Nel 2011 Lockheed Martin, azienda statunitense specializzata nel settore aerospaziale e militare, pubblicò un white paper che presentava per la prima volta la cosiddetta “kill chain”, ovvero un modello militare che suddivide qualsiasi attacco informatico in sette fasi consecutive per facilitarne l’analisi. Originariamente sviluppata per respingere attacchi condotti con APTs (minacce persistenti avanzate), la kill chain si basa sul principio che un attacco informatico debba necessariamente passare attraverso tutte e sette le fasi definite. In caso di interruzione della catena, l’attacco fallisce.
Le sette fasi della kill chain
Il modello contempla le seguenti fasi:
- Ricognizione: gli aggressori raccolgono informazioni sull’obiettivo per identificare le vulnerabilità che potrebbero sfruttare. Ciò può avvenire tramite social network, indirizzi IP, scansioni di domini e sottodomini o altri metodi.
- Armamento: gli aggressori preparano i loro strumenti, in particolare il malware, per l’attacco.
- Veicolazione: il software dannoso viene trasmesso all’obiettivo, ad esempio tramite e-mail di phishing o chiavette USB infette.
- Sfruttamento: il codice malevolo viene attivato per sfruttare eventuali vulnerabilità e ottenere il controllo del sistema.
- Installazione: gli aggressori installano una backdoor per insediarsi nel sistema a lungo termine (APT).
- Comando e controllo: viene stabilito un canale di comunicazione tra il sistema infetto e un server di controllo esterno.
- Azioni contro l’obiettivo: l’attacco viene portato a termine, spesso attraverso l’esfiltrazione e/o la cifratura di dati, o la propagazione laterale nella rete.
Alcuni modelli di kill chain prevedono un’ottava fase: la monetizzazione. I cybercriminali cercano di generare denaro attraverso un ransomware precedentemente utilizzato o rivendendo i dati rubati.
Ulteriori sviluppi della kill chain
Di fronte agli attacchi più moderni e dinamici, che non passano necessariamente attraverso tutte le fasi per avere successo, il modello originale della kill chain presenta delle limitazioni. Ad esempio gli aggressori sfruttano sempre più spesso l’accesso iniziale a reti compromesse offerto da altri gruppi di criminali informatici per poi passare direttamente
alla terza fase della kill chain. Si è quindi resa necessaria un’evoluzione del modello tradizionale. Un esempio è il framework MITRE-ATT&CK, che fornisce informazioni dettagliate sulle tattiche e le tecniche dei criminali informatici. A differenza della kill chain, che prende in considerazione sette fasi, MITRE ATT&CK ne comprende quattordici e offre un’analisi più dettagliata degli attacchi. Essendo un modello dinamico, il framework è più adatto alle organizzazioni che desiderano eseguire una valutazione più approfondita della sicurezza e migliorare proattivamente la propria postura per rispondere alle minacce in modo efficace. È quindi importante che gli operatori SOC e i fornitori di soluzioni di cybersecurity siano in grado di relazionare facilmente eventuali log di allarme con elementi del repository MITRE ATT&CK, rendendo più efficiente la reazione iniziale ad un potenziale incidente.
La cosiddetta “Unified Kill Chain”, deriva invece dalla fusione di entrambi i modelli e si basa su un approccio di ricerca ibrido che suddivide gli attacchi in diciotto passaggi, suddivisi in tre fasi: “In”, ‘Through’ e ‘Out’. A questa si aggiunge la “Online Operations Kill Chain” che estende il modello classico per includere attività online a scopo fraudolenti, come lo spionaggio o la disinformazione, le frodi e altro ancora. Questo nuovo standard comprende dieci fasi che coprono attività come l’approvvigionamento di risorse e il loro camuffamento, la raccolta di informazioni, il coordinamento e la verifica delle misure di difesa implementate.
Framework specifici come la “Cyber Fraud Kill Chain”, invece, sono rivolti a determinati settori come le istituzioni finanziarie e offrono soluzioni personalizzate per l’analisi degli attacchi informatici in questo ambito.
L’importanza della kill chain per la sicurezza informatica
Tenuto conto di tutti questi Framework alternativi, la kill chain è più che mai uno strumento indispensabile per garantire la sicurezza informatica di aziende e organizzazioni, uno strumento su cui si basano anche i team di cyber threat intelligence per indagare e comprendere le minacce informatiche oltre che per migliorare continuamente il livello di protezione fornito dalle soluzioni di cybersecurity.
Rilevando tempestivamente un tentativo di intrusione e implementando strumenti di protezione degli endpoint e dei server, è possibile contenere i cyberattacchi prima che raggiungano lo stadio finale. Ne sono un esempio le moderne soluzioni di Endpoint Detection & Response (EDR) o eXtended Detection & Response (XDR). Queste tecnologie monitorano le reti, gli endpoint e il flusso di dati, e rilevano le minacce in diverse fasi della kill chain.
Inoltre, i moderni firewall IPS, ovvero soluzioni per il rilevamento dei tentativi di intrusione e per la protezione della rete aziendale (anche estesa), offrono protezione aggiuntiva e controllo nelle varie fasi della kill chain grazie a funzionalità quali rilevamento e prevenzione dello sfruttamento delle vulnerabilità, filtraggio di URL, IP e domini o segmentazione della rete.
Sebbene la kill chain sia stata originariamente sviluppata per ambienti IT, può essere utilizzata anche in ambito industriale (OT). Le sette fasi rimangono le stesse, solo i criteri di ricognizione dei cybercriminali e l’obiettivo dell’attacco sono diversi.
Conclusione
La kill chain è un modello prezioso per analizzare gli attacchi informatici e rafforzare la resilienza informatica. Implementando soluzioni di sicurezza adeguate e riconoscendo le minacce già nello stadio iniziale, le aziende possono respingere gli attacchi prima che causino danni concreti. Nuovi modelli come MITRE ATT&CK o la Unified Kill Chain integrano il modello classico e offrono una visione ancora più dettagliata del comportamento dei cybercriminali.
