Was ist eine Cybersecurity Kill Chain?

Verständnis, Erkennung und Verhütung anhaltender Cyber-Bedrohungen

Das Cybersecurity Kill Chain-Modell erklärt die typische Vorgehensweise von Hackern bei einem erfolgreichen Cyberangriff. Dieser Rahmen wurde von Lockheed Martin entwickelt, von militärischen Angriffsmodellen abgeleitet und auf den digitalen Bereich angewandt, um Teams beim Verstehen, Erkennen und Verhindern anhaltender Cyberbedrohungen zu unterstützen. Zwar werden nicht bei allen Cyberangriffen alle sieben Phasen des Cybersecurity Kill Chain-Modells genutzt, doch die meisten Angriffe folgen einem Großteil dieser Phasen, häufig von Phase 2 bis Phase 6.

Was sind die Phasen der Cybersecurity Kill Chain?

Es gibt mehrere andere Cyber-Kill-Chain-Modelle, die von verschiedenen Unternehmen entwickelt wurden. Der Einfachheit halber werden wir uns jedoch an das Modell von Lockheed Martin halten, das in der Branche am bekanntesten ist. Im Folgenden erläutern wir die einzelnen Phasen und bieten kurze Lösungen für jede von ihnen an, damit Sie die Vorgehensweise der Hacker beim Angriff auf ein Unternehmen besser verstehen.

Phase 1: Erkundung

Wie jede andere Form der traditionellen Kriegsführung beginnen die erfolgreichsten Cyberangriffe mit dem Sammeln einer Fülle von Informationen. Die Aufklärung ist die erste Phase in der Cybersecurity Kill Chain. In dieser Phase kommen verschiedene Techniken, Werkzeuge und häufig genutzte Funktionen zum Einsatz, darunter:

  • Suchmaschine
  • Web Archive
  • Public cloud services
  • Domain name registrations
  • WHOIS command
  • Packet sniffers (Wireshark, tcpdump, WinDump, etc.)
  • Network mapping (nmap)
  • DIG command
  • Ping
  • Port scanners (Zenmap, TCP port scanner, etc.)

Es gibt eine Reihe von Tools und Techniken, die Hacker einsetzen, um Informationen über ihre Ziele zu sammeln und verschiedene Daten aufzudecken. Diese Datenbits können dann genutzt werden, um Zugangspunkte zu Ihren Anwendungen, Netzwerken und zunehmend auch zu Cloud-basierten Datenbanken zu finden. Es ist wichtig, dass Sie Ihre vertraulichen Daten mit cloudbasierten SASE-Sicherheitsmaßnahmen, Verschlüsselung und sicheren Websites schützen, um zu verhindern, dass Angreifer beim Durchsuchen Ihrer öffentlich zugänglichen Ressourcen wie Apps und Cloud-Dienste auf kompromittierende Informationen stoßen.

Phase 2: Bewaffnung

Sobald ein Angreifer genügend Informationen über sein Ziel gesammelt hat, wählt er einen oder mehrere Angriffsvektoren aus, um Ihre Umgebung zu infiltrieren. Ein Angriffsvektor ist ein Mittel, mit dem sich Hacker unbefugten Zugang zu Ihren Systemen und Informationen verschaffen. Die Angriffsvektoren reichen von einfachen bis hin zu hochtechnischen Angriffen, aber bedenken Sie, dass Hacker bei der Auswahl ihrer Ziele in der Regel die Kosten gegen den Return on Investment abwägen.

Angreifer berücksichtigen alles, von der Rechenleistung bis zur Amortisationszeit. Der typische Hacker geht den Weg des geringsten Widerstands. Deshalb ist es wichtig, alle möglichen Einstiegspunkte entlang der Angriffsoberfläche (alle Punkte, an denen Sie angreifbar sind) zu berücksichtigen und Ihre Sicherheit entsprechend zu verbessern.

Zu den gängigen Angriffsvektoren gehören:

  • Schwache oder gestohlene Anmeldedaten
  • Fernzugriffsdienste (RDP, SSH, VPNs)
  • Nachlässige Mitarbeiter
  • Insider-Bedrohungen
  • Schlechte oder keine Verschlüsselung
  • System-Fehlkonfigurationen
  • Vertrauensbeziehungen zwischen Geräten/Systemen
  • Phishing (Social Engineering)
  • Denial-of-Service-Angriffe
  • Man-in-the-Middle-Angriffe (MITM)
  • Trojaner
  • SQL-Injection-Angriffe
  • Und viele andere

Denken Sie daran: Ein Hacker braucht nur einen Angriffsvektor, um erfolgreich zu sein. Daher ist Ihre Sicherheit nur so stark wie ihr schwächstes Glied, und es liegt an Ihnen, zu erkennen, wo diese potenziellen Angriffsmöglichkeiten bestehen. Ransomware-Angriffe nutzen nach wie vor Fernzugriffsdienste, um sich Zugang zu verschaffen, seitliche Bewegungen auszuführen und sensible Daten für die Exfiltration zu identifizieren – alles, bevor die Daten verschlüsselt und Lösegeld gefordert wird.

Sobald sich ein Angreifer Zutritt verschafft hat, besteht sein nächster Schritt in der Regel darin, verschiedene Möglichkeiten zu finden, sich seitlich durch Ihr Netzwerk oder Ihre Cloud-Ressourcen zu bewegen und seine Zugriffsrechte zu erweitern, um an die wertvollsten Informationen zu gelangen, während er so lange wie möglich unentdeckt bleibt. Um dieses Verhalten zu verhindern, müssen Zero-Trust-Prinzipien implementiert werden, die eine erneute Authentifizierung der Identität erfordern, wenn Benutzer innerhalb von Netzen oder Anwendungen von einem Bereich in einen anderen wechseln.

Phase 3: Durchführung des Angriffs

Nachdem er sich Zugang zu Ihren Systemen verschafft hat, steht es einem Hacker frei, die Malware seiner Wahl (Malware, Ransomware, Spyware usw.) in die Systeme einzuschleusen. Sie erstellen Programme für alle Arten von Angriffen, die sofort, mit Verzögerung oder durch eine bestimmte Aktion (Logikbombe) ausgelöst werden können. Manchmal sind diese Angriffe ein einmaliges Ereignis, in anderen Fällen stellen Hacker eine Fernverbindung zu Ihrem Netzwerk her, die ständig überwacht und kontrolliert wird.

Die Erkennung von Malware mit Next Gen SWGs, die den Web- und Cloud-Datenverkehr entschlüsseln und untersuchen, ist eine Schlüsselkomponente, um die Übertragung dieser Art von Schadsoftware zu verhindern. Angriffe werden zunehmend über die Cloud ausgeführt: 68 % der Malware wird über die Cloud und nicht über das Internet eingeschleust. Inline-Bedrohungs-Scans für den Web- und Cloud-Datenverkehr sowie die Überprüfung des Status aller Endgeräte sind entscheidend, um sicherzustellen, dass Ihr Unternehmen nicht mit bösartiger Software infiziert wird.

Phase 4: Aufspüren von Sicherheitslücken

Sobald die beabsichtigte Malware eingeschleust ist, beginnt je nach Art des Angriffs die Ausbeutung eines Systems. Wie bereits erwähnt, erfolgen einige Angriffe mit einer Verzögerung, während andere von einer bestimmten Aktion des Ziels abhängen, die als logische Bombe bezeichnet wird. Diese Programme enthalten manchmal Verschleierungsfunktionen, die ihre Aktivitäten und ihren Ursprung verbergen und eine Entdeckung verhindern.

Sobald das ausführbare Programm ausgelöst wurde, kann der Hacker den Angriff wie geplant starten, was uns zu den nächsten Phasen führt und verschiedene Arten von Exploits umfasst.

Phase 5: Installation

Wenn ein Hacker eine Gelegenheit für künftige Angriffe sieht, besteht sein nächster Schritt darin, eine Hintertür zu installieren, um ständigen Zugang zu den Systemen des Ziels zu erhalten. Auf diese Weise können sie innerhalb des Zielnetzes kommen und gehen, ohne Gefahr zu laufen, bei ihrem erneuten Eindringen durch andere Angriffsvektoren entdeckt zu werden. Solche Hintertüren können durch Rootkits und schwache Anmeldedaten eingerichtet werden. Solange das Verhalten dieser Personen vor einem Sicherheitsteam nicht auffällt (z. B. ungewöhnliche Anmeldezeiten oder signifikante Datenbewegungen), kann ein solches Eindringen schwer zu erkennen sein. Die SASE-Architektur kombiniert zahlreiche Sicherheitsmaßnahmen zur Erfassung umfangreicher Metadaten über Benutzer, Geräte, Anwendungen, Daten, Aktivitäten und andere Attribute zur Unterstützung von Untersuchungen und Anomalieerkennung.

Phase 6: Fernsteuerung

Sobald die Programme und Backdoors installiert sind, übernimmt der Angreifer die Kontrolle über die Systeme und führt den geplanten Angriff aus. Alle Maßnahmen, die hier ergriffen werden, dienen ausschließlich dazu, die Kontrolle über die Situation der Zielperson zu behalten. Diese Aktionen können in Zukunft verschiedene Formen annehmen, wie z. B. das Einschleusen von Ransomware, Spyware oder anderen Mitteln zur Datenexfiltration.

Sobald Sie einen Eindringling und die Datenexfiltration bemerken, ist es in der Regel zu spät – die Hacker haben die Kontrolle über Ihr System übernommen. Once you notice an intruder and data exfiltration, it is usually too late – the hackers have taken control of your system. Ein Computer kann bösartiges Verhalten viel schneller erkennen und verhindern als jeder Netzwerkadministrator.

Phase 7: Zielerreichung

All dies hat zu diesem Punkt geführt. Dies ist die Phase der kontinuierlichen Ausführung, in der ein Angreifer gegen sein Ziel vorgeht, die Daten verschlüsselt, um Lösegeld zu erpressen, die Daten exfiltriert, um davon zu profitieren, das Netzwerk mit einem Denial-of-Service-Angriff lahmlegt oder das Systemverhalten mit Spyware auf andere Schwachstellen hin überwacht, um nur einige mögliche Ergebnisse zu nennen. In dieser letzten Phase der Kill Chain betreiben die Angreifer oft Spionage und Überwachung, während sie ihre Aktivitäten unauffällig fortsetzen.

Die Echtzeit-Überwachung von Datenbewegungen und die Erkennung verdächtigen Verhaltens ist von entscheidender Bedeutung, da Angreifer so schnell wie möglich handeln, um ihre Ziele zu erreichen. Sie haben nie genug Zeit, um auf alle möglichen Anomalien innerhalb einer großen Unternehmensstruktur zu reagieren, daher muss Ihre Rolle bei der Prävention eher proaktiv als reaktiv sein.

Wie kann c4sam Cyberangriffe verhindern?

In den kommenden Blogartikeln wird erläutert, wie unsere Lösung Unternehmen in jeder der oben genannten Phasen schützen kann.

Stay tuned!

Quelle: https://www.netskope.com/de/security-defined/cyber-security-kill-chain

Weitere Blog Posts

Close