Cyber Kill Chain
O que é Cyber Kill Chain?
Cyber Kill ChainModelo em sete fases da Lockheed Martin que descreve como uma intrusão direcionada evolui do reconhecimento até as ações sobre os objetivos.
A Cyber Kill Chain, publicada pela Lockheed Martin em 2011, divide uma intrusão em sete fases sequenciais: reconhecimento, weaponization, entrega, exploração, instalação, comando e controlo e ações sobre os objetivos. O modelo incentiva os defensores a detetar, negar, interromper, degradar, enganar ou destruir a atividade adversária em cada etapa, pois quebrar um único elo impede o sucesso da campanha. Foi um dos primeiros enquadramentos centrados no atacante a ser amplamente adotado e continua útil para mapear controlos, priorizar telemetria e comunicar a cronologia de incidentes. Os críticos notam que se adapta melhor a intrusões clássicas com malware do que a abusos internos, ataques cloud-native ou espionagem discreta; muitas equipas combinam-no agora com o MITRE ATT&CK.
● Exemplos
- 01
Mapear um incidente de phishing a ransomware nas sete fases para identificar que controlos falharam.
- 02
Alinhar EDR, segurança de e-mail e defesas de rede a etapas específicas da kill chain.
● Perguntas frequentes
O que é Cyber Kill Chain?
Modelo em sete fases da Lockheed Martin que descreve como uma intrusão direcionada evolui do reconhecimento até as ações sobre os objetivos. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Cyber Kill Chain?
Modelo em sete fases da Lockheed Martin que descreve como uma intrusão direcionada evolui do reconhecimento até as ações sobre os objetivos.
Como funciona Cyber Kill Chain?
A Cyber Kill Chain, publicada pela Lockheed Martin em 2011, divide uma intrusão em sete fases sequenciais: reconhecimento, weaponization, entrega, exploração, instalação, comando e controlo e ações sobre os objetivos. O modelo incentiva os defensores a detetar, negar, interromper, degradar, enganar ou destruir a atividade adversária em cada etapa, pois quebrar um único elo impede o sucesso da campanha. Foi um dos primeiros enquadramentos centrados no atacante a ser amplamente adotado e continua útil para mapear controlos, priorizar telemetria e comunicar a cronologia de incidentes. Os críticos notam que se adapta melhor a intrusões clássicas com malware do que a abusos internos, ataques cloud-native ou espionagem discreta; muitas equipas combinam-no agora com o MITRE ATT&CK.
Como se defender contra Cyber Kill Chain?
As defesas contra Cyber Kill Chain costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Cyber Kill Chain?
Nomes alternativos comuns: Cadeia de ataque Lockheed Martin, Cadeia de intrusão.
● Termos relacionados
- defense-ops№ 905
Reconhecimento
Primeira fase de um ataque, em que os adversários recolhem informação sobre pessoas, tecnologia e exposição do alvo antes de tentar a intrusão.
- defense-ops№ 535
Acesso Inicial
Tática do MITRE ATT&CK (TA0001) que cobre as técnicas usadas pelos atacantes para estabelecer o primeiro ponto de apoio no ambiente alvo.
- compliance№ 687
MITRE ATT&CK
Base de conhecimento global e aberta sobre táticas e técnicas de adversários observadas em ataques reais, mantida pela MITRE.
- malware№ 201
Comando e controlo (C2)
Infraestrutura e canais que os atacantes usam para manter comunicação com sistemas comprometidos e enviar-lhes instruções.
- defense-ops№ 315
Diamond Model de Análise de Intrusões
Framework de análise de intrusões que liga cada evento malicioso a quatro vértices: adversário, capacidade, infraestrutura e vítima.
- defense-ops№ 527
Indicador de Comprometimento (IoC)
Artefato observável — como hash, IP, domínio, URL ou chave de registro — que indica que um sistema foi ou está sendo comprometido.
● Veja também
- № 397Execução (Tática MITRE)
- № 817Persistência
- № 298Evasão de Defesas
- № 325Descoberta (Tática MITRE)
- № 199Recolha (Tática MITRE)
- № 398Exfiltração
- № 518Impacto (Tática MITRE)