Cyber Kill Chain là gì? Cách thức hoạt động như thế nào?

Trong an toàn bảo mật, thuật ngữ Cyber Kill Chain đã trở nên quen thuộc đối với các quản trị viên.

Câu hỏi đặt ra là:

• Cyber Kill Chain là gì?
• Nó hoạt động như thế nào?

Và còn rất nhiều câu hỏi khác liên quan đến “Cyber Kill Chain” sẽ được BKHOST trả lời trong nội dung bài viết này.

Ok, hãy cùng bắt đầu.

Cyber Kill Chain là gì?

Cyber Kill Chain (chuỗi tiêu diệt mạng) được phát triển bởi Lockheed Martin – gã khổng lồ trong ngành công nghiệp vũ khí. Cyber Kill Chain hoạt động như một thám tử khi nó theo dõi hoạt động tấn công mạng từ giai đoạn trinh sát ban đầu cho đến khi đánh cắp dữ liệu. Nhờ có nó mà các quản trị viên có thêm kiến thức về ransomware, tấn công APT, vi phạm bảo mật và tìm ra phương án để ngăn chặn chúng.

Cyber Kill Chain hoạt động như thế nào?

Cyber Kill Chain sẽ gồm những giai đoạn cốt lõi. Cụ thể từ reconnaissance (giai đoạn do thám, thu thập thông tin) đến lateral movement (di chuyển ngang trong mạng để có quyền truy cập vào dữ liệu) và data exfiltration (lọc và xuất dữ liệu ra bên ngoài).

Phần lớn những vectơ tấn công đều kích hoạt hoạt động trên Cyber Kill Chain cho dù đó là lừa đảo hoặc phần mềm độc hại. Bất kể là cuộc tấn công bên trong hay bên ngoài thì mỗi giai đoạn mà Cyber Kill Chain thực hiện đều liên quan tới một hoạt động của cuộc tấn công, cụ thể:

• Reconnaissance (Trinh sát): đây là giai đoạn mà kẻ tấn công đánh giá tình hình và xác định mục tiêu, lên kế hoạch và chiến thuật cho cuộc tấn công.
• Intrusion (Xâm nhập): sau khi tìm hiểu kỹ càng từ giai đoạn trinh sát, kẻ tấn công sẽ bắt đầu xâm nhập vào hệ thống của bạn thông qua lỗ hổng bảo mật hoặc phần mềm độc hại.
• Exploitation (Khai thác): kẻ tấn công thực hiện hành động khai thác các lỗ hổng và bắt đầu tìm chỗ đứng bằng cách đưa các mã độc vào hệ thống.
• Privilege Escalation (Nâng cấp độc quyền): để tấn công thành công giai đoạn này hacker tìm mọi cách để nâng cấp độc quyền của mình với vai trò như một Admin.
• Lateral Movement (Di chuyển bên): hacker khi đã xâm nhập thành công chúng sẽ bắt đầu di chuyển lân cận từ hệ thống này sang hệ thống khác để có được quyền truy cập cao hơn và khai thác được nhiều dữ liệu quan trọng, nhạy cảm hơn.
• Obfuscation / Anti–forensics: hacker muốn đạt được mục đích đòi hỏi phải che giấu mọi dấu vết của cuộc tấn công. Để làm được điều này chúng cần tạo ra những dấu vết sai lệch, xóa file, xâm nhập dữ liệu…
• Denial of Service (Từ chối dịch vụ): giai đoạn này hacker sẽ làm gián đoạn việc truy cập vào hệ thống của người dùng. Mục đích của hành động này là để ngăn cuộc tấn công không bị theo dõi, giám sát hoặc chặn.
• Exfiltration (Xuất dữ liệu): cuối cùng những kẻ tấn công sẽ đánh cắp dữ liệu ra khỏi hệ thống mà chúng xâm nhập.

8 giai đoạn của Cyber Kill Chain

Cyber Kill Chain với những công cụ phù hợp sẽ phát hiện được hành vi của kẻ xấu ở từng giai đoạn, cụ thể:

• Reconnaissance (Trinh sát): Nhiệm vụ thu thập thông tin là bước đầu tiên để thực hiện một cuộc tấn công. Hacker sẽ tiến hành do thám để tìm kiếm những thông tin mật có thể bị rò rỉ ở các lỗ hổng và điểm yếu trong hệ thống. Ngay cả ở tường lửa, hệ thống chống xâm nhập hay tài khoản mạng xã hội đều là đối tượng mà hacker hướng đến.
• Intrusion (Xâm nhập): Kẻ tấn công sau khi đã nắm bắt được tình hình sẽ gửi tới hệ thống những phần mềm độc hại như phần mềm gián điệp, phần mềm quảng cáo, phần mềm tống tiền. Email lừa đảo là cách thức phổ biến mà hacker dùng để gửi phần mềm. Quá trình này nếu diễn ra thành công sẽ mở ra cơ hội để bọn chúng đột nhập vào bên trong hệ thống.
• Exploitation (Khai thác): Cánh cửa đã bị phá vỡ, đây là lúc mà hacker tung hoành bên trong hệ thống. Chúng sẽ thực hiện cài đặt các công cụ bổ sung hoặc tạo ra file script mới thậm chí là sửa đổi chứng chỉ bảo mật để phục vụ cho những mục đích bất chính.
• Privilege Escalation (Nâng cấp độc quyền): Vào được bên trong nhưng chỉ dừng lại ở sát cửa liệu có đánh cắp được tài nguyên không? Vì lẽ đó mà bước tiếp theo hacker thực hiện đó là nâng cấp đặc quyền để đi vào sâu hơn, chiếm đoạt nhiều dữ liệu hơn. Kỹ thuật leo thang đặc quyền bao gồm việc khai thác lỗ hổng Zero – Day, săn lùng lỗ hổng mật khẩu, tấn công Brute Force.
• Lateral Movement (Di chuyển bên): Muốn có thêm quyền truy cập và nhiều tài sản hacker thực hiện chuyển động ngang trong cùng hệ thống hoặc sang hệ thống khác. Quá trình này sẽ giúp chúng tìm kiếm những dữ liệu nhạy cảm, quyền truy cập của quản trị viên và server email.
• Obfuscation: Những kẻ tấn công thực hiện các thao tác để che dấu sự hiện diện của chúng và tránh các cuộc điều tra từ cơ quan chức năng. Chúng xóa file và siêu dữ liệu, sửa đổi một số thông tin quan trọng, ghi đè dữ liệu…Những hành động đó sẽ tạo một lớp vỏ bọc để người dùng luôn nghĩ dữ liệu chưa có bất cứ ai đụng vào.
• Denial of Service (Từ chối dịch vụ): Ở giai đoạn này hacker sẽ nhắm vào cơ sở hạ tầng mạng và dữ liệu bằng cách thực hiện tấn công Dos. Cuộc tấn công này sẽ làm gián đoạn, đình chỉ quyền truy cập của người dùng hợp pháp thậm chí là làm sập cả hệ thống.
• Exfiltration (Lọc): Sau khi lấy được dữ liệu hacker sẽ sao chép hoặc chuyển dữ liệu quan trọng tới nơi mà chúng được quyền kiểm soát để thực hiện mọi điều chúng muốn.

Tổng kết về Cyber Kill Chain

Kỹ thuật bảo mật khác nhau sẽ dẫn tới việc tiếp cận Cyber Kill Chain khác nhau. Mặc dù còn nhiều hạn chế nhưng không thể phủ nhận lợi ích mà chuỗi tiêu diệt mạng mang đến cho người dùng. Một khi nó được kết hợp với advanced analytics và predictive model thì chắc chắn sẽ trở thành công cụ không thể thiếu để bảo mật dữ liệu.