La Cyber Kill Chain e uno dei framework piu influenti della sicurezza difensiva perche reinterpreta un attacco non come un evento singolo, ma come un processo con anelli che si possono spezzare. Creata da Lockheed Martin, descrive un'intrusione in sette fasi sequenziali, e la sua idea centrale e che l'attaccante deve completare ogni fase per vincere. Il difensore ne deve spezzare solo una. Questa asimmetria, finalmente a favore del difensore, e il motivo per cui il modello ha plasmato la strategia di rilevamento, la threat intelligence e la risposta agli incidenti per oltre un decennio.
Le sette fasi
Il modello percorre un attacco dall'esterno verso l'interno:
Prima il difensore rileva l'attivita, piu la risposta e economica e sicura. Fermare un'email di phishing alla consegna non costa quasi nulla; fermare l'attaccante alle azioni sull'obiettivo significa che la violazione e gia avvenuta.
Kill Chain a confronto con MITRE ATT&CK
La kill chain e volutamente semplice, e questo e al tempo stesso la sua forza e il suo limite. Ti dice in quale fase si trova un attacco, ma non come si comporta l'attaccante dentro quella fase. E qui che entra in gioco MITRE ATT&CK. Dove la kill chain e una sequenza lineare di fasi, MITRE ATT&CK e una matrice di tattiche e tecniche concrete tratte dal comportamento reale osservato degli avversari.
Un flusso di lavoro pratico usa entrambi: la kill chain per raccontare alla dirigenza la storia generale di un'intrusione, e la matrice ATT&CK per legare ogni passo a tecniche precise, cosi che il team di rilevamento sappia esattamente cosa cacciare. Sono complementari, non rivali.
Perche il modello e sotto pressione
La kill chain originale presuppone un'intrusione abbastanza lineare e a ritmo umano. Gli attacchi moderni raramente si comportano in modo cosi ordinato. Gli attaccanti piu pericolosi potenziati dall'IA ora concatenano intere kill chain in modo autonomo, eseguendo ricognizione, sfruttamento e movimento laterale in cicli serratissimi e con poco intervento umano, come documentiamo nella nostra analisi su come gli hacker usano l'IA. Quando una sola macchina comprime giorni di lavoro manuale in pochi minuti, la comoda economia dello "spezzare un anello" inizia a erodersi.
La lezione resta valida anche mentre la minaccia evolve: ogni attacco e una catena di passi dipendenti l'uno dall'altro, e la sicurezza e la disciplina di trovare l'anello piu debole e spezzarlo per primo. Padroneggia la kill chain, sovrapponici MITRE ATT&CK, e avrai un linguaggio comune per descrivere, rilevare e sconfiggere le intrusioni prima che raggiungano il loro scopo.
Come insegniamo Cyber Kill Chain (catena d'attacco)
Nel nostro Cybersecurity Bootcamp, non imparerai solo la teoria su Cyber Kill Chain (catena d'attacco). Praticherai con strumenti reali in laboratori pratici, guidato da professionisti del settore che usano questi concetti quotidianamente.
Trattato in:
Modulo 8: Operazioni di Sicurezza Avanzate
360+ ore di formazione esperta • CompTIA Security+ incluso