Ланцюг ураження цілі

Термін «ланцю́г ура́ження ці́лі» (англ. kill chain) є поняттям, що окреслює структуру атаки. Цей ланцюг складається з:

• визначення цілі; 
• спрямування сил до цілі;
• здійснення нападу на ціль; 
• ураження цілі^[1]

І навпаки, ідея «розриву» ланцюга ураження цілі супротивника є методом захисту або превентивних дій.^[2]

Розрізняють "ланцюг ударного ураження" (англ. kinetic kill chain) як військовий термін та «ланцюг гакерського ураження» (англ. cyber kill chain, virtual kill chain) як термін, що стосується хакерських атак.^[3]

Військовий термін

F2T2EA

Однією з моделей військового ланцюга ураження цілі є "F2T2EA", яка складається з наступних етапів:

• Знайти (Find): визначте ціль. Знайдіть ціль за даними спостереження або за допомогою засобів розвідки.
• Уточнити (Fix): уточніть місцеперебування цілі. Отримайте конкретні координати цілі чи то з наявних даних, чи то зібравши додаткові дані.
• Відстежити (Track): стежте за рухом цілі. Слідкуйте за ціллю, чи доки не буде прийнято рішення не вражати ціль, чи доки ціль не буде успішно вражена.
• Націлитись (Target): оберіть відповідну зброю або засіб для використання щодо цілі для справлення потрібного впливу. Застосовуйте можливості управління військами, щоб визначити цінність цілі та наявність відповідної зброї для ураження.
• Вразити (Engage): застосуйте зброю до цілі.
• Оцінити (Assess): оцініть наслідки атаки, використовуючи будь-які розвідувальні дані, зібрані на місці.

Це цілісний наскрізний процес, який називають «ланцюгом», оскільки його переривання на будь-якому етапі може перервати весь його хід.^[4][5]

Попередня термінологія

«Чотири F» — військовий термін, який використовувався в армії Сполучених Штатів, особливо під час Другої світової війни. 

Розроблені таким чином, щоб їх було легко запам’ятати, «Чотири F» такі:

• Знайти (Find) ворога – знайдіть ворога.
• Знерухомити (Fix) ворога – притисніть його пригнічувальним вогнем.
• Напасти (Fight) на ворога – вступіть з ворогом у бій або обійдіть ворога з флангу – відправте солдатів на фланги чи в тил ворога.
• Знищити (Finish) ворога – знешкодьте усіх ворожих бійців. 

Пропонована термінологія

"П'ять F" - це військовий термін, описаний майором Майком «Пако» Бенітесом, офіцером з системи озброєння літаків F-15E "Ударний орел", який служив у ВПС Сполучених Штатів і Корпусі морської піхоти США.

Розроблені задля оновлення ланцюга ураження цілі для оновлених автономних і напівавтономних систем зброї, «П’ять F» описані в книзі «Настав час: нагальна потреба в розвитку ланцюга ураження цілі»^[6] наступним чином:

• Знайти (Find): охоплює зусилля Спільної розвідувальної підготовки операційного середовища, шляхом зіставлення зібраних даних з наміром командира та цільовими сферами інтересів. Це неминуче призводить до виявлення можливих цілей, які надалі можуть бути класифіковані як нова ціль, якщо вони відповідають наміру командира.
• Уточнити (Fix): доктринально описується як «визначити нову ціль як гідну для ураження, та визначити її положення та інші дані з точністю, достатньою, щоб уможливити ураження».
• Відкрити вогонь (Fire): передбачає залучення сил або ресурсів (тобто вивільнення боєприпасів, ракетно-бомбового вантажу чи витратних матеріалів)
• Завершити (Finish): передбачає роботу з органами, що схвалюють удари (тобто, ураження цілі/постріл спрямованою енергією/руйнівну електронну атаку). Це схоже на те, як наземний підрозділ виконує маневри для контакту, але потім дотримується встановлених правил ведення бою після того, як досягне точки зіткнення.
• Зворотний зв’язок (Feedback): замикає оперативний цикл OODA за допомогою етапу оцінки, який у деяких випадках називається «Оцінка пошкоджень від бомби».

План знищення ядерної зброї Північної Кореї

Новий американський військовий план на випадок надзвичайних ситуацій під назвою «Ланцюг ураження цілі» має бути першим кроком у новій стратегії використання супутникових зображень задля визначення північнокорейських місць запуску, ядерних установок і виробничих потужностей і їх запобіжного знищення, якщо конфлікт здасться неминучим. Про цей план йдеться у спільній заяві США та Південної Кореї.^[7][8]

Термін щодо гакерської атаки

 

Ланцюг ураження цілі вторгнення в контексті інформаційної безпеки^[9]

Етапи атаки та контрзаходи

Давно «компанія Локгід-Мартін» пристосувала цю концепцію до інформаційної безпеки, використавши її як метод для моделювання вторгнень у комп’ютерну мережу^[10]. Модель гакерського ланцюга ураження цілей знайшла певне поширення в спільноті інформаційної безпеки^[11]. Однак визнання не є загальним, і критики вказують на те, що вони вважають ґрунтовними недоліками моделі^[12].

Комп'ютерні вчені з корпорації «Локгід-Мартін» у 2011 році описали нову структуру або модель «ланцюга ураження цілі вторгнення» для захисту комп'ютерних мереж^[4]. Вони написали, що атаки можуть відбуватися поетапно і можуть бути перервані за допомогою запобіжників, встановлених для кожного з етапів. Відтоді термін «гакерський ланцюг ураження цілі» був прийнятий організаціями з безпеки даних для визначення етапів хакерських атак^[13].

Гакерський ланцюг ураження цілі розкриває етапи гакерської атаки: від ранньої розвідки до мети викрадення даних^[14]. Ланцюг ураження цілі також можна використовувати як інструмент менеджменту, який допомагає постійно покращувати захист мережі. За словами вчених Локгід-Мартін, згідно з цією моделлю загрози проходять кілька етапів, зокрема:

1. Розвідка: зловмисник обирає ціль, досліджує її та намагається виявити вразливі місця в цільовій мережі.
2. Створення зброї: зловмисник створює зброю зловмисного програмного забезпечення віддаленого доступу, наприклад вірус або хробак, пристосовані до однієї чи кількох вразливостей.
3. Доставлення: зловмисник передає зброю до цілі (наприклад, через вкладення електронної пошти, вебсайти або USB-накопичувачі)
4. Використання: спрацьовує програмний код зброї зловмисного програмного забезпечення, який виконує дії в цільовій мережі для використання вразливості.
5. Встановлення: зброя зловмисного програмного забезпечення встановлює точку доступу (наприклад, «бекдор»), яку може використовувати зловмисник.
6. Керування та контроль: шкідливе програмне забезпечення дозволяє зловмиснику мати постійний доступ до цільової мережі.
7. Цільові дії: зловмисник вживає заходів для досягнення своїх цілей, наприклад викрадення даних, знищення даних або шифрування з метою отримання викупу.

Проти цих етапів атаки можуть бути вжиті захисні дії:^[15]

1. Виявити: визначити наявність зловмисника.
2. Заборонити: запобігти розголошенню інформації та несанкціонованому доступу.
3. Порушити: зупинити або змінити вихідний трафік (для зловмисника).
4. Зіпсувати: здійснити контратаку на тих, хто керує вторгненням.
5. Обдурити: втрутитися в керування вторгненням.
6. Стримати: розділити мережу на частини

Розслідування Сенату США щодо витоку даних корпорації Target у 2013 році містило аналіз, заснований на структурі ланцюга ураження цілі Локгід-Мартін. Воно визначило кілька етапів, на яких засоби контролю не запобігали або не виявляли ходу вторгнення.^[9]

Альтернативи

Кілька організацій побудували власні моделі ланцюга ураження цілі для моделювання різноманітних загроз. FireEye пропонує лінійну модель, подібну до моделі Локгід-Мартін. У ланцюгу ураження цілі FireEye наголошується на наполегливості загроз. Ця модель підкреслює, що загроза не закінчується після одного циклу.^[16]

1. Розвідка
2. Початкове вторгнення в мережу
3. Встановлення бекдор в мережу.
4. Отримання облікових даних користувача.
5. Встановлення різноманітних утиліт.
6. Ескалація привілеїв/бічне переміщення/викрадення даних
7. Довгострокова наполегливість.

Критика

Модель ланцюга гакерського ураження цілі Локгід-Мартін критикують як інструмент оцінки та запобігання загрозам через те, що перші етапи відбуваються поза межами захищеної мережі, що ускладнює визначення чи захист від дій на цих етапах^[17]. Також кажуть, що ця методологія підкреслює традиційні захисні стратегії, засновані на периметрі безпеки та запобіганні зловмисному програмному забезпеченню^[18]. Деякі критики зауважили, що традиційний ланцюг хакерського ураження цілі не підходить для моделювання внутрішньої загрози.^[19] Це особливо неприємно, враховуючи ймовірність успішних атак, які порушують периметр безпеки внутрішньої мережі, тому організаціям «потрібно розробити стратегію боротьби зі зловмисниками всередині брандмауера. Їм потрібно думати про кожного зловмисника як про потенційного інсайдера»^[20].

Об'єднаний ланцюг ураження цілі

 

Об'єднаний ланцюг ураження цілі складається з 18 етапів атаки, які можуть відбуватися під час просунутих кібератак.

Об'єднаний ланцюг ураження цілі був розроблений у 2017 році Полом Полсом у співпраці з Fox-IT і Лейденським університетом у відповідь на загальну критику традиційного ланцюга гакерського ураження цілі, шляхом об’єднання та розширення ланцюга ураження цілі Локгід-Мартін і моделі ATT&CK від MITRE. Об'єднана версія ланцюга ураження цілі — це 18 впорядкованих етапів, які можуть відбуватися під час наскрізної хакерської атаки, та охоплюють дії, які відбуваються поза та всередині захищеної мережі. Таким чином, об'єднаний ланцюг ураження цілі виправляє обмеження охоплення традиційного ланцюга ураження цілі й обмеження незалежного від часу характеру тактики в моделі ATT&CK від MITRE. Об'єднану модель можна використовувати для аналізу, порівняння та захисту від наскрізних кібератак, здійснюваних шляхом розвинених сталих загроз (APT).^[21] У 2021 році було опубліковано подальший технічний документ щодо об'єднаного ланцюга ураження цілі^[22].

Список літератури

1. Kill Chain Approach. Chief of Naval Operations. 23 квітня 2013. Архів оригіналу за 13 червня 2013.
2. Jonathan Greenert; Mark Welsh (17 травня 2013). Breaking the Kill Chain. Foreign Policy. Процитовано 30 червня 2016.
3. [hhttps://www.strifeblog.org/2020/09/09/future-warfighting-in-the-2030s-an-interview-with-franz-stefan-gady/ Future Warfighting in the 2030s: An Interview with Franz-Stefan Gady]. The Strife Blog & Journal. 9 вересня 2020.
4. Lockheed-Martin Corporation-Hutchins, Cloppert, and Amin-Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains-2011
5. John A. Tirpak (1 липня 2000). Find, Fix, Track, Target, Engage, Assess. Air Force Magazine.
6. Benitez, Mike (17 травня 2017). It's About Time: The Pressing Need to Evolve the Kill Chain. War on the Rocks. Процитовано 28 квітня 2020.
7. Sanger, David E. (6 липня 2017). Tiny Satellites From Silicon Valley May Help Track North Korea Missiles. The New York Times. Процитовано 7 липня 2017.
8. 06/30/17 - Joint Statement between the United States and the Republic of Korea | U.S. Embassy & Consulate in Korea. U.S. Embassy & Consulate in Korea (амер.). 30 червня 2017. Процитовано 7 липня 2017.
9. U.S. Senate-Committee on Commerce, Science, and Transportation-A "Kill Chain" Analysis of the 2013 Target Data Breach-March 26, 2014 (PDF). Архів оригіналу (PDF) за 6 жовтня 2016.
10. Higgins, Kelly Jackson (12 січня 2013). How Lockheed Martin's 'Kill Chain' Stopped SecurID Attack. DARKReading. Процитовано 30 червня 2016.
11. Mason, Sean (2 грудня 2014). Leveraging The Kill Chain For Awesome. DARKReading. Процитовано 30 червня 2016.
12. Myers, Lysa (4 жовтня 2013). The practicality of the Cyber Kill Chain approach to security. CSO Online. Архів оригіналу за 19 березня 2022. Процитовано 30 червня 2016.
13. Greene, Tim (5 серпня 2016). Why the 'cyber kill chain' needs an upgrade. Процитовано 19 серпня 2016.
14. The Cyber Kill Chain or: how I learned to stop worrying and love data breaches (амер.). 20 червня 2016. Процитовано 19 серпня 2016.
15. John Franco. Cyber Defense Overview: Attack Patterns (PDF). Архів (PDF) оригіналу за 10 вересня 2018. Процитовано 15 травня 2017.
16. Kim, Hyeob; Kwon, HyukJun; Kim, Kyung Kyu (February 2019). Modified cyber kill chain model for multimedia service environments. Multimedia Tools and Applications (англ.). 78 (3): 3153—3170. doi:10.1007/s11042-018-5897-5. ISSN 1380-7501.
17. Laliberte, Marc (21 вересня 2016). A Twist On The Cyber Kill Chain: Defending Against A JavaScript Malware Attack. DARKReading.
18. Engel, Giora (18 листопада 2014). Deconstructing The Cyber Kill Chain. DARKReading. Процитовано 30 червня 2016.
19. Reidy, Patrick. Combating the Insider Threat at the FBI (PDF). BlackHat USA 2013.
20. Devost, Matt (19 лютого 2015). Every Cyber Attacker is an Insider. OODA Loop.
21. Pols, Paul (7 грудня 2017). The Unified Kill Chain (PDF). Cyber Security Academy.
22. Pols, Paul (17 травня 2021). The Unified Kill Chain. UnifiedKillChain.com.