Was ist eine Cyber Kill Chain?
Der Begriff Cyber Kill Chain ist eine Anlehnung an die militärische Angriffskette – einen schrittweisen Ansatz zum Identifizieren und Stoppen feindlicher Aktivitäten. Die Cyber Kill Chain wurde ursprünglich 2011 von Lockheed Martin entwickelt. Sie erläutert die verschiedenen Phasen typischer Cyberangriffe und verweist auf die Punkte, an denen das IT-Sicherheitsteam Angriffe erkennen, verhindern oder abfangen kann.
Die Cyber Kill Chain ist darauf ausgerichtet, Schutz vor raffinierten Cyberangriffen, den so genannten hochentwickelten hartnäckigen Bedrohungen, zu bieten, bei denen Bedrohungsakteure viel Zeit in die Überwachung und Planung eines Angriffs investieren. In den meisten Fällen basieren diese Angriffe auf einer Kombination aus Malware, Ransomware, Trojanern, Spoofing sowie Social-Engineering-Techniken.
CROWDSTRIKE GLOBAL THREAT REPORT 2021
Laden Sie den Global Threat Report 2021 herunter, um sich über die Trends zu informieren, die unsere Teams im letzten Jahr mit Blick auf die sich ständig weiterentwickelnden Taktiken, Techniken und Prozeduren von Angreifern beobachtet haben.
Jetzt herunterladenDie 8 Phasen der Cyber Kill Chain
Das ursprüngliche Modell der Cyber Kill Chain von Lockheed Martin bestand aus sieben aufeinander folgenden Phasen:
Phase 1: Reconnaissance
In der Reconnaissance-Phase identifiziert der Bedrohungsakteur ein Ziel und kundschaftet Schwachstellen aus, die innerhalb des Netzwerks ausgenutzt werden könnten. Dabei besorgt sich der Angreifer möglicherweise bereits Anmeldedaten oder andere Informationen wie E-Mail-Adressen, Benutzer-IDs, physische Standorte sowie Details zu Software-Anwendungen und Betriebssystemen, die später für Phishing- oder Spoofing-Angriffe nützlich sein könnten. Je mehr Informationen der Angreifer während der Reconnaissance-Phase erlangt, desto raffinierter und glaubwürdiger ist der spätere Angriff und desto größer die Erfolgswahrscheinlichkeit.
Phase 2: Manipulation
In der Manipulationsphase legt der Angreifer den Angriffsvektor fest, z. B. Malware für Remote-Zugriff, Ransomware, einen Virus oder Wurm, über den die zuvor ermittelte Anfälligkeit ausgenutzt wird. In dieser Phase richtet der Angreifer eventuell Hintertüren (Backdoors) ein. Dadurch lässt sich der Zugriff fortsetzen, falls der ursprüngliche Zugangspunkt von Netzwerkadministratoren entdeckt und geschlossen wird.
Phase 3: Umsetzung
In dieser Phase startet der Eindringling den Angriff. Die konkreten durchgeführten Schritte hängen von der Art des geplanten Angriffs statt. Der Angreifer sendet beispielsweise E-Mail-Anhänge oder einen schädlichen Link, um die Benutzeraktivität anzuregen und den Plan voranzubringen. Durch Kombinieren mit Social-Engineering-Techniken wird die Wirksamkeit der Kampagne zusätzlich gesteigert.
Phase 4: Ausnutzung
In der Ausnutzungsphase wird der schädliche Code im System des Opfers ausgeführt.
Phase 5: Installation
Unmittelbar nach der Ausnutzung wird die Malware oder ein anderer Angriffsvektor im System des Opfers installiert. Dies ist ein Wendepunkt im Angriffslebenszyklus: Der Bedrohungsakteur ist in das System eingedrungen und hat von nun an die Kontrolle.
Phase 6: Command and Control (C&C)
In dieser Phase nutzt der Angreifer die Malware, um ein Gerät oder eine Identität innerhalb des Zielnetzwerks per Remote-Zugriff zu steuern. Der Angreifer bewegt sich möglicherweise lateral im Netzwerk, um seinen Zugriff zu erweitern und weitere Einfallstore für die Zukunft einzurichten.
Phase 7: Zielverfolgung
In dieser Phase geht der Angreifer seinem eigentlichen Ziel nach. Dabei kann es sich um den Diebstahl, die Vernichtung, Verschlüsselung oder Exfiltration von Daten handeln.
Mittlerweile haben viele Sicherheitsexperten die Angriffskette um eine achte Phase erweitert: Monetarisierung. In dieser Phase konzentriert der Cyberkriminelle sich auf die Generierung von Gewinnen aus dem Angriff, sei es durch Erpressen von Lösegeld beim Opfer oder den Verkauf sensibler Informationen (z. B. personenbezogene Daten oder Handelsgeheimnisse) im Dark Web.
Je früher im Lebenszyklus eines Cyberangriffs eine Bedrohung gestoppt werden kann, desto geringer das Risiko für das betroffene Unternehmen. Bei Angriffen, die es bereits bis zur C&C-Phase geschafft haben, ist zur Abwehr wesentlich mehr Aufwand nötig. Dazu gehört unter anderem eine intensive Untersuchung des Netzwerks und der Endgeräte, um das Ausmaß und die Tiefe des Angriffs zu bestimmen. Unternehmen sollten daher Maßnahmen ergreifen, um Bedrohungen in einer möglichst frühen Phase zu identifizieren und zu neutralisieren – und auf diese Weise das Risiko eines Angriffs sowie die Kosten für die Behebung von Ereignissen zu minimieren.
Entwicklung der Cyber Kill Chain
Wie bereits erwähnt, entwickelt sich die Cyber Kill Chain weiter, da auch die Angreifer ihre Techniken ändern. Seit Veröffentlichung des Modells der Cyber Kill Chain im Jahr 2011 sind Cyberkriminelle bei den angewandten Techniken wesentlich raffinierter und in ihrer Vorgehensweise deutlich dreister geworden.
Die Angriffskette ist zwar nach wie vor ein nützliches Tool, jedoch ist der Lebenszyklus eines Cyberangriffs viel weniger vorhersehbar und eindeutig als noch vor zehn Jahren. So ist es beispielsweise durchaus üblich, dass Cyberangreifer Schritte überspringen oder kombinieren. Das betrifft besonders die erste Hälfte des Lebenszyklus. Dadurch haben Unternehmen weniger Zeit und Gelegenheit, Bedrohungen in einem frühen Stadium zu entdecken und zu neutralisieren. Durch die Verbreitung des Angriffskettenmodells erhalten Cyberangreifer eher noch Hinweise auf den wahrscheinlichen Aufbau der Abwehrmaßnahmen in Unternehmen. Dies macht es für Angreifer leichter, der Erkennung an wichtigen Punkten des Lebenszyklus zu entgehen.
Kritik und Bedenken zur Cyber Kill Chain
Auch wenn die Cyber Kill Chain ein beliebtes und verbreitetes Framework für die Cybersicherheitsstrategie von Unternehmen ist, hat sie dennoch einige wichtige und mitunter schwerwiegende Fehler.
Perimetersicherheit
Einer der wesentlichen Kritikpunkte an der Cyber Kill Chain ist die Fokussierung auf Perimetersicherheit und auf die Verhinderung von Malware. Dies ist insbesondere deshalb kritisch zu sehen, weil immer mehr Unternehmen ihre herkömmlichen internen Netzwerke in die Cloud verlagern.
Ebenso haben der beschleunigte Trend zum Homeoffice, die Verbreitung von privaten Geräten und IoT-Technologien und sogar erweiterte Anwendungen wie die robotergestützte Prozessautomatisierung (RPA) zu einer exponentiellen Vergrößerung der Angriffsfläche vieler Unternehmen beigetragen. Cyberkriminellen stehen somit deutlich mehr Zugangspunkte für ihre Exploits zur Verfügung, während es für Unternehmen immer schwieriger wird, jedes einzelne Endgerät zu sichern.
Anfälligkeit für Angriffe
Ein weiteres Defizit der Angriffskette besteht darin, dass sie nur eine begrenzte Bandbreite an Angriffsarten abdeckt. So erkennt das ursprüngliche Framework zum Beispiel keine Insider-Bedrohungen – obwohl diese zu den größten Risiken für Unternehmen gehören und eine besonders hohe Erfolgsquote haben. Auch Angriffe, bei denen Unbefugte die kompromittierten Anmeldedaten eines Opfers nutzen, lassen sich mit dem ursprünglichen Framework nicht identifizieren.
Webbasierte Angriffe werden mit der Cyber Kill Chain ebenfalls nicht zuverlässig erkannt. Beispiele für solche Angriffe sind Cross-Site Scripting (XSS), SQL-Injektion, DoS/DDoS sowie einige Zero-Day-Exploits. Die massive Sicherheitsverletzung Equifax aus dem Jahr 2017, die zum Teil auf einen kompromittierten Software-Patch zurückzuführen war, ist ein bekanntes Beispiel für einen Webangriff, der wegen unzureichender Sicherheit unerkannt blieb.
Letztendlich ist das Framework darauf ausgerichtet, raffinierte, umfassend recherchierte Angriffe zu erkennen, weshalb der Cyber Kill Chain oft Angreifer entgehen, die keine erhebliche Reconnaissance betreiben. Bei einem ungezielten „Dauerfeuer“ entgehen die Angreifer beispielsweise sorgsam aufgestellten Fallen durch puren Zufall.
Rolle der Cyber Kill Chain für Cybersicherheit
Trotz einiger Defizite spielt die Cyber Kill Chain eine wichtige Rolle für die Cybersicherheit, da sie Unternehmen bei der Entwicklung einer Sicherheitsstrategie hilft. Dieses Modell umfasst die Implementierung von Services und Lösungen für folgende Aufgaben:
- Erkennung von Angreifern in jeder Phase des Bedrohungslebenszyklus mithilfe von Bedrohungsanalysen
- Verhindern von Zugriffen durch nicht autorisierte Benutzer
- Verhindern der Freigabe, Speicherung, Modifizierung, Exfiltration oder Verschlüsselung sensibler Daten durch nicht autorisierte Benutzer
- Reaktion auf Angriffe in Echtzeit
- Stoppen lateraler Bewegungen von Angreifern im Netzwerk