Die Angriffsfläche eines Unternehmens umfasst sämtliche Cybersicherheitsrisiken, denen es ausgesetzt sein kann. Um Bedrohungen besser zu antizipieren, wurde 2011 die Kill Chain entwickelt.
Dabei handelt es sich um ein Modell zur Darstellung von Cyberangriffen, das auf einem militärischen Konzept basiert. Die Kill Chain hilft, Cyberangriffe besser zu verstehen und Gegenmaßnahmen zu ergreifen. Doch wie funktioniert die Kill Chain? Und welche Bedeutung hat sie für die Cybersicherheit?
Was ist die Kill Chain?
2011 entwickelte Lockheed Martin, ein US-amerikanisches Unternehmen, das auf Luft- und Raumfahrt sowie Verteidigung spezialisiert ist, ein White Paper, das die Kill Chain beschreibt. Dieses Modell teilt Cyberangriffe in sieben aufeinanderfolgende Phasen auf und wurde ursprünglich entwickelt, um Angriffe mit „Advanced Persistent Threats“ (APTs) abzuwehren. Die Idee dahinter: Ein Cyberangriff muss alle sieben Phasen durchlaufen, um erfolgreich zu sein. Wird ein Glied in der Kette unterbrochen, scheitert der Angriff.
Die sieben Phasen der Kill Chain sind:
- Aufklärung: Angreifer sammeln Informationen über das Ziel, um Schwachstellen zu identifizieren, die sie ausnutzen könnten. Dies kann über soziale Netzwerke, IP-Adressen sowie Domain- und Subdomain-Scans oder andere Methoden erfolgen.
- Bewaffnung: Die Angreifer bereiten ihre Tools, insbesondere Malware, für den Angriff vor.
- Lieferung: Das schädliche Tool wird zum Ziel gebracht, beispielsweise durch Phishing-E-Mails oder infizierte USB-Sticks.
- Nutzung: Der Schadcode wird aktiviert, um die technische Schwachstelle auszunutzen und die Kontrolle über das System zu erlangen.
- Installation: Angreifer installieren eine Backdoor, um sich langfristig im System einzurichten.
- Steuerung und Kontrolle: Ein Kommunikationskanal zwischen dem infizierten System und einem externen Steuerungsserver wird eingerichtet.
- Aktionen mit Auswirkungen auf das Ziel: Der Angriff wird ausgeführt, oft durch Datenextraktion, Verschlüsselung oder laterale Ausbreitung im Netzwerk.
Einige Kill-Chain-Modelle beinhalten noch einen achten Schritt: die Monetarisierung. Dabei versuchen Cyberkriminelle, Geld zu erwirtschaften, entweder mithilfe von zuvor eingesetzter Ransomware oder durch den Weiterverkauf gestohlener Daten.
Weiterentwicklung der Kill Chain
Das ursprüngliche Modell der Kill Chain stößt an seine Grenzen bei moderneren Angriffen, die dynamischer sind und nicht zwingenderweise alle Phasen durchlaufen, um erfolgreich durchgeführt zu werden. Im Rahmen der Professionalisierung von kriminellen Gruppierungen machen sich beispielsweise Angreifer Erstzugänge zu kompromittierten Netzwerken zunutze, die andere cyberkriminelle Gruppierungen anbieten, und gehen anschließend direkt zur dritten Phase der Kill Chain über. Solche Besonderheiten erfordern eine Weiterentwicklung des traditionellen Kill-Chain-Modells.
Ein Beispiel ist das MITRE-ATT&CK-Framework, das detaillierte Einblicke in die Taktiken und Techniken von Cyberkriminellen gewährt. Im Gegensatz zur Kill Chain, die sieben Schritte berücksichtigt, umfasst MITRE ATT&CK vierzehn Phasen und bietet eine detailliertere Analyse von Angriffen. Als dynamisches Modell eignet sich das Framework besser für Organisationen, die eine granulare Sicherheitsbewertung vornehmen und ihre Cybersicherheitshaltung proaktiv verbessern möchten.
Auch SOC- und CSIRT-Teams greifen auf diesen Standard zurück, um zu verstehen, mit welchen Cyberangriffen sie konfrontiert werden und wie sie effektiv darauf reagieren können. Deshalb ist es für SOC-Betreiber und Lösungsanbieter wichtig, dass sie die verschiedenen ausgegebenen Alarmprotokolle unkompliziert mit einem Element aus dem MITRE-ATT&CK-Repository verknüpfen und so effizientere Erstreaktionen herbeiführen können.
Als Ergebnis einer Verschmelzung beider Ansätze wurde die sogenannte „Unified Kill Chain“ mithilfe eines hybriden Forschungsansatzes entwickelt, das Angriffe in 18 Schritte aufteilt, die in drei Phasen unterteilt sind: „In“, „Through“ und „Out“. Auch die „Online Operations Kill Chain“ erweitert das klassische Modell um böswillige Online-Verhaltensweisen wie Spionage oder Desinformation, Betrug und mehr. Dieser neue Standard umfasst zehn Schritte, die Aktivitäten wie die Beschaffung von Assets und deren Tarnung, das Sammeln von Informationen, die Koordination oder das Testen von Verteidigungsmaßnahmen abdecken.
Spezifische Frameworks wie die „Cyber Fraud Kill Chain“ richten sich hingegen an bestimmte Branchen wie Finanzinstitute und bieten angepasste Lösungen für Cyberangriffe in diesem Bereich.
Die Bedeutung der Kill Chain für die Cybersicherheit
Vor dem Hintergrund all dieser alternativen Frameworks ist die Kill Chain mehr denn je ein unverzichtbares Instrument, um die Cybersicherheit von Unternehmen und Organisationen zu gewährleisten – ein Instrument, auf das auch Cyber-Threat-Intelligence-Teams sowohl zur Untersuchung und zum Verständnis von Cyberbedrohungen als auch zur kontinuierlichen Verbesserung des Schutzes von Cybersicherheitslösungen zurückgreifen.
Durch die frühzeitige Erkennung eines Eindringversuchs und die Implementierung einer Strategie zum Schutz von Endgeräten können Cyberangriffe eingedämmt werden, bevor sie ihre Endphase erreichen. Unternehmen können ihre Sicherheitsstrategie verbessern, indem sie Lösungen wie Endpoint Detection & Response (EDR) oder eXtended Detection & Response (XDR) implementieren. Diese Technologien überwachen Netzwerke, Endgeräte und Datenflüsse und erkennen Bedrohungen in verschiedenen Phasen der Kill Chain.
Darüber hinaus bieten moderne Firewalls, ergo Lösungen zur Erkennung von Eindringversuchen und Netzwerkschutzmechanismen, einen zusätzlichen Schutz. Ob durch die Erkennung und das Verhindern der Ausnutzung von Schwachstellen, die Web-Sicherheit mittels URL-Filterung sowie die IP- und Domain-Filterung oder Netzwerksegmentierung: Netzwerksicherheitslösungen bieten Ihnen Schutz, Kontrolle und Leistung in den verschiedenen Schritten des Kill-Chain-Modells.
Obwohl die Kill Chain ursprünglich für IT-Umgebungen entwickelt wurde, kann sie auch in industriellen Umgebungen (OT) angewendet werden. Die sieben Schritte bleiben gleich, lediglich die Aufklärungskriterien und das Angriffsziel unterscheiden sich.
Fazit
Die Kill Chain ist ein wertvolles Modell, um Cyberangriffe zu analysieren und die Cyberresilienz zu stärken. Durch die Implementierung geeigneter Sicherheitslösungen und die frühzeitige Erkennung von Bedrohungen können Unternehmen Angriffe abwehren, bevor sie Schaden anrichten. Neue Modelle wie MITRE ATT&CK oder die Unified Kill Chain ergänzen die klassische Kill Chain und bieten einen noch detaillierteren Einblick in das Verhalten von Cyberkriminellen.
(cm/Stormshield)
it-sa Expo&Congress Besuchen Sie uns in Halle 7-409 bei Sysob und in Halle 6-336 bei Allnet |