A segurança cibernética é um dos principais problemas com os quais as organizações estão lutando todos os dias. Na verdade, de acordo com a Accenture, 68% dos líderes empresariais dizem que seus riscos de segurança cibernética estão aumentando. Portanto, é fundamental compreender as várias facetas da segurança cibernética, e isso inclui a Cyber Kill Chain.
Ignorar a segurança cibernética está provando ser um dos erros mais caros. Afinal, essa decisão levou a um aumento de 72% no custo médio do crime cibernético nos últimos 5 anos. No entanto, com a segurança cibernética não é possível eliminar totalmente os riscos. Portanto, ter estratégias de defesa em vigor pode ser a melhor solução possível para mitigar o risco de segurança cibernética.
Usando uma abordagem de segurança em camadas, os riscos podem ser minimizados. Contudo, como você garante que seu sistema de segurança cibernética seja forte o suficiente para resistir a qualquer ataque à sua organização? É aqui que a Cyber Kill Chain tem um papel a desempenhar.
Neste artigo, vamos descobrir o que é uma Cyber Kill Chain e como as empresas podem usá-la para se proteger de ataques.
O que é uma Cyber Kill Chain?
A cadeia de morte cibernética (Cyber Kill Chain) é essencialmente um modelo de segurança cibernética criado pela Lockheed Martin. Seu intuito é:
- rastrear os estágios de um ataque cibernético;
- identificar vulnerabilidades;
- ajudar as equipes de segurança a interromper os ataques em todas as etapas da cadeia.
O termo kill chain é adotado pelos militares, que usam esse termo relacionado à estrutura de um ataque. Afinal, consiste na identificação de um alvo, despacho, decisão, ordem e, finalmente, destruição do alvo.
Como funciona a Cyber Kill Chain?
A Cyber Kill Chain consiste em 7 etapas distintas:
-
Reconhecimento
O invasor coleta dados sobre o alvo e as táticas para o ataque. Isso inclui coletar endereços de e-mail e coletar outras informações.
Então, scanners automatizados são usados por invasores para encontrar pontos de vulnerabilidade no sistema. Isso inclui a verificação de firewalls, sistemas de prevenção de intrusão, etc., para obter um ponto de entrada para o ataque.
-
Armamento
Os invasores desenvolvem um malware aproveitando vulnerabilidades específicas de segurança. Então, eles projetam o malware com base em suas necessidades e na intenção do ataque. Esse processo também envolve invasores tentando reduzir as chances de serem detectados pelas soluções de segurança que a organização possui.
-
Entrega
O invasor entrega o malware armado por meio de um e-mail de phishing ou algum outro meio. Os vetores de entrega mais comuns para cargas úteis armadas incluem sites, discos removíveis e e-mails. Este é o estágio mais importante em que o ataque pode ser interrompido pelas equipes de segurança.
-
Exploração
O código malicioso é entregue no sistema da organização. Então, é nessa fase que o perímetro é violado. Então, os invasores têm a oportunidade de explorar os sistemas da organização instalando ferramentas, executando scripts e modificando certificados de segurança.
Na maioria das vezes, as vulnerabilidades de um aplicativo ou do sistema operacional são direcionadas. Exemplos de ataques de exploração podem ser scripts, troca dinâmica de dados e agendamento de tarefas locais.
-
Instalação
Um backdoor ou trojan de acesso remoto é instalado pelo malware. Este, por sua vez, fornece acesso ao intruso. Essa também é outra etapa importante em que o ataque pode ser interrompido usando sistemas como HIPS (Host-based Intrusion Prevention System).
-
Comando e Controle
O invasor obtém controle sobre os sistemas e a rede da organização. Ou seja, os invasores obtêm acesso a contas privilegiadas e tentam ataques de força bruta. Contudo, também pesquisam credenciais e alteram permissões para assumir o controle.
-
Ações no Objetivo
O invasor finalmente extrai os dados do sistema. Afinal, seu objetivo envolve coletar, criptografar e extrair informações confidenciais do ambiente da organização.
Com base nessas etapas, são fornecidas as seguintes camadas de implementação de controle:
- Detectar – Determine as tentativas de penetração em uma organização.
- Negar – Parar os ataques quando eles estão acontecendo.
- Interromper – Intervir na comunicação de dados feita pelo invasor e a interromper em seguida.
- Degradar – Isso é para limitar a eficácia de um ataque de segurança cibernética a fim de minimizar seus efeitos nocivos.
- Enganar – Enganar o invasor fornecendo informações erradas ou direcionando-o incorretamente.
- Conter – Conter e limitar o escopo do ataque para que ele fique restrito a apenas uma parte da organização.
Reconhecimento
Detectar: Web Analytics; Inteligência de Ameaças; Sistema de detecção de intrusão de rede
Negar: Política de Compartilhamento de Informações; Listas de controle de acesso de firewall
Armamento
Detectar: Inteligência de Ameaças; Sistema de detecção de intrusão de rede
Negar: Sistema de Prevenção de Intrusão de Rede
Entrega
Detectar: proteção contra malware de endpoint
Negar: Gerenciamento de Mudanças; Lista de permissões de aplicativos; Filtro proxy; Sistema de prevenção de intrusão baseado em host
Interromper: Antivírus embutido
Degradar: Fila
Contêm: Listas de Controle de Acesso do Roteador; Firewall com reconhecimento de aplicativo; Zonas de Confiança; Sistema de detecção de intrusão de rede entre zonas
Exploração
Detectar: Proteção contra malware de endpoint; Sistema de detecção de intrusão baseado em host
Negar: Senha Segura; Gerenciamento de patches
Interromper: Prevenção de Execução de Dados
Contêm: Firewall com reconhecimento de aplicativo; Zonas de Confiança; Sistema de detecção de intrusão de rede entre zonas
Instalação
Detectar: Gerenciamento de Informações e Eventos de Segurança (SIEM); Sistema de detecção de intrusão baseado em host
Negar: Separação de Privilégios; Senhas fortes; Autenticação de dois fatores
Interromper: listas de controle de acesso do roteador
Contêm: Firewall com reconhecimento de aplicativo; Zonas de Confiança; Sistema de detecção de intrusão de rede entre zonas
Comando e controle
Detectar: Sistema de Detecção de Intrusão de Rede; Sistema de detecção de intrusão baseado em host
Negar: Listas de Controle de Acesso do Firewall; Segmentação de rede
Interromper: Sistema de prevenção de intrusão baseado em host
Degradar: Tarpit
Enganar: redirecionamento do sistema de nomes de domínio
Contêm: Zonas de Confiança; Sinkholes do sistema de nomes de domínio
Ações em Objetivos
Detectar: proteção contra malware de endpoint
Negar: criptografia de dados em repouso
Interromper: proteção contra malware de endpoint
Degradar: Qualidade de Serviço
Enganar: Honeypot
Conter: Resposta a Incidentes
Exfiltração
Detectar: Prevenção contra perda de dados; Informações de segurança e gerenciamento de eventos (SIEM)
Negar: filtragem de saída
Interromper: Prevenção contra perda de dados
Contêm: Listas de Controle de Acesso do Firewall”
Como a Cyber Kill Chain pode proteger contra ataques?
Uma Cyber Kill Chain ou plataforma de simulação de ataque cibernético pode ser usada por organizações para identificar e corrigir as falhas de segurança em seu sistema em segundos.
Então, veja como simular uma Cyber Kill Chain pode proteger contra ataques de segurança cibernética:
-
Simule ataques de segurança cibernética
Ataques reais de segurança cibernética podem ser simulados em todos os vetores para encontrar vulnerabilidades e ameaças. Isso inclui simular ataques cibernéticos por meio de gateways de e-mail, gateways da web, firewall de aplicativos da web e outros semelhantes.
-
Avaliar os controles para identificar lacunas de segurança
Isso envolve avaliar simulações e identificar as áreas de risco. As plataformas de simulação fornecem uma pontuação de risco detalhada e relatam todos os vetores.
-
Remediar e corrigir as lacunas de segurança cibernética
A próxima etapa é corrigir as lacunas de segurança que foram identificadas na etapa anterior. Isso pode incluir etapas como instalar patches e alterar configurações para reduzir o número de ameaças e vulnerabilidades no sistema da organização.
Pensamentos finais
Diferentes técnicas de segurança apresentam diferentes abordagens para a Cyber Kill Chain. Afinal, todos, do Gartner à Lockheed Martin, definem os estágios de maneira ligeiramente diferente. Entretanto, modelos alternativos da cadeia de morte cibernética combinam várias das etapas acima em um estágio de C&C (comando e controle, ou C2) e outros em um estágio de ‘Ações no objetivo’. Alguns combinam o movimento lateral e a escalada de privilégios em um estágio de exploração; outros combinam intrusão e exploração em um estágio de “ponto de entrada”.
Contudo, esse é um modelo frequentemente criticado por se concentrar na segurança do perímetro e limitado à prevenção de malware. No entanto, quando combinado com análises avançadas e modelagem preditiva, a Cyber Kill Chain se torna crítica para a segurança dos dados.
Com o detalhamento acima, a cadeia de eliminação é estruturada para revelar o estado ativo de uma violação de dados. Entretanto, é importante ressaltar que cada estágio da kill chain requer instrumentação específica para detectar ataques cibernéticos.
Por outro lado, deixar vulnerabilidades de segurança cibernética abertas para ataques de segurança é um dos erros mais comuns cometidos pelas organizações hoje. Portanto, a validação de segurança contínua em toda a Cyber Kill Chain pode ajudar as empresas a identificar, prevenir, interromper e se preparar para esses ataques.
Precisa de ajuda com a segurança?
Você pode contratar uma empresa de TI para cuidar da sua segurança cibernética e muito mais.
Diferenciais da Infonova
A Infonova tem 20 anos de experiência em tecnologia, infraestrutura de TI, e pessoas. Temos clientes internacionais como HBO, AirBnb, Linkedin, Tempo Assist, Nissin, entre outros. Ou seja, estamos aptos a atender qualquer segmento e tamanho de negócio com maestria.
BACKUP
Todas as posições de profissionais da Infonova têm backup. Temos um ditado interno que é: “quem tem um… não tem nenhum”. Portanto, somos obcecados em ter continuidade nas operações para que nós e os nossos clientes possam focar na parte mais importante: explorar oportunidades e gerar crescimento.
VALOR FINANCEIRO
O valor da Infonova é intencionalmente menor quando comparado com empresas no mesmo nível de maturidade. No entanto, fazemos isso para ter a possibilidade de escolher os nossos clientes e ter uma base de clientes satisfeitos, e por bastante tempo.
LIBERAÇÃO DO RH
O RH é uma das áreas mais importantes de qualquer empresa. Afinal, ele deve estar focado em gerir a cultura, desenvolvimento dos colaboradores e atração de talentos; e não apenas com a reposição de profissionais. Sendo assim, terceirizar a TI oferece a possibilidade de fazer com que o RH esteja mais livre para se tornar um vetor de crescimento para a empresa.
FLEXIBILIDADE – HUB DE TECNOLOGIA
A Infonova não faz só Infra, ela pode fazer de tudo. Na verdade, para alguns clientes que não podem resolver algumas questões diretamente, a Infonova atua como Hub, indo para o mercado, encontrando parceiros e fornecedores e interagindo com eles. Esses serviços incluem áreas diversas, como:
- Ar condicionado;
- Outsourcing de impressão;
- Links de internet;
- Compra de materiais e mais.
ALOCAÇÃO DE DESENVOLVEDORES
A Infonova já foi uma fábrica de software no passado. Contudo, em 2012 escolhemos focar em Gestão de TI, Infraestrutura e Segurança. No entanto, como era de se esperar, esse conhecimento e familiaridade permanecem até hoje no time. Portanto, realizamos consultorias de DevOps para alguns clientes, atuamos como mediador entre clientes e desenvolvedores, e também alocamos desenvolvedores para alguns clientes.
RETENÇÃO DE COLABORADORES
Demoramos mais de 10 anos para entender e construir as ferramentas para atrair e manter profissionais de tecnologia no nosso time. Então, seja o profissional alocado no cliente ou não, temos a vivência de como reter, desenvolver e satisfazer tanto os profissionais quanto os clientes. E essa é uma necessidade para o sucesso da empresa.
LIBERAR BRAIN POWER DA ORGANIZAÇÃO PARA APROVEITAR OPORTUNIDADES
Não dá para fazer tudo. Então, faz mais sentido focar no que faz a empresa crescer, mas isso requer um recurso escasso: tempo e atenção. Terceirizar a TI significa retomar esse recurso, contudo, não é de graça. Terceirizar é mais caro do que contratar direto, mas faz sentido se você pode usar a atenção e o tempo para realizar mais valor, inclusive financeiro.
NÃO TEM MULTA DE CONTRATO
A Infonova tirou as multas dos seus contratos há muitos anos. Afinal, entendemos que para o cliente, muitas vezes mudar é uma situação nova. Portanto, escolhemos tirar o risco do cliente e trazer este risco apenas para o nosso lado.
PODE PARAR QUANDO QUISER
Os primeiros 90 dias de contrato com a Infonova não tem multa e nem aviso prévio. Ou seja, basta pedir para parar. Contudo, após os 90 dias, também não temos multa, porém, solicitamos um aviso com 30 dias de antecedência.
CONTINUAMOS AMIGOS
Na Infonova a relação continua mesmo sem contrato. Ou seja, mantemos o relacionamento com os clientes e continuamos ajudando, trocando experiências e apoiando, independente de existir um documento de contrato ou não. Afinal, o nosso interesse é na parceria.
DORMIR TRANQUILO
Stress faz parte do crescimento. Afinal, crescer não é um caminho fácil. No entanto, você pode escolher o tipo de stress que quer ter. Ou seja, pode decidir entre o stress de fazer a empresa “funcionar”, ou o de focar em aproveitar as oportunidades enquanto dorme tranquilo sabendo que o dia a dia está garantido.