Cyber Kill Chain là mô hình bảo mật được Lockheed Martin phát triển vào năm 2011, mô tả các bước của một cuộc tấn công mạng, giúp bạn hiểu, xác định và phòng vệ trước các mối đe dọa.
Nếu bạn tò mò, Lockheed Martin là một công ty hàng không vũ trụ, quốc phòng, quốc phòng và an ninh toàn cầu.
Cyber Kill Chain (CKC) là một trong những mô hình bảo mật phổ biến được các chuyên gia an ninh mạng tham khảo để hoạch định chiến lược và bảo vệ các tổ chức trước các cuộc tấn công mạng.
Tại sao Cyber Kill Chain lại quan trọng trong an ninh mạng?
Hãy Trung thực; An ninh mạng không đơn giản như vậy. Đôi khi việc này nghe có vẻ đơn giản và thuyết phục khi cung cấp cho người dùng cuối những mẹo họ cần để giữ an toàn trực tuyến.
Tuy nhiên, để đối mặt với một cuộc tấn công mạng thực sự, các tổ chức cần phải biết nhiều thông tin kỹ thuật về nó. Bạn không thể mong đợi một tổ chức có thể tự bảo vệ mình trước các cuộc tấn công mạng chỉ bằng một vài mẹo bảo mật, phải không?
Do đó, cần có một khuôn khổ (hoặc mô hình) để đặt nền móng cho sự hiểu biết và bảo vệ đầy đủ trước các cuộc tấn công mạng.
Cyber Kill Chain là một mô hình bảo mật truyền thống đóng vai trò là nền tảng để hiểu các giai đoạn của một cuộc tấn công mạng. Nó bao gồm bảy giai đoạn mà chúng ta sẽ thảo luận dưới đây.
Vai trò của chuỗi cyberkill trong an ninh mạng
Không giới hạn ở việc chỉ cung cấp thông tin về một cuộc tấn công mạng, Cyber Kill Chain giúp các tổ chức tìm hiểu cách phát hiện kẻ tấn công, ngăn chặn sự truy cập của người dùng trái phép, giảm thiểu một cuộc tấn công đang hoạt động và giữ kẻ tấn công trên mạng.
Điều này giúp các tổ chức và chuyên gia an ninh mạng phát triển một chiến lược hữu ích.
Chỉ riêng Cyber Kill Chain không thể đảm bảo mọi thứ, những thứ quan trọng bên ngoài mạng hoặc bên trong tổ chức và mô hình này không bao gồm những điều đó.
Các giai đoạn của chuỗi giết người trên mạng
Tín dụng hình ảnh: Lockheed Martin
Khung CKC bao gồm bảy bước để mô tả một cuộc tấn công mạng. Họ đang:
# 1. trinh sát
Trinh sát là giai đoạn đầu tiên của chuỗi ám sát mạng, bao gồm việc thu thập thông tin.
Kẻ tấn công sẽ thu thập thông tin chi tiết về các điểm truy cập và điểm yếu của mạng và quét chúng để tìm lỗ hổng. Nó không chỉ xác định chúng mà còn thu thập địa chỉ email, địa chỉ và dữ liệu khác liên quan đến phần mềm có thể giúp phát triển các chiến lược tấn công độc hại.
Kẻ tấn công càng có nhiều chi tiết thì cuộc tấn công càng có nhiều tác động. Giai đoạn giám sát cuộc tấn công này có thể diễn ra cả ngoại tuyến và trực tuyến. Vì vậy, ở giai đoạn này, không ai có thể có linh cảm về kẻ ác ý.
Để giải quyết giai đoạn này, các tổ chức và nhân viên của họ cần tập trung vào quyền riêng tư, cho dù đó là giới hạn vị trí thực tế đối với người dùng được ủy quyền hay yêu cầu tất cả người dùng có liên quan không chia sẻ thông tin cá nhân nhạy cảm trực tuyến.
Ví dụ: mọi người nên sử dụng các công cụ bảo mật để bảo vệ danh tính trực tuyến của mình.
#2. vũ khí
Trong trường hợp này, kẻ tấn công độc hại sẽ tạo ra vũ khí, tức là phần mềm độc hại hoặc công cụ được sử dụng trong một cuộc tấn công mạng.
Đôi khi họ sử dụng các công cụ hiện có hoặc sửa đổi chúng theo mục đích để chuẩn bị giao hàng, đây là bước tiếp theo.
Vũ khí được tạo ra để tấn công sẽ phụ thuộc vào mục đích của kẻ tấn công. Ví dụ: một số thích làm gián đoạn dịch vụ, những người khác muốn đánh cắp dữ liệu và những người khác vẫn đòi tiền chuộc để lưu trữ dữ liệu nhạy cảm.
Vũ khí có thể là bất cứ thứ gì phù hợp với mục đích đó.
#3. Vận chuyển
Đây là một trong những giai đoạn quan trọng mà vận may của kẻ tấn công bắt đầu.
Nếu quá trình phân phối thành công, phần mềm độc hại sẽ xâm nhập vào bên trong và bắt đầu hoạt động. Và nếu thất bại, mọi chiến lược tấn công sẽ chấm dứt.
Kẻ tấn công sử dụng các công cụ hoặc phương tiện để phát tán phần mềm độc hại. Ví dụ: tệp đính kèm email độc hại, email lừa đảo để chuyển thông tin xác thực, tin nhắn văn bản lừa người dùng lấy quyền của người dùng và những thứ tương tự. Tất nhiên, kẻ tấn công sử dụng bất kỳ thông tin nào từ giai đoạn giám sát để thuyết phục mục tiêu của tin nhắn hoặc liên kết, vì vậy chúng nhấp vào nó mà không cần suy nghĩ.
Nếu tổ chức và nhân viên của tổ chức biết về lừa đảo và các cuộc tấn công mạng phổ biến khác thì việc phân phối sẽ khó đạt được.
#4. Khai thác
Kẻ tấn công biết sai sót và xâm nhập vào hệ thống của nạn nhân.
Giờ đây, một lỗ hổng đã biết sẽ bị khai thác để thực thi mã độc được gửi đi. Trong quá trình này, kẻ tấn công cũng sẽ có thể hiểu rõ hơn về hệ thống và tìm ra các lỗ hổng.
Bất kỳ hệ thống dễ bị tổn thương nào được kết nối với mạng sẽ có cơ hội bị chiếm quyền điều khiển.
#5. Cài đặt
Sau khi kẻ tấn công đã quét tất cả các lỗ hổng, hắn sẽ tập trung vào việc cài đặt phần mềm độc hại và tiêm mã độc khác để khai thác nhiều thứ khác mà ban đầu chưa được biết đến.
Nói cách khác, quá trình xâm nhập kết thúc khi kẻ tấn công xâm nhập sâu vào mạng bị xâm nhập.
#6. Chỉ huy và kiểm soát
Sau khi quá trình xâm nhập hoàn tất, đã đến lúc kẻ độc hại nắm quyền kiểm soát hệ thống hoặc mạng bị xâm nhập.
Họ có thể chọn theo dõi và giám sát thông tin từ xa hoặc phá hoại hệ thống và dịch vụ của bạn. Đây có thể là các cuộc tấn công DDoS hoặc thêm một cửa sau cho phép chúng xâm nhập vào hệ thống một cách thuận tiện và không bị bất kỳ ai chú ý.
#7. Hành động theo mục tiêu
Tùy theo mục tiêu tấn công, kẻ ác tâm thực hiện đòn kết liễu để đạt được mục tiêu.
Chúng có thể mã hóa dữ liệu và đưa ra yêu cầu đòi tiền chuộc, lây nhiễm vào hệ thống để phát tán phần mềm độc hại, làm gián đoạn dịch vụ hoặc đánh cắp dữ liệu để lộ hoặc sửa đổi dữ liệu. Nhiều cơ hội tương tự bao gồm cổ phiếu.
Cyber Kill Chain giúp bảo vệ khỏi các cuộc tấn công như thế nào?
Hiểu cách kẻ tấn công xâm nhập vào mạng và hệ thống giúp các tổ chức và nhân viên của họ bảo vệ khỏi các cuộc tấn công mạng.
Ví dụ với Cyber Kill Chain, bạn có thể hiểu rằng các lỗ hổng trong mạng có thể giúp kẻ tấn công xâm nhập nhanh chóng. Do đó, các tổ chức có thể cân nhắc sử dụng các công cụ Phát hiện và Phản hồi điểm cuối để bổ sung các kỹ thuật phát hiện sớm vào chiến lược an ninh mạng của mình.
Tương tự, bạn có thể chọn sử dụng tường lửa để bảo vệ cơ sở hạ tầng đám mây và các dịch vụ bảo vệ DDoS dựa trên đám mây để tăng cường bảo mật.
Đừng quên rằng VPN cũng có thể được sử dụng để bảo mật mọi thứ trong công ty.
Các tổ chức có thể sử dụng mô hình Cyber Kill Chain một cách hiệu quả bằng cách chọn các giải pháp xử lý mọi giai đoạn của một cuộc tấn công mạng.
Một chuỗi cyberkills có đủ không?
Có và không.
Như tôi đã đề cập trước đó, Cyber Kill Chain chỉ xử lý một số vấn đề cơ bản của một cuộc tấn công mạng. Và ngay cả khi tổ chức tự bảo vệ mình trước tất cả những điều này thì đó cũng đã là một chiến thắng lớn.
Trong khi một số chuyên gia an ninh mạng đã mở rộng mô hình này để bao gồm 8. sân khấu.
8. giai đoạn bao gồm Kiếm tiền:
Giai đoạn này giải thích cách kẻ tấn công kiếm tiền từ một cuộc tấn công thành công. Cho dù đó là yêu cầu tiền chuộc hay việc sử dụng tiền điện tử, tổ chức cũng nên chuẩn bị sẵn sàng để giải quyết những tình huống này.
Nhìn chung, mô hình này được coi là hơi lỗi thời khi sự đổi mới ngày càng phát triển trong thế giới kỹ thuật số. Các cuộc tấn công mạng hiện nay phức tạp hơn, mặc dù những điều cơ bản vẫn giữ nguyên. Ví dụ: khung CKC không đề cập đến tất cả các loại tấn công – nhưng chỉ giới hạn ở phần mềm độc hại.
Ngoài ra, nó không giải quyết được các mối đe dọa nội bộ vì một nhân viên không trung thực cũng có thể ảnh hưởng đến tổ chức.
Do các cuộc tấn công mạng ngày càng trở nên phức tạp hơn cùng với đám mây và AI, các mô hình khác như MITER ATT&CK và Unified Kill Chain cũng có thể được tham khảo.
