Cyber Kill Chain - model analizy cyberataków
Cyber Kill Chain Lockheed Martin - 7 faz ataku cybernetycznego. Jak wykorzystać model do planowania obrony i porównanie z MITRE ATT&CK.
W 2011 roku trzech analityków firmy Lockheed Martin - Eric Hutchins, Michael Cloppert i Rohan Amin - opublikowało pracę, która zmieniła sposób myślenia o cyberbezpieczeństwie. Zamiast reagować na incydenty po fakcie, zaproponowali podejście wyprzedzające: jeśli znamy kolejne kroki atakującego, możemy go zatrzymać na dowolnym etapie. Nazwali swój model Cyber Kill Chain - pożyczając termin z doktryny wojskowej, gdzie “kill chain” oznacza sekwencję zdarzeń prowadzących do neutralizacji celu.
7 faz Cyber Kill Chain
Model dzieli każdy cyberatak na siedem kolejnych faz. Przerwanie łańcucha na dowolnym etapie uniemożliwia realizację celu atakującego.
| Faza | Nazwa | Co robi atakujący | Jak obrońca może przerwać |
|---|---|---|---|
| 1 | Reconnaissance | Zbiera informacje o celu - adresy e-mail, technologie, pracowników | Monitoring OSINT, ograniczanie publicznych informacji |
| 2 | Weaponization | Tworzy narzędzie ataku - exploit + payload (np. zainfekowany dokument) | Analiza threat intelligence, śledzenie kampanii |
| 3 | Delivery | Dostarcza narzędzie do ofiary - phishing, watering hole, USB | Filtrowanie e-mail, sandbox, szkolenia użytkowników |
| 4 | Exploitation | Wykorzystuje podatność do uruchomienia kodu | Patch management, hardening, whitelisting |
| 5 | Installation | Instaluje trwały dostęp (backdoor, implant) | EDR, monitoring procesów, whitelisting aplikacji |
| 6 | Command & Control | Ustanawia kanał komunikacji z infrastrukturą atakującego | Monitoring ruchu wychodzącego, DNS filtering, NDR |
| 7 | Actions on Objectives | Realizuje cel - kradzież danych, szyfrowanie, manipulacja procesem | DLP, segmentacja, monitoring anomalii, backupy |
Zastosowanie w praktyce
Siła modelu polega na prostym wniosku: obrońca nie musi być doskonały na każdym etapie. Wystarczy skutecznie przerwać łańcuch w jednym miejscu. Jeśli phishing przejdzie przez filtr e-mail (faza 3), exploit może zostać zablokowany przez patch (faza 4). Jeśli exploit zadziała, EDR może wykryć instalację backdoora (faza 5).
TIP
Zmapuj swoje istniejące zabezpieczenia na 7 faz Kill Chain. Dla każdej fazy odpowiedz: jakie narzędzie lub proces je pokrywa? Gdzie są luki? Ta prosta analiza często ujawnia, że organizacja ma silną ochronę na granicy sieci (fazy 3-4), ale słaby monitoring wewnętrzny (fazy 5-7).
Przykład: Colonial Pipeline przez pryzmat Kill Chain
W maju 2021 roku atak ransomware na Colonial Pipeline pokazał, jak sekwencyjne podejście Kill Chain pomaga analizować incydenty. Atakujący przeszli przez fazy od rekonesansu po Actions on Objectives - ale kluczowy był moment decyzji operatora: wyłączenie rurociągu nastąpiło nie z powodu kompromitacji systemów OT, lecz z powodu utraty zaufania do integralności systemu MES odpowiedzialnego za rozliczenia przesyłu. Brak segmentacji między systemami biznesowymi IT a operacjami OT uniemożliwił szybką ocenę sytuacji.
| Faza Kill Chain | Co wydarzyło się w Colonial Pipeline |
|---|---|
| Reconnaissance | Atakujący (DarkSide) zidentyfikowali nieaktywne konto VPN |
| Delivery | Wykorzystanie skompromitowanych poświadczeń VPN |
| Exploitation | Logowanie do sieci IT bez MFA |
| Installation | Wdrożenie ransomware w sieci IT |
| Actions on Objectives | Zaszyfrowanie systemów IT - operator wyłączył rurociąg prewencyjnie (niepewność co do MES/billing) |
Ograniczenia modelu
Cyber Kill Chain jest wartościowym narzędziem strategicznym, ale warto znać jego ograniczenia - szczególnie w kontekście zagrożeń, które wyewoluowały od 2011 roku:
- Założenie liniowości - model zakłada sekwencyjny przebieg ataku. W praktyce atakujący mogą pomijać fazy, wracać do wcześniejszych etapów lub realizować kilka faz równolegle
- Insider threats - Kill Chain opisuje atak z zewnątrz. Zagrożenia wewnętrzne (złośliwy lub nieświadomy pracownik) rozpoczynają się od fazy 5-7, pomijając delivery i exploitation
- Ataki na łańcuch dostaw - kompromitacja dostawcy oprogramowania oznacza, że weaponization i delivery są niewidoczne dla organizacji-ofiary
- Środowiska chmurowe - natywne wektory ataku w chmurze (misconfiguration, token theft, privilege escalation przez IAM) nie mapują się czysto na 7 faz
- Agenci AI jako wektor - w 2025 roku odnotowano przypadki wykorzystania agentów AI do autonomicznego przeprowadzania faz rekonesansu, exploitation i lateral movement - co zmienia dynamikę Kill Chain z sekwencji ludzkiej na maszynową
NOTE
Ograniczenia Kill Chain nie oznaczają, że model jest nieużyteczny. W praktyce sprawdza się najlepiej jako strategiczna mapa komunikacji z zarządem i jako punkt wyjścia do bardziej szczegółowej analizy z użyciem MITRE ATT&CK. Kluczowe: “move left of boom” - im wcześniejsza faza, w której przerwiemy łańcuch, tym mniejszy koszt incydentu.
Cyber Kill Chain a MITRE ATT&CK
Cyber Kill Chain był przełomowy w 2011 roku, ale ma ograniczenia, które framework MITRE ATT&CK adresuje:
| Aspekt | Cyber Kill Chain | MITRE ATT&CK |
|---|---|---|
| Poziom szczegółowości | 7 ogólnych faz | 216 technik Enterprise + 475 podtechnik (v18) |
| Elastyczność | Zakłada liniową sekwencję | Atakujący mogą pomijać fazy i wracać |
| Mapowanie narzędzi | Brak | Konkretne grupy APT, malware, narzędzia |
| Detekcja | Ogólne wskazówki | 691 Detection Strategies + 1739 Analytics (od v18) |
| OT/ICS | Nie rozróżnia IT/OT | Dedykowana matryca ICS z 12 taktykami i 83 technikami |
Oba modele nie wykluczają się - uzupełniają. Kill Chain daje strategiczną perspektywę (“na jakim etapie jesteśmy?”), ATT&CK daje taktyczną (“jaką technikę zastosował atakujący i jak ją wykryć?”).
TIP
W raportach z testów penetracyjnych i operacji Red Team stosujemy oba modele: Kill Chain do podsumowania dla zarządu (7 faz, czytelne), ATT&CK do szczegółowej analizy technicznej (konkretne techniki i rekomendacje detekcji).
Jak zacząć - praktyczne kroki
Dla zespołów, które chcą zacząć korzystać z Kill Chain w codziennej pracy, poniżej trzy praktyczne scenariusze:
| Scenariusz | Jak użyć Kill Chain | Następny krok |
|---|---|---|
| Analiza incydentu | Zmapuj zdarzenia na 7 faz - w której fazie wykryto atak? Które fazy przeszły niezauważone? | Uzupełnij analizę o konkretne techniki MITRE ATT&CK |
| Ocena zabezpieczeń | Dla każdej fazy wypisz narzędzia/procesy, które ją pokrywają. Zidentyfikuj fazy bez pokrycia | Zbuduj matrycę pokrycia w ATT&CK Navigator |
| Komunikacja z zarządem | Użyj 7 faz jako struktury raportu - prostsze niż 14 taktyk ATT&CK | Dołącz szczegóły techniczne jako załącznik mapowany na ATT&CK |
WARNING
Kill Chain nie zastępuje analizy ryzyka. Model opisuje “jak” przebiega atak, ale nie odpowiada na pytanie “jakie prawdopodobieństwo, że ten konkretny scenariusz dotyczy naszej organizacji”. Analiza ryzyka - uwzględniająca branżę, region, aktywa i profil zagrożeń - jest niezbędna do ustalenia priorytetów. Warto ją oprzeć na danych z MITRE ATT&CK o grupach APT aktywnych w danym sektorze.
Źródła
- Lockheed Martin - Cyber Kill Chain
- Hutchins, Cloppert, Amin “Intelligence-Driven Computer Network Defense” (2011)
- MITRE ATT&CK v18 (październik 2025)
- CISA Alert AA21-131A - Colonial Pipeline
- The Hacker News - “The Kill Chain Is Obsolete When Your AI Agent Is the Threat” (marzec 2026)
- CSA - Cyber Threat Intelligence: AI-Driven Kill Chain Prediction (2025)