Cyber Kill Chain

Schritt für Schritt die IT-Sicherheit im Unternehmen stärken

Die Cyber Kill Chain im Detail

Um als Unternehmen rechtzeitig Angriffe entlang der Cyber Kill Chainausfindig zu machen und diese zu bekämpfen, müssen Sie die Strategien der Cyberganoven im Detail kennen. Nur so können Sie entsprechende Gegenmaßnahmen einleiten. Und genau hier setzt die Cyber Kill Chain  von Lockheed an:

Dieses Konzept gliedert Cyberangriffe in insgesamt sieben Ebenen, die ein Täter für die Umsetzung seines Vorhabens sukzessiv erreichen muss. Umgekehrt ist es auf der Verteidigungsebene möglich, den gesamten Angriff des Cyberkriminellen durch Unterbrechung auf einer Stufe zu blockieren. Allerdings ist es empfehlenswert, eine mehrstufige Abwehr zu bauen, da der Angreifer sonst über eine der vorherigen Stufen erneut einfallen könnte.

Die Grundidee des Modells

Die Lockheed Cyber Kill Chain basiert vom Prinzip her auf einem militärischen Konzept. Im Fokus stehen Handlungsmaßnahmen zur Erkennung und Abwehr von Angriffen. Die Kill Chain beschreibt die Angriffskette. Letztlich ist diese aus militärischer Sicht für die Eliminierung des Ziels zuständig. Unter Zuhilfenahme der Kill Chain können Angriffe in mehrere Ebenen unterteilt und übersichtlich dargestellt werden. Das Angriffsszenario kann durch die Kill Chain in die nachfolgenden Phasen aufgeteilt werden:

  • Standort des Ziels ermitteln
  • Genaue Beobachtung des Standorts
  • Verfolgung des anvisierten Ziels
  • Waffen individuell auf das Ziel abstimmen
  • Konkreter Einsatz der Waffen gegenüber dem Ziel
  • Analyse der Auswirkungen auf das angegriffene Ziel in der Kill Chain

Auf Grundlage dieser Stufen in der Kill Chain wird die Perspektive des Angreifers eingenommen. Das bedeutet konkret, dass man sich für jede einzelne Ebene überlegt, welche Werkzeuge bzw. Möglichkeiten der Angreifer hat, um sein Vorhaben umzusetzen. Im weiteren Verlauf geht es um die Festlegung von Maßnahmen zur Abwehr von Angriffen.

Von der Kill Chain zum Modell der Cyber Kill Chain

Seinen Ursprung im militärischen Bereich, entschied sich Lockheed dazu, die Angriffskette auch auf digitaler Ebene zu etablieren. Dies geschah im Jahr 2011. Seit der Übertragung der ursprünglichen Angriffskette in den IT-Bereich ist das erweiterte Konzept auch unter den Begriffen „Intrusion Kill Chain“ sowie „Cyber Kill Chain“ bekannt.

Auch hier wird sozusagen die Täterperspektive eingenommen und die einzelnen Angriffsstufen in Zwischenschritte gegliedert. Dadurch kann der gesamte Angriffsprozess entsprechend abgebildet werden. Es handelt sich dabei um die folgenden Stufen, die sich an der Cyber Kill Chain des originalen, US-amerikanischen Lockheed-Modells orientieren:

  • Reconnaissance
  • Weaponization
  • Delivery
  • Exploitation
  • Installation
  • Command and controle
  • Actions on objective
  • Die einzelnen Angriffsstufen der Cyber Kill Chain im Detail

    Um dieses Modell zu verstehen, ist es sinnvoll, die unterschiedlichen Perspektiven einmal genau zu betrachten. Gemeint ist zum einen die Vorgehensweise der Cyberkriminellen und zum anderen die präventiven Gegenmaßnahmen auf Seiten des betroffenen Ziels.

    s

    1. Identifizierung des Ziels (Reconnaissance)

    Angriffsstrategie:

    Ein Cyberkrimineller wählt ein individuelles Ziel aus und legt ein Profil über das Opfer an. Dabei werden die Kontaktdaten des Ziels, wie beispielsweise Informationen aus sozialen Netzwerken, die Mailadresse sowie weitere Daten von Mitarbeitern oder dem betroffenen Unternehmen gezielt recherchiert. Hierzu gehören auch Details über die IT-Struktur im Unternehmen.

    Verteidigungsstrategie:

    Die Veröffentlichung von Unternehmensdaten im Internet sollte deutlich eingeschränkt werden. Zudem empfiehlt sich eine detaillierte Analyse in Bezug auf mögliche Angriffsformen. Gemeint sind beispielsweise DDoS-Angriffe auf Web- oder Mailserver. Aber auch weitere Angriffsformen sind durchaus denkbar. Im Allgemeinen geht es darum, Abweichungen zeitnah festzustellen.

    2. Vorbereitung des Angriffs (Weaponization)

    Angriffsstrategie:

    Damit der Täter einen Cyberangriff durchführen kann, greift er auf ausgewählte Tools aus seinem Repertoire zurück. Bei einem Ransomware-Angriff können das beispielsweise spezielle Verschlüsselungstrojaner, wie WannaCry, Petya, Jaff oder Locky sein. Aber auch sonstige Schadprogramme können durchaus zur Anwendung gelangen. Die Wahl ist abhängig von der Vorgehensweise und dem Ziel des Cyberkriminellen.

    Verteidigungsstrategie:

    Durch spezielle Analyse-Engines ist es möglich, etwaige Angriffe direkt ausfindig zu machen und diese detailliert unter die Lupe zu nehmen. Dabei werden unter anderem auch die generell möglichen Auswirkungen der Schadsoftware in Erfahrung gebracht.

    3. Erste Schritte zur Durchführung des Angriffs entlang der Cyber Kill Chain (Delivery)

    Angriffsstrategie:

    Im nächsten Schritt beginnt der Angreifer mit der Durchführung der Cyberattacke. Hierbei wählt der Cyberkriminelle – basierend auf den zuvor gesammelten Informationen – gezielt ein Medium für seinen Angriff aus. Hier kann der Rückgriff auf einen Datenträger, wie beispielsweise auf eine CD-ROM oder einen USB-Stick erfolgen. Ebenfalls geeignet erscheint der Kommunikationsweg per E-Mail. Daneben gewinnen soziale Medien als Plattform zunehmend an Bedeutung für das Ausspähen von personenbezogenen Daten. Denkbar sind ebenfalls Angriffe per Phishing über schadhafte Webseiten.

    Verteidigungsstrategie:

    Konkret werden die Angriffsvektoren einer stetigen Kontrolle unterzogen. Mit einem IT-Security Service, wie beispielsweise Hornetsecurity Advanced Threat Protection (ATP), kann auf Basis der einzelnen Analyse-Engines, die vom Täter ausgehende Cyberattacke sowie die konkreten Auswirkungen auf das System oder Unternehmensnetzwerk untersucht werden. Im Fokus steht die Aufdeckung der Intention des durchgeführten Cyberangriffs. Das Verständnis für die Vorgehensweise des Täters wird hierbei vordergründig in Erfahrung gebracht.

    U

    4. Das systematische Aufspüren von Sicherheitslücken (Exploitation)

    Angriffsstrategie:

    Auf der Suche nach gezielten Sicherheitslücken im Zielsystem bzw. im anvisierten Netzwerk des Unternehmens, richtet der Täter seine Angriffsstrategie gezielt auf die technische Kompromittierung aus. Gern genutzte Einfallsvektoren ergeben sich beispielsweise aus der mangelnden Sensibilisierung der Mitarbeiter eines Unternehmens. Gemeint sind hier unbedachte Handlungen von Mitarbeitern, wie es z.B. bei einem CEO-Fraud häufig der Fall ist.

    Verteidigungsstrategie:

    Unternehmen sollten ihren Fokus primär auf offene Angriffsvektoren setzen. Diese können entweder ihren Ursprung in der Technik oder im personenbezogenen Bereich haben. Die Sicherheitslücken sind dabei unter anderem in der Peripherie oder im Bereich herkömmlicher bzw. systemrelevanter Programme und Dienste verankert. Penetrationstests decken mögliche Schwachstellen auf. Hinzu kommt, dass der Mensch selbst auch weiterhin ein eklatantes Sicherheitsrisiko darstellt.

    5. Implementierung einer Backdoor (Installation)

    Angriffsstrategie:

    Ohne die Kenntnis des betroffenen Nutzers erfolgt die Implementierung des schadhaften Programms auf dem Zielsystem. Dies kann beispielsweise durch die Unterwanderung des Systems oder der ganzen Netzwerkebene erfolgen. Gemeint ist hier z.B. die Installation eines Trojaners.

    Verteidigungsstrategie:

    Die Angriffsabwehr besteht darin, mögliche, von einem Täter getroffene Maßnahmen zu unterbinden. Dies kann auf Seiten der Unternehmen durch Ausstellung entsprechender Zertifikate, durch die Festlegung individueller Richtlinien sowie der Prüfung von gewöhnlichen Virenscannern auf aktuelle Signaturen erfolgen.

    6. Fernsteuerung des Zielsystems (C&C)

    Angriffsstrategie:

    Um gezielt einen solchen Angriff zu realisieren, reicht ein ungeschützter Einfallsvektor völlig aus. Anzuführen wäre hier beispielsweise das Remote Desktop Protokoll, welches unter Umständen als Schwachstelle für einen Fernzugriff ausgenutzt werden kann.

    Verteidigungsstrategie:

    Anhand der Analyse der durch die Schadsoftware genutzten Angriffsvektoren, können entsprechende Handlungsempfehlungen für Unternehmen abgeleitet werden. Hierbei geht es primär darum, dass etwaig vorhandene Sicherheitslücken aufgedeckt werden. Gemeint sind z.B. offene Ports, die möglicherweise risikobehaftet sind und über die der Täter Zugriff zu Systemen erhalten kann. Dies gilt auf Client- und Serverebene gleichermaßen.

    7. Zielerreichung (Actions on objective)

    Angriffsstrategie:

    Hat der Täter erst einmal Zugriff auf das Zielsystem, werden die Angriffshandlungen im Wesentlichen konkretisiert. Sie reichen von Spionage und gehen über Sabotage bis hin zum Datendiebstahl. Dabei liegt die Intention des Cyberkriminellen darin, immer tiefer in das System vorzudringen. Gemeint ist die sukzessive Unterwanderung des Ziels, um den Angriff letztlich abzuschließen.

    Verteidigungsstrategie:

    Im „worst case“ muss ganz klar festgelegt sein, welche Handlungsschritte im Einzelnen durchzuführen sind. Hierbei müssen bereits im Vorfeld die Zuständigkeiten klar definiert sein. Dies gilt für personenbezogene Verantwortlichkeiten im Unternehmen als auch für technische Abläufe, wie beispielsweise durchzuführende Analysen. Nur so kann ein weitreichender Schaden verhindert werden.

    Wie sinnvoll ist die Cyber Kill Chain?

    Die Raffinesse der Täter nimmt stetig zu. Dies gilt insbesondere für Cyberattacken, die auf CEO-Fraud, Spear Phishing oder Whaling basieren. Aber auch andere fortgeschrittene, andauernde Bedrohungsformen sorgen für eine nicht zu unterschätzende Gefährdungslage bei Unternehmen aus Industrie und Wirtschaft sowie vereinzelt auch bei Institutionen, wie öffentlichen Einrichtungen.Dies gilt insbesondere deshalb, da solche Angriffe in der Regel über einen sehr langen Zeitraum unentdeckt bleiben. Der Angreifer kann innerhalb dieser Zeitspanne frei agieren.Bei den aus dem englischsprachig stammenden Advanced Persistent Threats handelt es sich um äußerst komplexe sowie gleichzeitig hochinnovative Angriffsarten. Auch hier kommt in den meisten Fällen das Modell der Cyber Kill Chain zur Anwendung. Dies ermöglicht in diesem Bereich ebenfalls die stufenweise Analyse und Erkennung schwer identifizierbarer Angriffsstrukturen.Durch die Anwendung des Konzepts der Cyber Kill Chain sind Unternehmen in der Lage, ihr Wissen im Bereich der IT-Security eigenständig zu fördern bzw. weiterzuentwickeln. Ein stetiges Lernen auf Basis der Analyse aktueller Bedrohungen unterstützt Sie dabei, sich zielgerichtet vor Cyberangriffen zu schützen.

    Mehr zum Thema IT-Sicherheit in unserem Blog

    Das Zeitalter der Informationen: Was macht Ihre Daten so wertvoll?

    Das Zeitalter der Informationen: Was macht Ihre Daten so wertvoll?

    Wissen Sie eigentlich Ihren „Datenwert“? Bei einem Datenleck in den Systemen großer Unternehmen ist oftmals von Schäden in Milliardenhöhe die Rede. Daten zählen sogar mittlerweile zu den wertvollsten Ressourcen der Welt. Ein Kalkulator, worüber Nutzer einen pauschalen Wert ihrer Daten errechnen können, vermittelt jedoch einen ganz anderen Eindruck: Demnach bleibt der „Preis“ für die Informationen der User immer unter einem Dollar. Doch warum ist das so und lässt sich der Wert von diesem „Rohstoff“ überhaupt konkret bestimmen?

    Kritik an der Grundidee der Cyber Kill Chain

    Um dieses Modell zu verstehen, ist es sinnvoll, die unterschiedlichen Perspektiven einmal genau zu betrachten. Gemeint ist zum einen die Vorgehensweise der Cyberkriminellen und zum anderen die präventiven Gegenmaßnahmen auf Seiten des betroffenen Ziels. Unter näherer Betrachtung handelt es sich hierbei um durchaus berechtigte Zweifel. Auch wenn bei diesem Modell die Sichtweise des Angreifers eingenommen wird, so gibt es im Modell selbst wesentliche Hürden festzustellen. Zwar wird auf jeder Ebene nicht nur die Angriffsstrategie, sondern auch die Verteidigungsstrategie betrachtet und entsprechend abgestimmt; jedoch ist es gerade in Bezug auf die ersten beiden Stufen der Cyber Kill Chain eine Herausforderung, entsprechende Gegenmaßnahmen für den Verteidigungsfall zu definieren.

    Die Identifizierung des Ziels, welches der Cyberkriminelle anvisiert, ist aufgrund der Vielzahl und der Komplexität der Cyberangriffe ebenfalls eine Herausforderung. Dies macht sich auch auf der zweiten Ebene des Konzepts bemerkbar. Denn die eigenen Präventivmaßnahmen auf die Strategie des Angreifers – insbesondere auf die individuellen Vorbereitungen des Täters – abzustimmen, ist bei dem Modell der Cyber Kill Chain quasi unmöglich. Und obwohl dieser Ansatz darauf abzielt, dem Angreifer immer einen Schritt voraus zu sein; ist dies in der Praxis nur sehr begrenzt realisierbar.Um den Prozess der Cyber Kill Chain dennoch aufrechtzuerhalten und anwenden zu können, empfiehlt es sich, die Definition der Verteidigungsstrategie für die ersten beiden Stufen sehr abstrakt zu halten. Die Herausforderung besteht letztlich darin, einen geeigneten Weg im Umgang mit etwaig entstehenden Definitionslücken des Modells der Cyber Kill Chain zu finden