Banner 1 Banner 2
ColunistasNews
Tendência

Prevenção de ataques cibernéticos com o uso da Cyber Kill Chain

Por Andrey Guedes

Foto de Andrey Guedes Andrey Guedes Mande um e-mail 4 horas atrás
0 53 6 minutos de leitura

A Cyber Kill Chain (Cadeia de Ataque Cibernétic)  demonstra uma perspectiva e passos acerca dos métodos para reconhecimento incidentes de segurança envolvendo um ataque cibernético. Esse modelo possibilita que equipes de segurança impeçam ataques durante um determinado estágio e, por conseguinte, venham planejar ações de aprimoramento de segurança da informação, exigindo abordagens estruturadas para defesa (ENISA, 2025)

Com o advento da digitalização acelerada pela pandemia, as ameaças cibernéticas aumentaram drasticamente em tamanho e complexidade. Não obstante a popularização da nuvem, o desenvolvimento de técnicas avançadas de engenharia social, estes são alguns dos perigos cibernéticos atuais que tornaram as defesas de segurança tradicionais insuficientes.

Embora todas as estratégias de segurança devam ser baseadas em uma mentalidade de prevenção em primeiro lugar, esta abordagem por si só não será suficiente. Por sua vez, o monitoramento, adoção do conceito de Zero Trust trazem um novo modelo de prevenção, todavia também procura compreender e responder, caso ocorra um incidente, ações que visem a proteção dos sistemas e redes. 

Independente do método ou sistemas de proteção, um meio de defender os sistemas e a rede das empresas é entender o encadeamento dos ataques, ou seja, o uso da Cyber Kill Chain (MITRE, 2025).

A seguir temos a explicação que auxilia na concepção de projetos de segurança ou mesmo revisão de arquiteturas: 

 

A Cyber Kill Chain (cadeia de ataque cibernético)

 

A expressão “Kill Chain” é um conceito que foi adotado pela primeira vez pelos militares para descrever as ações usadas por um adversário para atacar e destruir um determinado alvo. Em suma, o modelo é relacionado com o tipo de ataque, perspectiva militar, e descreve todos os estágios pelos quais os agressores realizam para alcançar o seu objetivo. O reconhecimento das fases da Kill Chain auxilia a defesa na identificação de intrusos e os procedimentos para detê-los. A regra é: quanto mais cedo se encontra os atacantes (mal-intencionados), mais provável que os neutralize.

Usando este modelo militar originalmente, a Lockheed Martin desenvolveu a Cyber Kill Chain (LOCKHEED MARTIN, 2025). O modelo evoluiu e atualmente é empregado para a prevenção, suporte e análise de ameaças cibernéticas, como: ataques internos, engenharia social, malware sofisticado, APTs (Advanced Persistent Threat – ameaças persistentes e complexas), violações de dados etc (GARTNER, 2025)..

A Cyber Kill Chain possui 7 estágios ou etapas, descritos a seguir: 

 

  1. Reconhecimento (reconnaissance) – os invasores escolhem um alvo e realizam uma análise detalhada, começam a coletar informações (endereços de e-mail, informações de conferências etc.) e avaliam as vulnerabilidades para determinar como explorá-las, segundo a ENISA, mais de 70% dos ataques sofisticados começam com engenharia social e coleta de dados abertos (ENISA, 2025). 

Obs.: neste aspecto a engenharia social e os dados de redes sociais são bem empregadas.

Para obter informações sobre o alvo, a identificação significa principalmente rastrear na rede, por exemplo, sites, conferências, blogs, relações sociais, listas de mala direta e software de rastreamento de rede.  A etapa de reconhecimento é classificada em dois tipos:

  • Reconhecimento passivo: este movimento é obtido através da coleta de informações do alvo sem que se perceba.
  • Reconhecimento ativo: este estágio requer uma análise muito completa do alvo.

 

  1. Armamento (weaponization) – durante essa etapa, os cybers criminosos desenvolvem uma “arma” podendo ser malware que visa explorar as vulnerabilidades descobertas.

Obs.: a “arma” é um instrumento para verificação e validação de vulnerabilidades, por malwares ou qualquer instrumento que possibilite a ação. Pesquisas indicam que malwares modernos utilizam técnicas de ofuscação e inteligência artificial para evitar detecção (KASPERSKY, 2025).

Neste caso, uma ferramenta de acesso remoto (RAT) será usada. O armamento envolve a criação e o desenvolvimento de dois componentes:

  • RAT (Remote Access Tool – ferramenta de acesso remoto) – é um software executado na máquina da vítima e permite ao invasor uma entrada remota, secreta e não observada. A ferramenta fornecer: exploração do sistema, upload ou download de arquivo, execução remota de arquivo, monitor de pressionamento de tecla, captura de tela, webcam ou sistema liga / desliga com privilégios limitados ou de nível de usuário etc.  
  • Explorar (exploit), pode-se ter vários tipos de fontes de infecção, como arquivos do MS Office, PDFs, áudio / vídeo ou páginas da web. Mais vulnerabilidades, como explorações de escalonamento de privilégio, podem ser usadas no destino após ter um RAT instalado para obter privilégios elevados e, em seguida, disseminar o RAT, garantir acesso permanente ou até mesmo quebrar todo o sistema.

 

  1. Entrega (delivery) – após o entendimento de qual “arma” poderá ser empregada, o atacante utiliza diversas táticas para que esta “arma” funcione como uma espécie de armadilha como phishing, drives USB infectados etc. De acordo com a Verizon, mais de 80% das violações envolvem erro humano nesta fase (VERIZON, 2025).

Obs.: neste momento é que a ação humana gera a vulnerabilidade ou mesmo uma brecha sistêmica ou por erro ou por desconhecimento.

Tipos de delivery (entrega): 

  • Email attachments
  • Phishing
  • Drive-by Downloads
  • USB/Removal Media
  • DNS Poisoning

 

  1. Exploração (exploitation) – neste estágio, os invasores conseguiram entregar e começam a aproveitar as vulnerabilidades para a execução de códigos no sistema alvo. A exploração é altamente dependente de falhas de patching, sendo considerada uma das principais causas de incidentes (NIST, 2025).

Obs.: com a execução o ataque se torna ativo dentro do sistema ou rede.

A exploração só funcionará em sistemas desatualizados e provavelmente não será detectado por ferramentas de segurança tradicionais, como antivírus ou firewalls.

Essencialmente, a exploração é o estágio mais crítico dentro da Cyber Kill Chain. Há diversas menções sobre a importância do gerenciamento de patches e de estar em dia com as atualizações de software mais recentes, por obvio para correção de brechas de segurança. 

  1. Instalação (installation) – após a exploração, de fato a “arma” é empregada e instalada no sistema.

Obs.: o atacado não percebe que foi invadido e seu sistema encontra-se comprometido. Conforme destacado pela organização que mantem o MITRE, técnicas de persistência são cada vez mais sofisticadas e difíceis de detectar (MITRE, 2025).

  1. Comando & Controle (command & control) – em um servidor remoto de C&C executa-se o acesso ou mesmo ações no sistema. 

Obs.: o invasor não precisa realizar o comando e controle imediatamente, este possui acesso e executa as ações conforme sua estratégia, por obvio a que tenha menor risco de descoberta. 

 

  1. Ações ativas ao Objetivo (Actions on Objectives) – por fim, os atacantes completam seus objetivos. De acordo com o posicionamento da IBM Security, o ransomware continua sendo o principal objetivo financeiro dos ataques modernos (IBM SECURITY, 2025).

Obs.: a ação remota, de maneira ativa, o atacante realiza o seu objetivo que pode ser: vazamento de dados, espionagem, destruição, criptografia com sequestro, manipulação de dados etc.  

 

A Cyber Kill Chain se complementa com o modelo Zero Trust, que assume que nenhum usuário ou sistema deve ser confiável por padrão. Estudos recentes, empresas que adotam Zero Trust reduzem incidentes em até 50% (FORRESTER, 2025).

 

  • Essa abordagem:
  • Reduz movimentação lateral
  • Limita impacto do ataque
  • Aumenta visibilidade

 

Conclusão

A Cyber Kill Chain permanece como um dos modelos mais relevantes para compreensão e mitigação de ataques cibernéticos. Sua aplicação permite que organizações antecipem ameaças, reduzam impactos e aumentem sua maturidade em segurança. Em um cenário onde ataques são cada vez mais estratégicos, entender o comportamento do adversário se torna imperativo a todas as organizações. 

Por fim, o uso da Cyber Kill Chain é importante para que sejam entendidos os passos para um ataque, assim como que os mecanismos de defesa sejam aprimorados. O caminho para que se tenha um sistema robusto de segurança é baseado em monitoramento (vulneravilidades) ativo interno e externo, sistemas tradicionais de reconhecimento e mitigação, teste de penetração, credenciais controladas de senhas e Zero Trust. 

 

Referências Bibliográficas

 

ENISA. Threat Landscape 2025: Cybersecurity Trends and Threats. Luxembourg: European Union, 2025.

FORRESTER. The State of Zero Trust Security 2025. Cambridge: Forrester Research, 2025.

GARTNER. Top Cybersecurity Trends and Frameworks 2025. Stamford: Gartner Inc., 2025.

IBM SECURITY. Cost of a Data Breach Report 2025. Armonk: IBM Corporation, 2025.

KASPERSKY. Advanced Threat Report 2025. Moscow: Kaspersky Lab, 2025.

LOCKHEED MARTIN. Cyber Kill Chain Framework. Bethesda: Lockheed Martin Corporation, 2025.

MITRE. ATT&CK Framework Updates and Threat Intelligence Report 2025. McLean: MITRE Corporation, 2025.

NIST. Cybersecurity Framework Version 2.0. Gaithersburg: National Institute of Standards and Technology, 2025.

NIST. Guide to Cyber Threat Information Sharing (SP 800-150 Updated). Gaithersburg, 2025.

VERIZON. Data Breach Investigations Report 2025. New York: Verizon, 2025.

Foto de Andrey Guedes Andrey Guedes Mande um e-mail 4 horas atrás
0 53 6 minutos de leitura
Banner 1 Banner 2
Foto de Andrey Guedes

Andrey Guedes

CEO da ESCS / Investidor Anjo / Professor Universitário (+3 Livros Publicados) / Entrepreneur / Board Member / CISO (Especialista em Segurança da Informação e Zero Trust), Coordenador do Comite de LGPD e Segurança da Informação RGB (Rede Governança Brasil). CEO responsável pela ESCS – Esyner Cyber Security, empresa inovadora em tecnologias protetivas contra cyberataques, com participações em Websummit Lisboa e Rio, SecOps Summit, Eventos de Segurança como Defcon Las Vegas, RSA, BlackHat etc. Professor Universitário de Tecnologia e Segurança da Informação graduação, especialização e MBAs. Mestre em Engenharia, com MBA/Especializações em Gestão Empresarial, Projetos, Finanças, Negócios, Inovação e Segurança da Informação. Autor de livros de segurança da informação e Governança de TI. Percursor do 1º serviço de Banda Larga em Redes de TV HFC, idealizador de inovações em Serviços Hitech em Datacenter e ISPs, construtor de serviços Internacionais para atendimento Global para Tecnologias de Transformação Digital e Idealizador de Modelos Inovadores em Segurança da Informação e Conscientização. +20 anos de experiência em Datacenter/Cloud/Multisserviços com foco na Governança, Gestão de Serviços de TI, Sistemas e Projetos no mercado nacional e internacional. Participação em processos de startup e fusão de empresas. Gestão Orçamentária (rentabilidade e redução de custos) e de P&L – Capex e Opex.

Artigos relacionados

PORTO ALEGRE RECEBE EDIÇÃO 2026 DO GLOBAL AZURE E SE CONECTA AO CENÁRIO GLOBAL DE INOVAÇÃO

9 horas atrás

Canva expande atuação em IA e marketing com aquisição da Simtheory e Ortto

10 horas atrás

Meta lança Muse Spark: nova IA promete revolucionar o mercado e competir com ChatGPT

10 horas atrás

Tubi lança app dentro do ChatGPT e revoluciona a descoberta de filmes e séries com IA

10 horas atrás

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Banner 1 Banner 2
Botão Voltar ao topo