WatchGuard Technologies

Kill Chain 3.0: aggiorna la Cyber Kill Chain per una difesa migliore

di Corey Nachreiner, Director of Security Strategy and Research di WatchGuard
Domenica, 19 Aprile, 2015

Roma, 19 marzo 2015 – Con pochi ritocchi, la Cyber Kill Chain può aiutarvi a respingere meglio gli attacchi sofisticati. Se operate nel settore dell’information security, avrete sicuramente sentito parlare della Kill Chain* – un modello di difesa progettato per aiutare a mitigare gli attacchi di rete più avanzati. La Kill Chain consiste di 7 fasi che rappresentano gli step con cui viene sferrato un attacco alla rete; per ciascuna fase possono essere applicate specifiche tipologie di difesa.

Le fasi della Kill Chain consistono in:

  1. Ricognizione – Conoscere il target usando molte tecniche.
  2. Adescamento – Associare al vettore di attacco un payload malevolo.
  3. Dirottamento – Trasmettere il payload attraverso qualche vettore di comunicazione.
  4. Exploit – Avvantaggiarsi di alcune debolezze del software o umane per ottenere che il payload venga eseguito.
  5. Installazione – Il payload stabilisce la persistenza di un host individuale.
  6. Call Home (Comando e controllo) – il malware ‘chiama casa’, fornendo controllo a chi sferra l’attacco.
  7. Azioni per raggiungere gli obiettivi (Furto di dati) – Il cattivo ruba o fa qualunque cosa stava pianificando di fare.

I professionisti della sicurezza hanno opinioni differenti sull’efficacia della Kill Chain come modello di difesa. Alcuni la amano, sottolineando come molti team di sicurezza la usino, mentre altri pensano che manchi di alcuni dettagli cruciali, e copra solo certi tipi di attacchi.

Penso ci sia del vero in entrambe le visioni, così vorrei proporre 3 semplici passi per rendere la Kill Chain ancora migliore – la chiameremo Kill Chain 3.0.

Prima di tutto, dobbiamo ritoccare le fasi dell’attuale Kill Chain. Se stiamo usando la Kill Chain come strumento di difesa, chi difende dovrebbe poter agire su ogni fase della catena. Per esempio, nella fase di ‘Adescamento’ della Kill Chain chi difende non può fare nulla. Perché rappresenta una fase che ha poco a che fare con la difesa? Come altri hanno puntualizzato, l’attuale Kill Chain si focalizza primariamente sull’intrusione iniziale, e non abbastanza su come gli attaccanti sofisticati sfruttino il loro punto di appoggio iniziale per diffondersi attraverso la rete della vittima. La Kill Chain ha bisogno di una fase di movimento laterale ed elevazioni locali di privilegi. Questa è la mia proposta di Kill Chain 3.0:

  • Ricognizione
  • Diffusione
  • Exploit
  • Infezione
  • Call Home - Comando e Controll
  •  Lateral Movement & Pivoting
  • Obiettivo/Exfiltration

Con questo cambiamento di base, potete ora mappare difese perseguibili per ciascuna delle fasi della Kill Chain. Per esempio, la scansione per la rivelazione di porte e IP e il mascheramento dell’header aiutano contro la Ricognizione; porte di firewall bloccate, IPS e controllo delle applicazioni aiutano contro la Diffusione; patching e IPS proteggono contro l’Exploit; la segmentazione della rete aiuta con il Movimento Laterale… e così via.

In secondo luogo, dobbiamo capire che è importante adottare difese per ogni fase della Kill Chain, e che ciascuna fase è ugualmente importante. Uno dei concetti basilari della Kill Chain stabilisce che prima prevenite un attacco nelle fasi iniziali della Kill Chain, meglio è. Se questo è tecnicamente vero, io ritengo che ciò sia vero anche perchè spendiamo molto tempo nello stabilire misure di protezione preventive all’inizio della Kill Chain, e meno tempo per le difese nelle fasi più tardive della catena, che ancora potrebbero “neutralizzare” con successo attacchi dopo che si sono verificati. La verità è che gli attaccanti sofisticati spesso bypasseranno o evadranno alcune delle nostre difese nelle prime fasi. Se non ci siamo focalizzati abbastanza sui controlli di sicurezza che vengono dopo, come la rilevazione di botnet C&C, data loss prevention, e segmentazione della rete interna, non stiamo cogliendo del tutto l’opportunità di prevenire un attacco dannoso. In breve, la battaglia non è persa nell’infezione iniziale se avete pienamente realizzato le difese nella fasi finali della Kill Chain 3.0.

Infine, abbiamo bisogno di una componente di visibilità che comprenda tutte le 7 fasi della Kill Chain. La Kill Chain è grandiosa nel mettere in evidenza le singole aree dove dovremmo fermare un attacco di rete, ma se non siamo in grado di monitorare un singolo attacco poiché passa attraverso ciascuna di queste fasi, stiamo perdendo dati critici che protebbero aiutarci a proteggere noi stessi. Visibilità e strumenti di analitica dovrebbero essere una componente cruciale della Kill Chain 3.0. Se non avete uno strumento di visibilità che raccoglie insieme i log da tutti i vostri controlli di sicurezza, e correla differenti triggers di sicurezza in un singolo incidente, è probabile che non coglierete i segni di un attacco più sofisticato.  

Ricapitolando, modificate un po’ le fasi della Kill Chain, focalizzatevi su tutte le fasi – incluse le ultime – allo stesso modo; e stabilite uno strumento di visibilità generale per monitorare l’intero processo della Kill Chain, è avrete una Kill Chain 3.0; un grande modello per prevenire attacchi avanzati.

* Termine usato nella strategia militare, “Kill Chain” è un modello che descrive la fase dell’attacco ma può essere anche utilizzato come modello preventivo. Una Cyber Kill-chain contiene una serie di step che un hacker deve completare al fine di compromettere un’infrastruttura target e raggiungere gli obiettivi. Un attacco fallirà se i difensori di un’infrastruttura hanno successo in uno qualsiasi di tali step.

Per maggiori informazioni: www.watchguard.it

 

Informazioni su WatchGuard Technologies, Inc.

WatchGuard® Technologies, Inc. è leader globale, riconosciuto anche da Frost and Sullivan, di soluzioni di sicurezza integrate e multifunzione che combinano in modo intelligente hardware, funzionalità di sicurezza Best-of-Breed e strumenti di gestione basati su policy. WatchGuard fornisce una protezione facile da usare ma potente a centinaia di migliaia di aziende in tutto il mondo. I prodotti WatchGuard sono supportati dal LiveSecurity®Service, un programma innovativo di supporto. La sede centrale di WatchGuard si trova a Seattle, Washington, mentre uffici sono presenti in America del Nord, America Latina, Europa e Asia.  Per maggiori informazioni visitare il sito www.watchguard.it.

 

Per ulteriori informazioni, per conoscere le promozioni e gli update, segui WatchGuard su Twitter @WatchGuardTech, su Facebook, e su LinkedIn.

# # #

WatchGuard è un marchio registrato di WatchGuard Technologies, Inc. Tutti gli altri marchi sono di proprietà dei loro rispettivi proprietari.

WatchGuard Technologies Italia
Viale Cesare Giulio Viola, 27 00148 Roma
+39 6 6020 122
Samanta Fumagalli
SSP Communication
+1 39 6080085

Informazioni Su WatchGuard

WatchGuard ha distribuito circa un milione di appliance per la gestione delle minacce integrate e multifunzione in tutto il mondo. Le scatole rosse con la nostra firma sono state ideate per essere i dispositivi più smart, veloci e implacabili con qualsiasi motore di scansione a pieno regime. Perché acquistare WatchGuard? Scoprilo qui.

 

Entrare In Contatto

  • Uffici Italiani
    Viale Cesare Giulio Viola, 27
    00148 Roma
    Italia
  • Telefono
    800-911-938
  • Email
    [email protected]

Social Media