Cyber Kill Chain
Schritt für Schritt die IT-Sicherheit im Unternehmen stärken
Die Cyber Kill Chain im Detail
Um als Unternehmen rechtzeitig Angriffe entlang der Cyber Kill Chainausfindig zu machen und diese zu bekämpfen, müssen Sie die Strategien der Cyberganoven im Detail kennen. Nur so können Sie entsprechende Gegenmaßnahmen einleiten. Und genau hier setzt die Cyber Kill Chain von Lockheed an:
Dieses Konzept gliedert Cyberangriffe in insgesamt sieben Ebenen, die ein Täter für die Umsetzung seines Vorhabens sukzessiv erreichen muss. Umgekehrt ist es auf der Verteidigungsebene möglich, den gesamten Angriff des Cyberkriminellen durch Unterbrechung auf einer Stufe zu blockieren. Allerdings ist es empfehlenswert, eine mehrstufige Abwehr zu bauen, da der Angreifer sonst über eine der vorherigen Stufen erneut einfallen könnte.
Die Grundidee des Modells
Die Lockheed Cyber Kill Chain basiert vom Prinzip her auf einem militärischen Konzept. Im Fokus stehen Handlungsmaßnahmen zur Erkennung und Abwehr von Angriffen. Die Kill Chain beschreibt die Angriffskette. Letztlich ist diese aus militärischer Sicht für die Eliminierung des Ziels zuständig. Unter Zuhilfenahme der Kill Chain können Angriffe in mehrere Ebenen unterteilt und übersichtlich dargestellt werden. Das Angriffsszenario kann durch die Kill Chain in die nachfolgenden Phasen aufgeteilt werden:
- Standort des Ziels ermitteln
- Genaue Beobachtung des Standorts
- Verfolgung des anvisierten Ziels
- Waffen individuell auf das Ziel abstimmen
- Konkreter Einsatz der Waffen gegenüber dem Ziel
- Analyse der Auswirkungen auf das angegriffene Ziel in der Kill Chain
Auf Grundlage dieser Stufen in der Kill Chain wird die Perspektive des Angreifers eingenommen. Das bedeutet konkret, dass man sich für jede einzelne Ebene überlegt, welche Werkzeuge bzw. Möglichkeiten der Angreifer hat, um sein Vorhaben umzusetzen. Im weiteren Verlauf geht es um die Festlegung von Maßnahmen zur Abwehr von Angriffen.
Von der Kill Chain zum Modell der Cyber Kill Chain
Seinen Ursprung im militärischen Bereich, entschied sich Lockheed dazu, die Angriffskette auch auf digitaler Ebene zu etablieren. Dies geschah im Jahr 2011. Seit der Übertragung der ursprünglichen Angriffskette in den IT-Bereich ist das erweiterte Konzept auch unter den Begriffen „Intrusion Kill Chain“ sowie „Cyber Kill Chain“ bekannt.
Auch hier wird sozusagen die Täterperspektive eingenommen und die einzelnen Angriffsstufen in Zwischenschritte gegliedert. Dadurch kann der gesamte Angriffsprozess entsprechend abgebildet werden. Es handelt sich dabei um die folgenden Stufen, die sich an der Cyber Kill Chain des originalen, US-amerikanischen Lockheed-Modells orientieren:
- Reconnaissance
- Weaponization
- Delivery
- Exploitation
- Installation
- Command and controle
- Actions on objective
Die einzelnen Angriffsstufen der Cyber Kill Chain im Detail
Um dieses Modell zu verstehen, ist es sinnvoll, die unterschiedlichen Perspektiven einmal genau zu betrachten. Gemeint ist zum einen die Vorgehensweise der Cyberkriminellen und zum anderen die präventiven Gegenmaßnahmen auf Seiten des betroffenen Ziels.
1. Identifizierung des Ziels (Reconnaissance)
Angriffsstrategie:
The cybercriminal chooses an individual target and sets up a profile of the victim. Here, the contact information of the targetsuch as information from social networks, email address, as well as further details of the targeted employees/ targeted company are specifically researched, including details about the company’s IT structure.
Verteidigungsstrategie:
Die Veröffentlichung von Unternehmensdaten im Internet sollte deutlich eingeschränkt werden. Zudem empfiehlt sich eine detaillierte Analyse in Bezug auf mögliche Angriffsformen. Gemeint sind beispielsweise DDoS-Angriffe auf Web- oder Mailserver. Aber auch weitere Angriffsformen sind durchaus denkbar. Im Allgemeinen geht es darum, Abweichungen zeitnah festzustellen.
2. Vorbereitung des Angriffs (Weaponization)
Angriffsstrategie:
Damit der Täter einen Cyberangriff durchführen kann, greift er auf ausgewählte Tools aus seinem Repertoire zurück. Bei einem Ransomware-Angriff können das beispielsweise spezielle Verschlüsselungstrojaner, wie WannaCry, Petya, Jaff oder Locky sein. Aber auch sonstige Schadprogramme können durchaus zur Anwendung gelangen. Die Wahl ist abhängig von der Vorgehensweise und dem Ziel des Cyberkriminellen.
Verteidigungsstrategie:
Durch spezielle Analyse-Engines ist es möglich, etwaige Angriffe direkt ausfindig zu machen und diese detailliert unter die Lupe zu nehmen. Dabei werden unter anderem auch die generell möglichen Auswirkungen der Schadsoftware in Erfahrung gebracht.
3. Erste Schritte zur Durchführung des Angriffs entlang der Cyber Kill Chain (Delivery)
Angriffsstrategie:
Ein Cyberkrimineller wählt ein individuelles Ziel aus und legt ein Profil über das Opfer an. Dabei werden die Kontaktdaten des Ziels, wie beispielsweise Informationen aus sozialen Netzwerken, die Mailadresse sowie weitere Daten von Mitarbeitern oder dem betroffenen Unternehmen gezielt recherchiert. Hierzu gehören auch Details über die IT-Struktur im Unternehmen.
Verteidigungsstrategie:
Konkret werden die Angriffsvektoren einer stetigen Kontrolle unterzogen. Mit einem IT-Security Service, wie beispielsweise Hornetsecurity Advanced Threat Protection (ATP), kann auf Basis der einzelnen Analyse-Engines, die vom Täter ausgehende Cyberattacke sowie die konkreten Auswirkungen auf das System oder Unternehmensnetzwerk untersucht werden. Im Fokus steht die Aufdeckung der Intention des durchgeführten Cyberangriffs. Das Verständnis für die Vorgehensweise des Täters wird hierbei vordergründig in Erfahrung gebracht.
4. Das systematische Aufspüren von Sicherheitslücken (Exploitation)
Angriffsstrategie:
Auf der Suche nach gezielten Sicherheitslücken im Zielsystem bzw. im anvisierten Netzwerk des Unternehmens, richtet der Täter seine Angriffsstrategie gezielt auf die technische Kompromittierung aus. Gern genutzte Einfallsvektoren ergeben sich beispielsweise aus der mangelnden Sensibilisierung der Mitarbeiter eines Unternehmens. Gemeint sind hier unbedachte Handlungen von Mitarbeitern, wie es z.B. bei einem CEO-Fraud häufig der Fall ist.
Verteidigungsstrategie:
Unternehmen sollten ihren Fokus primär auf offene Angriffsvektoren setzen. Diese können entweder ihren Ursprung in der Technik oder im personenbezogenen Bereich haben. Die Sicherheitslücken sind dabei unter anderem in der Peripherie oder im Bereich herkömmlicher bzw. systemrelevanter Programme und Dienste verankert. Penetrationstests decken mögliche Schwachstellen auf. Hinzu kommt, dass der Mensch selbst auch weiterhin ein eklatantes Sicherheitsrisiko darstellt.
5. Implementierung einer Backdoor (Installation)
Angriffsstrategie:
Ohne die Kenntnis des betroffenen Nutzers erfolgt die Implementierung des schadhaften Programms auf dem Zielsystem. Dies kann beispielsweise durch die Unterwanderung des Systems oder der ganzen Netzwerkebene erfolgen. Gemeint ist hier z.B. die Installation eines Trojaners.
Verteidigungsstrategie:
Die Angriffsabwehr besteht darin, mögliche, von einem Täter getroffene Maßnahmen zu unterbinden. Dies kann auf Seiten der Unternehmen durch Ausstellung entsprechender Zertifikate, durch die Festlegung individueller Richtlinien sowie der Prüfung von gewöhnlichen Virenscannern auf aktuelle Signaturen erfolgen.
6. Fernsteuerung des Zielsystems (C&C)
Angriffsstrategie:
Um gezielt einen solchen Angriff zu realisieren, reicht ein ungeschützter Einfallsvektor völlig aus. Anzuführen wäre hier beispielsweise das Remote Desktop Protokoll, welches unter Umständen als Schwachstelle für einen Fernzugriff ausgenutzt werden kann.
Verteidigungsstrategie:
Anhand der Analyse der durch die Schadsoftware genutzten Angriffsvektoren, können entsprechende Handlungsempfehlungen für Unternehmen abgeleitet werden. Hierbei geht es primär darum, dass etwaig vorhandene Sicherheitslücken aufgedeckt werden. Gemeint sind z.B. offene Ports, die möglicherweise risikobehaftet sind und über die der Täter Zugriff zu Systemen erhalten kann. Dies gilt auf Client- und Serverebene gleichermaßen.
7. Zielerreichung (Actions on objective)
Angriffsstrategie:
Hat der Täter erst einmal Zugriff auf das Zielsystem, werden die Angriffshandlungen im Wesentlichen konkretisiert. Sie reichen von Spionage und gehen über Sabotage bis hin zum Datendiebstahl. Dabei liegt die Intention des Cyberkriminellen darin, immer tiefer in das System vorzudringen. Gemeint ist die sukzessive Unterwanderung des Ziels, um den Angriff letztlich abzuschließen.
Verteidigungsstrategie:
Im „worst case“ muss ganz klar festgelegt sein, welche Handlungsschritte im Einzelnen durchzuführen sind. Hierbei müssen bereits im Vorfeld die Zuständigkeiten klar definiert sein. Dies gilt für personenbezogene Verantwortlichkeiten im Unternehmen als auch für technische Abläufe, wie beispielsweise durchzuführende Analysen. Nur so kann ein weitreichender Schaden verhindert werden.
Wie sinnvoll ist die Cyber Kill Chain?
Die Raffinesse der Täter nimmt stetig zu. Dies gilt insbesondere für Cyberattacken, die auf CEO-Fraud, Spear Phishing oder Whaling basieren. Aber auch andere fortgeschrittene, andauernde Bedrohungsformen sorgen für eine nicht zu unterschätzende Gefährdungslage bei Unternehmen aus Industrie und Wirtschaft sowie vereinzelt auch bei Institutionen, wie öffentlichen Einrichtungen. Dies gilt insbesondere deshalb, da solche Angriffe in der Regel über einen sehr langen Zeitraum unentdeckt bleiben. Der Angreifer kann innerhalb dieser Zeitspanne frei agieren. Bei den aus dem englischsprachig stammenden Advanced Persistent Threats handelt es sich um äußerst komplexe sowie gleichzeitig hochinnovative Angriffsarten. Auch hier kommt in den meisten Fällen das Modell der Cyber Kill Chain zur Anwendung. Dies ermöglicht in diesem Bereich ebenfalls die stufenweise Analyse und Erkennung schwer identifizierbarer Angriffsstrukturen. Durch die Anwendung des Konzepts der Cyber Kill Chain sind Unternehmen in der Lage, ihr Wissen im Bereich der IT-Security eigenständig zu fördern bzw. weiterzuentwickeln. Ein stetiges Lernen auf Basis der Analyse aktueller Bedrohungen unterstützt Sie dabei, sich zielgerichtet vor Cyberangriffen zu schützen.
Mehr zum Thema IT-Sicherheit in unserem Blog
Besuchen Sie unsere Wissensdatenbank
Hat Ihnen unser Beitrag aus der Wissensdatenbank zum Thema Cyber Kill Chain gefallen? Dann gelangen Sie hier zur Übersichtsseite unserer Wissensdatenbank. Dort erfahren Sie mehr über Themen, wie IT-Security, DDoS-Attacken, Cryptolocker Virus, Phishing, Kryptographie, Crypto Mining, GoBD, Malware, Emotet, Computerwürmern, Social Engineering und Trojaner.