Wprowadzenie
Cyber Kill Chain to model opracowany w 2011 roku przez firmę Lockheed Martin, opisujący typowy cykl życia zaawansowanego cyberataku (szczególnie APT – Advanced Persistent Threat). Model pomaga organizacjom zrozumieć, na jakim etapie znajduje się atak i jak go przerwać.
7 faz Cyber Kill Chain
- 1. Reconnaissance (Rozpoznanie)
Zbieranie informacji o celu (OSINT, skanowanie, social engineering). - 2. Weaponization (Przygotowanie broni)
Tworzenie złośliwego oprogramowania (np. exploit + payload). - 3. Delivery (Dostarczenie)
Przekazanie malware do ofiary (phishing, załącznik, link, pendrive). - 4. Exploitation (Wykorzystanie luki)
Uruchomienie exploitu na systemie ofiary. - 5. Installation (Instalacja)
Instalacja backdoora lub malware na zainfekowanym systemie. - 6. Command and Control (C2)
Nawiązanie komunikacji z serwerem atakującego. - 7. Actions on Objectives (Realizacja celów)
Kradzież danych, szantaż, zniszczenie, lateral movement, exfiltration.
Zalety modelu
- Prosty i intuicyjny do zrozumienia przez zarząd i zespoły IT
- Pomaga w mapowaniu kontroli bezpieczeństwa na konkretne fazy ataku
- Przydatny w planowaniu Red Team / Blue Team exercises
- Podstawa wielu frameworków (MITRE ATT&CK jest jego rozwinięciem)
Ograniczenia
- Liniowy model – rzeczywiste ataki często są nieliniowe
- Słabo radzi sobie z atakami „living off the land” i fileless malware
- Nie obejmuje ataków insiderów i supply chain
Powiązane pojęcia
MITRE ATT&CK • Diamond Model • APT • C2 Server • Red Team • Blue Team • Threat Intelligence • Defense in Depth
Dodano: 16 maja 2026