Kill chain (sécurité informatique)

Le principe de kill chain (chaîne de frappe) désigne dans le domaine de la sécurité des systèmes d'information une méthode de modélisation des procédés d'intrusion sur un réseau informatique^[1].

La kill chain traditionnelle[modifier | modifier le code]

Des informaticiens de la société Lockheed Martin ont décrit en 2011 un nouveau cadre ou modèle de «kill chain d'intrusion» pour défendre les réseaux informatiques en 2011^[2]. Selon ce modèle, les attaques peuvent être découpées en phases et peuvent être perturbées grâce à des contrôles établis à chaque étape. Depuis, le modèle de «cyber kill chain» a été adopté par les organisations de sécurité des données pour définir les phases des cyberattaques^[3].

La «kill chain d'intrusion» décrit les phases d'une cyberattaque, de la reconnaissance à l'exfiltration de données^[4]. Celle-ci peut également être utilisée comme outil de gestion, afin d'améliorer en permanence la défense du réseau. Selon Lockheed Martin, les menaces doivent passer par plusieurs phases du modèle, parmi lesquelles :

Reconnaissance : l'attaquant sélectionne la cible, la recherche et tente d'identifier les vulnérabilités du réseau cible.
Armement : l'attaquant crée un logiciel malveillant, comme un virus ou un ver, lui permettant d'accéder à distance à la cible en exploitant une ou plusieurs vulnérabilités du système.
Livraison: l'attaquant transmet l'arme à la cible (via des pièces jointes de courrier électronique, des sites Web ou des clés USB par exemple)
Exploitation : le code du logiciel malveillant se déclenche et agit sur le réseau cible pour exploiter la vulnérabilité identifiée.
Installation : le logiciel malveillant installe un point d'accès (une porte dérobée) utilisable par un attaquant externe.
Commandement et contrôle : le logiciel malveillant offre à l'attaquant un accès permanent au réseau cible.
Actions sur l'objectif : l'attaquant prend des mesures pour atteindre ses objectifs, tels que l'exfiltration de données, la destruction de données ou le chiffrement contre rançon.

Des moyens de défense peuvent être mis en place pour contrer le déroulement présenté ci-dessus^[5] :

Détecter: déterminer si un attaquant fouille
Refuser: empêcher la divulgation d'informations et l'accès non-autorisé
Interrompre: arrêter ou modifier le trafic sortant (vers l'attaquant)
Dégrader: contre-attaquer face au commandement et contrôle pris par l'attaquant
Tromper: interférer avec le commandement et le contrôle pris par l'attaquant
Contenir: modifier la segmentation du réseau

Modèles alternatifs de kill chain[modifier | modifier le code]

Différentes organisations ont construit leurs propres kill chains pour essayer de modéliser différentes menaces. FireEye propose un modèle linéaire, similaire à celui proposé par Lockheed Martin. Dans la kill chain de FireEye, la persistance des menaces est soulignée : ce modèle souligne qu'une menace ne s'arrête pas après un cycle^[6].

Reconnaissance
Intrusion initiale dans le réseau
Établissement d'une porte dérobée dans le réseau
Obtention d'identifiants d'utilisateurs
Installation de programmes utilitaires divers
Élévation des privilèges / mouvement latéral / exfiltration de données
Maintien dans le système cible

MITRE tient à jour un modèle de kill chain connu sous le nom d'« ATT&CK ». Celui-ci modélise les tactiques, les techniques et les procédures utilisées par les acteurs malveillants et constitue une ressource utile pour les équipes rouges et bleues . Les pentesters peuvent imiter ce comportement lors d'exercices imitant des scénarios réels, afin d'aider leurs clients à déterminer l'efficacité de leurs mesures défensives^[7]. Le framework ATT&CK comporte 4 matrices principales : PRE_ATT&CK, Enterprise, Mobile et ICS. L'Enterprise Matrix a des catégories pour Windows, macOS, Linux et le Cloud. Les catégories Enterprise Windows sont les suivantes :

Reconnaissance - Le recueil d'informations par l'attaquant qui pourront être utilisées
Développement de ressources - Recueil et mise en place de ressources qui pourront être utilisées dans les autres phases du cycle
Accès initial - Intrusion dans le réseau attaqué
Exécution - Exécution de code sur un système attaqué, local ou distant
Persistance - Maintien dans la durée d'une présence sur le système attaqué
Élévation des privilèges - Obtention d'un niveau de privilège plus élevé
Évasion de la défense - Échapper à la détection ou aux systèmes de sécurité
Accès authentifié - Utilisation d'informations d'identification légitimes pour accéder au système
Découverte - Acquisition post-compromission d'une connaissance interne du système
Mouvement latéral - Mouvement d'un système à un autre au sein du réseau cible
Collecte - Processus de collecte d'informations d’intérêt pour l'attaquant, telles que des fichiers, avant exfiltration
Commandement et contrôle - Communication avec les systèmes contrôlés par l'attaquant au sein du réseau cible
Exfiltration - Extraction des informations collectées, d’intérêt pour l'attaquant et sensibles pour le système cible
Impact - Perturbation des processus du système cible (les processus commerciaux et opérationnels ^[8] de l'organisation ciblée)

Critiques de la kill chain[modifier | modifier le code]

Parmi les critiques du modèle de kill chain de Lockheed Martin en tant qu'outil d'évaluation et de prévention des menaces, on note :

le fait que les premières phases se déroulent en dehors du réseau cible, ce qui rend difficile l'identification ou la défense contre les actions dans ces phases^[9].
le fait que cette méthodologie est censée renforcer les stratégies défensives traditionnelles, basées sur le périmètre (modèle de la «forteresse» plutôt que défense dite en profondeur) ainsi que la prévention des malwares^[10].
le fait que la kill chain traditionnelle est inadaptée pour la modélisation de menaces internes ^[11].

La kill chain unifiée[modifier | modifier le code]

Une version unifiée de la kill chain a été développée afin de surmonter les critiques émises à l'encontre de la kill chain traditionnelle, en unissant et en étendant la kill chain de Lockheed Martin et le modèle ATT&CK de MITRE . La kill chain unifiée est un arrangement ordonné de 18 phases d'attaque uniques, couvrant l'ensemble des activités se produisant à l'extérieur et au sein du réseau cible. En tant que telle, la kill chain unifiée améliore les limites de la portée de la kill chain traditionnelle et la nature agnostique des tactiques dans le modèle ATT&CK. Le modèle unifié peut être utilisé pour analyser, comparer et se défendre contre les cyberattaques complexes menées par des Advanced Persistent Threats (APT)^[12].

Notes et références[modifier | modifier le code]

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Kill chain » (voir la liste des auteurs).

↑ Higgins, Kelly Jackson, « How Lockheed Martin's 'Kill Chain' Stopped SecurID Attack », sur DARKReading, 12 janvier 2013 (consulté le 30 juin 2016)
↑ Lockheed-Martin Corporation-Hutchins, Cloppert, and Amin-Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains-2011
↑ Greene, « Why the 'cyber kill chain' needs an upgrade » (consulté le 19 août 2016)
↑ (en-US) « The Cyber Kill Chain or: how I learned to stop worrying and love data breaches », 20 juin 2016 (consulté le 19 août 2016)
↑ « Archived copy » [archive du 10 septembre 2018] (consulté le 15 mai 2017)
↑ (en) Kim, Kwon et Kim, « Modified cyber kill chain model for multimedia service environments », Multimedia Tools and Applications, vol. 78, n^o 3,‎ février 2019, p. 3153–3170 (ISSN 1380-7501, DOI 10.1007/s11042-018-5897-5)
↑ Ray Nutting, CompTIA PenTest+ certification all-in-one exam guide (PT-001), New York, McGraw-Hill Education, 2019 (ISBN 978-1-260-13594-7), p. 75
↑ Ray Nutting, CompTIA PenTest+ certification all-in-one exam guide (PT-001), New York, McGraw-Hill Education, 2019 (ISBN 978-1-260-13594-7), p. 76
↑ Laliberte, Marc, « A Twist On The Cyber Kill Chain: Defending Against A JavaScript Malware Attack », DARKReading, 21 septembre 2016
↑ Engel, Giora, « Deconstructing The Cyber Kill Chain », DARKReading, 18 novembre 2014 (consulté le 30 juin 2016)
↑ Reidy, Patrick, « Combating the Insider Threat at the FBI », BlackHat USA 2013
↑ Pols, Paul, « The Unified Kill Chain », Cyber Security Academy, 7 décembre 2017

Liens externes[modifier | modifier le code]

« Lockheed Martin Cyber Kill Chain »
« The Unified Kill Chain », Cyber Security Academy
« MITRE ATT&CK »

Portail de la sécurité informatique

[1] Higgins, Kelly Jackson, « How Lockheed Martin's 'Kill Chain' Stopped SecurID Attack », sur DARKReading, 12 janvier 2013 (consulté le 30 juin 2016)

[Lockheed-2] Lockheed-Martin Corporation-Hutchins, Cloppert, and Amin-Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains-2011

[3] Greene, « Why the 'cyber kill chain' needs an upgrade » (consulté le 19 août 2016)

[4] (en-US) « The Cyber Kill Chain or: how I learned to stop worrying and love data breaches », 20 juin 2016 (consulté le 19 août 2016)

[5] « Archived copy » [archive du 10 septembre 2018] (consulté le 15 mai 2017)

[6] (en) Kim, Kwon et Kim, « Modified cyber kill chain model for multimedia service environments », Multimedia Tools and Applications, vol. 78, n^o 3,‎ février 2019, p. 3153–3170 (ISSN 1380-7501, DOI 10.1007/s11042-018-5897-5)

[7] Ray Nutting, CompTIA PenTest+ certification all-in-one exam guide (PT-001), New York, McGraw-Hill Education, 2019 (ISBN 978-1-260-13594-7), p. 75

[8] Ray Nutting, CompTIA PenTest+ certification all-in-one exam guide (PT-001), New York, McGraw-Hill Education, 2019 (ISBN 978-1-260-13594-7), p. 76

[9] Laliberte, Marc, « A Twist On The Cyber Kill Chain: Defending Against A JavaScript Malware Attack », DARKReading, 21 septembre 2016

[10] Engel, Giora, « Deconstructing The Cyber Kill Chain », DARKReading, 18 novembre 2014 (consulté le 30 juin 2016)

[11] Reidy, Patrick, « Combating the Insider Threat at the FBI », BlackHat USA 2013

[12] Pols, Paul, « The Unified Kill Chain », Cyber Security Academy, 7 décembre 2017

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]