Unified Kill Chain: Dlaczego tradycyjne modele obrony to już za mało?

Cyberprzestępcy nie śpią. Każdego dnia pojawiają się nowe kampanie phishingowe, liczba ataków ransomware rośnie, a agresorzy nieustannie testują szczelność Twoich zabezpieczeń. Jednak większość organizacji wciąż nie rozumie kluczowej kwestii: nowoczesne cyberataki nie przebiegają już według liniowego schematu, na którym opierano modele bezpieczeństwa 15 lat temu.

Atakujący adaptują się do dynamicznie zmieniającej się rzeczywistości. Testują wiele punktów wejścia, pomijają etapy, w których napotkają opór, i skupiają większość wysiłku na działaniach podejmowanych już po przeniknięciu do Twojej sieci. Jeśli Twoja strategia bezpieczeństwa zakłada, że zagrożenia można zatrzymać wyłącznie na styku sieci z Internetem (perimeter), to znaczy, że korzystasz z nieaktualnej mapy w zupełnie nowym terenie. I to może Cię zgubić.

Przez dekady strategie bezpieczeństwa budowano na prostym założeniu: “jeśli zatrzymamy atak na granicy sieci, wygrywamy”. Wdrażano firewalle, filtry poczty i blokowano zagrożenia już na starcie.

Działało to w miarę dobrze, gdy ataki były prostsze. Ale świat się zmienił. Według raportu IBM Cost of a Data Breach 2024, średni koszt wycieku danych osiągnął 4,88 miliona dolarów, a co ważniejsze – średni czas powstrzymania incydentu wynosił aż 70 dni.

Wyobraź to sobie: zagrożenia wewnątrz Twojej sieci pozostają niewykryte i niekontrolowane przez ponad dwa miesiące. I mają pełne pole do popisu. Tradycyjny model obrony nie potrafi wytłumaczyć tej luki.

Oto co dzieje się naprawdę:

Atakujący skutecznie phishuje jednego pracownika i zyskuje dostęp do jednej stacji roboczej. Z tego pojedynczego punktu, zagrożenie przez wiele tygodni analizuje infrastrukturę sieciową, kradnie dane uwierzytelniające oraz przeprowadza ruch boczny (lateral movement) – wszystko to odbywa się już wewnątrz chronionego obszaru organizacji. Twój firewall tego nie zatrzyma. Twój filtr poczty tego nie wykryje. Zagrożenie nie pochodzi już z zewnątrz. Ono jest już w środku. A to znaczy, że już jest za późno. Że już jesteś w prawdziwym niebezpieczeństwie.

Unified Kill Chain (UKC) powstał dzięki analizie rzeczywistych kampanii cyberprzestępczych, a nie teoretycznych założeń. W przeciwieństwie do tradycyjnego Cyber Kill Chain, który zakładał liniową sekwencję siedmiu etapów, UKC uwzględnia fakt, że ataki są nieliniowe i adaptacyjne.

Model ten dzieli działania ataku na 18 faz w trzech strategicznych warstwach:

Warstwa 1: IN – Przełamanie obrony początkowej

Osiem faz, w tym Rekonesans, Przygotowanie zasobów, Dostarczenie (Delivery) i Inżynieria Społeczna.

To tutaj działają Twoje filtry poczty i MFA. Jednak organizacje często na tym poprzestają, pytając: “czy zablokowaliśmy to na wejściu?”. Kluczowe pytanie brzmi jednak: “a co, jeśli się przedostali?”. Najważniejsze, by być o krok przed, a nie krok za przestępcą.

Warstwa 2: THROUGH – Gdzie naruszenie staje się katastrofą

Tu z kolei atakujący spędzają najwięcej czasu i w tym właśnie miejscu powstają największe szkody.

Warstwa ta obejmuje sześć faz, m.in.: Pivoting, Odkrywanie (Discovery), Eskalację uprawnień oraz Ruch boczny (Lateral Movement).

SOC, który nie ma wglądu w ruch boczny i kradzież tożsamości, przeoczy atakującego nawet po przejęciu przez niego systemów.

„Warstwa ‘Through’ to obszar, w którym jako SOC widzimy największą wartość obronną. Organizacje posiadające silną segmentację sieci i analitykę behawioralną fundamentalnie zmieniają kalkulacje atakującego. Ruch boczny staje się wykładniczo trudniejszy. Widzieliśmy incydenty, w których atakujący nie mogli wyjść poza jedną zainfekowaną stację, co uchroniło klienta przed milionowymi stratami”.

Warstwa 3: OUT – Realizacja celów (Impact)

Do ostatnich etapów należą Kolekcjonowanie, Eksfiltracja oraz Wpływ (na przykład szyfrowanie danych). Jeśli zabezpieczenia zawiodą już na pierwszych dwóch poziomach, kluczowe staje się szybkie działanie. Im wcześniej wykryjesz eksfiltrację danych, tym mniejsze poniesiesz straty finansowe.

Teoria to jedno, ale jak przekłada się to na realne ryzyko?

1. Tradycyjna obrona obwodowa: Silne firewalle i antywirusy, ale brak wglądu w ruch wewnątrz sieci.

   • Wynik: Po przełamaniu obwodu atakujący ma wolną rękę.
   • Wykrycie: po tygodniach.
   • Szkody: rozległe.
2. Obwód + Podstawowa ochrona warstwy “Through”: Zabezpieczony brzeg sieci plus segmentacja i podstawowe logi.

   • Wynik: Atakujący jest ograniczony do wycinka sieci.
   • Wykrycie: w ciągu godzin.
   • Szkody: ograniczone.
3. Dojrzały SOC z widocznością Kill Chain (Model Euvic): Pełna analityka behawioralna, Threat Intelligence i reakcja na incydenty ściśle powiązana z fazami ataku.

   • Wynik: Widoczność we wszystkich trzech warstwach.
   • Wykrycie: w ciągu kilku minut.
   • Szkody: minimalne lub całkowicie wyeliminowane.

W Euvic nie tylko rozumiemy Unified Kill Chain – zaprojektowaliśmy wokół niego całe nasze operacje SOC.

• Reguły detekcji zgodne z Kill Chain: Nasze systemy SIEM wykrywają aktywność przypisaną do konkretnych faz. Kradzież poświadczeń jest wyłapywana przez analizę behawioralną, a próby ruchu bocznego uruchamiają alerty segmentacji.
• Threat Intelligence napędza analizę: Nie bronimy się przed “ogólnymi” zagrożeniami. Mapujemy wzorce ataków grup przestępczych, które celują w Twoją branżę, i dostrajamy pod nie nasze systemy.
• Procedury Response dopasowane do faz: Reakcja nie jest szablonowa. Wykrycie wczesnej fazy uruchamia wzmożony monitoring, wykrycie środkowej fazy – natychmiastową izolację. To drastycznie skraca czas reakcji.

„Kiedy wdrażasz widoczność Kill Chain w operacjach SOC, wszystko się zmienia. Nagle Twoje reguły detekcji zyskują kontekst – nie monitorujesz już tylko alertów, ale śledzisz postęp ataku. Przejście od ‘wykryliśmy coś podejrzanego’ do ‘wykryliśmy fazę X ataku’ zmienia sposób myślenia analityków i skraca czas dochodzenia o połowę”.

Tradycyjne modele skupiają się na obronie bram, ale prawdziwe ataki wygrywają dzięki swobodnemu poruszaniu się wewnątrz twierdzy. Unified Kill Chain uwzględnia tę rzeczywistość.

Organizacje, które dostosują operacje SOC do tego modelu i uwzględnią detekcję, reakcję oraz wywiad o zagrożeniach, znacząco zwiększają szanse na przetrwanie. W Euvic to nie teoria. To nasz standard operacyjny.

Chcesz sprawdzić, jak Twoja organizacja wypada w starciu z tym modelem?

Skontaktuj się z nami – ocenimy zabezpieczenia według Unified Kill Chain i wskażemy drogę do pełnej dojrzałości SOC.