A Cadeia de Ataque Cibernético, do original em inglês “Cyber Kill Chain“, é um modelo desenvolvido pela empresa Lockheed Martin que ajuda as organizações a entender e mitigar os ataques cibernéticos.
Este conceito divide a atuação do grupo criminoso responsável em sete fases, as quais podem se desdobrar desde poucas horas até muitos anos a depender das intenções do ataque. Essas fases permitem que as equipes de governança de riscos e de segurança identifiquem e interrompam a ameaça em diferentes estágios.
Conheça cada fase em detalhes, e suas táticas de defesa correspondentes.
| Fase | Descrição | Táticas de Defesa |
|---|---|---|
| 1. Reconhecimento | Os criminosos realizam pesquisas para identificar alvos potenciais e coletar informações. | PRONTIDÃO CIBERNÉTICA – Fazer check-ups não-intrusivos, periódicos ou contínuos, detectando vulnerabilidades na superfície digital de ataque – Usar serviços de coleta de inteligência e monitoramento de atividades externas suspeitas para identificar potenciais ameaças – Aferir e classificar, por metodologia imparcial e reconhecida, os riscos cibernéticos da organização |
| 2. Armamento | Desenvolvimento ou obtenção de ferramentas maliciosas, como malware e exploits. | PRONTIDÃO CIBERNÉTICA – Manter sistemas e software atualizados – Atualizar senhas periodicamente – Monitorar exposição indevida de dados e vulnerabilidades em toda a cadeia produtiva (terceiras partes relacionadas) – Realizar pentests |
| 3. Incursão | Entrada do artefato malicioso no alvo, entregue por meio de phishing, downloads nocivos ou exploração de redes. | SEGURANÇA FUNDACIONAL – Implementar soluções de filtragem de e-mail – Treinar funcionários sobre phishing – Usar firewalls para monitorar tráfego suspeito |
| 4. Exploração | O malware é executado, explorando vulnerabilidades do sistema alvo. | SEGURANÇA FUNDACIONAL – Monitorar atividades anômalas – Usar sistemas de detecção de intrusão (IDS) – Ferramentas de proteção de endpoint para detectar comportamentos suspeitos |
| 5. Instalação | Instalação de malware ou backdoors que garantem acesso contínuo do criminoso ao sistema comprometido. | SEGURANÇA FUNDACIONAL – Implementar soluções de detecção e resposta em endpoints (EDR) |
| 6. Comando e Controle (C2) | Estabelecimento de comunicação com o malware, permitindo controle remoto do ambiente atacado. | SEGURANÇA FUNDACIONAL – Monitorar tráfego de rede – Bloquear comunicações suspeitas com servidores de C2 |
| 7. Exfiltração e Ação | Roubo ou manipulação de dados valiosos e implementação de ações prejudiciais, como ataques de ransomware. | SEGURANÇA FUNDACIONAL – Implementar controles de acesso rigorosos – Criptografar dados sensíveis – Manter backups atualizados |
Táticas de Prontidão e de Segurança
A Cadeia de Ataque Cibernético é uma referência valiosa para entender a dinâmica dos crimes corporativos digitais. Analisando cada fase, as organizações podem implementar medidas defensivas em vários níveis, aumentando suas chances de detectar e neutralizar ameaças antes que causem danos significativos.
A Prontidão Cibernética, que atua no ambiente externo nas duas fases iniciais, envolve ações proativas como a coleta de inteligência sobre ameaças, monitoramento de atividades suspeitas e treinamento contínuo dos funcionários para reconhecer possíveis riscos. Essa abordagem ajuda a minimizar a possibilidade de ataque e a reduzir as chances de um incidente ocorrer.
Já a Segurança Fundacional, que cobre as fases subsequentes no ambiente interno, refere-se à implementação de controles técnicos e operacionais, sistemas de detecção de intrusão, antivírus e soluções de backup. Essas capacidades são importantes para proteger os sistemas e dados da organização, garantindo que, mesmo que uma incursão seja bem-sucedida, a resposta a esta seja rápida e eficaz.
Essas camadas táticas de defesa são componentes essenciais e complementares para uma estratégia de governança de risco e segurança eficaz, tendo como melhor prática a segregação entre as funções internas e externas, para evitar o risco de verticalização temerária quando ambas são implementadas pela mesma equipe ou o mesmo fornecedor. A chave para uma segurança robusta é a vigilância constante e a atualização constante das estratégias de defesa em resposta a novas abordagens utilizadas pelos criminosos.
