Cyber Kill Chain: Können Cyberattacken damit verhindert werden?
von Svenja Koch
Inwieweit das Modell bei der Angriffsabwehr unterstützt – und wo es an seine Grenzen kommt
Die Cyberabwehr findet auf verschiedenen Ebenen statt. Ein Bereich der Verteidigung gegenüber Cyberattacken beschäftigt sich mit der aktiven Abwehr von Angriffen. Bei dem Konzept der Cyber Kill Chain geht es im Kern darum, ungewollte Aktivitäten schnellstmöglich zu identifizieren und die passenden Antworten parat zu haben, bevor die Angreifer für Schäden sorgen.
Der Ursprung der Cyber Kill Chain
Die Cyber Kill Chain geht auf den US-Konzern Lockheed Martin zurück. Lockheed Martin ist im Bereich der Rüstungs- und Militärtechnik sowie der Luftfahrttechnologie tätig. Bei der Entwicklung dieser Strategie für die Cyber Security orientierte sich das Unternehmen an einem militärischen Konzept. Die Kill Chain ähnelt dieser Methodik nicht nur im Namen, sondern auch in der Vorgehensweise. Das Konzept der Cyber Kill Chain entstand im Jahre 2011. Wie das militärische Vorbild konzentriert sich auch diese Methodik auf zwei Kontrahenten, die sich feindlich gegenüberstehen, wobei einer die Position des Angreifers einnimmt, während der andere der Verteidiger ist.
Die Kill Chain unterteilt sich in sieben Phasen beziehungsweise Stufen.
Was sind die 7 Stufen der Cyber Kill Chain?
1) Die erste Phase ist die Erkundung. Hier wählt der Angreifer sein Ziel aus. Dazu gehören bei einer Cyberattacke beispielsweise die Suche nach Mail-Adressen, Informationen aus den sozialen Netzwerken sowie konkrete Daten oder Strukturen über ein bestimmtes Unternehmen und seine IT. Als Verteidigungsmaßnahmen beschreibt die Kill Chain an dieser Stelle Techniken und Maßnahmen, um die Sichtbarkeit von sensiblen Daten im öffentlichen Bereich zu kontrollieren und begrenzen. Neben der Kontrolle von Informationen, die das Unternehmen veröffentlicht, ist ebenso eine kontinuierliche Auswertung der Zugriffe auf die unternehmenseigenen Server und Webseiten Teil der ersten Verteidigungsstufe. Dies identifiziert verdächtige Suchvorgänge, die auf einen geplanten Cyberangriff hinweisen.
2) Die zweite Phase wird als Stufe der „Vorbereitung und Bewaffnung“ bezeichnet. Der Angreifer wählt in diese Phase die passenden Angriffswerkzeuge und Methoden aus. Dazu gehören Malware oder Ransomware sowie die Exploits und Schwachstellen für die Ausführung der Cyberattacke. Die Cyber Verteidigung reagiert in dieser Phase mit der Suche nach Spuren bzw. Indikatoren für erfolgte Angriffsversuche. Falls es entsprechende Anzeichen gibt, erfolgt eine Analyse der gefundenen Schadsoftware. Das Ziel ist es, zu erfahren, welcher Zweck hinter dem beginnenden Angriff steckt.
3) In der dritten Phase geht es um den Beginn der Cyberattacke. Diese Stufe beinhaltet die Ausführung des Angriffsplans. Die Angreifer platzieren die gewählten Angriffsmethoden, beispielsweise via Social Media, über USB-Medien oder mittels eines Watering Hole Angriffs. (Als Water Hole wird eine präparierte Webseite bezeichnet, deren einzige Aufgabe es ist, detaillierte und kritische Informationen, wie etwa Login-Daten, abzufangen.) Die Cyber Security reagiert in der dritten Phase mit analytischen Maßnahmen. Durch eine Überwachung der Angriffsmethoden versucht die Cyberabwehr, die Intentionen der Angreifer zu verstehen. Hierbei kommen auch Techniken aus der IT-Forensik zum Einsatz.
4) Mit der vierten Phase beginnt der eigentliche Cyberangriff. Die Malware ist beim Ziel ausgebracht und es geht darum, das Opfer zur Mitwirkung zu bewegen. Dies geschieht beispielsweise über das Öffnen eines Mailanhangs. Auch die Verbindung eines präparierten USB-Speichers mit dem Netzwerk kann zu solchen Aktionen zählen. Auf diese Angriffe in der vierten Phase antwortet die Abwehr mit der Beseitigung der identifizierten Schwachstellen und Einfallspunkte. Ebenso gilt es im Nachgang, die von dem Cyberangriff anvisierten Nutzer gezielt zu sensibilisieren. So steigt die Resilience gegenüber Social Engineering- oder Phishing-Versuchen.
5) In der fünften Phase beginnen die Kriminellen damit, die Schwachstelle auszunutzen. Sie haben nun Zugriff auf das Netzwerk des Opfers. Diese Stufe wird als Installationsphase bezeichnet. Die Kriminellen installieren die Malware oder richten eine Backdoor im Zielnetzwerk ein. Dies kann beispielsweise über eine identifizierte Schwachstelle in einer Software geschehen, deren Einsatz die Angreifer in einer der vorhergegangenen Stufen festgestellt haben. Für die Cyber Security geht es in der fünften Phase darum, die Tätigkeiten der Angreifer einzuschränken und das Ausmaß der Infiltration auszuloten. Dazu erfolgt eine Überprüfung der Installationen, Zugriffsrechte und Berechtigungen sowie Zertifikate. Finden sich hierbei verdächtige Aktionen, leitet die Cyberabwehr entsprechende Maßnahmen ein und blockiert den Zugriff für die Angreifer.
6) Die sechste Phase in der Kill Chain wird als Command and Control bezeichnet. Auf dieser Stufe haben die Cyberkriminellen bereits einen festen Kommunikationsweg in das Netzwerk des Opfers etabliert. Über diesen Kanal steuern die Angreifer die platzierte Malware. Die Angreifer versuchen weiterhin, den Zugang im Netzwerk auszubauen. Dies geschieht durch Ausbreitung über weitere Systeme oder über die Erweiterung der Zugangsberechtigungen. Um dies zu erreichen, spionieren die Angreifer nützliche Daten aus, unter anderem über das Kopieren von Tastenanschlägen oder mithilfe von Screenshots, die die Malware heimlich anfertigt und an den Command-and-Control-Server überträgt.
Die zentrale Aufgabe der Cyber Security in dieser Phase ist es, die Kommunikationskanäle der Eindringlinge aufzuspüren. Sie untersucht die Aktivitäten der Malware und findet so die Methode, wie die Angreifer diese Software kontrollieren. Dann erfolgt umgehend eine Blockierung dieser Kanäle, um die Kommunikation zu unterbinden.
7) In der siebten und finalen Phase führen die Kriminellen das eigentliche Ziel ihres Angriffs aus. Eine Möglichkeit ist die Aktivierung der installierten Ransomware, die dann Daten verschlüsselt oder vernichtet. Viele Angriffe zielen auch auf bestimmte Daten ab, die Angreifer in dieser Phase entwenden. Die Cyber Security hat in der siebten Phase der Cyber Kill Chain die Aufgabe, die Aktivitäten der Angreifer aufzuspüren und schnellstmöglich zu unterbinden. Ein vorbereiteter Notfallplan tritt in Kraft, sobald die Cyberattacke erkannt ist. Ziel ist es, Schäden einzudämmen beziehungsweise sogar zu verhindern. In dieser Stufe gehört auch die forensische Analyse zu den Tools der Cyberabwehr.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Vor- und Nachteile der Methodik Cyber Kill Chain
Die Methodik der Cyber Kill Chain zeigt in der Praxis sowohl positive Aspekte als auch einige Schwachpunkte.
Ein Vorteil des Konzepts ist die systematische Herangehensweise an die Abwehr des Cyberangriffs. Dabei bleibt die Cyber Kill Chain einerseits sehr mehrdeutig in der spezifischen Definition der Angriffstechniken. Andererseits bereitet das Konzept gerade durch diese Herangehensweise vielseitig und dynamisch auf unterschiedliche Bedrohungen vor.
Die Komplexität der Cyberattacken nimmt immer weiter zu, was es schwer macht, konkrete Abwehrtechniken für eine bestimmte Art von Angriff zu entwerfen. Durch die Schaffung einer strukturierten Vorgehensweise, die sich an bestimmten Anhaltspunkten orientiert, gelingt hingegen die Organisation einer organisierten Verteidigung. Hier zeigt die Cyber Kill Chain Parallelen zu dem militärischen Vorbild, wo ebenfalls auf bestimmte Aktionen eine klar definierte Reaktion erfolgt.
Die stufenweise Auflistung der unterschiedlichen Phasen gehört ebenfalls zu den Stärken der Cyber Kill Chain. Gerade aus der Sicht des Angreifers folgt ein Cyberangriff sehr präzise dem beschriebenen Ablauf. Dies gibt zum einen Einblicke in die Vorgehensweise der Angreifer, zum anderen ist somit sofort eindeutig angezeigt, in welcher Stufe sich die Attacke aktuell befindet - wenn die Cyberabwehr die definierten Anzeichen erkennt.
Wie oben erörtert, definiert die Cyber Kill Chain je Stufe konkrete Gegenmaßnahmen. Dies ermöglicht eine schnelle Reaktion, da klare Aktionen benannt sind. Dadurch kann die Cyber Security den Cyberangriff auf jeder einzelnen der sieben Stufen identifizieren und umgehend Gegenmaßnahmen einleiten, so dass ein potenzieller Schaden vom Unternehmen abgewendet werden kann. Im optimalen Fall gelingt es, den Angriff in einem frühen Stadium zu stoppen. Die Cyber Kill Chain ist außerdem so aufgebaut, dass die Cyberabwehr auf jeder der sieben Stufen einsteigen kann und dann mit Maßnahmen auf die aktuelle Situation reagiert.
Die Vorgehensweise dieser Methodik trägt dazu bei, in der Cyber Security nach dem Prinzip der Analyse zu arbeiten. Dies ist vor allem langfristig von Vorteil, da auf diese Weise differenzierte Erfahrungen gesammelt werden. Gleichzeitig entsteht eine Routine, was für mehr Effektivität bei der Verteidigung gegenüber Cyberattacken sorgt.
Die Cyber Kill Chain dient primär als Anleitung für den Aufbau einer Cyberabwehr. Unternehmen überprüfen anhand der strukturierten Auflistung ihre eigene Cyber Security. Anhand einer solchen Analyse ist es möglich, die eigene Cyberverteidigung zu optimieren. Dies gibt einer Organisation die Chance, die eigene Abwehr zu verbessern, wenn Lücken in der Verteidigung auf einer bestimmten Ebene identifiziert sind.
Kritikpunkte am Cyber Kill Chain Modell
Es gibt jedoch auch Kritik an dem Muster der Cyber Kill Chain. Deren Fokus liegt vor allem auf der Abwehr von externen Bedrohungen und spezifisch der Malware. Die Malware stellt jedoch nur einen Kanal und eine Form der Cyberbedrohung dar. Die Cyber Kill Chain lässt interne Sicherheitsrisiken und andere alternative Angriffsvektoren größtenteils außer Acht. Deshalb ist als Erweiterung dieser Methodik die Internal Kill Chain entstanden. Diese beschäftigt sich mit den Anzeichen von internen Bedrohungen sowie dem Vorgehen in solchen Situationen.
Ein weiterer Kritikpunkt bezieht sich auf den technisch fokussierten Ansatz des Leitfadens. Der menschliche Faktor wird weitestgehend ignoriert. Als Antworten definiert das Schema fast ausschließlich technische Maßnahmen. Viele IT-Sicherheitsrisiken entstehen jedoch durch Unwissenheit und Fehlverhalten der Mitarbeiter. Hierbei ist es auch möglich, dass die Kette der Kill Chain aus Sicht des Angreifers an einer beliebigen Stelle beginnt. Beispielsweise kann ein Mitarbeiter einen infizierten USB-Speicherstick mit einem Rechner im internen Netzwerk verbinden, ohne dass das Unternehmen das eigentliche Ziel dieses Cyberangriffs ist. Dementsprechend fehlen in einem solchen Szenario die vorhergehenden Anzeichen für eine beginnende Attacke. Der Angriff beginnt in so einem Fall direkt mit der Auslieferungsstufe in Phase drei.
Ein nicht unwesentlicher Kritikpunkt beleuchtet den statischen Aufbau des Verfahrens. So fehlen zum Beispiel präzise Anweisungen, mit welchen konkreten Mitteln auf einen Cyberangriff zu reagieren ist. Zwar benennt das Schema, welche Maßnahme grundsätzlich benötigt wird. Die präzise Planung, wie und mit welchen Mitteln, beispielsweise mit welcher Software oder ob ein externer Dienstleister dafür eingesetzt wird, obliegt weiterhin der Organisation.