Cyber Kill Chain
Что такое Cyber Kill Chain?
Cyber Kill ChainСемиэтапная модель Lockheed Martin, описывающая, как целевая атака развивается от разведки до действий на цели.
Cyber Kill Chain, опубликованная компанией Lockheed Martin в 2011 году, разбивает вторжение на семь последовательных этапов: разведка, вооружение, доставка, эксплуатация, установка, командование и управление (C2) и действия на цели. Модель предлагает защитникам обнаруживать, отказывать, нарушать, ослаблять, обманывать или уничтожать действия противника на каждом этапе, поскольку разрыв любого одного звена срывает всю кампанию. Это одна из первых широко принятых атакующе-ориентированных моделей, она по-прежнему полезна для сопоставления средств защиты, приоритизации телеметрии и описания хронологии инцидентов. Критики отмечают, что она лучше описывает классические атаки на основе вредоносного ПО, чем инсайдерские угрозы, облачные атаки или скрытый шпионаж; многие команды теперь сочетают её с MITRE ATT&CK.
● Примеры
- 01
Отображение инцидента «фишинг — программа-вымогатель» на семь этапов для выявления отказавших средств защиты.
- 02
Привязка EDR, защиты почты и сетевых средств к конкретным этапам kill chain.
● Частые вопросы
Что такое Cyber Kill Chain?
Семиэтапная модель Lockheed Martin, описывающая, как целевая атака развивается от разведки до действий на цели. Относится к категории Защита и операции в кибербезопасности.
Что означает Cyber Kill Chain?
Семиэтапная модель Lockheed Martin, описывающая, как целевая атака развивается от разведки до действий на цели.
Как работает Cyber Kill Chain?
Cyber Kill Chain, опубликованная компанией Lockheed Martin в 2011 году, разбивает вторжение на семь последовательных этапов: разведка, вооружение, доставка, эксплуатация, установка, командование и управление (C2) и действия на цели. Модель предлагает защитникам обнаруживать, отказывать, нарушать, ослаблять, обманывать или уничтожать действия противника на каждом этапе, поскольку разрыв любого одного звена срывает всю кампанию. Это одна из первых широко принятых атакующе-ориентированных моделей, она по-прежнему полезна для сопоставления средств защиты, приоритизации телеметрии и описания хронологии инцидентов. Критики отмечают, что она лучше описывает классические атаки на основе вредоносного ПО, чем инсайдерские угрозы, облачные атаки или скрытый шпионаж; многие команды теперь сочетают её с MITRE ATT&CK.
Как защититься от Cyber Kill Chain?
Защита от Cyber Kill Chain обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Cyber Kill Chain?
Распространённые альтернативные названия: Цепочка атаки Lockheed Martin, Цепочка вторжения.
● Связанные термины
- defense-ops№ 905
Разведка (Reconnaissance)
Первая фаза атаки, в которой противник собирает сведения о людях, технологиях и экспозиции цели, прежде чем перейти к проникновению.
- defense-ops№ 535
Первоначальный доступ
Тактика MITRE ATT&CK (TA0001), охватывающая техники, с помощью которых атакующие закрепляются в целевой среде впервые.
- compliance№ 687
MITRE ATT&CK
Глобально доступная база знаний о тактиках и техниках противников, наблюдаемых в реальных атаках, поддерживаемая MITRE.
- malware№ 201
Командно-контрольная инфраструктура (C2)
Инфраструктура и каналы, через которые злоумышленник поддерживает связь со скомпрометированными системами и передаёт им команды.
- defense-ops№ 315
Diamond Model анализа вторжений
Аналитическая модель, связывающая каждое вредоносное событие с четырьмя вершинами: противник, средства, инфраструктура и жертва.
- defense-ops№ 527
Индикатор компрометации (IoC)
Наблюдаемый артефакт — хэш файла, IP, домен, URL, ключ реестра, — указывающий на то, что система была или находится в процессе компрометации.