Модель «убивчий кіберланцюг» складається з семи різних етапів, більшість яких залишає можливість заблокувати вторгнення або атаку до їхнього початку. Перший етап – це стеження. Компанія Lockheed відстежує ключові слова у пошукових запитах різних пошукових систем, які виводять користувачів на сайт компанії. Для вдалої фішинґової атаки хакери вишукають у прес-релізах і на веб-сторінках компанії імена співробітників. Потому вони визначають, якими програмами користуються менеджери, що працюють над конкретними державними замовленнями. Вони слідкують за публічними виступами керівників, щоб створити достовірний електронний лист із посиланням на якийсь запланований захід. Компанія попереджає своїх співробітників, які можуть стати потенційними жертвами атаки, про особливу пильність, з якою треба відкривати вкладення в електронних листах, і про небезпеку натискання на лінки.
На другому етапі, який в Lockheed називають «озброєння», аналітики шукають очевидні кримінальні докази присутності шкідливого ПЗ: наприклад, заражений pdf-документ, прикріплений до електронного листа. У Lockheed ведуть базу даних усіх заражених pdf-файлів, що будь-коли потрапляли на очі аналітикам компанії, і ця інформація використовується у програмі автоматичного сканування всіх електронних листів, отриманих співробітниками компанії, і відправки у карантин листів, які можуть бути заражені шкідливим ПЗ.
«Убивчий ланцюг» містить такі етапи: «доставка» (надсилання шкідливої програми через електронну пошту або інфікований USB-носій); «експлойт», під час якого аналітики приділяють пильну увагу пошукові вразливості нульового дня (Гатчінз каже, що вони виявили принаймні три експлойти, направлені на вразливості у продуктах компанії Adobe); «установка» на комп’ютер; «управління і контроль» комунікацій із вузловим комп’ютером і, нарешті, «відпрацьовування об’єкта» (викрадання файлів, видалення даних або знищення елементів фізичного устаткування). На останньому етапі хакер представляє максимальну загрозу. Якщо аналітики Lockheed зауважують таку активність, вони миттєво повідомляють керівництво компанії, яку атакують. Хакери, виявлені на ранніх етапах «ланцюга», скажімо, на третьому етапі, несуть менше загрози, бо їм потрібно пройти ще кілька кроків, перш ніж вони зможуть заподіяти шкоду. Якщо аналітики виявили, що хакер намагається заразити комп’ютери за допомогою зовнішніх носіїв, компанія може запрограмувати свої системи так, щоб заборонити виконання комп’ютерних програм з будь-яких USB-носіїв. Що раніше Lockheed або інша компанія, яка використовує модуль «убивчого ланцюга», інсталює захист, то в більшій безпеці опиниться.
За допомогою цієї моделі Lockheed могла завчасно попереджати своїх клієнтів про потенційні вторгнення, за словами віце-президента з питань кібербезпеки, генерала у відставці Чарлі Крума. Компанія не називає замовників, тому це твердження перевірити неможливо. Але концепція здається логічною. Однак чимало експертів з кібербезпеки, серед яких і ті, що працюють на конкурентів Lockheed, говорять, що ця оприлюднена 2011 року концепція почала новий етап в еволюції кіберзахисту. «Убивчий ланцюг» розбивав процес вторгнення на окремі дії та етапи, кожен з яких дозволяв заблокувати противників. А захисники мереж могли ефективніше керувати ресурсами, позаяк їм не доводилося реагувати на кожне попередження як на екстрену ситуацію. Це була концептуальна схема, яка дозволяла збудувати лінії захисту на значній віддалі від об’єкта атаки й заблокувати нападників, поки вони не підійшли впритул.
Ця концепція була важлива ще з однієї причини: її розробила корпорація, а не державне агентство. Гатчінз, який у 34 роки обійняв посаду головного інформаційного аналітика Lockheed, ніколи не працював на державу й ніколи не служив у збройних силах. Фактично він навіть не працював на жодну іншу компанію, крім Lockheed, в яку прийшов 2002 року, щойно отримавши освіту в сфері комп’ютерних наук у Вірґінському університеті. У Lockheed працює багато колишніх держслужбовців і армійських офіцерів – серед них і Крум, який до 2008 року очолював Агентство захисту інформаційних систем. Проте компанія Lockheed розробила модель «убивчого кіберланцюга» задля власного захисту, не сподіваючись на допомогу АНБ або якогось іншого агентства. А згодом компанія перетворила свої знання на бізнес.