Qu'est-ce que la Kill Chain ?
La Kill Chain (chaîne de destruction) est un modèle conceptuel décrivant les étapes successives d'une cyberattaque sophistiquée, de la reconnaissance initiale à l'atteinte de l'objectif final. Développée par Lockheed Martin, elle permet de comprendre les tactiques des attaquants et de placer des défenses à chaque étape.
Comprendre la Kill Chain aide à détecter les attaques plus tôt et à défendre efficacement à chaque phase du processus d'attaque.
Les 7 étapes de la Kill Chain
1. Reconnaissance : L'attaquant collecte des informations sur la cible (employés, systèmes, technologies). 2. Armement : Création de l'arme (malware, email de phishing, site web malveillant).
3. Livraison : Transmission de l'arme à la cible (email, USB, site web compromis). 4. Exploitation : Déclenchement du code malveillant exploitant une vulnérabilité.
5. Installation : Installation d'une backdoor ou autre outil pour maintenir l'accès. 6. Commande et Contrôle (C2) : Établissement d'un canal de communication avec l'attaquant.
7. Actions sur objectifs : Accomplissement de l'objectif final (exfiltration de données, destruction, fraude).
Étape 1 : Reconnaissance
L'attaquant recherche des informations publiques : site web, réseaux sociaux, annonces d'emploi, publications techniques. L'OSINT (Open Source Intelligence) collecte des données depuis des sources ouvertes.
L'ingénierie sociale cible les employés pour obtenir des informations. Le scanning réseau identifie les systèmes exposés et services.
Défense : Limiter l'exposition publique, former à la sensibilisation, monitorer les tentatives de reconnaissance.
Étape 2 : Armement
L'attaquant crée le malware adapté à la cible identifiée. L'exploit cible des vulnérabilités spécifiques découvertes.
Le document malveillant (PDF, Office) contient le code d'exploitation. Le site web compromis sert de point de distribution.
Défense : Patch management, filtrage web/email, sandboxing, formation utilisateurs.
Étape 3 : Livraison
L'email de phishing transmet le malware. Le site web compromis héberge le code malveillant.
L'USB ou autre média physique introduit le malware. L'exploitation à distance via vulnérabilités réseau.
Défense : Filtrage email/web, antivirus, contrôles d'accès réseau, formation.
Étape 4 : Exploitation
L'exploitation de vulnérabilité dans le système ou application. L'exécution de code malveillant sur le système cible.
Le bypass des protections (antivirus, sandbox). L'élévation de privilèges pour obtenir plus d'accès.
Défense : Patch management, EDR, sandboxing, principe du moindre privilège, ASLR/DEP.
Étape 5 : Installation
L'installation d'une backdoor pour maintenir l'accès. La persistance via modification du registre, services, tâches planifiées.
Le masquage pour éviter la détection. L'escalade de privilèges pour obtenir des droits administrateur.
Défense : Monitoring comportemental, EDR, whitelisting, audits réguliers, détection de persistance.
Étape 6 : Commande et Contrôle
L'établissement d'un canal C2 (serveur de commande et contrôle). La communication chiffrée pour éviter la détection.
Le beaconing : communications périodiques avec le serveur C2. L'exfiltration de données vers l'extérieur.
Défense : Monitoring réseau, blocage des domaines/IP suspects, DLP, segmentation réseau.
Étape 7 : Actions sur objectifs
L'exfiltration de données sensibles. La destruction ou modification de données.
Le mouvement latéral vers d'autres systèmes. La fraude ou autres objectifs malveillants.
Défense : DLP, monitoring, segmentation, backups, détection d'anomalies.
Détection à chaque étape
La détection précoce (étapes 1-3) est idéale : avant que l'attaque ne réussisse. La détection moyenne (étapes 4-5) permet encore de limiter les dommages.
La détection tardive (étapes 6-7) limite les dégâts mais l'attaque a partiellement réussi. Plus la détection est précoce, meilleure est la défense.
Modèle MITRE ATT&CK
Le MITRE ATT&CK est une évolution détaillée de la Kill Chain, avec des tactiques (objectifs) et techniques (méthodes) spécifiques. Plus granulaire et actualisé régulièrement.
Il couvre 14 tactiques : Reconnaissance, Développement de ressources, Accès initial, Exécution, Persistance, Escalade de privilèges, Évitement de défense, Accès aux credentials, Découverte, Mouvement latéral, Collecte, Exfiltration, Impact.
Utilisation défensive
L'analyse des attaques passées selon la Kill Chain identifie les points de défaillance. Le placement de défenses à chaque étape crée une défense en profondeur.
Le threat hunting recherche des indicateurs à chaque étape. L'amélioration continue basée sur les attaques observées.
La formation des équipes à reconnaître les signes à chaque étape. L'automatisation de la détection et réponse.
Limitations
Le modèle est linéaire alors que les attaques réelles peuvent être itératives. Il se concentre sur les attaques externes mais les menaces internes existent.
Certaines attaques sautent des étapes ou les combinent. Le modèle peut être trop simpliste pour des attaques très sophistiquées.
Néanmoins, il reste un outil précieux pour comprendre et défendre contre les cyberattaques.
Bonnes pratiques
Comprendre chaque étape de la Kill Chain. Placer des défenses à chaque phase.
Monitorer les activités suspectes à chaque étape. Détecter tôt pour limiter les dommages.
Documenter les attaques selon la Kill Chain pour améliorer les défenses. Former les équipes à reconnaître les signes.
La Kill Chain est un modèle fondamental pour comprendre les cyberattaques. En plaçant des défenses à chaque étape et en détectant tôt, les organisations peuvent significativement améliorer leur posture de sécurité.