Cyber Kill Chain là gì? 8 giai đoạn của Cyber Kill Chain

Cyber Kill Chain là gì?

Cyber Kill Chain là một chuỗi các bước theo dõi những giai đoạn của một cuộc tấn công mạng (cyberattack), tính từ giai đoạn thu thập thông tin (reconnaissance) cho đến khi thực hiện đánh cắp dữ liệu. Cyber Kill Chain giúp các quản trị viên hiểu thêm về ransomware, vi phạm bảo mật, tấn công APT, cũng như cách ngăn chặn chúng.

Cách thức hoạt động của Cyber Kill Chain

Có một số giai đoạn cốt lõi trong Cyber Kill Chain như sau: Reconnaissance (tạm dịch: thu thập thông tin) – thường là giai đoạn đầu của một cuộc tấn công malware, lateral movement (tạm dịch: lây lan lận cận) – di chuyển lân cận quanh mạng để có quyền truy cập vào nhiều dữ liệu hơn và data exfiltration (xuất dữ liệu). Tất cả vector tấn công phổ biến – dù là phishing, brute force hay malware, đều trigger hoạt động ở trên Cyber Kill Chain.

Mỗi giai đoạn trong Cyber Kill Chain đều liên quan đến một loại hoạt động nhất định nào đó ở trong cyberattack, bất kể là internal hay external attack.

Reconnaissance – Thu thập thông tin

Giai đoạn quan sát và thu thập thông tin: các hacker thường đánh giá tình hình theo chiều từ ngoài vào trong, nhằm xác định cả mục tiêu lẫn chiến thuật cho cuộc tấn công.

Đây chính là bước đầu tiên trong các cuộc tấn công. Trong đó, các hacker sẽ tìm kiếm những thông tin có thể tiết lộ về các lỗ hổng bảo mật hay điểm yếu ở trong hệ thống. Ngày nay, firewall, các hệ thống IPS hay tài khoản mạng xã hội đều được nhắm làm mục tiêu để thu thập thông tin. Các công cụ phục vụ cho giai đoạn reconnaissance có thể quét các mạng công ty để tìm kiếm những lỗ hổng và những điểm có thể xâm nhập và khai thác.

Intrusion – Xâm nhập

Dựa trên những thông tin có được trong giai đoạn đầu, các hacker có thể xâm nhập vào hệ thống mục tiêu thông qua các malware hay lỗ hổng bảo mật.

Giai đoạn xâm nhập đánh giá sự bắt đầu thật sự của các cuộc tấn công: các hacker có gửi phát tán malware gồm: ransomware, spyware, và adware đến hệ thống để có thể xâm nhập. Giai đoạn này có bản chất là phát tán: nó có thể được phát tán bằng phishing email, sử dụng các trang web bị xâm nhập hay lợi dụng những WiFi công cộng ở các quán cafe, sân bay,…bởi vì WiFi công cộng thường không được bảo mật chặt chẽ, và là mục tiêu rất tốt để các hacker có thể thực hiện xâm nhập.

Exploitation – Khai thác

Đây là hành động khai thác các lỗ hổng, phát tán mã độc vào trong hệ thống để thuận lợi hơn trong việc tấn công. Trong đó, các hacker có thể xâm nhập hệ thống, cài đặt thêm một số công cụ bổ sung, sửa đổi chứng chỉ bảo mật và tạo các file script mới cho những mục đích phạm pháp.

Privilege Escalation – Leo thang đặc quyền

Để tấn công, các hacker thường cần có đặc quyền cao hơn trong hệ thống để có thể truy cập vào nhiều dữ liệu hơn. Khi đó, các hacker cần nâng đặc quyền của mình, thường là đến vai trò của Admin.

Và đây chính là giai đoạn Privilege Escelation (tạm dịch: Leo thang đặc quyền) để có được quyền truy cập cao hơn vào các tài nguyên. Các kỹ thuật leo thang đặc quyền thường yêu cầu tấn công brute force, săn lùng lỗ hổng password, và exploit các lỗ hổng bảo mật zero-day. Các hacker sẽ sửa đổi cài đặt GPO, các config file, thay đổi quyền truy cập và tìm mọi cách để trích xuất các thông tin đăng nhập.

Lateral Movement – Lây lan lân cận

Khi các hacker đã truy cập được vào hệ thống, họ có thể bắt đầu thực hiện giai đoạn lây lan lân cận trong hệ thống để có được quyền cao hơn, nhiều dữ liệu hơn, hay có được nhiều quyền truy cập hơn vào hệ thống.

Trong giai đoạn Lateral Movement, các hacker di chuyển từ hệ thống này sang hệ thống khác, nhằm có thêm nhiều quyền truy cập cũng như nhiều asset hơn. Đây cũng là mục tiêu chính trong data discovery, trong đó các hacker sẽ tìm kiếm những dữ liệu quan trọng, các thông tin nhạy cảm, quyền truy cập của admin và email server. Thông thường, giai đoạn này sử dụng các công cụ như PowerShell để gây ra được những thiệt hại lớn nhất.

Obfuscation / Anti-forensics

Tiếp đến, các hacker cần che giấu cuộc tấn công của mình, và họ thường tạo ra những dấu vết sai, hoặc xâm nhập vào dữ liệu và xóa các file log. Bên cạnh đó, các hacker cũng có thể xóa các file, metadata, ghi đè bằng timestamp sai và chỉnh sửa những thông tin quan trọng, sao cho hệ thống giống như chưa từng có một cuộc tấn công nào diễn ra.

Denial of Service – Từ chối dịch vụ

Các hacker có thể gián đoạn quyền truy cập của người dùng và hệ thống, nhằm ngăn cho cuộc tấn công không bị giám sát, theo dõi hoặc ngăn chặn.

Đây là giai đoạn các hacker nhắm vào mạng và cơ sở hạ tầng dữ liệu, để người dùng hợp pháp không thể thực hiện các tác vụ như bình thường. Tấn công từ chối dịch vụ (DDoS) sẽ làm gián đoạn và chặn các truy cập, đồng thời còn có thể làm sập hệ thống hay tạo ra flood attack.

Exfiltration – Trích xuất dữ liệu

Và giai đoạn cuối cùng của Cyber Kill Chain chính là trích xuất dữ liệu: lấy dữ liệu ra khỏi hệ thống đã bị xâm nhập.

Các hacker sẽ sao chép, hoặc di chuyển dữ liệu nhạy cảm đến một vị trí đã được kiểm soát. Tại đây, hacker có thể tự do thao túng dữ liệu theo ý của mình. Sau khi có được các dữ liệu, hacker có thể bán dữ liệu trên các sàn thương mại điện tử, hay gửi đến wikileaks. Việc trích xuất dữ liệu thường có thể mất đến vài ngày, và khi đã hoàn tất, mọi dữ liệu đều sẽ nằm trong tầm kiểm soát của các hacker.

Sự phát triển của Cyber Kill Chain

Như đã được đề cập ở trên, Cyber Kill Chain luôn phát triển liên tục khi những hacker không ngừng thay đổi kỹ thuật tấn công của mình. Kể từ lần đầu tiên phát hành mẫu Cyber Kill Chain vào năm 2011, các cybercriminal đã ngày càng trở nên tinh vi hơn rất nhiều trong các kỹ thuật tấn công. Đồng thời, có thể nói là những hoạt động của chúng cũng trơ trẽn hơn trước nhiều.

Cyber Attack Lifecycle là một công cụ hữu ích, dù không còn thật sự hiệu quả để có dự đoán tấn công như khoảng một thập kỷ trước đây. Ví dụ, những hacker hoàn toàn có thể linh hoạt kết hợp, hoặc lược bớt các giai đoạn tấn công, đặc biệt là trong nửa đầu của Lifecycle. Do đó, tổ chức sẽ có ít thời gian và cơ hội hơn để có thể phát hiện và vô hiệu hóa sớm các mối đe dọa ở trong lifecycle. Bên cạnh đó, chính Cyber Kill Chain cũng có mặt trái của nó. Sự phổ biến của mô hình Cyber Kill Chain giúp hacker trong cyberattack nhận thức được cách các tổ chức lên kế hoạch, lập cấu trúc để phòng thủ. Vì vậy, việc này lại vô tình giúp các cybercriminal tránh bị phát hiện tại một số điểm chính trong lifecycle.

Vai trò của Cyber Kill Chain trong an ninh mạng

Vậy vai trò của Cyber Kill Chain trong an ninh mạng là gì? Mặc dù còn một số thiếu sót cũng như vài mặt hạn chế, nhưng Cyber Kill Chain vẫn giữ một vị trí quan trọng trong việc giúp các tổ chức xác định chiến lược an ninh mạng của mình, nhằm chống lại được các cuộc tấn công mạng. Các tổ chức cần phải áp dụng những dịch vụ và giải pháp cho phép họ:

• Phát hiện hacker trong từng giai đoạn của lifecycle bằng những kỹ thuật khác nhau
• Ngăn chặn truy cập từ những người dùng trái phép
• Không cho phép chia sẻ, lưu, thay đổi dữ liệu nhạy cảm bởi những người dùng không có thẩm quyền
• Phản ứng với những cuộc tấn công trong thời gian thực
• Ngăn chặn lây lan lân cận (lateral movement) của hacker ở trong mạng

Như vậy là bạn đã nắm rõ được các giai đoạn của Cyber Kill Chain mà Vietnix vừa chia sẻ, hy vọng qua bài viết này bạn sẽ có thêm nhiều kiến thức mới, chúc bạn thành công!