Kill chain (sécurité informatique)
Le principe de kill chain (chaîne de frappe) désigne dans le domaine de la sécurité des systèmes d'information une méthode de modélisation des procédés d'intrusion sur un réseau informatique[1].
La kill chain traditionnelle
[modifier | modifier le code]Des informaticiens de la société Lockheed Martin ont décrit en 2011 un nouveau cadre ou modèle de «kill chain d'intrusion» pour défendre les réseaux informatiques en 2011[2]. Selon ce modèle, les attaques peuvent être découpées en phases et peuvent être perturbées grâce à des contrôles établis à chaque étape. Depuis, le modèle de «cyber kill chain» a été adopté par les organisations de sécurité des données pour définir les phases des cyberattaques[3].
La «kill chain d'intrusion» décrit les phases d'une cyberattaque, de la reconnaissance à l'exfiltration de données[4]. Celle-ci peut également être utilisée comme outil de gestion, afin d'améliorer en permanence la défense du réseau. Selon Lockheed Martin, les menaces doivent passer par plusieurs phases du modèle, parmi lesquelles :
- Reconnaissance : l'attaquant sélectionne la cible, la recherche et tente d'identifier les vulnérabilités du réseau cible.
- Armement : l'attaquant crée un logiciel malveillant, comme un virus ou un ver, lui permettant d'accéder à distance à la cible en exploitant une ou plusieurs vulnérabilités du système.
- Livraison: l'attaquant transmet l'arme à la cible (via des pièces jointes de courrier électronique, des sites Web ou des clés USB par exemple)
- Exploitation : le code du logiciel malveillant se déclenche et agit sur le réseau cible pour exploiter la vulnérabilité identifiée.
- Installation : le logiciel malveillant installe un point d'accès (une porte dérobée) utilisable par un attaquant externe.
- Commandement et contrôle : le logiciel malveillant offre à l'attaquant un accès permanent au réseau cible.
- Actions sur l'objectif : l'attaquant prend des mesures pour atteindre ses objectifs, tels que l'exfiltration de données, la destruction de données ou le chiffrement contre rançon.
Des moyens de défense peuvent être mis en place pour contrer le déroulement présenté ci-dessus[5] :
- Détecter: déterminer si un attaquant fouille
- Refuser: empêcher la divulgation d'informations et l'accès non-autorisé
- Interrompre: arrêter ou modifier le trafic sortant (vers l'attaquant)
- Dégrader: contre-attaquer face au commandement et contrôle pris par l'attaquant
- Tromper: interférer avec le commandement et le contrôle pris par l'attaquant
- Contenir: modifier la segmentation du réseau
Modèles alternatifs de kill chain
[modifier | modifier le code]Différentes organisations ont construit leurs propres kill chains pour essayer de modéliser différentes menaces. FireEye propose un modèle linéaire, similaire à celui proposé par Lockheed Martin. Dans la kill chain de FireEye, la persistance des menaces est soulignée : ce modèle souligne qu'une menace ne s'arrête pas après un cycle[6].
- Reconnaissance
- Intrusion initiale dans le réseau
- Établissement d'une porte dérobée dans le réseau
- Obtention d'identifiants d'utilisateurs
- Installation de programmes utilitaires divers
- Élévation des privilèges / mouvement latéral / exfiltration de données
- Maintien dans le système cible
MITRE tient à jour un modèle de kill chain connu sous le nom d'« ATT&CK ». Celui-ci modélise les tactiques, les techniques et les procédures utilisées par les acteurs malveillants et constitue une ressource utile pour les équipes rouges et bleues . Les pentesters peuvent imiter ce comportement lors d'exercices imitant des scénarios réels, afin d'aider leurs clients à déterminer l'efficacité de leurs mesures défensives[7]. Le framework ATT&CK comporte 4 matrices principales : PRE_ATT&CK, Enterprise, Mobile et ICS. L'Enterprise Matrix a des catégories pour Windows, macOS, Linux et le Cloud. Les catégories Enterprise Windows sont les suivantes :
- Reconnaissance - Le recueil d'informations par l'attaquant qui pourront être utilisées
- Développement de ressources - Recueil et mise en place de ressources qui pourront être utilisées dans les autres phases du cycle
- Accès initial - Intrusion dans le réseau attaqué
- Exécution - Exécution de code sur un système attaqué, local ou distant
- Persistance - Maintien dans la durée d'une présence sur le système attaqué
- Élévation des privilèges - Obtention d'un niveau de privilège plus élevé
- Évasion de la défense - Échapper à la détection ou aux systèmes de sécurité
- Accès authentifié - Utilisation d'informations d'identification légitimes pour accéder au système
- Découverte - Acquisition post-compromission d'une connaissance interne du système
- Mouvement latéral - Mouvement d'un système à un autre au sein du réseau cible
- Collecte - Processus de collecte d'informations d’intérêt pour l'attaquant, telles que des fichiers, avant exfiltration
- Commandement et contrôle - Communication avec les systèmes contrôlés par l'attaquant au sein du réseau cible
- Exfiltration - Extraction des informations collectées, d’intérêt pour l'attaquant et sensibles pour le système cible
- Impact - Perturbation des processus du système cible (les processus commerciaux et opérationnels [8] de l'organisation ciblée)
Critiques de la kill chain
[modifier | modifier le code]Parmi les critiques du modèle de kill chain de Lockheed Martin en tant qu'outil d'évaluation et de prévention des menaces, on note :
- le fait que les premières phases se déroulent en dehors du réseau cible, ce qui rend difficile l'identification ou la défense contre les actions dans ces phases[9].
- le fait que cette méthodologie est censée renforcer les stratégies défensives traditionnelles, basées sur le périmètre (modèle de la «forteresse» plutôt que défense dite en profondeur) ainsi que la prévention des malwares[10].
- le fait que la kill chain traditionnelle est inadaptée pour la modélisation de menaces internes [11].
La kill chain unifiée
[modifier | modifier le code]Une version unifiée de la kill chain a été développée afin de surmonter les critiques émises à l'encontre de la kill chain traditionnelle, en unissant et en étendant la kill chain de Lockheed Martin et le modèle ATT&CK de MITRE . La kill chain unifiée est un arrangement ordonné de 18 phases d'attaque uniques, couvrant l'ensemble des activités se produisant à l'extérieur et au sein du réseau cible. En tant que telle, la kill chain unifiée améliore les limites de la portée de la kill chain traditionnelle et la nature agnostique des tactiques dans le modèle ATT&CK. Le modèle unifié peut être utilisé pour analyser, comparer et se défendre contre les cyberattaques complexes menées par des Advanced Persistent Threats (APT)[12].
Notes et références
[modifier | modifier le code]- (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Kill chain » (voir la liste des auteurs).
- Higgins, Kelly Jackson, « How Lockheed Martin's 'Kill Chain' Stopped SecurID Attack », sur DARKReading, (consulté le )
- Lockheed-Martin Corporation-Hutchins, Cloppert, and Amin-Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains-2011
- Greene, « Why the 'cyber kill chain' needs an upgrade » (consulté le )
- (en-US) « The Cyber Kill Chain or: how I learned to stop worrying and love data breaches », (consulté le )
- « Archived copy » [archive du ] (consulté le )
- (en) Kim, Kwon et Kim, « Modified cyber kill chain model for multimedia service environments », Multimedia Tools and Applications, vol. 78, no 3, , p. 3153–3170 (ISSN 1380-7501, DOI 10.1007/s11042-018-5897-5)
- Ray Nutting, CompTIA PenTest+ certification all-in-one exam guide (PT-001), New York, McGraw-Hill Education, (ISBN 978-1-260-13594-7), p. 75
- Ray Nutting, CompTIA PenTest+ certification all-in-one exam guide (PT-001), New York, McGraw-Hill Education, (ISBN 978-1-260-13594-7), p. 76
- Laliberte, Marc, « A Twist On The Cyber Kill Chain: Defending Against A JavaScript Malware Attack », DARKReading,
- Engel, Giora, « Deconstructing The Cyber Kill Chain », DARKReading, (consulté le )
- Reidy, Patrick, « Combating the Insider Threat at the FBI », BlackHat USA 2013
- Pols, Paul, « The Unified Kill Chain », Cyber Security Academy,
Liens externes
[modifier | modifier le code]- « Lockheed Martin Cyber Kill Chain »
- « The Unified Kill Chain », Cyber Security Academy
- « MITRE ATT&CK »