Wat is de cyberkill chain?

In 2011 paste Lockheed Martin een militair concept genaamd de 'kill chain' aan voor de cyberbeveiligingsindustrie en noemde het de 'cyberkill chain'. Net als de kill chain identificeert de cyberkill chain de fasen van een aanval en geeft het verdedigers inzicht in de typische tactieken en technieken van hun tegenstanders tijdens elke fase. Beide modellen zijn lineair en volgen de verwachting dat aanvallers elke fase opeenvolgend doorlopen.

Sinds de cyberkill chain voor het eerst werd geïntroduceerd, hebben cyberbedreigers hun tactieken verder ontwikkeld en volgen ze niet altijd elke fase van de cyberkill chain. Als reactie heeft de beveiligingssector de aanpak bijgewerkt en nieuwe modellen ontwikkeld. De MITRE ATT&CK-matrix® is een gedetailleerde lijst met tactieken en technieken die is gebaseerd op echte aanvallen. Het maakt gebruik van vergelijkbare fasen als de cyberkill chain, maar heeft geen lineaire volgorde.

In 2017 heeft Paul Pols in samenwerking met Fox-IT en de Universiteit Leiden een ander framework ontwikkeld, de geïntegreerde kill chain, waarin elementen van zowel de MITRE ATT&CK-matrix als de cyberkill chain worden gecombineerd tot een model met 18 fasen.

Verkenning

De cyberkill chain definieert een reeks cyberaanvalsfasen met als doel inzicht te krijgen in de visie van cyberaanvallers, waaronder hun motieven, hulpprogramma's, methoden en technieken, hoe ze beslissingen nemen en hoe ze detectie omzeilen. Door te begrijpen hoe de cyberkill chain werkt, kunnen verdedigers cyberaanvallen in de vroegste fasen stoppen.

Tijdens de bewapeningsfase gebruiken kwaadwillenden de informatie die is ontdekt tijdens de verkenning om malware. Meer informatie over malware en hoe je jezelf kunt beschermen tegen cyberaanvallen.malware te maken of te wijzigen om de zwakke punten van de doelorganisatie optimaal te benutten.

Zodra ze malware hebben gemaakt, proberen cyberaanvallers hun aanval te starten. Een van de meest voorkomende methoden is het gebruik van social engineering-technieken zoals phishing om werknemers te verleiden hun aanmeldingsgegevens te geven. Kwaadwillenden kunnen ook toegang krijgen door gebruik te maken van een openbare draadloze verbinding die niet goed beveiligd is of misbruik maakt van een beveiligingsprobleem met software of hardware dat tijdens verkenning is ontdekt.

Nadat cyberbedreigingen de organisatie infiltreren, gebruiken ze hun toegang om zich lateraal van systeem naar systeem te verplaatsen. Hun doel is om gevoelige gegevens, aanvullende beveiligingsproblemen, beheerdersaccounts of e-mailservers te vinden die ze kunnen gebruiken om schade toe te brengen aan de organisatie.

In de installatiefase installeren kwaadwillenden malware waarmee ze meer systemen en accounts kunnen controleren.

Nadat cyberaanvallen de controle over een groot aantal systemen hebben gekregen, maken ze een controlecentrum waarmee ze op afstand kunnen werken. Tijdens deze fase gebruiken ze moeilijk herkenbare versluiering om hun sporen uit te wissen en detectie te vermijden. Ze gebruiken ook Denial of Service-aanvallen om beveiligingsprofessionals af te leiden van hun werkelijke doel.

In deze fase nemen cyberaanvallers stappen om hun primaire doel te bereiken, zoals toeleveringsketenaanvallen, gegevensexfiltratie, gegevensversleuteling of gegevensvernietiging.

Hoewel de oorspronkelijke cyberkill chain van Lockhead Martin slechts zeven stappen omvatte, hebben veel cyberbeveiligingsexperts deze uitgebreid naar acht om rekening te houden met de activiteiten die kwaadwillenden ondernemen om inkomsten te genereren uit de aanval, zoals het gebruik van ransomware om betaling van hun slachtoffers af te dwingen of de verkoop van gevoelige gegevens op het dark web.

Begrijpen hoe cyberbedreigers hun aanvallen plannen en uitvoeren, helpt cyberbeveiligingsprofessionals bij het vinden en verminderen van kwetsbaarheden in de hele organisatie. Het helpt hen ook bij het identificeren van indicatoren van inbreuk tijdens de eerste fasen van een cyberaanval. Veel organisaties gebruiken het cyberkill chain-model om proactief beveiligingsmaatregelen te nemen en de reactie op incidenten te begeleiden.

Bedreigingsinformatie

Een van de belangrijkste hulpprogramma's voor het beschermen van een organisatie tegen cyberbedreigingen is bedreigingsinformatie. Goede oplossingen voor bedreigingsinformatie synthetiseren gegevens uit de omgeving van een organisatie en leveren praktische inzichten waarmee beveiligingsprofessionals cyberaanvallen vroeg kunnen detecteren.

Vaak infiltreren kwaadwillenden een organisatie door wachtwoorden te raden of te stelen. Nadat ze binnen zijn, proberen ze bevoegdheden te verhogen om toegang te krijgen tot gevoelige gegevens en systemen. Identiteits- en toegangsbeheer: Meer informatie over hoe IAM gebruikersrollen en toegangsbevoegdheden beveiligt, beheert en definieertOplossingen voor identiteits- en toegangsbeheer helpen bij het detecteren van afwijkende activiteiten die een indicatie kunnen zijn dat een onbevoegde gebruiker toegang heeft verkregen. Ze bieden ook controles en beveiligingsmaatregelen, zoals tweeledige verificatie, waardoor het moeilijker wordt voor iemand om gestolen aanmeldingsgegevens te gebruiken om zich aan te melden.

Veel organisaties blijven de nieuwste cyberbedreigingen voor met behulp van een SIEM-oplossing (Security Information and Event Management). SIEM-oplossingen aggregeren gegevens uit de hele organisatie en van externe bronnen om kritieke cyberbedreigingen voor beveiligingsteams te onderzoeken en aanpakken. Veel SIEM-oplossingen reageren ook automatisch op bepaalde bekende bedreigingen, waardoor het aantal incidenten dat een team moet onderzoeken wordt verminderd.

Elke organisatie heeft honderden of duizenden eindpunten. Het is bijna onmogelijk om de servers, computers, mobiele apparaten en IoT-apparaten (Internet of Things) die bedrijven gebruiken om zaken te doen allemaal up-to-date te houden. Kwaadwillenden weten dit. Daarom beginnen veel cyberaanvallen met een gecompromitteerd eindpunt. Eindpuntdetectie en -respons. Ontdek hoe EDR-technologie organisaties helpt beschermen tegen ernstige cyberaanvallen, zoals ransomware.Oplossingen voor eindpuntdetectie en -respons helpen beveiligingsteams eindpunten te controleren op bedreigingen en snel te reageren wanneer ze een beveiligingsprobleem met een apparaat detecteren.

Uitgebreide detectie en reactie (XDR). Ontdek hoe XDR-oplossingen (Extended Detection and Reactie) bescherming biedt tegen bedreigingen en de reactietijd voor workloads verkort.Oplossingen van uitgebreide detectie en reactie (XDR) brengen eindpuntdetectie en -respons een stap verder met één oplossing die eindpunten, identiteiten, cloud-apps en e-mailberichten beveiligt.

Niet alle bedrijven hebben interne resources beschikbaar om bedreigingen effectief te detecteren en erop te reageren. Om hun bestaande beveiligingsteam uit te breiden, enden deze organisaties zich tot serviceproviders die beheerde detectie en reactie leveren. Deze serviceproviders nemen de verantwoordelijkheid op zich om de omgeving van een organisatie te bewaken en te reageren op bedreigingen.

Hoewel het begrijpen van de cyberkill chain bedrijven en overheden kan helpen zich proactief voor te bereiden en te reageren op complexe, cyberbedreigingen met meerdere fasen, kan het uitsluitend vertrouwen hierop een organisatie kwetsbaar maken voor andere soorten cyberaanvallen. Enkele veelvoorkomende kritieken van de cyberkill chain zijn:

• Prioriteit op malware. Het oorspronkelijke cyberkill chain-framework is ontworpen om malware te detecteren en hierop te reageren en is niet zo effectief tegen andere soorten aanvallen, zoals een onbevoegde gebruiker die toegang krijgt met verdachte aanmeldingsgegevens.

• Ideaal voor perimeterbeveiliging. Met de nadruk op het beveiligen van eindpunten werkte het cyberkill chain-model goed wanneer er slechts één netwerkperimeter moest worden beveiligd. Met zoveel externe werknemers, de cloud en een steeds groter wordend aantal apparaten dat toegang heeft tot de assets van een bedrijf’, kan het bijna onmogelijk zijn om elk eindpuntbeveiligingsprobleem aan te pakken.

• Niet uitgerust voor interne bedreigingen. Insiders, die al toegang hebben tot sommige systemen, zijn moeilijker te detecteren met een cyberkill chain-model. In plaats daarvan moeten organisaties wijzigingen in gebruikersactiviteiten bewaken en detecteren.

• Te lineair. Hoewel veel cyberaanvallen de acht fasen volgen die worden beschreven in de cyberkill chain, zijn er ook veel die dat niet doen of verschillende stappen combineren in één actie. Organisaties die zich te veel op elk van de fasen richten, kunnen deze cyberaanvallen missen.

Sinds 2011, toen Lockhead Martin voor het eerst de cyberkill chain introduceerde, is er veel veranderd in de technologie en het cyberdreigingenlandschap. Cloud-computing, mobiele apparaten en IoT-apparaten hebben de manier van werken voor mensen en bedrijven getransformeerd. Cyberbedreigers hebben op deze nieuwe technologieën gereageerd met hun eigen innovaties, waaronder het gebruik van automatisering en AI om hun cyberaanvallen te versnellen en te verbeteren. De cyberkill chain biedt een goed uitgangspunt voor het ontwikkelen van een proactieve beveiligingsstrategie die rekening houdt met de visie en doelstellingen van cyberaanvallers. Microsoft Beveiliging biedt een geïntegreerd SecOps-platform dat XDR en SIEM samenbrengt in één aanpasbare oplossing om organisaties te helpen een meerlaagse verdediging te ontwikkelen die in alle fasen van de cyberkill chain beschermt. En organisaties bereiden zich ook voor op opkomende, op AI gebaseerde cyberbedreigingen door te investeren in AI voor cyberbeveiligingsoplossingen, zoals Microsoft Copilot voor Beveiliging.