Cyber Kill Chain

Question 1

O que é a Cyber Kill Chain?

Answer 1

É um framework criado por Lockheed Martin em 2011 que é usado para para mapear o ataque cibernético

Question 2

Qual é a importância do Cyber Kill Chain?

Answer 2

O Cyber Kill Chain é importante para um analista de SOC, uma vez que permite uma maior compreensão dos estágios dos ataques cibernéticos

Question 3

Quais são as etapas do Cyber Kill Chain? (7)

Answer 3

1 - Reconhecimento (reconnaissance);
2 - Weaponization;
3 - Delivery;
4 - Exploitation (exploração);
5 - Installation (instalação);
6 - Command and Control (comando e controle); e
7 - Actions on objectives

Question 4

O que é a etapa de Reconnaissance ou reconhecimento?

Answer 4

Nessa etapa, o atacante busca informações sobre o seu alvo. Quanto mais informações sobre o alvo, maior é a superfície de ataque.

Question 5

O que é a Passive Reconnaissance?

Answer 5

É a coleta de informações sobre o alvo sem engajar fisicamente com o sistema alvo.

Question 6

O que é a Active Reconnaissance?

Answer 6

É a coleta de informações sobre o alvo por meio de interação direta.

Question 7

O que a Blueteam para fazer para minimizar a superfície de ataque na etapa de reconhecimento?

Answer 7

Reduzir a quantidade de informações que o atacante pode obter nesse estágio.

Question 8

O que é a etapa de Weaponization?

Answer 8

É a etapa em que o atacante utiliza as informações obtidas na fase de reconhecimento para acessar as ferramentas necessárias para o ataque ou desenvolver ferramentas com essa finalidade.

Question 9

Quais são as medidas que o Blueteam pode tomar para evitar maiores danos na fase de Weaponization?

Answer 9

1 - Checar rotineiramente a existência de vulnerabilidades;
2 - Ter os sistemas de informação da empresa sempre atualizados; e
3 - Analisar o impacto de conhecidas ou recentes ferramentas de ciberataques, para aperfeiçoar a sua detecção.

Question 10

O que é a etapa de Delivery?

Answer 10

É a etapa em que o atacante executa o ataque

Question 11

Quais são as medidas que o Blueteam pode tomar para evitar maiores danos na fase Delivery?

Answer 11

1 - Ter uma atitude cética em relação a URLs enviadas por e-mail, analisando-as na sandbox;

2 - Realizar treinamentos em segurança da informação;

3 - Realizar uma análise minuciosa de atividades suspeitas

Question 12

O que é a etapa de Exploitation?

Answer 12

É a fase em que o malware é executado no dispositivo da vítima. Assim, o atacante testa a exploração do dispositivo

Question 13

O que é a etapa de Installation?

Answer 13

É a fase em que o atacante busca estabelecer um acesso permanente no sistema invadido. Geralmente, com a instalação de um backdoor e procurando ter acesso a um user com maior autorização (escala de previlégio)

Question 14

Quais são as medidas que o Blueteam pode tomar para evitar maiores danos na fase Installation?

Answer 14

Um atacante que chegou nessa fase indica que as suas atividades maliciosas não podem ser detectadas. Desse modo, o SOC deve executar as operações de segurrança com a presunção de que o atacante sempre estará presente no sistema

Question 15

O que é a etapa de Comando e Controle (C2)?

Answer 15

É a etapa em que o atacante já consegue mandar comando remotos ao sistema e executá-los

Question 16

O que é a etapa de Actions on Objectives?

Answer 16

É a etapa que o atacante efetivamente passa a operar as operações desejadas no sistema