Rogério Soares (*)
Cyber Kill Chain (CKC) é um conceito militar aplicado à cibersegurança onde os estágios de um ataque são enumerados afim de descobrir meios de ‘quebrar’ esta cadeia. O modelo descreve como os invasores usam um ciclo comum de métodos para comprometer uma organização e que descreve uma série de ações que a empresas podem utilizar para romper elos da cadeia de ação dos ataques ransonware.
Os líderes de segurança de TI podem usar esse conceito para alinhar os programas de segurança aos adversários e melhorar sua capacidade de prever, prevenir, detectar e responder às Advanced Persistent Threats ou ameaças avançadas pertinentes. Aproximadamente 37% das organizações globais disseram ter sido vítimas de alguma forma de ataque de ransomware em 2021, de acordo com o “2021 Ransomware Study” do IDC.
Já o Internet Crime Complaint Center do FBI relatou 2.084 reclamações de ransomware de janeiro a 31 de julho de 2021. Isso representa um aumento de 62% ano a ano. De acordo com o Gartner, daqui para frente os governos estarão mais envolvidos. Segundo a consultoria, as nações provavelmente promulgarão legislação sobre pagamentos de ransomware. Em 2021, o Gartner estimou que apenas 1% dos governos globais tem regras sobre ransomware, com uma previsão de que cresça para 30% até 2025.
Ataques como ransomwares possuem um ciclo de atuação e o CKC é focado em como quebrar esta cadeia. Baseado nos dados coletados acerca de ataques anteriores, é possível criar estratégias para ajudar as organizações a entender as ameaças de forma geral. Ao adicionar análise, contexto, relevância, prioridade e oportunidade, estas informações transformam-se em inteligência e já começamos a desenvolver pilares para romper este ciclo.
Com inteligência, as empresas entendem como se prevenir, criar estratégias e preparar suas equipes de TI ativas na busca de ameaças cibernéticas e que tenham um impacto positivo na organização usando modelos de CKC. O resultado são operações de segurança mais eficientes e eficazes, além de uma postura de segurança mais forte.
A prevenção é a única forma de “quebrar” essa cadeia. Com uma política de segurança da informação concisa é possível ter sucesso sob determinados ataques e também podemos citar quais tipos de soluções em tecnologia e protocolos puderam ser realizados. Lembre-se que o CKC é então repetido. É um movimento circular, não linear. Embora a metodologia empregada seja a mesma, os criminosos usarão diferentes métodos dentro da cadeiam entre os quais se destacam:
. Reconhecimento: Quais métodos de ataque trabalharão com o mais alto grau de sucesso? E desses, quais são os mais fáceis de executar em termos de investimento de recursos? Combate: monitoramento e controle de identidade com soluções IGA (Identity and Governance Administration);
. Armamento: Onde está a oportunidade para a ameaça ter sucesso, seja aplicativos da Web, malware off-the-shelf ou personalizado, downloads, compras, arquivos vulneráveis (imagens, jogos, PDF etc…). Combate: proteção de endpoint e redução de privilégios de acessos com soluções de PAM (Privileged Access Management);
. Entrega: Qual o alvo do ataque e por qual porta ele vai entrar na empresa? Como será a transmissão da ameaça? Combate: soluções com proteção de endpoint;
. Exploração: Após a entrega ao usuário, computador ou dispositivo, a carga maliciosa comprometerá o ativo e dominando uma posição no ambiente. Isso ocorre por explorar alguma vulnerabilidade conhecida ou disponibilizada anteriormente.
. Instalação: A ameaça é geralmente furtiva em sua operação, permitindo persistência ou “tempo de moradia” a ser alcançado. Os criminosos podem então controlar o ambiente sem alertar a organização. Combate: soluções de proteção de endpoint e monitoramento;
. Comando e Controle: Fase decisiva onde os criminosos têm controle de ativos dentro da organização por meio de métodos de controle (muitas vezes remotos). Aqui é onde ele põe as cartas na mesa e diz ao ‘controlado’. Muitas vezes um hospedeiro é identificado para o qual todos os dados internos são copiados, depois compactados e/ou criptografados e prontos para exfiltração. Combate: monitoramento e soluções de PAM;
. Ações e objetivo: Fase final que abrange como os criminosos extraem dados e/ou danificam ativos de TI enquanto se debruçam simultaneamente em uma organização. Em seguida, medidas são tomadas para identificar mais alvos, expandir seu domínio dentro da empresa e extrair dados.
(*) – É diretor de Pré-Vendas e Serviços Profissionais LATAM da Quest Software.
