Was ist Cyber Kill Chain?

Im Jahr 2011 passte Lockheed Martin ein militärisches Konzept namens „Kill Chain“ für die Cybersicherheitsbranche an und nannte es „Cyber Kill Chain“. Wie die Kill Chain identifiziert auch die Cyber Kill Chain die Phasen eines Angriffs und gibt Defenders Einblick in die typischen Taktiken und Techniken ihrer Gegner in jeder Phase. Beide Modelle sind auch linear mit der Annahme, dass Angreifer jede Phase sequenziell befolgen.

Seit der Einführung der Cyber Kill Chain haben Cyberbedrohungsakteure ihre Taktiken weiterentwickelt und folgen nicht immer jeder Phase der Cyber Kill Chain. Als Reaktion darauf hat die Sicherheitsbranche ihren Ansatz aktualisiert und neue Modelle entwickelt. Die MITRE ATT&CK® Matrix ist eine detaillierte Liste von Taktiken und Techniken, die auf echten Angriffen basieren. Sie verwendet ähnliche Phasen wie die Cyber Kill Chain, folgt aber keiner linearen Reihenfolge.

Im Jahr 2017 entwickelte Paul Pols in Zusammenarbeit mit Fox-IT und Leiden University ein weiteres Framework, die vereinheitlichte Kill Chain, die Elemente der MITRE ATT&CK Matrix und der Cyber Kill Chain zu einem Modell mit 18 Phasen kombiniert.

Reconnaissance

Die Cyber Kill Chain definiert eine Sequenz von Cyberangriffsphasen mit dem Ziel, die Denkweise von Cyberangriffen zu verstehen, einschließlich ihrer Befehle, Tools, Methoden und Techniken, wie sie Entscheidungen treffen und wie sie die Erkennung umgehen. Verstehen, wie die Cyber Kill Chain funktioniert, können Defenders Cyberangriffe in den frühesten Phasen stoppen.

Während der Waffenfähigkeitsphase verwenden böswillige Akteure die während der Reconnaissance ermittelten Informationen, um Schadsoftware zu erstellen oder zu ändern, um die Schwachstellen der Zielorganisation optimal auszunutzen.

Nachdem sie Schadsoftware entwickelt haben, versuchen Cyberangreifer, ihren Angriff zu starten. Eine der gängigsten Methoden ist die Verwendung von Social Engineering-Techniken wie Phishing, um Mitarbeiter dazu zu bringen, ihre Anmeldeinformationen zu übergeben. Böswillige Akteure erhalten möglicherweise auch Zugriff, indem sie eine öffentliche Drahtlosverbindung nutzen, die nicht sehr sicher ist oder ein Software- oder Hardware-Sicherheitsrisiko ausnutzt, das während der Reconnaissance entdeckt wurde.

Nachdem Cyberthreat-Akteure die Organisation infiltriert haben, verwenden sie ihren Zugriff, um seitlich vom System zum System zu wechseln. Ihr Ziel ist es, vertrauliche Daten, zusätzliche Sicherheitsrisiken, Administratorkonten oder E-Mail-Server zu finden, die sie verwenden können, um Schäden an der Organisation zu verursachen.

In der Installationsphase installieren böswillige Akteure Schadsoftware, die ihnen die Kontrolle über weitere Systeme und Konten gibt.

Nachdem Cyberangreifer die Kontrolle über eine beträchtliche Anzahl von Systemen erlangt haben, erstellen sie eine Kontrollstelle, die es ihnen ermöglicht, remote zu arbeiten. Während dieser Phase verwenden sie Obfuskation, um ihre Spuren zu verdecken und die Erkennung zu vermeiden. Sie verwenden auch Denial-of-Service-Angriffe, um Sicherheitsexperten von ihrem tatsächlichen Ziel abzulenken.

In dieser Phase ergreifen Cyberangreifer Schritte, um ihr primäres Ziel zu erreichen, z. B. Lieferkettenangriffe, Datenexfiltration, Datenverschlüsselung oder Datenvernichtung.

Obwohl die ursprüngliche Cyber-Kill-Chain von Lockhead Martin nur sieben Schritte umfasste, haben viele Cybersicherheitsexperten sie auf acht erweitert, um die Aktivitäten von Kriminellen zu berücksichtigen, die mit dem Angriff Einnahmen erzielen wollen, z. B. durch den Einsatz von Ransomware, um von ihren Opfern eine Zahlung zu erpressen, oder durch den Verkauf vertraulicher Daten im Darknet.

Verstehen, wie Cyberthreat-Akteure ihre Angriffe planen und durchführen, hilft Cybersicherheitsexperten dabei, Sicherheitsrisiken in der gesamten Organisation zu finden und zu mindern. Es hilft ihnen auch, Anzeichen für Kompromittierung in den frühen Phasen eines Cyberangriffs zu identifizieren. Viele Organisationen verwenden das Cyber Kill Chain-Modell, um proaktiv Sicherheitsmaßnahmen zu ergreifen und die Reaktion auf Vorfälle zu steuern.

Threat Intelligence

Eines der wichtigsten Tools zum Schutz einer Organisation vor Cyberbedrohungen ist Threat intelligence. Gute Threat Intelligence-Lösungen synthetisieren Daten aus der gesamten Umgebung einer Organisation und liefern umsetzbare Erkenntnisse, die Sicherheitsexperten dabei unterstützen, Cyberangriffe frühzeitig zu erkennen.

Oft infiltrieren böswillige Akteure eine Organisation, indem sie Kennwörter erraten oder stehlen. Nachdem sie sich eingeschalten haben, versuchen sie, Berechtigungen zu eskalieren, um Zugriff auf vertrauliche Daten und Systeme zu erhalten. Identity & Access Management: Erfahren Sie, wie IAM Benutzerrollen und Zugriffsberechtigungen sichert, verwaltet und definiert.Identity & Access Management-Lösungen helfen, anomale Aktivitäten zu erkennen, die möglicherweise darauf hindeutet, dass ein nicht autorisierter Benutzer Zugriff erhalten hat. Sie bieten auch Kontrollen und Sicherheitsmaßnahmen, z. B. Zwei-Faktor-Authentifizierung, die es für jemanden erschweren, gestohlene Anmeldeinformationen für die Anmeldung zu verwenden.

Viele Organisationen bleiben mithilfe einer SIEM-Lösung (Security Information & Event Management) den neuesten Cyberbedrohungen voraus. SIEM-Lösungen aggregieren Daten aus der gesamten Organisation und aus Drittanbieterquellen, um kritische Cyberbedrohungen für Sicherheitsteams aufdecken zu können, die selektiert und behoben werden können. Viele SIEM-Lösungen reagieren auch automatisch auf bestimmte bekannte Bedrohungen, wodurch die Anzahl der Vorfälle reduziert wird, die ein Team untersuchen muss.

In einer Organisation gibt es Hunderte oder Tausende von Endpunkten. Zwischen den Servern, Computern, mobilen Geräten und Internet der Dinge (IoT)-Geräten, die Unternehmen für die Geschäftstätigkeit verwenden, kann es nahezu unmöglich sein, sie alle auf dem neuesten Stand zu halten. Böswillige Akteure wissen dies, weshalb viele Cyberangriffe mit einem kompromittierten Endpunkt beginnen. Erkennung und Reaktion am Endpunkt: Erfahren Sie, wie EDR-Technologie Organisationen beim Schutz vor schwerwiegenden Cyberbedrohungen wie Ransomware unterstützt.Erkennung und Reaktion am Endpunkt-Lösungen helfen Sicherheitsteams, sie auf Bedrohungen zu überwachen und schnell zu reagieren, wenn sie ein Sicherheitsproblem mit einem Gerät entdecken.

Extended Detection and Response (XDR): Erfahren Sie, wie Sie XDR-Lösungen (Extended Detection and Response) einsetzen, um alle Workloads vor Bedrohungen zu schützen und die Reaktionszeit zu verkürzen.Extended Detection and Response (XDR)-Lösungen führen die Erkennung und Reaktion am Endpunkt mit einer einzigen Lösung, die Endpunkte, Identitäten, Cloud-Apps und E-Mails schützt, einen Schritt weiter.

Nicht alle Unternehmen verfügen über interne Ressourcen, um Bedrohungen effektiv zu erkennen und darauf zu reagieren. Um ihr vorhandenes Sicherheitsteam zu erweitern, wenden sich diese Organisationen an Dienstanbieter, die Managed Detection and Response anbieten. Diese Dienstanbieter übernehmen die Verantwortung für die Überwachung der Umgebung einer Organisation und die Reaktion auf Bedrohungen.

Obwohl das Verstehen der Cyber Kill Chain Unternehmen und Behörden dabei helfen kann, sich proaktiv auf komplexe, mehrstufige Cyberbedrohungen vorzubereiten und darauf zu reagieren, kann die ausschließliche Nutzung eine Organisation anfällig für andere Arten von Cyberangriffen machen. Zu den häufigsten Kritikpunkten an der Cyber Kill Chain gehören:

• Schwerpunkt auf Schadsoftware. Das ursprüngliche Cyber Kill Chain-Framework wurde entwickelt, um Schadsoftware zu erkennen und darauf zu reagieren, und ist nicht so effektiv gegen andere Arten von Angriffen, z. B. einen nicht autorisierten Benutzer, der Zugriff mit kompromittierten Anmeldeinformationen erhält.

• Ideal für die Perimetersicherung. Mit dem Schwerpunkt auf dem Schutz von Endpunkten hat das Cyber Kill Chain-Modell gut funktioniert, als es nur einen einzigen Netzwerkperimeter zu schützen galt. Mit so vielen Remotemitarbeitern, der Cloud und einer ständig wachsenden Anzahl von Geräten, die auf die Ressourcen eines Unternehmens zugreifen, kann es fast unmöglich sein, jedes Sicherheitsrisiko bei Endpunkten zu beheben.

• Nicht für Insiderbedrohungen geeignet. Insider, die bereits Zugriff auf einige Systeme haben, sind mit einem Cyber Kill Chain-Modell schwieriger zu erkennen. Stattdessen müssen Organisationen Änderungen an der Benutzeraktivität überwachen und erkennen.

• Zu linear. Obwohl viele Cyberangriffe den acht Phasen folgen, die in der Cyber Kill Chain beschrieben sind, gibt es auch viele, die dies nicht tun oder mehrere Schritte zu einer einzigen Aktion kombinieren. Organisationen, die sich zu stark auf die einzelnen Phasen konzentrieren, können diese Cyberbedrohungen verfehlen.

Seit 2011, als Lockhead Martin die Cyber Kill Chain zum ersten Mal eingeführt hat, hat sich in der Technologie- und Cyberthreat-Landschaft viel geändert. Cloud Computing, mobile Geräte und IoT-Geräte haben die Arbeitsweise von Mitarbeitern und Unternehmen verändert. Cyberthreat-Akteure haben mit ihren eigenen Innovationen auf diese neuen Technologien reagiert, einschließlich der Verwendung von Automatisierung und KI, um ihre Cyberangriffe zu beschleunigen und zu verbessern. Die Cyber Kill Chain bietet einen hervorragenden Ausgangspunkt für die Entwicklung einer proaktiven Sicherheitsstrategie, die die Denkweise und Ziele von Cyberangreifern berücksichtigt. Microsoft Security bietet eine einheitliche SecOps-Plattform: Vereinheitlichen Sie Ihre Sicherheitsvorgänge (SecOps) bei der Prävention, Erkennung und Reaktion mit einer KI-gesteuerten Plattform.einheitliche SecOps-Plattform, die XDR und SIEM in einer anpassbaren Lösung vereint, um Organisationen bei der Entwicklung einer mehrschichtigen Verteidigung zu unterstützen, die alle Phasen der Cyber Kill Chain schützt. Organisationen bereiten sich auch auf neue, KI-gesteuerte Cyberbedrohungen vor, indem sie in KI für Cybersicherheitslösungen investieren, z. B. Microsoft Security Copilot.