Cyber Kill Chain : les 7 étapes d'une attaque expliquées

Picus Security, une entreprise de cybersécurité, a publié un article explicatif détaillant les sept étapes de la Cyber Kill Chain. Ce modèle, initialement développé par Lockheed Martin, décrit la progression d'un attaquant externe tentant de pénétrer les systèmes d'une organisation.

Le cadre couvre l'intégralité du cycle de vie d'une attaque, de la reconnaissance initiale et la militarisation à l'installation, au commandement et contrôle, et à l'atteinte des objectifs finaux. En comprenant ces sept étapes – reconnaissance, militarisation, livraison, exploitation, installation, commandement et contrôle (C2), et actions sur les objectifs – les organisations peuvent améliorer leurs capacités défensives.

Picus Security souligne le principe fondamental selon lequel un attaquant doit réussir dans les sept étapes, tandis que les défenseurs n'ont besoin d'arrêter l'attaque qu'à un seul point. Cela fait de la chaîne d'attaque un outil fondamental pour analyser la couverture de détection et concevoir la réponse aux incidents.

L'article détaille chaque étape. La reconnaissance implique que les attaquants collectent des informations sur une cible, y compris son personnel, sa technologie et son exposition externe. La militarisation implique ensuite l'association d'une charge utile malveillante avec un mécanisme de livraison adapté aux vulnérabilités découvertes.

La livraison est la phase où l'outil militarisé atteint le système cible, souvent par hameçonnage. L'exploitation se produit lorsque la charge utile exploite une vulnérabilité. L'installation établit un accès persistant, suivi du commandement et contrôle pour la gestion à distance. Enfin, les actions sur les objectifs représentent les finalités ultimes de l'attaquant, telles que l'exfiltration de données ou la perturbation des systèmes.