Впервые широко этот термин стал использоваться после публикации компании Lockheed Martin и его задача описать последовательность шагов злоумышленника, осуществляющего проникновение в информационную систему.
На уровне подсознания мы прекрасно понимаем, что любая атака происходит не на пустом месте, она требует подготовки и ряда иных действий для того, чтобы быть успешной. Вот Kill Chain и описывает эти шаги, начинающиеся не с проникновения через периметр корпоративной или ведомственной сети, а с сбора разведывательной информации. По сути Lockheed Martin аккумулировала имеющиеся ранее исследования и модели МинОбороны США, ВВС США и ряда других организаций и предложила 7 стадий, которые проходит злоумышленник для успешной реализации своей деятельности:
- Разведка. Исследование, идентификация и выбор свой жертвы, часто используя публичные источники данных — соцсети, сайты конференций, списки рассылки и т.п.
- Вооружение. Оснащение вредоносным содержанием файла (например, PDF или MS Office) или иного контента, который должен быть прочтен/открыт жертвой.
- Доставка. Донесение вредоносного контента до жертвы, чаще всего используя для этого e-mail, web-сайты или USB-флешки.
- Заражение. Запуск вредоносного кода, используя имеющиеся на целевом компьютере уязвимости, с последующим его заражением.
- Инсталляция. Открытие удаленного доступа для незаметного управления и обновления вредоносного кода. В последнее время для этого чаще всего используется протокол DNS.
- Получение управления. Получение обновлений с новым функционалом извне, а также управляющих команд для достижения поставленных целей.
- Выполнение действий. Сбор и кража данных, шифрование файлов, перехват управления, подмена данных и другие задачи, которые могут стоять перед нарушителем.
Понятно, что злоумышленник не обязательно должен соблюдать указанные 7 шагов, но в этом случае эффективность его деятельности снижается. Более того, 7 шагов часто модифицируются в 6 или 8. Например, в картинке ниже (скачана из Интернет) этап утечки данных выделен отдельно. А на последней картинке восьмой этап описывает уничтожение следов после выполнения своей задачи злоумышленником. Но как бы то ни было, первые шаги, описанные несколько лет назад Lockheed Martin, остаются неизменными.
Если подытожить, то Kill Chain представляет собой систематический процесс достижения нарушителем цели для получения желаемого эффекта. С этой же целью (систематизация) это понятие и стоит включить в арсенал служб ИБ (если этого еще не сделано). Использовать это понятие можно при моделировании угроз, а с практической точки зрения нередко когда Kill Chain используется при оценке эффективности Security Operation Center (SOC). Распределение обнаруженных и нейтрализованных атак по их стадии — это одна из метрик SOC. Логично предположить, что чем раьнше мы обнаруживаем направленные против нас действия злоумышленников, тем эффективнее работает наша система защиты.
Алексей, утро доброе — есть понимание как этот без сомнения полезный концепт применить для внутр. нарушителя? В первом приближении он сугубо для внешнего
https://blog.netspi.com/wp-content/uploads/2016/10/NetSPI_Scott_Sutherland_RedvsBlue_v3.2.pdf
Ну для внутреннего у тебя схлопывается несколько этапов — вооружение, доставка, инсталляция и получение управления. В итоге kill chain для внутреннего нарушителя будет такой: разведка/поиск — захват/сбор данных — утечка/выполнение действий. Это для простого инсайдера. Если казачок засланный и система атакуемая непростая, то цепочка будет той же.
Kirill Rrr: DNS неучтен в каналах утечки, а именно он сегодня самый популярный для этой задачи. Ну и там ориентация на проникновение через e-mail