубликовав работу «Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains». Авторы проанализировали реальные атаки (в частности, кампанию по краже данных из военных систем США) и выделили семь последовательных этапов, характерных для большинства сложных кибератак. Модель быстро получила распространение в профессиональном сообществе и стала основой для многих методик защиты, включая системы SIEM (Security Information and Event Management) и SOAR (Security Orchestration, Automation and Response).

Этапы модели Cyber Kill Chain

Модель включает семь этапов, каждый из которых представляет собой критическую точку, в которой атакующий должен добиться успеха, чтобы перейти к следующему шагу. Если защитные механизмы прерывают цепочку на любом этапе, атака считается неудачной.

1. Разведка (Reconnaissance)

На этом этапе злоумышленник собирает информацию о цели: открытые источники (OSINT), социальные сети, публичные базы данных, технические характеристики инфраструктуры. Цель — выявить потенциальные уязвимости, контактные данные сотрудников, используемое программное обеспечение и сетевую архитектуру. Примеры: сканирование портов, сбор адресов электронной почты, анализ сайтов компании.

2. Вооружение (Weaponization)

Злоумышленник создаёт средство атаки (вредоносное ПО, эксплойт) с учётом данных, полученных на этапе разведки. Обычно это комбинация вредоносного кода и механизма доставки (например, документа Microsoft Office с макросом или заражённый PDF-файл). Часто используются готовые инструменты (Metasploit, Cobalt Strike) или модифицируются существующие вредоносные программы.

3. Доставка (Delivery)

Передача вредоносного инструмента жертве. Основные каналы:

  • Электронная почта (фишинговые письма с вложениями или ссылками);
  • Заражённые веб-сайты (drive-by download);
  • Физические носители (USB-флешки);
  • Социальная инженерия (звонки, мессенджеры);
  • Компрометация доверенных обновлений ПО.

4. Эксплуатация (Exploitation)

Запуск вредоносного кода на системе жертвы. Для этого используется уязвимость в программном обеспечении, операционной системе или человеческий фактор (например, пользователь запускает вложение). На этом этапе атакующий получает начальный доступ к системе.

5. Установка (Installation)

Злоумышленник закрепляется в скомпрометированной системе, устанавливая постоянный механизм доступа (бэкдор, троян, руткит). Это позволяет ему возвращаться в систему даже после перезагрузки или смены паролей. Часто используются такие инструменты, как веб-шеллы, службы удалённого доступа или заражение легитимных процессов.

6. Управление и контроль (Command and Control, C2)

Атакующий устанавливает канал связи с скомпрометированной системой для получения команд и передачи данных. Это может быть прямое TCP-соединение, HTTP/HTTPS-трафик, DNS-туннелирование или использование легитимных облачных сервисов. Современные C2-каналы часто маскируются под обычный сетевой трафик, что затрудняет их обнаружение.

7. Достижение целей (Actions on Objectives)

Финальный этап, на котором злоумышленник реализует свои намерения: кража данных (data exfiltration), шифрование файлов (вымогательство), уничтожение информации, нарушение работы системы, использование ресурсов для дальнейших атак (например, в составе ботнета). Цели могут различаться в зависимости от мотивации атакующего (финансовая выгода, шпионаж, саботаж).

Классификация и модификации модели

Расширенная модель (Unified Kill Chain)

В 2018 году исследователи Пол Полссон и Саймон Уилсон предложили Unified Kill Chain (UKC), объединяющую Cyber Kill Chain с другими моделями, такими как MITRE ATT&CK. UKC включает 18 этапов, разделённых на три фазы: «Вход» (In), «Закрепление» (Through) и «Достижение целей» (Out). Это позволяет детальнее описывать современные многоступенчатые атаки, включая действия внутри сети после первоначального взлома.

Модель MITRE ATT&CK

Хотя MITRE ATT&CK не является прямой модификацией Cyber Kill Chain, она часто используется совместно. ATT&CK предоставляет таксономию тактик и техник атакующих, которые можно сопоставить с этапами цепочки. Например, тактика «Первоначальный доступ» соответствует этапам «Доставка» и «Эксплуатация», а «Управление и контроль» — одноимённому этапу.

Критика и ограничения

  • Линейность: Модель предполагает строгую последовательность этапов, но реальные атаки могут быть нелинейными (например, атакующий может повторять этапы или пропускать некоторые).
  • Ориентация на внешние атаки: Cyber Kill Chain плохо описывает атаки инсайдеров или действия, начинающиеся с уже скомпрометированного устройства.
  • Недостаточная детализация для современных угроз: Модель не учитывает такие аспекты, как использование легитимных инструментов (living off the land), атаки на цепочки поставок или действия после закрепления (lateral movement).

Применение в кибербезопасности

Cyber Kill Chain используется для:

  • Проактивной защиты: На каждом этапе можно внедрить контрмеры. Например, на этапе «Разведка» — скрытие информации и ограничение публикаций; на этапе «Доставка» — фильтрация почты и обучение сотрудников.
  • Расследования инцидентов: Аналитики сопоставляют события с этапами цепочки, чтобы определить, насколько далеко продвинулась атака и какие данные были скомпрометированы.
  • Разработки стратегий обнаружения: Настройка систем IDS/IPS, SIEM и EDR на сигнатуры, характерные для каждого этапа.
  • Оценки зрелости защиты: Компании могут оценить, на каких этапах их защита наиболее слаба.

Пример контрмер по этапам

ЭтапКонтрмеры
РазведкаМинимизация публичной информации, использование honeypot, блокировка сканирования
ВооружениеОбновление антивирусных баз, песочницы для анализа файлов
ДоставкаФильтрация почты, DMARC, блокировка подозрительных вложений
ЭксплуатацияСвоевременное обновление ПО, сегментация сети, привилегии минимального доступа
УстановкаКонтроль целостности файлов, ограничение прав на установку ПО
Управление и контрольАнализ сетевого трафика, блокировка неизвестных протоколов, DNS-фильтрация
Достижение целейМониторинг исходящего трафика, DLP-системы, резервное копирование

Интересные факты

  • Модель Cyber Kill Chain легла в основу многих коммерческих продуктов, включая решения компаний CrowdStrike, FireEye и Palo Alto Networks.
  • В 2020 году Lockheed Martin опубликовала обновлённую версию модели, адаптированную для облачных сред и устройств Интернета вещей (IoT).
  • Концепция используется не только в кибербезопасности, но и в физической безопасности (например, для анализа атак на промышленные объекты).
  • Некоторые исследователи критикуют модель за её «милитаристское» название, которое, по их мнению, излишне драматизирует киберугрозы.

Источники

  • Lockheed Martin. «Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains» (2011).
  • Pols, P., Wilson, S. «Unified Kill Chain: A Comprehensive Model for Cyber Attack Analysis» (2018).
  • MITRE Corporation. «MITRE ATT&CK Framework» (официальная документация).
  • Hutchins, E. et al. «Applying the Kill Chain Method to Intrusion Analysis» (SANS Institute, 2011).
  • National Institute of Standards and Technology (NIST). «Guide to Cyber Threat Information Sharing» (SP 800-150).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →