Você sabe o que é Cyber Kill Chain?

[av_slideshow_full size=’entry_without_sidebar’ min_height=’0px’ stretch=” animation=’slide’ autoplay=’false’ interval=’5′ control_layout=’av-control-default’ src=” attachment=” attachment_size=” position=’top left’ repeat=’no-repeat’ attach=’scroll’]
[av_slide_full id=’8491′][/av_slide_full]
[/av_slideshow_full]

[av_textblock size=” font_color=” color=”]

Você sabe o que é Cyber Kill Chain?

Para entender o o que é Cyber Kill Chain, seu conceito e como aplicá-lo ao dia-a-dia da operação, é necessário entender como está o cenário de ameaças cibernéticas. Entendendo o cenário e fazendo a análise da ameaça, é possível remediar danos e em alguns casos, quando a ameaça é identificada em um firewall, por exemplo, impedir sua atuação.

Em 2016 de acordo com o FBI, a indústria do ransomware realizou mais de quatro mil ataques por dia, faturando – ou custando às empresas – mais de um bilhão de dólares. Até setembro de 2016, 18 milhões de novos malwares foram capturados.

Nesse artigo, vamos falar sobre o conceito de kill chain, e para explicarmos esse tema, o conceito de ransomware será muito abordado. Sendo assim, se você não está tão familiarizado com o conceito de ransomware e quer entender um pouco mais sobre essa ameaça, consulte nosso artigo clicando aqui.

Você deve estar se perguntando: como é possível que as ameaças continuem sendo tão bem-sucedidas em seus propósitos apesar de tantos investimentos em tecnologias de ponta e tanta preocupação dos líderes de TI em proteger seu ambiente?

Uma das principais razões para isso são as APT – ameaças persistentes avançadas. Essas ameaças exigem mais planejamento e investimento dos hackers para burlar as diversas camadas de segurança do alvo e por isso são tão avançadas e difíceis de serem percebidas e tratadas.

O outro motivo é que as defesas cibernéticas continuam focando seus esforços em prevenção e perímetro. E quando a defesa do ambiente está focada em perímetro, concentrando-se nos ativos mais vulneráveis, o atacante só precisa ser bem-sucedido uma única vez, pois uma vez que ele passou pela borda e conseguiu acesso à rede alvo, ele estará livre para realizar suas ações maliciosas movimentando-se lateralmente.

Estar prevenido contra ameaças é importante, mas com a mudança no cenário de ameaças e a evolução delas, a prevenção não pode mais ser tratada como única forma de defesa. A defesa precisa estar em todas as camadas da rede e do computador, não somente no perímetro.

E é exatamente por isso, que a abordagem de Cyber Kill Chain é um aliado nessa necessidade. Já que é um modelo de inteligência com foco em defesa para identificação e prevenção de ciberataques.

Entendendo melhor: cenário fictício

Em uma rede de computadores focada em prevenção e perímetro, uma ameaça ou APT conseguiu passar da prevenção e chegar até o computador do presidente da empresa, que tem informações valiosíssimas e confidenciais.

Esse caso foi percebido pelo analista de firewall, que estava olhando os logs brutos da ferramenta e percebeu uma comunicação suspeita originária do IP do computador do presidente.

Neste cenário, significa que o ataque foi realizado com sucesso?

Resposta: não necessariamente. Para saber se o ataque foi bem-sucedido, são necessárias mais informações e a compreensão do objetivo daquela ameaça. Afinal, se você não sabe a intenção da ameaça, ou seja, o que ela queria realizar com o ataque, nunca vai saber se ela concluiu os objetivos.

E, para entender o objetivo da ameaça, é preciso entender o que é Cyber Kill Chain.

O que é Cyber Kill Chain?

Em 2011, os analistas da empresa Lockheed Martin, fabricante de produtos aeroespaciais, criaram o Cyber Kill Chain ™ para ajudar o processo de tomada de decisão para melhor detecção e resposta a intrusões.

O nome Kill Chain se dá porque uma vez que um elo da corrente é quebrado, é possível que todo o ataque tenha sido interrompido.

Os estágios de um ataque:

1.      Reconnaissance (Reconhecimento):

Durante o estágio de reconhecimento, o ator da ameaça realiza pesquisas sobre o alvo. Esta pesquisa pode ser feita de várias maneiras, como visualização do alvo em sites públicos, seguindo funcionários da empresa, coletando informações técnicas como IP públicos e servidores web, por exemplo.

O LinkedIn e outros sites de redes sociais facilitam a reunião de informações sobre o alvo e colaboradores. Na maior parte das vezes, o foco fica naqueles que tem cargos que possuem maiores privilégios dentro do sistema da organização, como os analistas de TI de cargos mais altos.

2.      Weaponization (Armação)

Quando o alvo é identificado e estudado, os atacantes começam a desenvolver seus ataques e as ferramentas que serão utilizadas. Podem tanto ser ferramentas criadas e desenvolvidas por eles mesmo quanto ferramentas compradas na deep web.

Essas ferramentas podem explorar vulnerabilidades de sistemas que sejam publicamente conhecidas ou não.

3.      Deliver & Exploit & Install (Entrega & Exploração & Instalação)

A etapa de entrega é quando o atacante vai enviar o seu programa malicioso para o alvo. A forma mais utilizada costuma ser o spear-phishing, que é um vetor de ataque direcionado, ou seja, com alvos bem determinados.

A etapa de Exploit é quando o atacante explora alguma vulnerabilidade, seja ela já conhecida ou não. As vulnerabilidades que não são publicamente conhecidas são conhecidas como zero-day.

A etapa de Install é a instalação de um RAT (remote access trojan) ou backdoor no sistema alvo que permite ao atacante ter controle sobre o sistema infectado.

4.      Command & Control (Comando e Controle)

Para que uma ameaça seja considerada uma AT, ou seja, persistente e avançada, vai precisar existir uma comunicação entre a ameaça e o atacante que a enviou. Chamamos essa comunicação de Command & Control.

Logo, quando a ameaça não tem essa comunicação, ela não é considerada persistente, e portanto não é mais uma APT, mas ainda assim pode ser uma ameaça avançada, como por exemplo o famoso caso do Stuxnet, que foi considerado um APT, mas na verdade é apenas um AT (advanced threat). Entenda o caso a partir do artigo do SANS.

5.      Actions on Objectives (Ações no Objetivo)

Somente depois de passar por todas as etapas anteriores, o atacante poderá realizar seu objetivo, que pode ser roubo de informações confidenciais, criptografia de dados (com um ransomware, por exemplo), destruição do sistema ou somente entrar no sistema daquela vítima como mais uma etapa para se mover lateralmente pela rede para infectar outro sistema e concluir um objetivo maior.

A Matriz de Curso de Ação:

A matriz de curso de ação é uma matriz que mostra, de acordo com o estágio da Cyber Kill Chain, quais ferramentas podem ser usadas para superar as fases, em cima de objetivos.

Os objetivos são: detectar, negar, interromper, degradar, enganar e destruir, conforme mostrado na imagem abaixo:

Essa matriz é importante pois é uma inteligência em que os analistas podem se basear para alinhar com as capacidades defensivas já existentes na empresa. E isso também ajuda a planejar roteiros para investir em lacunas que a matriz acima possa deixar, como a falta de um filtro de e-mail, por exemplo.

É importante mencionar que essa matriz foi retirada de um documento da Lockheed Martin, feito em 2005, ou seja, há mais de 10 anos. Muitas das ferramentas mencionadas são utilizadas até hoje, porém a maioria já está trabalhando de forma diferente, agregando inteligência ao trabalho. Como o Antivírus (AV), mencionado na linha Installation, coluna Disrupt, que foi substituído pelo Next Generation Antivírus.

Inclusive, se você quiser mais informações a respeito de antivírus, a PROOF produziu uma série de conteúdos sobre a temática, basta clicar em alguns dos links abaixo:

Vamos explorar esse assunto (lacunas da matriz de curso de ação) um pouco mais a frente.  Agora, para entender melhor a Cyber Kill Chain e como quebrá-la, vamos estudar um caso real.

O Cenário Real

Em março de 2011, aproximadamente um mês depois de hospedar a maior conferência de segurança cibernética do mundo – a RSA Conference, a RSA (a divisão de segurança da EMC) anunciou publicamente que foi vítima de um ataque APT bem-sucedido.

De acordo com a própria RSA, que, inclusive, emitiu uma carta aberta para seus clientes,  um hacker enviou e-mails de phishing para alguns funcionários da RSA contendo um exploit zero day dentro de um arquivo Excel que explorava uma vulnerabilidade no Adobe Flash (CVE-02011-0609).

A empresa deu poucos detalhes técnicos sobre o ataque que sofreu, limitando-se a informar que a mensagem havia sido “forjada bem o suficiente para convencer um funcionário a retirá-la da pasta de spam e abrir o arquivo Excel anexado”. Um relatório técnico que foi publicado tempos depois mostra, no entanto, que o anexo do e-mail se chamava 2011 Recruitment Plan e que ele estava no formato Excel.

O ataque usou uma variante do malware chamado Poison Ivy, que na época era um trojan de acesso remoto (RAT) amplamente disponível e, além de ter capacidades de RAT (comunicar-se com um servidor de Comando & Controle para envio de informações e coleta de instruções), o Poison Ivy também conseguia evadir a detecção por ferramentas de Antivírus, na época.

O pesquisador Timo Hirvonen pode ter descoberto a mensagem que iniciou o ataque, de acordo com o título do e-mail, citado pelo executivo da RSA, entretanto a RSA não confirmou a autenticidade do e-mail.

A RSA assumiu que houve um vazamento de dados relacionado ao token SecurID, usado por fabricantes de armas e segurança para o exército norte-americano, como a Lockheed Martin, que fabrica os caças 22.

Pouco depois da violação da RSA, várias empresas de defesa, incluindo Lockheed Martin, revelaram que sofreram ataques cibernéticos em suas redes.

Meses depois, A Lockheed Martin, confirmou que o ataque sofrido pela empresa teve como ponto de partida a invasão sofrida pela companhia de segurança RSA.

Colocando o exemplo no Cyber Kill Chain

Colocando as etapas do ataque no Cyber Kill Chain, temos o seguinte cenário:

Relembrando a Matriz de Curso de Ações, mencionada anteriormente, será que alguma daquelas ferramentas poderia cessar/interromper o ataque?

Este incidente com a RSA mostra que, mesmo as empresas mais conscientes de segurança da informação podem ter fraquezas em sua postura de segurança. Podemos então usar a máxima de que não é mais SE um incidente de segurança vai acontecer, é QUANDO.

Porém, a RSA ainda está nos negócios até hoje e continua sendo uma referência em cibersegurança. Isso se deve a sua rápida identificação e resposta ao incidente mencionado, que foi decisivo para minimizar as consequências para os clientes.

Lição aprendida: “Estamos diante de um incêndio que se aproxima. Você não conseguirá impedir o fogo, mas terá a oportunidade de controlá-lo” Claudio Neiva, VP de Pesquisas do Gartner

Como realmente quebrar a corrente?

Resposta: aplicando a arquitetura de segurança adaptativa.

Arquitetura de Segurança Adaptativa Contínua (CARTA)

CARTA (Continuous Adaptative Risk and Trust Assessment) é uma estratégia que amplia a capacidade dos profissionais de diversas áreas de entenderem o que é risco.”  Claudio Neiva, VP de Pesquisas do Gartner

Se a questão agora é quando um incidente de segurança vai acontecer, a preocupação é como detectar e responder ao incidente. Por isso algumas abordagens já partem da premissa que os sistemas estão comprometidos e exigem monitoramento contínuo, com mecanismos de resposta automática e imediata, visando conter ameaças ativas e neutralizar potenciais vetores de ataque, como a CARTA.

A CARTA é composta por 4 pilares. São eles

Capacidade preventiva

Este é o conjunto de políticas, ferramentas e processos que visam prevenir a ocorrência de ataques bem-sucedidos. Como mencionado no início deste artigo, a prevenção ainda é importante, mas não será o foco único a partir de agora.

Capacidades de detecção

São os controles planejados para identificar ataques que obtiveram sucesso nas medidas preventivas. Atualmente, isso vai além do simples correlacionamento de eventos (dadas por ferramentas SIEM – Security Information and Event Management), que agora precisam incorporar algoritmos de Data Analytics, detecção de padrões de comportamentos, machine learning, capacidades cognitivas, etc .

Capacidades de resposta

A forma como a equipe vai responder àquela ameaça – seja ela automática ou não. Aqui é realizado o ciclo de resposta à incidentes que vai permitir investigar e remediar o incidente encontrado.

Capacidades preditivas

São as capacidades de prever ataques e analisar tendências. Como o panorama de ameaças é dinâmico e evolui de forma rápida, é fundamental uma combinação eficaz das técnicas de detecção avançadas apontadas acima com uma sofisticada rede de Inteligência de Ameaças Cibernéticas – que agregue inteligência específica do setor da economia, fornecidas por fabricantes, identificadas por provedores globais de serviços de monitoramento de segurança.

E quando falamos de Inteligência de Ameaças Cibernéticas, estamos falando de

CTI – Cyber Threat Intelligence

A inteligência de ameaça cibernética, ou CTI, é o que a informação de ameaça cibernética se torna, uma vez que foi coletada, avaliada no contexto de sua fonte e confiabilidade e analisada através de técnicas estruturadas.

A coleta, classificação e exploração do conhecimento sobre adversários é usada para reduzir a probabilidade de sucesso do adversário com cada tentativa subseqüente de intrusão. E utilizando essa inteligência dentro da Cyber Kill Chain, é possível analisar padrões e identificar quando um atacante que já tentou atacar anteriormente e está tentando de novo.
[/av_textblock]

[av_one_third first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[/av_one_third][av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_team_member name=’Natasha Cunha’ job=’Cyber Security Intelligence Analyst ‘ src=’http://www.proof.com.br/wp-content/uploads/2017/10/NATASHA2.png’ attachment=’9525′ attachment_size=’full’ description=” font_color=” custom_title=” custom_content=”]
[av_team_icon title=’Perfil no LinkedIn’ link=’https://www.linkedin.com/in/natasha-cunha-287186aa/’ link_target=’_blank’ icon=’ue8fd’ font=’entypo-fontello’]

[/av_team_member]
[/av_one_third]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_textblock size=” font_color=” color=”]

Gostou do conteúdo? Que tal dar uma olhada no nosso blog? 😉

[/av_textblock]

[av_postslider link=’post_tag,162′ columns=’3′ items=’9′ offset=’0′ contents=’title’ preview_mode=’custom’ image_size=’entry_without_sidebar’ autoplay=’no’ interval=’5′]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_icon_box position=’top’ boxed=” icon=’ue8d2′ font=’entypo-fontello’ title=’PRODUÇÃO DE CONTEÚDO’ link=’manually,http://www.proof.com.br/material-rico/’ linktarget=” linkelement=’both’ font_color=” custom_title=” custom_content=” color=’custom’ custom_bg=’#1f211f’ custom_font=” custom_border=”]

PROOF está se posicionando no mercado como uma empresa referência em segurança e produção de conteúdo relevante. Nosso objetivo é disseminar e compartilhar conhecimento para contribuir ao máximo no amadurecimento do mercado de segurança no Brasil. Isso porque, nós da PROOF, como uma empresa atenta às inovações do mercado de cibersegurança, estamos sempre nos atualizando das principais tendências tecnológicas do mundo, além dos novos vetores de ataque por parte da indústria do cibercrime.

[/av_icon_box]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_one_third first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/ransomware-saber.png’ attachment=’7032′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/info-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

INFOGRÁFICO RANSOMWARE

[/av_textblock]
[/av_one_third]

[av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/Buyers-Guide-MSSP_vCapa-01.png’ attachment=’7013′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/buyers-guide-mssp’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

BUYER’S GUIDE

[/av_textblock]
[/av_one_third]

[av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/Tudo-que-você-precisa-saber-sobre-ransomware-MAT-RICO.jpg’ attachment=’6450′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ebook-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

EBOOK RANSOMWARE

[/av_textblock]
[/av_one_third]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_social_share title=” style=” buttons=”]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_comments_list]