spacestrategies Metodi & Framework Analisi applicate → spacepolicies.org

Analisi della catena di morte/percorso di attacco

Descrizione

Scomposizione di un attacco nelle sue fasi sequenziali, dalla ricognizione iniziale fino all’effetto finale sul bersaglio. Il concetto trae origine dalla dottrina militare di individuazione dei bersagli (“kill chain”) ed è stato adattato alla sicurezza informatica dal modello Cyber kill chain di Lockheed Martin (Hutchins, Cloppert, Amin, 2011). L’idea centrale è che ogni attacco segua una progressione strutturata e che l’interruzione di una singola fase possa neutralizzare l’intero attacco. Nel dominio spaziale, l’analisi della kill chain si applica alle operazioni contro lo spazio (ASAT cinetico, guerra elettronica, intrusioni informatiche contro i sistemi satellitari), agli attacchi ibridi che combinano più domini e alla pianificazione difensiva per identificare dove interrompere la sequenza di attacco di un avversario.

Quando utilizzarla

  • Analisi di specifici scenari di attacco contro lo spazio (ingaggio ASAT, compromissione informatica dei satelliti, attacco alle stazioni di terra).
  • Valutazione delle architetture difensive attraverso l’identificazione dei punti di interruzione ottimali nella sequenza di attacco di un avversario.
  • Argomenti con una forte attenzione alle operazioni cibernetiche o militari.
  • Comprensione di come la guerra elettronica, le operazioni cibernetiche e gli effetti cinetici si concatenano nelle operazioni antisatellite.
  • Quando l’analisi deve mostrare i meccanismi passo dopo passo di come si concretizza una minaccia specifica.
  • Supporto allo sviluppo di contromisure difensive in ogni fase di un attacco.

Come applicare

  1. Definire lo scenario di attacco. Specificare l’avversario, l’obiettivo (satellite, stazione di terra, collegamento dati, catena di approvvigionamento), l’effetto desiderato (negazione, degrado, distruzione, sfruttamento) e il contesto operativo (tempo di pace, crisi, conflitto).
  2. Mappare le fasi della catena di uccisione. Scomporre l’attacco in fasi sequenziali. Utilizzare il classico modello a sette fasi adattato al dominio spaziale:
    • Ricognizione: Raccolta di informazioni sui parametri orbitali dell’obiettivo, sulle frequenze, sulle posizioni delle stazioni terrestri, sulle versioni del software e sui fornitori della catena di approvvigionamento.
    • Armelizzazione: Sviluppo o adattamento della capacità di attacco (missile ASAT, payload malware, apparecchiature di disturbo, ispettore/arma co-orbitale).
    • Consegna: Posizionamento dell’arma o dell’exploit per l’impiego (lancio dell’intercettore, iniezione di malware nella pipeline di aggiornamento, dispiegamento del disturbatore).
    • Sfruttamento: Attivazione della vulnerabilità (avvicinamento ravvicinato, intrusione nel collegamento RF, sfruttamento del software, impatto fisico).
    • Installazione: Creazione di un accesso o di un effetto persistente (impianto di backdoor, posizionamento di risorse co-orbitali, degrado dell’orbita).
    • Comando e controllo: Mantenere il controllo sull’attacco (collegamenti C2 all’arma co-orbitale, gestione dell’impianto informatico, coordinamento degli effetti multidominio).
    • Azione sull’obiettivo: Raggiungere l’effetto desiderato (distruzione del satellite, esfiltrazione dei dati, denial of service, segnale politico).
  3. Identificare i requisiti in ogni fase. Per ogni fase, documentare ciò di cui l’aggressore ha bisogno: intelligence, tecnologia, accesso, tempistica, coordinamento, negabilità. Valutare quali requisiti sono facili o difficili da soddisfare.
  4. Valutare le opportunità di rilevamento. In ogni fase, identificare quali elementi osservabili genera l’attacco e se i difensori possono rilevarli: tracciamento della sorveglianza spaziale, monitoraggio RF, rilevamento delle intrusioni informatiche, indicatori di intelligence.
  5. Identificare i punti di interruzione. Per ogni fase, determinare quali azioni difensive potrebbero interrompere la catena: rafforzamento (riduzione delle vulnerabilità), rilevamento (allarme), negazione (prevenzione dell’accesso dell’attaccante), inganno (fornitura di informazioni false), deterrenza (aumento dei costi).
  6. Valutare la robustezza della catena. Valutare la resilienza della catena di attacco: l’avversario dispone di percorsi ridondanti? È in grado di aggirare le fasi interrotte? Quanto è adattabile l’attaccante? Identificare gli anelli più deboli e quelli più forti.
  7. Raccomandare le priorità difensive. Sulla base dell’analisi, raccomandare dove gli investimenti difensivi producono il massimo rendimento, dando priorità all’interruzione nella fase più precoce possibile (prima del lancio/sfruttamento) e costruendo una difesa in profondità su più fasi.

Dimensioni chiave

  • Sequenza delle fasi — La progressione ordinata dalla ricognizione all’effetto, comprese le dipendenze tra le fasi.
  • Requisiti dell’attaccante — Risorse, intelligence, accesso e capacità necessarie in ciascuna fase.
  • Dinamiche temporali — Durata di ciascuna fase, tempistica totale dell’attacco, finestre temporali critiche.
  • Osservabili e firme — Cosa genera l’attacco che potrebbe essere rilevato in ciascuna fase.
  • Leva di interruzione — Quali fasi offrono il massimo vantaggio difensivo se interrotte.
  • Ridondanza e adattamento — Se l’autore dell’attacco dispone di percorsi alternativi o può riprendersi dalle fasi interrotte.
  • Integrazione tra domini — In che modo l’attacco si estende ai domini fisico, informatico, elettronico e dell’informazione.
  • Difficoltà di attribuzione — Quanto è difficile identificare l’autore dell’attacco in ciascuna fase, particolarmente rilevante per le operazioni nella zona grigia.

Risultato atteso

  • Un diagramma o una tabella della kill chain fase per fase per lo specifico scenario di attacco.
  • Per ciascuna fase: azioni dell’autore dell’attacco, requisiti, elementi osservabili e opzioni difensive.
  • Identificazione delle fasi più vulnerabili dal punto di vista del difensore (migliori opportunità di interruzione).
  • Valutazione della robustezza della catena di attacco e delle opzioni di adattamento dell’autore dell’attacco.
  • Raccomandazioni difensive prioritarie con contromisure specifiche per fase.
  • Stima della tempistica per l’intera sequenza di attacco.

Limiti

  • Più utile per scenari di attacco ben definiti e sequenziali; meno applicabile a minacce diffuse, sistemiche o a insorgenza lenta (erosione normativa, manipolazione del mercato, degrado delle norme).
  • Il modello a fasi lineari può semplificare eccessivamente modelli di attacco complessi, iterativi o paralleli: gli avversari reali potrebbero gestire più catene di attacco contemporaneamente o passare da una fase all’altra in modo non sequenziale.
  • Richiede una conoscenza tecnica approfondita sia delle capacità di attacco che del sistema bersaglio; un’applicazione superficiale produce risultati superficiali.
  • Pregiudizio incentrato sul difensore: il quadro presuppone che il difensore possa osservare e agire in ogni fase, il che potrebbe non riflettere la realtà (soprattutto nello spazio, dove la consapevolezza situazionale è limitata).
  • Meno rilevante per l’analisi a livello di politica rispetto alla valutazione operativa o tecnica — dovrebbe essere integrato in quadri strategici più ampi piuttosto che utilizzato in modo autonomo.
  • Il classico modello Lockheed Martin è stato progettato per le intrusioni di rete; l’adattamento al dominio spaziale richiede un’attenta modifica per tenere conto delle dimensioni fisiche, RF e della meccanica orbitale.