La « Kill chain » est une expression empruntée par la cybersécurité au domaine militaire. Appelé aussi « chaîne de frappe », ce terme désigne les étapes suivies par l’ennemi pour détruire une cible. En 2011, l’entreprise Lockheed Martin transpose ces étapes à la cybersécurité et publie le rapport « cyber kill chain ». Le document décrit le mode opératoire des hackers. Depuis sa création en 2011, la cyber kill chain a connu plusieurs versions. Néanmoins, les étapes sont similaires à la version initiale présentée par Lockheed Martin.
Issue d’un concept militaire pour identifier la structure d’une attaque, la Kill Chain offre un cadre permettant de mieux appréhender les cyberattaques et surtout les modes opératoires des cyber-criminels. Développée en 2011 dans un livre blanc signé Lockheed Martin, entreprise américaine spécialisée dans l'aérospatiale et la défense, la Kill Chain a été développée comme un cadre d’analyse pour décomposer et appréhender les différentes étapes d’une cyberattaque. Un cadre de prévention initialement développé pour tenter d’endiguer les tentatives d’intrusions sur les réseaux informatiques de menaces persistantes avancées (APT), d’où le premier nom connu d’Intrusion Kill Chain. Un modèle de Kill Chain qui repose donc sur l'idée qu'une cyberattaque doit franchir sept phases consécutives pour réussir son action, de la phase de reconnaissance jusqu’à l’étape d’exfiltration des données.
1. La Reconnaissance : L'étape préalable
Une mission de reconnaissance conditionne le succès d’une cyberattaque. Plus les hackers ont des informations sur une organisation, plus leurs attaques sont mieux organisées. Les hackers trouvent les informations dont ils ont besoin, sur des sources accessibles au public. Les pirates obtiennent des informations qualitatives et précises. Ils peuvent usurper l’identité d’un prestataire ou d’une institution pour prendre contact avec l’organisation. C’est l’étape préalable à tout mode opératoire. Il s'agit ici de choisir la cible (société, personne, et même composant), de collecter des informations sur elle. Dans l’exemple d’une cible humaine, l’attaque peut avoir une facette sociale et la reconnaissance prend place sur les réseaux sociaux. Dans l’exemple d’une attaque contre une société, la reconnaissance peut passer par l’identification des domaines, sous-domaines et autres adresses IP.
À ce stade, une forte sensibilisation à travers des formations est importante pour bloquer la kill chain. Des employés mieux informés sont moins susceptibles de partager des informations confidentielles sur les réseaux sociaux. À chaque appel, ils demandent à leur interlocuteur de s’identifier.
2. Armement : La préparation du vecteur d’attaque
Maintenant qu’ils ont toutes les informations en main, les hackers définissent le moyen utilisé pour pénétrer dans le système d’information de l’organisation. Les hackers choisissent le vecteur en fonction de plusieurs critères comme le coût, le délai de rentabilisation, le retour sur investissement, la puissance de traitement, etc. Pendant la phase d’armement, les acteurs malveillants utilisent les informations découvertes lors de la reconnaissance pour créer ou modifier le programme malveillant afin d’exploiter au mieux les faiblesses de l’organisation ciblée.
Les vecteurs d’attaque les plus exploités par les hackers sont les identifiants et mots de passe volés. Cela est dû à une mauvaise hygiène des mots de passe. Ils peuvent aussi se servir du phishing, des chevaux de Troie, des attaques par déni de service, etc. Un seul vecteur suffit pour réussir une attaque.
3. Livraison : La transmission de la menace
Cette étape porte sur la transmission de la menace à la cible. Maintenant que les pirates ont accès au réseau de l’organisation, ils peuvent libérer des malwares à tout moment. La livraison de la charge utile peut avoir un effet immédiat ou différé. La livraison de la charge utile peut se faire par la distribution de clés USB infectées dans un lieu public, les attaques de phishing, les liens infectés sur les sites internet ou les réseaux sociaux. Sachant l’essor du cloud computing, de nombreuses attaques sont menées depuis le cloud. L’organisation s’appuie sur des solutions technologiques pour neutraliser ces menaces. L’antivirus et antimalware de nouvelle génération sont capables d’identifier ces charges utiles. Il existe également des solutions de filtrage DNS, l’équipe informatique peut procéder à la désactivation des ports USB, etc.
4. Exploitation : Le basculement vers l’incident
Une fois la livraison réalisée, l’exploitation peut commencer. Elle peut prendre différentes formes en fonction de la nature de l’attaque. Certains programmes requièrent une action spécifique de la cible pour se déclencher. Une menace se transforme en incident de sécurité dans cette étape. La phase d’exploitation se traduit par un accès au réseau de l’organisation. Le logiciel malveillant exploite les vulnérabilités du système. Dès la phase d’exploitation, les attaquants évaluent les opportunités pour de futures attaques.
Une fois que les acteurs de cyber-menaces ont infiltré l’organisation, ils utilisent leur accès pour passer latéralement de système en système. Leur objectif est de rechercher des données sensibles, des vulnérabilités supplémentaires, des comptes d’administration ou des serveurs de messagerie à exploiter pour endommager l’organisation.
5. Installation : La pérennisation de la présence
Ils installent une porte dérobée pour avoir un accès sans contrainte au système à l’avenir. Les pirates peuvent utiliser un autre vecteur d’attaque à leur retour. Les portes dérobées peuvent être obtenues grâce à un compte à faible authentification ou un rootkit. À ce stade de l’attaque, l’organisation a peu de marge de manœuvre pour assurer la sécurité de son réseau. Ce dernier est déjà infecté. Les solutions comme l’antivirus ne sont plus pertinentes. L’installation d’un antivirus sur les terminaux représente la première étape. Les messageries doivent également être équipées d’un filtre anti-spam pour bloquer les attaques de phishing. De leur côté, les salariés doivent utiliser l’authentification à deux facteurs pour renforcer l’accès aux comptes.
6. Commande et contrôle (C&C) : Le pilotage à distance
Dans cette étape, le cybercriminel détient le contrôle d’un ordinateur ou d’un réseau infecté grâce à un système de commande et de contrôle (C&C). Pour brouiller la piste de leur présence, les attaquants peuvent lancer une attaque de déni de service. Le temps que la cible constate l’intrusion, les pirates informatiques détiennent déjà le contrôle du système. C’est pourquoi il est important de s’équiper d’outils comme EDR qui sont capables d’identifier les activités suspectes et les comportements malveillants. Les systèmes C2 modernes ont recours à des canaux cryptés, à des algorithmes de génération de domaines, au tunneling DNS et à des services cloud légitimes pour échapper à la surveillance.
Comprendre le serveur web en 2 minutes
7. Actions sur objectifs et Monétisation
Les étapes précédentes mènent à cette phase d’action continue. Les hackers mettent leur plan à exécution. Les conséquences pour la victime dépendent de leur motivation. Le cyber kill chain a subi des modifications au fil des ans. Certains experts ajoutent par exemple une dernière étape, à savoir la monétisation. L’objectif ultime des hackers est de monétiser leur attaque. Dans le cas d’un ransomware, la victime doit payer une rançon pour récupérer ses données.
L’étape d’actions sur l’objectif est la dernière phase de la Kill Chain. Plusieurs actions peuvent alors survenir, comme l’exfiltration de données ou le chiffrement sur l'actif informatique. Certains modèles de Kill Chain intègrent également une huitième étape, de monétisation, au cours de laquelle les cyber-criminels cherchent à récupérer de l’argent, à partir des ransomwares déployés précédemment ou en revendant des informations volées.
Limites et évolution du modèle
Le cyber kill chain est-il dépassé ? Le cyber kill chain a permis à de nombreuses entreprises d’établir leur stratégie de cybersécurité. Les experts reprochent à ce cadre de se concentrer uniquement à la prévention contre les logiciels malveillants. En effet, le kill chain s’intéresse davantage à la sécurité du périmètre. Pourtant, les entreprises ont amorcé leur transition vers le cloud. La surface d’attaque devient plus large à cause de l’adoption d’applications avancées et l’usage de terminaux personnels. Le kill chain ne permet pas d’identifier tous les types de menaces. Les menaces internes sont impossibles à détecter si l’on s’appuie sur le cadre d’origine.
Si le modèle Kill Chain était (et reste) un moyen efficace de décomposer les cyberattaques en phases séquentielles, il connaît certaines limites face à des modes opératoires modernes, dynamiques, qui peuvent sauter ou répéter certaines de ces étapes. Son utilisation reste théorique et peut se révéler moins efficace contre les attaques complexes qui feraient appel à des actions de désinformation, de fraude ou d’ingérence - voire des menaces internes.
Vers une approche intégrée : MITRE ATT&CK et hybridation
L’un des plus répandus est le framework MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) qui se décompose sous la forme d’un référentiel de données exhaustif des tactiques et techniques utilisées par les cyber-criminels au travers des différentes phases qui composent une attaque. Contrairement à la Kill Chain qui se concentre principalement sur les étapes d'une attaque, le référentiel MITRE ATT&CK fournit un aperçu détaillé des comportements spécifiques d'attaque, ce qui aide à une meilleure compréhension et simulation des attaques.
Fruit d’une fusion entre les deux approches, la Unified Kill Chain a été développée grâce à une approche de recherche hybride, « combinant la science de la conception et les méthodes de recherche qualitative ». Pour compléter la Kill Chain originelle, Ben Nimmo et Eric Hutchins de l’entreprise Meta ont proposé un nouveau référentiel : l'Online Operations Kill Chain. Cette nouvelle approche intègre les comportements malveillants en ligne, comme l’espionnage, la désinformation, les fraudes et plus encore.
L’importance de la détection comportementale
Avec tous ces frameworks alternatifs, la Kill Chain reste plus que jamais un outil indispensable pour assurer la cybersécurité des entreprises et des organisations. En détectant dès les premières étapes la tentative de compromission, implémenter une stratégie de protection des terminaux permet d’endiguer la cyberattaque avant qu’elle n’arrive à sa phase finale. Pour vous protéger au quotidien, vous pouvez donc faire appel à des solutions de protection des terminaux. Les solutions de détection et de réponse (Endpoint Detection & Response - EDR) sont une première réponse pour protéger les terminaux, que viennent compléter les solutions de détection et de réponse élargie (eXtended Detection & Response - XDR).
La détection basée sur le comportement s'est imposée comme un élément essentiel pour identifier les attaques qui échappent aux outils basés sur les signatures. En établissant une référence de l'activité normale et en mettant en corrélation les écarts observés à différentes étapes, les plateformes comportementales permettent de mettre en évidence la progression de la chaîne d'attaque, invisible pour les outils de sécurité pris isolément, lorsqu'un utilisateur accède à des partages de fichiers inhabituels, se connecte à des adresses IP externes peu courantes et transfère d'importants volumes de données.
Gouvernance, Risques et Conformité (GRC)
La Cyber Kill Chain devient particulièrement puissante lorsqu’elle est intégrée à une démarche GRC (Gouvernance, Risques et Conformité). La Cyber Kill Chain est donc devenue un outil incontournable pour structurer une stratégie de défense cyber. En détaillant les étapes d’une attaque, elle aide les entreprises à penser comme un attaquant, à identifier leurs faiblesses et à bâtir une défense proactive, alignée sur les réalités opérationnelles.
La Cyber Kill Chain s’adapte à votre démarche GRC en offrant une approche structurée pour détecter, analyser et atténuer les menaces de sécurité. Chaque étape aborde des aspects spécifiques de la gestion des risques, des exigences de conformité et de la gouvernance de la sécurité, garantissant ainsi une approche globale et cohérente de la cybersécurité. En combinant la Cyber Kill Chain et la GRC, les organisations passent d’une logique réactive à une approche prédictive de la cybersécurité.
La surface d’attaque désigne l’ensemble des risques de cybersécurité auxquels une entreprise ou organisation peut être exposée. Elle est (bien souvent) très large et entraîne le fait qu’une cyberattaque puisse survenir de presque n’importe où. En comprenant la cyber kill chain, les équipes de sécurité peuvent anticiper et perturber chaque étape d'une attaque, de la reconnaissance initiale à l'exfiltration de données. Comprendre cette chaîne, c’est acquérir une vision stratégique du cycle d’attaque, et savoir où agir pour la casser avant qu’elle ne porte atteinte à l’organisation.