Cyber kill chain

Il Cyber kill chain è un modello definito dalla Lockheed Martin^[1], per l'identificazione e la prevenzione delle attività di intrusione informatica attraverso l'implementazione di protocolli di sicurezza pro-attivi. Tale modello è a sua volta ispirato al kill chain^[2], un modello militare che identifica le fasi di un attacco in:

identificazione e posizione del bersaglio;
acquisizione informazioni sul bersaglio (inclusa l'elencazione delle sue risorse);
invio e dispiegamento delle truppe (con conseguenti regole di ingaggio) contro il bersaglio;
inizio dell'attacco contro il bersaglio.

Il metodo di difesa o di azione preventiva contro una kill chain di un attaccante viene definito breaking.^[3]

Le fasi della cyber kill chain

Ricognizione

Acquisizione di informazioni sul bersaglio dell'attaccante^[4].

Armamento

L'attaccante valuta le falle di sicurezza del bersaglio ed i vettori di attacco^[5].

Distribuzione

Distribuzione dei vettori d'attacco che possono essere hardware (usb, cd, dvd, ecc.) o software^[6].

Sfruttamento

Rilevata la falla di sicurezza (zero day o nota^[7]) viene sfruttata (exploit in inglese) dall'attaccante.

Installazione

Ottenuto l'accesso al sistema del bersaglio attraverso l'intrusione abusiva^[8] l'attaccante lo può manomettere (tampering in inglese) attraverso codice malevolo.

Comando e controllo

L'attaccante gestisce l'attacco da remoto, avendo ormai il controllo delle macchine del bersaglio, ed implementa attacchi di basso profilo (ad esempio Denial of Service) per depistare (red herring^[9]) e celare il suo vero movente a discapito del bersaglio (target).

Azioni sugli obiettivi

L'attaccante implementa l'attacco chiave o finale per ottenere il risultato (fraudolento) sperato sul bersaglio^[10].

L'ottava fase

Monetizzazione

In riferimento ad altri modelli (come il triangolo della truffa - giustificazione, movente, opportunità^[11]), gli esperti del settore hanno aggiunto un'ottava fase al modello della Lockheed Martin, che rappresenta l'ingiusto profitto^[12] dell'attaccante (materiale o non materiale)^[13].

Note

^ (EN) Cyber Kill Chain®, su Lockheed Martin. URL consultato il 7 aprile 2025.
^ Kill Chain Approach | Chief of Naval Operations, su web.archive.org, 13 giugno 2013. URL consultato il 7 aprile 2025 (archiviato dall'url originale il 13 giugno 2013).
^ Secureworks ® (NASDAQ: SCWX), Steps of a Cyberattack and Keys to Breaking the Kill Chain (PDF), su secureworks.com, p. 6. URL consultato l'8 aprile 2025.
^ Furto di dati a ePrice, le informazioni in vendita sul dark web: che sta succedendo e che cosa fare, su la Repubblica, 30 marzo 2025. URL consultato l'8 aprile 2025.
^ Nmap: the Network Mapper - Free Security Scanner, su nmap.org. URL consultato l'8 aprile 2025.
^ Qual è la differenza tra virus, worm e Trojan? | FAQ DigiCert, su www.digicert.com. URL consultato l'8 aprile 2025.
^ www.cve.org, https://www.cve.org/ Titolo mancante per url url (aiuto). URL consultato l'8 aprile 2025.
^ Art. 615 ter codice penale - Accesso abusivo ad un sistema informatico o telematico, su Brocardi.it. URL consultato l'8 aprile 2025.
^ red herring - Dizionario inglese-italiano WordReference, su www.wordreference.com. URL consultato l'8 aprile 2025.
^ Movies Featuring the Nmap Security Scanner, su nmap.org. URL consultato l'8 aprile 2025.
^ Il triangolo delle frodi – Associazione Studi Internal Auditing, su asiavr.it, 9 ottobre 2018. URL consultato l'8 aprile 2025.
^ Art. 640 codice penale - Truffa, su Brocardi.it. URL consultato l'8 aprile 2025.
^ (EN) What Is the Cyber Kill Chain? | Microsoft Security, su www.microsoft.com. URL consultato l'8 aprile 2025.

Portale Informatica: accedi alle voci di Wikipedia che trattano di informatica

[1] (EN) Cyber Kill Chain®, su Lockheed Martin. URL consultato il 7 aprile 2025.

[2] Kill Chain Approach | Chief of Naval Operations, su web.archive.org, 13 giugno 2013. URL consultato il 7 aprile 2025 (archiviato dall'url originale il 13 giugno 2013).

[3] Secureworks ® (NASDAQ: SCWX), Steps of a Cyberattack and Keys to Breaking the Kill Chain (PDF), su secureworks.com, p. 6. URL consultato l'8 aprile 2025.

[4] Furto di dati a ePrice, le informazioni in vendita sul dark web: che sta succedendo e che cosa fare, su la Repubblica, 30 marzo 2025. URL consultato l'8 aprile 2025.

[5] Nmap: the Network Mapper - Free Security Scanner, su nmap.org. URL consultato l'8 aprile 2025.

[6] Qual è la differenza tra virus, worm e Trojan? | FAQ DigiCert, su www.digicert.com. URL consultato l'8 aprile 2025.

[7] www.cve.org, https://www.cve.org/ Titolo mancante per url url (aiuto). URL consultato l'8 aprile 2025.

[8] Art. 615 ter codice penale - Accesso abusivo ad un sistema informatico o telematico, su Brocardi.it. URL consultato l'8 aprile 2025.

[9] red herring - Dizionario inglese-italiano WordReference, su www.wordreference.com. URL consultato l'8 aprile 2025.

[10] Movies Featuring the Nmap Security Scanner, su nmap.org. URL consultato l'8 aprile 2025.

[11] Il triangolo delle frodi – Associazione Studi Internal Auditing, su asiavr.it, 9 ottobre 2018. URL consultato l'8 aprile 2025.

[12] Art. 640 codice penale - Truffa, su Brocardi.it. URL consultato l'8 aprile 2025.

[13] (EN) What Is the Cyber Kill Chain? | Microsoft Security, su www.microsoft.com. URL consultato l'8 aprile 2025.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]