Термин · Глоссарий B2B-ПО

Kill Chain (Kill Chain)

Kill Chain (Cyber Kill Chain) – модель Lockheed Martin, описывающая семь последовательных этапов целевой кибератаки: разведка, вооружение, доставка, эксплуатация, установка, командование и контроль (C2), действия на цели. Позволяет обнаружить и прервать атаку на любом этапе.

Буква «K» В категориях: 3 Платформ: 6+

Введение

Cyber Kill Chain – модель, разработанная компанией Lockheed Martin в 2011 году и заимствованная из военной концепции «цепочки поражения». Описывает последовательность из семи этапов, которые атакующий должен пройти для достижения цели. Ключевая идея: прервать цепочку на любом этапе – значит нейтрализовать атаку. Защитник должен обнаруживать атаки как можно раньше, до нанесения ущерба.

История и контекст

Модель опубликована в работе Lockheed Martin «Intelligence-Driven Computer Network Defense» (2011) и стала одной из первых попыток формализовать жизненный цикл APT-атаки. Kill Chain хорошо описывает целевые (targeted) атаки, хотя критики отмечают, что он слабо охватывает инсайдерские угрозы и не учитывает горизонтальное перемещение внутри сети. В ответ появились расширения: Unified Kill Chain (2017, 18 этапов) и более детальный MITRE ATT&CK.

Семь этапов Cyber Kill Chain

  1. Reconnaissance (Разведка) – сбор информации о цели: OSINT, сканирование, анализ публичных данных сотрудников.
  2. Weaponization (Вооружение) – создание вредоносного инструмента: эксплойт + payload (Trojan, Backdoor, Ransomware).
  3. Delivery (Доставка) – доставка оружия жертве: фишинговое письмо, drive-by download, USB-носитель.
  4. Exploitation (Эксплуатация) – использование уязвимости для выполнения кода в системе жертвы.
  5. Installation (Установка) – закрепление в системе: установка backdoor, создание записей в автозапуске.
  6. Command and Control (C2) – установление канала управления с сервером атакующего.
  7. Actions on Objectives (Действия) – достижение цели: кража данных, шифрование, уничтожение, диверсия.

Где применяется

  • SOC-аналитика – маппинг алертов на этапы Kill Chain для понимания стадии атаки и приоритизации реагирования.
  • Red Team – планирование сценариев атаки по последовательности этапов.
  • Разработка правил корреляции SIEM – детекция на каждом этапе.
  • Обучение ИБ-специалистов – базовая модель для понимания жизненного цикла атак.

Преимущества и ограничения

Простота и наглядность; хорошо подходит для описания APT-атак. Ограничения: линейная модель не охватывает многовекторные атаки; не описывает lateral movement внутри сети; не применима к инсайдерским угрозам. Для детального описания TTP рекомендуется использовать совместно с MITRE ATT&CK.

Связь с другими понятиями

Kill Chain предшествует MITRE ATT&CK, который детализирует каждый этап. Используется для анализа Ransomware, фишинга и Supply-chain Attack. Red Team строит сценарии по Kill Chain. Threat Intelligence позволяет идентифицировать, на каком этапе находится атакующий.

Связанные термины

Понятия из глоссария Цифрового маркетплейса, которые часто встречаются вместе с термином «Kill Chain».

Фишинг Фишинг – атака с использованием поддельных электронных писем, SMS или веб-сайтов, имитирующих л... MITRE ATT&CK MITRE ATT&CK – глобально признанная база знаний о тактиках, техниках и процедурах (TTP) реальны... Ransomware Ransomware (программа-вымогатель) – вредоносное ПО, шифрующее файлы или блокирующее доступ к си... Red Team Red Team – команда специалистов по наступательной кибербезопасности, имитирующих реальные атаки... Threat Intelligence Threat Intelligence (разведка угроз) – систематизированные, обработанные и контекстуализированн...

Платформы класса «Kill Chain»

Решения из каталога Цифрового маркетплейса, относящиеся к этому классу ПО. Карточки ведут на полные карточки платформ с тарифами, обзорами и кейсами внедрения.

Онколинк

Онколинк

Разработка ПО
Платформа для управления онкологическими пациентами и координации медицинского обслуживания. Входит в Единый р...
Цена по запросу
Подробнее →
BI.ZONE Compliance Platform - платформа автоматизации управления кибербезопасностью и соответствия требованиям...
Цена по запросу
Подробнее →
Гарда Монитор

Гарда Монитор

Информационная безопасность
Программно-аппаратный комплекс класса сетевой форензики (NTA/NDR) для мониторинга, записи и ретроспективного а...
Цена по запросу
Подробнее →
GD

Guardant DL

Информационная безопасность
Guardant DL — программный ключ для лицензирования и защиты от копирования программного обеспечения, распростра...
Цена по запросу
★ 4.2
Подробнее →
Avanpost FAM

Avanpost FAM

Информационная безопасность
Система единой аутентификации сотрудников в корпоративных ресурсах организации. Обеспечивает прозрачную и мног...
Цена по запросу
★ 4.0
Подробнее →

Категории каталога

Разделы каталога Цифрового маркетплейса, в которые входят решения, использующие «Kill Chain».

Информационная безопасность SOC и мониторинг SIEM платформы

Где применяется

Отрасли, в которых «Kill Chain» используется на практике. Откройте отраслевой раздел Цифрового маркетплейса, чтобы увидеть подходящие решения, кейсы и новости.

Информационная безопасность и кибербезопасность
Государственное управление и госуслуги
Банки и страховые компании
Энергетика и ЖКХ
Связь и телеком

Частые вопросы про Kill Chain

Зачем нужна модель Kill Chain?

Помогает понять, что атаку можно остановить на любом из 7 этапов. Даёт аналитикам SOC язык для описания стадии атаки и выбора адекватных контрмер.

На каком этапе Kill Chain чаще всего останавливают атаки?

Чаще всего на этапе Delivery (блокировка фишинговых писем) и C2 (блокировка коммуникации с C2-сервером через NGFW и DNS-фильтрацию). Ранняя остановка – на Reconnaissance.

Чем Kill Chain отличается от MITRE ATT&CK?

Kill Chain – 7-этапная линейная модель высокого уровня. ATT&CK – детальная база из 200+ техник в 14 тактиках. Kill Chain даёт структуру атаки; ATT&CK описывает конкретные методы реализации каждого этапа.

Применим ли Kill Chain к ransomware-атакам?

Да: фишинг (Delivery) → уязвимость (Exploitation) → закрепление (Installation) → lateral movement (ATT&CK) → уничтожение бэкапов (Actions) → шифрование (Actions). Kill Chain показывает, где можно прервать цепочку.

Что такое Unified Kill Chain?

Расширенная 18-фазная модель (2017), объединяющая Kill Chain, MITRE ATT&CK и другие фреймворки. Добавляет фазы внутри сети (lateral movement, pivoting) и фазы после атаки.
ПРОДУКТ МЕСЯЦА
Контур Налоговый мониторинг
ИЮН 2026

Сервис для проактивного контроля налоговых рисков. Мониторинг поставщиков, отслеживание изменений в реестрах…

Открыть продукт
КЕЙС КВАРТАЛА
Искусственный интеллект в медицине
Министерство здравоохранения Чеченской Республики · Q2 2026

внедрение системы распознавания патологий на медицинских изображениях с помощью алгоритма глубинного обучения…

Открыть кейс
ГЛАВНОЕ
Контур Маркет + ОФД — интегрированная платформа для розничной торговли
ИЮН 2026

Свежая новость рынка

Читать новость