Kill chain (sécurité informatique)

Un article de Wikipédia, l'encyclopédie libre.

Le principe de kill chain (chaîne de frappe) désigne dans le domaine de la sécurité des systèmes d'information une méthode de modélisation des procédés d'intrusion sur un réseau informatique[1].

La kill chain traditionnelle[modifier | modifier le code]

Kill chain d'intrusion

Des informaticiens de la société Lockheed Martin ont décrit en 2011 un nouveau cadre ou modèle de «kill chain d'intrusion» pour défendre les réseaux informatiques en 2011[2]. Selon ce modèle, les attaques peuvent être découpées en phases et peuvent être perturbées grâce à des contrôles établis à chaque étape. Depuis, le modèle de «cyber kill chain» a été adopté par les organisations de sécurité des données pour définir les phases des cyberattaques[3] .

La «kill chain d'intrusion» décrit les phases d'une cyberattaque, de la reconnaissance à l'exfiltration de données. [4] Celle-ci peut également être utilisée comme outil de gestion, afin d'améliorer en permanence la défense du réseau. Selon Lockheed Martin, les menaces doivent passer par plusieurs phases du modèle, parmi lesquelles :

  1. Reconnaissance : l'attaquant sélectionne la cible, la recherche et tente d'identifier les vulnérabilités du réseau cible.
  2. Armement : l'attaquant crée un logiciel malveillant, comme un virus ou un ver, lui permettant d'accéder à distance à la cible et exploitant une ou plusieurs vulnérabilités du système.
  3. Livraison: l'attaquant transmet l'arme à la cible (via des pièces jointes de courrier électronique, des sites Web ou des clés USB par exemple)
  4. Exploitation : le code du logiciel malveillant se déclenche et agit sur le réseau cible pour exploiter la vulnérabilité identifiée.
  5. Installation : le logiciel malveillant installe un point d'accès (une porte dérobée) utilisable par un attaquant externe.
  6. Commandement et contrôle : le logiciel malveillant offre à l'attaquant un accès permanent au réseau cible.
  7. Actions sur l'objectif : l'attaquant prend des mesures pour atteindre ses objectifs, tels que l'exfiltration de données, la destruction de données ou le chiffrement contre rançon.

Des moyens de défense peuvent être mis en place pour contrer le déroulement présenté ci-dessus[5] :

  1. Détecter: déterminer si un attaquant fouille
  2. Refuser: empêcher la divulgation d'informations et l'accès non-autorisé
  3. Interrompre: arrêter ou modifier le trafic sortant (vers l'attaquant)
  4. Dégrader: contre-attaquer face au commandement et contrôle pris par l'attaquant
  5. Tromper: interférer avec le commandement et le contrôle pris par l'attaquant
  6. Contenir: modifier la segmentation du réseau

Modèles alternatifs de kill chain[modifier | modifier le code]

Différentes organisations ont construit leurs propres kill chains pour essayer de modéliser différentes menaces. FireEye propose un modèle linéaire, similaire à celui proposé par Lockheed Martin. Dans la kill chain de FireEye, la persistance des menaces est soulignée : ce modèle souligne qu'une menace ne s'arrête pas après un cycle[6].

  1. Reconnaissance
  2. Intrusion initiale dans le réseau
  3. Établissement d'une porte dérobée dans le réseau
  4. Obtention d'identifiants d'utilisateurs
  5. Installation de programmes utilitaires divers
  6. Élévation des privilèges / mouvement latéral / exfiltration de données
  7. Maintien dans le système cible

MITRE tient à jour un modèle de kill chain connu sous le nom d'« ATT&CK ». Celui-ci modélise les tactiques, les techniques et les procédures utilisées par les acteurs malveillants et constitue une ressource utile pour les équipes rouges et bleues . Les pentesters peuvent imiter ce comportement lors d'exercices imitant des scénarios réels, afin d'aider leurs clients à déterminer l'efficacité de leurs mesures défensives. [7] Le framework ATT&CK comporte 4 matrices principales : PRE_ATT&CK, Enterprise, Mobile et ICS. L'Enterprise Matrix a des catégories pour Windows, macOS, Linux et le Cloud. Les catégories Enterprise Windows sont les suivantes :

  1. Accès initial - Intrusion dans un réseau
  2. Exécution - Exécution de code sur un système local ou distant
  3. Persistance - Maintien dans la durée d'une présence sur le système
  4. Elévation des privilèges - Obtention d'un niveau de privilège plus élevé
  5. Evasion de la défense - Echapper à la détection ou aux systèmes de sécurité
  6. Accès authentifié - Utilisation d'informations d'identification légitimes pour accéder au système
  7. Découverte - Acquisition post-compromission d'une connaissance interne du système
  8. Mouvement latéral - Mouvement d'un système à un autre sur le réseau
  9. Collecte - Processus de collecte d'informations, telles que des fichiers, avant exfiltration
  10. Commandement et contrôle - Maintien de la communication au sein du réseau cible
  11. Exfiltration - Découverte et extraction d'informations sensibles d'un système
  12. Impact - Perturbation des processus commerciaux et opérationnels [8]

Critiques de la kill chain[modifier | modifier le code]

Parmi les critiques du modèle de kill chain de Lockheed Martin en tant qu'outil d'évaluation et de prévention des menaces, on note :

  • le fait que les premières phases se déroulent en dehors du réseau cible, ce qui rend difficile l'identification ou la défense contre les actions dans ces phases. [9]
  • le fait que cette méthodologie est censée renforcer les stratégies défensives traditionnelles, basées sur le périmètre (modèle de la «forteresse» plutôt que défense dite en profondeur) ainsi que la prévention des malwares. [10]
  • le fait que la kill chain traditionnelle est inadaptée pour la modélisation de menaces internes [11] .

La kill chain unifiée[modifier | modifier le code]

La kill chain unifiée se compose de 18 phases d'attaque uniques pouvant se produire dans des cyberattaques avancées.

Une version unifiée de la kill chain a été développée afin de surmonter les critiques émises à l'encontre de la kill chain traditionnelle, en unissant et en étendant la kill chain de Lockheed Martin et le modèle ATT&CK de MITRE . La kill chain unifiée est un arrangement ordonné de 18 phases d'attaque uniques, couvrant l'ensemble des activités se produisant à l'extérieur et au sein du réseau cible. En tant que telle, la kill chain unifiée améliore les limites de la portée de la kill chain traditionnelle et la nature agnostique des tactiques dans le modèle ATT&CK. Le modèle unifié peut être utilisé pour analyser, comparer et se défendre contre les cyberattaques complexes menées par des Advanced Persistent Threats (APT)[12].

Notes et références[modifier | modifier le code]

  1. Higgins, Kelly Jackson, « How Lockheed Martin's 'Kill Chain' Stopped SecurID Attack », sur DARKReading, (consulté le 30 juin 2016)
  2. Lockheed-Martin Corporation-Hutchins, Cloppert, and Amin-Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains-2011
  3. Greene, « Why the 'cyber kill chain' needs an upgrade » (consulté le 19 août 2016)
  4. (en-US) « The Cyber Kill Chain or: how I learned to stop worrying and love data breaches », (consulté le 19 août 2016)
  5. « Archived copy » [archive du ] (consulté le 15 mai 2017)
  6. (en) Kim, Kwon et Kim, « Modified cyber kill chain model for multimedia service environments », Multimedia Tools and Applications, vol. 78, no 3,‎ , p. 3153–3170 (ISSN 1380-7501, DOI 10.1007/s11042-018-5897-5)
  7. Ray Nutting, CompTIA PenTest+ certification all-in-one exam guide (PT-001), New York, McGraw-Hill Education, (ISBN 978-1-260-13594-7), p. 75
  8. Ray Nutting, CompTIA PenTest+ certification all-in-one exam guide (PT-001), New York, McGraw-Hill Education, (ISBN 978-1-260-13594-7), p. 76
  9. Laliberte, Marc, « A Twist On The Cyber Kill Chain: Defending Against A JavaScript Malware Attack », DARKReading,
  10. Engel, Giora, « Deconstructing The Cyber Kill Chain », DARKReading, (consulté le 30 juin 2016)
  11. Reidy, Patrick, « Combating the Insider Threat at the FBI », BlackHat USA 2013
  12. Pols, Paul, « The Unified Kill Chain », Cyber Security Academy,

Liens externes[modifier | modifier le code]