Cyber Kill Chain :
DÉFINITION ET MODÈLE

mars 29, 2022

Qu’est-ce qu’une Cyber Kill Chain ?

La Cyber Kill Chain est un concept dérivé de la chaîne d’attaque militaire, une approche progressive destinée à identifier et à bloquer les activités ennemies. Développée initialement par Lockheed Martin en 2011, la Cyber Kill Chain décrit les différentes phases de plusieurs cyberattaques courantes et, par extension, les points au niveau desquels l’équipe de sécurité des informations peut prévenir, détecter ou intercepter les cyberattaques.

La Cyber Kill Chain a pour but de protéger contre les cyberattaques sophistiquées, également appelées menaces persistantes avancées (APT), au cours desquelles les cyberadversaires passent beaucoup de temps à surveiller et planifier une attaque. En général, ces attaques combinent plusieurs techniques pour mettre à exécution leur plan : logiciels malveillants, ransomwares, chevaux de Troie, usurpation d’identité et ingénierie sociale.

2023 CrowdStrike Global Threat Report

Téléchargez le Global Threat Report 2023 pour découvrir les tendances observées par nos équipes chez les cyberpirates en matière de techniques, tactiques et procédures.

Télécharger

Les huit phases d’une Cyber Kill Chain

Le modèle d’origine de Lockheed Martin contenait sept étapes consécutives :

Phase 1 : reconnaissance

Lors de la phase de reconnaissance, le cybercriminel identifie une cible et recherche des vulnérabilités et des points faibles à exploiter au sein du réseau. Durant ce processus, le cyberattaquant peut collecter des identifiants de connexion ou d’autres informations (adresses e-mail, noms d’utilisateur, emplacements physiques, applications logicielles, détails du système d’exploitation, etc.) en vue de les utiliser dans le cadre d’attaques de phishing ou d’usurpation d’identité. Plus le volume d’informations collectées par le cyberattaquant pendant la phase de reconnaissance est important, plus l’attaque sera sophistiquée et convaincante et plus la probabilité de réussite sera élevée.

Phase 2 : constitution d’un arsenal (weaponization)

Lors de cette phase, le cyberattaquant crée un vecteur d’attaque, par exemple un logiciel malveillant d’accès à distance, un ransomware, un virus ou un ver, capable d’exploiter une vulnérabilité connue. Il peut également installer des portes dérobées qui lui permettront de conserver un accès au système si le point d’entrée initial est identifié et bloqué par les administrateurs réseau.

Phase 3 : distribution

La phase de distribution correspond au lancement de l’attaque. Son déroulement dépend du type d’attaque envisagé. Par exemple, le cyberattaquant peut envoyer une pièce jointe à un e-mail ou un lien malveillant pour susciter une action de l’utilisateur en vue de l’exécution de son plan. Cette activité peut être combinée à des techniques d’ingénierie sociale pour accroître l’efficacité de la campagne.

Phase 4 : exploitation

Lors de cette phase, le code malveillant est exécuté sur le système de la victime.

Phase 5 : installation

Immédiatement après la phase d’exploitation, le vecteur d’attaque (logiciel malveillant ou autre) est installé sur le système de la victime. Il s’agit d’une étape décisive dans le cycle de vie de l’attaque : le cybercriminel s’est introduit dans le système et peut désormais en prendre le contrôle.

Phase 6 : commande et contrôle

Au cours de cette phase, le cyberattaquant utilise le logiciel malveillant implanté pour prendre le contrôle à distance d’un terminal ou d’une identité au sein du réseau ciblé. Il peut également se déplacer latéralement dans le réseau, élargir l’accès et établir d’autres points d’entrée en vue de mener de futures attaques.

Phase 7 : actions sur l’objectif

Le cyberattaquant mène des actions en vue d’atteindre ses objectifs, qui peuvent consister à voler, détruire, chiffrer ou exfiltrer des données.

Au fil du temps, de nombreux experts en sécurité des informations ont ajouté une huitième phase à la chaîne d’attaque : la monétisation. L’objectif de cette phase est de tirer des revenus de l’attaque, que ce soit en exigeant de la victime qu’elle paie une rançon ou en vendant des informations sensibles (données personnelles ou secrets commerciaux) sur le Dark Web.

De manière générale, plus l’entreprise parvient à neutraliser la menace tôt dans le cycle de l’attaque, plus les risques encourus sont faibles. Les attaques qui parviennent jusqu’à la phase de commande et de contrôle nécessitent généralement davantage d’efforts de correction, notamment au moyen d’analyses approfondies du réseau et des endpoints pour déterminer l’ampleur et l’intensité de l’attaque. C’est pourquoi les entreprises doivent prendre des mesures pour identifier et neutraliser les menaces le plus tôt possible au cours de leur cycle de vie afin de minimiser les risques liés à l’attaque et le coût de résolution de l’incident.

Évolution de la Cyber Kill Chain

Comme indiqué précédemment, la Cyber Kill Chain s’adapte à mesure de l’évolution des techniques des cyberattaquants. Depuis 2011, date de publication du modèle de Cyber Kill Chain, les techniques utilisées par les cybercriminels ont gagné en sophistication et en audace.

Dès lors, bien que toujours utile, le cycle de vie d’une cyberattaque est beaucoup moins prévisible et clair qu’il y a dix ans. Ainsi, il n’est pas rare que des cyberattaquants sautent ou combinent certaines étapes, en particulier au cours de la première moitié du cycle de vie, de sorte que les entreprises ont moins de temps et de possibilités pour découvrir et neutraliser les menaces au début du cycle. De plus, la prévalence du modèle de chaîne d’attaque peut donner aux cyberattaquants des indications sur la structure de défense des entreprises, et les aider involontairement à échapper à la détection à des points clés du cycle de vie de l’attaque.

Critiques et préoccupations liées à la Cyber Kill Chain

Bien que la Cyber Kill Chain soit désormais un cadre populaire et courant sur lequel les entreprises peuvent s’appuyer pour élaborer une stratégie de cybersécurité, elle présente toutefois plusieurs failles majeures et potentiellement dévastatrices.

Sécurité du périmètre

L’une des principales critiques à l’encontre du modèle de Cyber Kill Chain est qu’il se focalise sur la sécurité du périmètre et la prévention des logiciels malveillants, alors que la tendance est à la migration des réseaux traditionnels sur site vers le cloud.

De même, la généralisation du télétravail et la prolifération des terminaux personnels, de la technologie IoT ou encore des applications avancées, comme l’automatisation robotisée des processus (RPA, Robotic Process Automation), ont considérablement élargi la surface d’attaque de nombreuses entreprises. De ce fait, les cybercriminels disposent d’un nombre accru de points d’accès, tandis qu’il sera beaucoup plus difficile pour les entreprises de sécuriser chaque endpoint.

Vulnérabilités aux attaques

La chaîne d’attaque présente également l’inconvénient de ne pas pouvoir détecter tous les types d’attaques. Par exemple, le cadre d’origine est incapable de détecter les menaces internes, l’un des risques les plus graves pour une entreprise et l’un des types d’attaques affichant le taux de réussite le plus élevé. De même, il ne permet pas de détecter les attaques qui exploitent des identifiants compromis.

Le cadre de la Cyber Kill Chain peut également passer à côté d’attaques web, notamment l’exécution de scripts intersites (XSS, Cross Site Scripting), les injections SQL, les attaques DoS/DDoS et certains exploits zero day. La compromission massive dont a éhttps://www.crowdstrike.com/cybersecurity-101/cross-site-scripting-xss/té victime Equifax en 2017, en partie due à un correctif logiciel compromis, est un exemple notable d’attaque web qui a échappé à la détection en raison d’une sécurité insuffisante.

Enfin, si le cadre est conçu pour détecter des attaques sophistiquées très recherchées, la Cyber Kill Chain risque de passer à côté de cyberattaquants qui mènent des opérations de reconnaissance limitées. Par exemple, les cybercriminels qui lancent des attaques « au petit bonheur la chance » échappent souvent par pur hasard aux pièges tendus avec soin par les outils de détection.

Rôle de la Cyber Kill Chain dans la cybersécurité

Malgré ces quelques défauts, la Cyber Kill Chain apporte une aide non négligeable aux entreprises dans l’élaboration de leur stratégie de cybersécurité. Ce modèle exige des entreprises qu’elles adoptent une série de services et de solutions grâce auxquels elles pourront :

  • Détecter les cyberattaques lors de chaque phase de leur cycle de vie grâce à des techniques de cyberveille
  • Interdire l’accès aux utilisateurs non autorisés
  • Empêcher le partage, l’enregistrement, la modification, l’exfiltration et le chiffrement de données sensibles par des utilisateurs non autorisés
  • Répondre aux attaques en temps réel
  • Bloquer le déplacement latéral d’un cyberattaquant au sein du réseau

EN SAVOIR PLUS

Découvrez comment Falcon Identity Protection peut empêcher le déplacement latéral et l’accès non autorisé aux domaines résultant de l’utilisation abusive d’identifiants réseau, et bien plus encore !Téléchargez le livre blanc Disrupting the Cyber Kill Chain: How To Contain Use Of Tools And Protocols.