Cyber Kill Chain: prevenção como arma para ‘quebrar’ a cadeia

Rogerio-Soares-scaled.jpg
Rogério Soares *
22/11/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Cyber Kill Chain (CKC) é um conceito militar aplicado à cibersegurança onde os estágios de um ataque são enumerados a fim de descobrir meios de ‘quebrar’ esta cadeia. O modelo descreve como os invasores usam um ciclo comum de métodos para comprometer uma organização e que descreve uma série de ações que a empresas podem utilizar para romper elos da cadeia de ação dos ataques ransomware.  Os líderes de segurança de TI podem usar esse conceito para alinhar os programas de segurança aos adversários e melhorar sua capacidade de prever, prevenir, detectar e responder às ameaças pertinentes avançadas (APTs, na sigla em inglês).

Aproximadamente 37% das organizações globais disseram ter sido vítimas de alguma forma de ataque de ransomware em 2021, de acordo com o “2021 Ransomware Study” da IDC. Já O Internet Crime Complaint Center do FBI relatou 2.084 reclamações de ransomware de janeiro a 31 de julho de 2021. Isso representa um aumento de 62% ano a ano. De acordo com o Gartner, daqui para frente os governos estarão mais envolvidos.  Segundo a consultoria, as nações provavelmente promulgarão legislação sobre pagamentos de ransomware. Em 2021, o Gartner estima que apenas 1% dos governos globais tem regras sobre ransomware, com uma previsão de que cresça para 30% até 2025.

Ataques como de ransomware possuem um ciclo de atuação e o CKC é focado em como quebrar esta cadeia. Baseado nos dados coletados acerca de ataques anteriores, é possível criar estratégias para ajudar as organizações a entender as ameaças de forma geral. Ao adicionar análise, contexto, relevância, prioridade e oportunidade, estas informações transformam-se em inteligência e já começamos a desenvolver pilares para romper este ciclo. Com inteligência, as empresas entendem como se prevenir, criar estratégias e preparar suas equipes de TI ativas na busca de ameaças cibernéticas e que tenham um impacto positivo na organização usando modelos de CKC. O resultado são operações de segurança mais eficientes e eficazes, além de uma postura de segurança mais forte.

A prevenção é a única forma de “quebrar” essa cadeia. Com uma política de segurança da informação concisa é possível ter sucesso sob determinados ataques e podemos citar quais tipos de soluções em tecnologia e protocolos puderam ser realizados. Lembre-se que o CKC é então repetido. É um movimento circular, não linear. Embora a metodologia empregada seja a mesma, os criminosos usarão diferentes métodos dentro da cadeia entre os quais se destacam:

Reconhecimento: Quais métodos de ataque trabalharão com o mais alto grau de sucesso? E desses, quais são os mais fáceis de executar em termos de investimento de recursos? Combate: monitoramento e controle de identidade com soluções IGA (Identity and Governance Administration);

Armamento: Onde está a oportunidade para a ameaça ter sucesso, seja aplicativos da Web, malware off-the-shelf ou personalizado, downloads, compras, arquivos vulneráveis (imagens, jogos, PDF, etc.). Combate: proteção de endpoint e redução de privilégios de acessos com soluções de PAM (Privileged Access Management);

Entrega: Qual o alvo do ataque e por qual porta ele vai entrar na empresa? Como será a transmissão da ameaça? Combate: soluções com proteção de endpoint;

Exploração: Após a entrega ao usuário, computador ou dispositivo, a carga maliciosa comprometerá o ativo e dominando uma posição no ambiente. Isso ocorre por explorar alguma vulnerabilidade conhecida ou disponibilizada anteriormente. Combate: monitoramento;

Instalação: A ameaça é geralmente furtiva em sua operação, permitindo persistência ou “tempo de moradia” a ser alcançado. Os criminosos podem então controlar o ambiente sem alertar a organização. Combate: soluções de proteção de endpoint e monitoramento;

Comando e Controle: Fase decisiva onde os criminosos têm controle de ativos dentro da organização por meio de métodos de controle (muitas vezes remotos). Aqui é onde ele põe as cartas na mesa e diz ao ‘controlado’. Muitas vezes um hospedeiro é identificado para o qual todos os dados internos são copiados, depois compactados ou criptografados e prontos para exfiltração. Combate: monitoramento e soluções de PAM;

Ações e objetivo:  Fase final que abrange como os criminosos extraem dados e/ou danificam ativos de TI enquanto se debruçam simultaneamente em uma organização. Em seguida, medidas são tomadas para identificar mais alvos, expandir seu domínio dentro da empresa e extrair dados. Combate: Disaster Recovery Plan.

*Rogério Soares é diretor de pré-vendas e serviços profissionais LATAM da Quest Software.

Compartilhar:
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)