Kette töten

Die Kill Chain der Cybersicherheit ist ein konzeptioneller Rahmen für die Erkennung und Verhinderung von Cyberangriffen. Sie hat ihren Ursprung in der Militärstrategie, wo der Begriff "Kill Chain" zur Beschreibung von Phasen im Lebenszyklus eines Angriffs verwendet wurde. Lockheed Martin, ein amerikanisches Unternehmen für Luft- und Raumfahrt, Verteidigung und fortschrittliche Technologien mit weltweiten Interessen, adaptierte dieses Konzept für den Bereich der Cybersicherheit. Sie führten den Rahmen ein, um Cyberangriffe systematisch zu identifizieren und in verschiedenen Phasen zu bekämpfen.

Die Weiterentwicklung dieses Konzepts führte zur Entwicklung der Unified Kill Chain, die die traditionelle Kill Chain mit dem Rahmenwerk MITRE ATT&CK verbindet. Diese Integration ermöglicht ein umfassenderes und differenzierteres Verständnis von Angriffstechniken, -taktiken und -verfahren (TTPs) und verbessert die Fähigkeit von Organisationen, Cyberbedrohungen zu erkennen, zu analysieren und zu entschärfen.

Die Lockheed Martin Kill Chain

Das Lockheed Martin Cyber Kill Chain-Modell gliedert den Prozess des Cyberangriffs in sieben verschiedene Phasen und bietet einen systematischen Rahmen für Cybersicherheitsexperten, um Cyberbedrohungen zu erkennen, zu verhindern und zu bekämpfen:

Aufklärungsarbeit

In dieser ersten Phase sammelt der Angreifer Informationen über das Ziel. Dies kann das Aufspüren von Schwachstellen in Systemen, das Aufspüren wertvoller Daten und das Erkennen von Sicherheitsvorkehrungen umfassen. Angreifer können Techniken wie Social Engineering, die Suche nach öffentlichen Informationen und Netzwerk-Scans einsetzen.

Bewaffnung

In dieser Phase erstellt der Angreifer ein Cyberangriffstool, das auf die Ausnutzung der ermittelten Schwachstellen zugeschnitten ist. Dabei wird häufig ein Fernzugriff malware mit einem Exploit zu einer übertragbaren Nutzlast kombiniert. Damit soll sichergestellt werden, dass diese Nutzlast unentdeckt in das Zielnetz eindringen und dort ausgeführt werden kann.

Lieferung

In der Übermittlungsphase überträgt der Angreifer die waffenfähige Nutzlast an das Ziel. Zu den üblichen Übertragungsmethoden gehören phishing E-Mails, bösartige Websites oder USB-Geräte. Ziel ist es, die Zielperson dazu zu bringen, die Nutzlast auszulösen, indem sie entweder eine Datei öffnet, eine kompromittierte Website besucht oder ein kontaminiertes Gerät anschließt.

Ausbeutung

In dieser Phase wird die Nutzlast aktiviert und nutzt eine Schwachstelle im Zielsystem aus. Die Ausnutzung ist der kritische Punkt, an dem der Angreifer Zugang zum Netzwerk oder System des Ziels erhält.

Einrichtung

Nach erfolgreicher Ausnutzung installiert der Angreifer ein Fernzugriffstool oder eine Backdoor. Dies ermöglicht dem Angreifer einen dauerhaften Zugriff auf das Zielnetzwerk, der von herkömmlichen Abwehrmechanismen oft unentdeckt bleibt.

Command and Control (C2)

Sobald die Backdoor eingerichtet ist, richtet der Angreifer einen Befehls- und Kontrollkanal ein, um die kompromittierten Systeme aus der Ferne zu manipulieren und Daten zu exfiltrieren. Diese Phase ist entscheidend, um die Kontrolle über die Zielsysteme zu behalten und weitere Aktionen zu planen.

Maßnahmen zur Erreichung der Ziele

In der letzten Phase erreicht der Angreifer sein Hauptziel. Dies kann von der Datenexfiltration und -zerstörung bis hin zum Aufbau einer langfristigen Präsenz in der Umgebung des Ziels für künftige Kampagnen reichen.

Indem sie diese Phasen verstehen und überwachen, können SOC-Teams gezielte Strategien und Abwehrmaßnahmen auf jeder Stufe der Angriffskette implementieren. So können beispielsweise robuste Systeme zur Erkennung von Eindringlingen und umfassende Mitarbeiterschulungen Versuche in der Einschleusungsphase vereiteln, während die Netzwerksegmentierung und regelmäßige Systemaktualisierungen die Risiken der Ausnutzung und Installation mindern können. Dieser strukturierte Ansatz ermöglicht eine proaktivere und wirksamere Verteidigung gegen komplexe und sich weiterentwickelnde Cyber-Bedrohungen.

Die einheitliche Tötungskette

Die Unified Kill Chain ist ein fortschrittlicher Rahmen, der vom Sicherheitsexperten Paul Pols entwickelt wurde und die Konzepte der Lockheed Martin Cyber Kill Chain mit dem MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) integriert.

Diese Integration zielt darauf ab, eine umfassendere und detailliertere Perspektive auf die von Cyber-Gegnern verwendeten Taktiken, Techniken und Verfahren (TTPs) zu bieten.

Im Folgenden finden Sie einen Überblick darüber, wie die Unified Kill Chain das traditionelle Modell erweitert:

Einbindung des ATT&CK-Rahmens

Das MITRE ATT&CK Framework ist eine weltweit zugängliche Wissensdatenbank über die TTPs von Angreifern, die auf Beobachtungen aus der Praxis beruht. Sie kategorisiert und detailliert eine breite Palette spezifischer Taktiken und Techniken, die bei Cyberangriffen eingesetzt werden. Durch die Integration mit dem Lockheed-Martin-Modell bietet die Unified Kill Chain einen detaillierteren Überblick über das Verhalten des Angreifers in jeder Phase.

Verbesserte Details und Kontexte

Die Unified Kill Chain bietet tiefere Einblicke in jede Phase eines Angriffs, indem spezifische Techniken aus dem ATT&CK-Framework mit jeder Phase der traditionellen Kill Chain verknüpft werden. Dies ermöglicht ein detaillierteres Verständnis dafür, wie sich bestimmte Angriffsmethoden während des gesamten Angriffszyklus entwickeln.

Verbesserte Erkennung und Reaktion

Mit den detaillierten TTPs aus dem ATT&CK-Rahmen können Cybersicherheitsteams präzisere Erkennungsstrategien und Reaktionen entwickeln. Dazu gehören die Erstellung spezifischer Kompromissindikatoren (Indicators of Compromise, IoCs) und die Anpassung der Sicherheitskontrollen an das differenzierte Verhalten der verschiedenen cybercriminels.

Anpassung an sich entwickelnde Bedrohungen

Der dynamische Charakter des ATT&CK-Frameworks, das ständig mit neuen Erkenntnissen aktualisiert wird, stellt sicher, dass die Unified Kill Chain angesichts der sich schnell entwickelnden Cyber-Bedrohungen relevant bleibt. Dieser kontinuierliche Aktualisierungsprozess ermöglicht es Unternehmen, über die neuesten Angriffstechniken informiert zu bleiben und ihre Verteidigungsmaßnahmen entsprechend anzupassen.

Strategische Planung und Risikobewertung

Der umfassende Charakter der Unified Kill Chain hilft bei der strategischen Cybersicherheitsplanung und Risikobewertung. Unternehmen können dieses Modell nutzen, um ihre Sicherheitslage in Bezug auf eine Vielzahl von Angriffsszenarien zu bewerten, potenzielle Schwachstellen zu ermitteln und auf der Grundlage realer Bedrohungsdaten Prioritäten für Verteidigungsstrategien festzulegen.

Verbesserte Schulung und Sensibilisierung

Die detaillierte Aufschlüsselung der TTPs in der Unified Kill Chain dient als Schulungsinstrument für Cybersicherheitsteams. Sie hilft bei der Schulung des Personals, spezifische Angriffsmethoden zu erkennen und darauf zu reagieren, wodurch die allgemeine Widerstandsfähigkeit der Organisation gegenüber Cyberbedrohungen verbessert wird. Insgesamt stellt die Unified Kill Chain einen bedeutenden Fortschritt im Bereich der Cybersicherheit dar, da sie einen differenzierteren und praktikableren Rahmen für das Verständnis, die Erkennung und die Abwehr ausgefeilter Cyberangriffe bietet.

Vectra AI gibt SOC-Teams fortschrittliche Tools und Erkenntnisse an die Hand, um Bedrohungen in jeder Phase der Angriffskette zu erkennen, zu stören und zu neutralisieren. Setzen Sie sich mit uns in Verbindung, um zu erfahren, wie unsere Lösungen Ihnen helfen können, Cyber-Angreifern einen Schritt voraus zu sein und die wertvollen Ressourcen Ihres Unternehmens zu schützen.