Cyber Kill Chain to przedstawiony krok po kroku scenariusz typowego ataku cybernetycznego. Model został opracowany przez giganta zbrojeniowego z USA – koncern Lockheed Martin – jako adaptacja wojskowego modelu F2T2EA. Miał służyć specjalistom ds. cyberbezpieczeństwa w rozwijaniu zabezpieczeń. Pozwala on poznać „anatomię ataku”, spojrzeć na ten proces oczami hakera i w ten sposób zwiększyć skuteczność obrony.

Cyber Kill Chain przeprowadza nas od pierwszej fazy ataku, którą jest rozpoznanie, wybór celu i biały wywiad, aż do ostatecznego przejęcia kontroli nad siecią czy komputerem. Podzielenie całego ataku na fazy ułatwia opracowanie procedur bezpieczeństwa i wybór odpowiednich narzędzi oraz systemów, które mogą odpowiadać za przerwanie jednego z etapów ataku. Wykorzystane w nazwie modelu słowo „łańcuch” jest nieprzypadkowe. Model zakłada, że atak może powieść się wyłącznie w sytuacji, gdy każdy z etapów przebiegnie prawidłowo. Przerwanie jednego z „ogniw” łańcucha zatrzyma atak lub przynajmniej zapobiegnie jego eskalacji.

Mimo że idea Cyber Kill Chain jest bardzo praktyczna, a odpowiednio wdrożona może przynieść bardzo dobre rezultaty, to posiada pewne ograniczenia.

• Po pierwsze: model Cyber Kill Chain daje nam wskazówki dotyczące obrony przed zagrożeniem pochodzącym z zewnątrz, ignorując wewnętrzne źródła ataku (tzw. insider threat).


• Po drugie: model zakłada przeprowadzenie ataku przy użyciu tradycyjnych i dobrze znanych metod (głównie złośliwego oprogramowania), pozostając obojętnym na coraz nowsze i bardziej kreatywne strategie cyberataków.


• Po trzecie: od momentu opracowania modelu Cyber Kill Chain organizacje znacznie zwiększyły obszar możliwego ataku, przenosząc część zasobów do chmury, stosując rozległe sieci IoT czy też praktykując pracę zdalną. W związku z tym „proste” podejście, skupiające się na zabezpieczeniu dostępu do sieci, może być niewystarczające.

Cyber Kill Chain powinien być więc jednym z wielu modeli wdrażanych w organizacji w celu poprawy cyberbezpieczeństwa.

Idea wojskowego modelu zagrożeń Kill Chain doczekała się wielu adaptacji do świata cyberbezpieczeństwa, ale najpopularniejszą z nich jest wspomniana wcześniej adaptacja opracowana przez koncern Lockheed Martin, zakładającą istnienie siedmiu ogniw łańcucha, czyli następujących po sobie etapów:

1. Rozpoznanie – cyberprzestępca starannie dobiera swój cel, próbując wysondować możliwe podatności i luki w zabezpieczeniach.


2. Uzbrojenie – tworzone jest złośliwe oprogramowanie, które odpowiednio przekazane do wnętrza sieci umożliwi przejęcie nad nią kontroli.


3. Dostarczenie – stworzony na tę okazję złośliwy kod jest przekazywany do wnętrza organizacji – na przykład za pomocą wiadomości SPAM lub socjotechniki.


4. Eksploitacja – złośliwy kod wykorzystuje luki w zabezpieczeniach, pozwalając hakerowi przedostać się do sieci.


5. Instalacja – cyberprzestępca tworzy tzw. backdoor, czyli punkt dostępowy w atakowanej sieci, który będzie stanowił „przyczółek” do prowadzenia działań po tym, jak firma upora się z głównymi lukami w zabezpieczeniach.


6. Przejęcie kontroli – atakujący zdobywają dostęp do sieci, eksplorując kolejne jej obszary i zwiększając swoje uprawnienia.


7. Właściwe działanie atakującego – mając kontrolę nad konkretnymi zasobami, atakujący mogą wykradać poufne dane, organizować kolejne ataki na infrastrukturę lub sabotować dotychczasowe działania sieci.

W dziedzinie cyberbezpieczeństwa stosuje się także inne, mniej znane adaptacje klasycznego modelu Cyber Kill Chain. Należy do nich między innymi tzw. Internal Cyber Kill Chain (autorstwa firmy AT&T), zakładający, że zagrożenie pochodzi z wewnątrz organizacji.