WatchGuard Blog

Souverän entlang der Cyber Kill Chain (Teil 1)

Das 2011 von Lockheed Martin unter dem Namen „Cyber Kill Chain“ geprägte Modell der Angriffskette ist – in adaptierter und erweiterter Form – ein nützliches Hilfsmittel zur Etablierung ganzheitlicher, zeitgemäßer IT-Sicherheitskonzepte. An dieser Stelle soll zunächst vorgestellt werden, was sich dahinter verbirgt – bevor wir in der Fortsetzung darauf eingehen, warum das Thema Endpoint Security im Zuge dessen eine entscheidende Rolle spielt.

Insbesondere vor dem Hintergrund immer neuer, hochentwickelter Angriffsmuster trägt das Modell der Cyber Kill Chain dazu bei, das Bewusstsein von Unternehmen im Hinblick auf die gegenwärtige Gefahrenlage zu schärfen. Es definiert mehrere Phasen, die Angreifer durchlaufen müssen, um ihr Ziel zu erreichen.

Phasen der Cyber Kill Chain:

  1. Auskundschaftung: Sammeln von Informationen zum Zielobjekt (E-Mailadressen, Arbeitsroutinen, Organisationsstrukturen, genutzte Technologien, branchenspezifische Anforderungen, Social-Media-Aktivitäten etc.) mithilfe unterschiedlicher Techniken
  2. Bewaffnung: Auswahl der passenden Angriffsroute und des geeigneten Werkzeugs (Ausnutzung von Webanwendungen oder Schwachstellen in Dokumenten, Einsatz standardisierter oder maßgeschneiderter Malware)
  3. Zustellung: Verteilen der schädlichen Inhalte über bereitstehenden Übertragungsweg (E-Mail, Web, USB-Stick etc.)
  4. Zugriff: Ausnutzen vorhandener Schwachstellen, um Schadsoftware zu aktivieren und/oder das Zielobjekt zu manipulieren
  5. Installation: Festsetzen der Schadsoftware auf jeweiligem Zielsystem
  6. Rückkopplung: Kontaktaufnahme der Malware zum Command-and-Control-Server, um dem Angreifer die Kontrolle über das Zielsystem (Steuerung via DNS, ICMP, Webseiten, soziale Netzwerke) zu ermöglichen und weitere Daten und/oder sensible Inhalte und Dokumente zu sammeln (Methoden: Bildschirmaufnahmen, Überwachung von Tastenanschlägen, Knacken von Passwörtern), häufig Kopie aller internen Daten auf Staging Host zur anschließenden Kompromittierung und Verschlüsselung
  7. Zielerreichung: Ausführen des ursprünglichen Plans durch den Angreifer (Übergriff auf weitere Ziele, Datenexport)

Zu beachten ist, dass die Cyber Kill Chain nicht linear, sondern zyklisch verläuft und in erweiterter Form neben der externen Sphäre einer Unternehmensinfrastruktur – jenseits des Perimeters – auch die interne betrifft.

Unternehmen grundsätzlich im Vorteil

Ganz unabhängig von den spezifischen Aktivitäten auf den einzelnen Stufen der Cyber Kill Chain ist vor allem eine Kernaussage des Modells entscheidend: Ein Angriff lässt sich in jeder Phase stoppen und die Kette damit unterbrechen. Somit haben Unternehmen gegenüber Cyberkriminellen einen entscheidenden Vorteil: Während erfolgreiche Attacken alle Stufen durchlaufen müssen, reicht es im Zuge der Verteidigung in der Regel aus, an einer Stelle der Cyber Kill Chain einzugrätschen, um dem Angreifer die komplette Tour zu vermasseln. Oft ist es in dem Zusammenhang schon zielführend, wenn die vom Unternehmen eingesetzten Schutzmaßnahmen den Aufwand auf Seiten der Cyberkriminellen frühzeitig treiben. Dadurch steigen die Chancen, dass der Angreifer von ganz allein die Lust verliert und sich „leichtere Beute“ sucht.

In der Fortsetzung dieses Beitrags wird gezeigt, welche Relevanz in diesem Zusammenhang von leistungsstarkem Endpoint-Schutz ausgeht.