Inti utama dari konsep Kill Chain adalah membagi proses serangan menjadi beberapa tahapan yang saling berintegrasi, seperti mata rantai, dan menentukan langkah apa saja yang diambil pada setiap tahapan dalam memutuskan mata rantai tersebut, yang berarti juga menggagalkan serangan.
Konsep Kill Chain ini diaplikasikan pada serangan siber untuk menjelaskan secara high-level bagaimana serangan dilakukan, mulai dari awal sampai obyektif tercapai, hingga dapat dimengerti oleh petinggi perusahaaan. Tujuannya adalah supaya perusahaan bisa mengetahui di tahap mana serangan itu berada dan langkah apa yang bisa diambil pada tahap tersebut untuk mengantisipasi dan mencegah serangan berpindah ke tahap selanjutnya.
Ada tujuh tahapan Cyber Kill Chain yang sangat mudah dimengerti.
- Reconnaissance: Tahap awal dimana si penyerang melakukan survey terhadap korban, mencari informasi, titik rentan serta "pintu masuk" yang tepat.
- Weaponization: Memilih amunisi yang tepat dan sulit dideteksi untuk melakukan serangan.
- Delivery: Serangan atau pancingan mulai dilakukan, mulai dari mengirim pesan/link ataupun menerobos masuk ke network.
- Exploitation: Begitu serangan berhasil memasuki sistem si korban, penyerang melakukan installasi malware pertama ataupun menjalankan script untuk mencari kerentanan yang lain. \
- Installation: Menginstall "senjata" lain yang dibutuhkan agar obyektif tercapai.
- Command and Control: Mendapatkan akses untuk mengendalikan dan juga memonitor sistem korban serta menganalisa lebih detail.
- Action: Melakukan proses utama dalam mendapatkan hasil yang dituju.
Banyak pihak yang menganjurkan untuk menambah tahap kedelapan, yaitu Monetization, yang menjadi akhir/tujuan dari serangan siber itu sendiri. Karena memang mayoritas dari serangan siber adalah untuk mendapatkan keuntungan finansial.
Apakah Cyber Kill Chain masih relevan sekarang?
Seiring perkembangan teknologi, tehnik serangan siber semakin berkembang jauh dibanding tahun 2011, ketika Cyber Kill Chain Framefork diciptakan. Mengakibatkan framework ini mulai tidak relevan dengan kondisi sekarang. Contohnya, Cyber Kill Chain Framework ini lebih memfokuskan serangan dari luar. Sedangkan, serangan dari dalam semakin populer setiap tahunnya.
Lalu, menurut laporan 2018 dari Alert Logic, 90% serangan siber menggabung beberapa tahap menjadi satu. Ini sangat menyulitkan dalam mengidentifikasi langkah pencegahan yang tepat.
Tapi,walaupun sudah banyak ketinggalan, framework ini tetap populer dan dipakai oleh perusahaan sebagai panduan dasar dalam menyusun strategi keamanan siber. Bahkan sudah banyak perusahaan memadukan Cyber Kill Chain dengan framework lain, seperti MITRE ATT&CK dan juga sistem seperti Extended Detection and Response (XDR), paduan yang mumpuni dalam mengamankan sistem sebuah perusahaan dari serangan siber.