Was ist die Lockheed Martin Cyber Kill Chain?

Cyber Kill Chain - Grundlagen, Anwendung und Entwicklung

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Die Lockheed Martin Cyber Kill Chain beschreibt Cyber-Attacken in sieben Stufen. Während der Angreifer nach dem Modell alle sieben Stufen erfolgreich durchlaufen muss, reicht es für die Abwehr, die Cyber Kill Chain an nur einer Stelle zu unterbrechen. Trotzdem muss die Abwehr genau wie der Angriff mehrstufig aufgebaut sein.
Die Lockheed Martin Cyber Kill Chain beschreibt Cyber-Attacken in sieben Stufen. Während der Angreifer nach dem Modell alle sieben Stufen erfolgreich durchlaufen muss, reicht es für die Abwehr, die Cyber Kill Chain an nur einer Stelle zu unterbrechen. Trotzdem muss die Abwehr genau wie der Angriff mehrstufig aufgebaut sein. (© Romolo Tavani - Fotolia.com)

Wer Cyber-Attacken früher erkennen und abwehren will, muss die Ziele und das Vorgehen der Angreifer verstehen und die Abwehr danach ausrichten. Die Lockheed Martin Cyber Kill Chain ist ein mehrstufiges Modell zur Analyse von Attacken und zum Aufbau der Abwehr entlang der Angriffsschritte.

Angreifer erkennen und unschädlich machen, das ist nicht nur ein Ziel der Cyber-Sicherheit. Die militärische Verteidigung möchte dies genauso erreichen. Ein Modell der militärischen Abwehr ist die sogenannte Kill Chain, die Angriffskette, die zu der Zerstörung des Angriffsziels führen soll. Mit diesem Modell werden Angriffe strukturiert und in einzelne Schritte zerlegt. Schritte eines Angriffs können sein: Festlegen des Ziels, Lokalisierung des Ziels, Beobachtung des Ziels, Wahl der für das Ziel geeigneten Waffen, Anwendung der Waffen und die Erfolgskontrolle durch Untersuchung des angegriffenen Ziels.

Für jeden Schritt wird in einem solchen Modell überlegt, welche Ziele der Angreifer in diesem Schritt hat und welche Angriffsmethoden er nutzen kann, um seine Ziele zu erreichen. Auf dieser Basis können für jeden Angriffsschritt die passenden Abwehrmethoden definiert werden. Entscheidend ist dabei, dass die Sichtweise des Angreifers das Modell bestimmt und nicht die der Abwehr.

Im Jahr 2011 übertrug das unter anderem im Rüstungsbereich tätige Unternehmen Lockheed Martin das Kill Chain Modell auf die Cyber-Sicherheit. Das Modell trägt hier den inzwischen geschützten Namen „Lockheed Martin Cyber Kill Chain“.

Bestandteile der Cyber Kill Chain

Genau wie die militärische Kill Chain sieht auch die Lockheed Martin Cyber Kill Chain mehrere Angriffsstufen vor. Diese Stufen bilden die Struktur und den Ablauf einer Attacke ab. Zu jeder Stufe gibt das Modell an, welche Aktivitäten Angreifer unternehmen, so dass man seine Abwehr entsprechend aufstellen kann. Im Fall der Cyber Kill Chain sind die Stufen:

RECONNAISSANCE (Identify the Targets)

Angreifer: Sucht sein Ziel, sammelt Informationen über das Ziel (E-Mail-Adressen, Daten aus sozialen Netzwerken, Informationen über Unternehmen und IT-Systeme).
Verteidigung: Minimiert öffentlich einsehbare Informationen, wertet Zugriffe auf Webseiten und Server aus, um verdächtige Suchaktivitäten aufzudecken.

WEAPONIZATION (Prepare the Operation)

Angreifer: Stellt die passenden Angriffswerkzeuge zusammen (Malware, Exploit).
Verteidigung: Sucht Spuren von Angriffsversuchen, analysiert entdeckte Malware, prüft den typischen Einsatzzweck der entdeckten Malware.

DELIVERY (Launch the Operation)

Angreifer: Startet Angriff, verteilt Malware (z.B. via E-Mail, USB-Stick, Social Media, verseuchte Websites).
Verteidigung: Überwacht die möglichen Angriffswege, analysiert entdeckte Angriffe (IT-Forensik), um die Ziele und Absichten besser zu verstehen.

EXPLOITATION (Gain Access to Victim)

Angreifer: Will Schwachstelle (Hardware, Software, Nutzer) ausnutzen, verleitet Nutzer zur Mitwirkung (Social Engineering).
Verteidigung: Beseitigt Schwachstellen, sensibilisiert Nutzer.

INSTALLATION (Establish Beachhead at the Victim)

Angreifer: Installiert und versteckt Malware, bringt Backdoor an.
Verteidigung: Überprüft Installationen, Aktivitäten, Zertifikate und Berechtigungen, blockiert verdächtige Aktionen.

COMMAND & CONTROL (C2) (Remotely Control the Implants)

Angreifer: Sucht und öffnet Kommunikationskanäle, um die Schadfunktionen aus der Ferne steuern zu können.
Verteidigung: Untersucht Malware-Aktivitäten, um Kommunikationskanäle aufzuspüren und zu blockieren.

ACTIONS ON OBJECTIVES (Achieve the Mission’s Goal)

Angreifer: Missbraucht Zugänge und Berechtigungen, versucht weitere Berechtigungen zu erlangen, manipuliert und zerstört Daten und Systeme, stiehlt Informationen.
Verteidigung: Sucht nach verdächtigen Aktivitäten, führt forensische Analysen durch, startet Notfallprogramm, versucht Schaden einzudämmen.

Nutzen der Cyber Kill Chain

Die Cyber-Angriffe werden zunehmend komplex, deshalb ist es wichtig, eine Struktur in den Ablauf der Attacken zu bringen, um die Abwehr strukturieren und organisieren zu können. Genau hier hilft ein Modell wie die Lockheed Martin Cyber Kill Chain. Obwohl die Cyber Kill Chain bereits einige Jahre alt ist, kann sie nicht nur auf klassische Malware-Attacken angewandt werden. Auch die fortschrittlichen Attacken (Advanced Persistent Threats, APTs) lassen sich so abbilden und in Schritte zerlegen.

Während der Angreifer nach dem Modell den kompletten Prozess durchlaufen muss, um das Ziel zu erlangen, kann die Abwehr auf jeder Stufe versuchen, die Cyber Kill Chain zu unterbrechen und so den Angriff zu stoppen. Dennoch ist es erforderlich, die Abwehr tatsächlich mehrstufig aufzubauen, denn auf jeder Stufe kann der Angreifer bereits Schaden anrichten. Je früher der Angriff erkannt und gestoppt werden kann, desto geringer ist der zu erwartende Schaden.

Auf Basis der Cyber Kill Chain können Unternehmen ihre vorhandene Abwehr analysieren, indem sie die Lösungen den einzelnen Stufen zuordnen und so mögliche Lücken in der Cyber-Abwehr identifizieren. Selbst die Funktionen einzelner Security-Lösungen lassen sich den verschiedenen Stufen der Cyber Kill Chain zuordnen. Dadurch kann erkannt werden, ob die eingesetzten Security-Funktionen den notwendigen mehrstufigen Ansatz der Abwehr abbilden.

Ein Vorgehen nach der Cyber Kill Chain hat auch die positive Folge, dass die Abwehr stärker ausgerichtet wird auf Analyse und Erfahrung. Die Abwehr sucht nach Angriffsmustern und lernt aus erkannten Angriffen. Unternehmen bauen dadurch ihre eigene Security Intelligence auf.

Richtiger Einsatz der Cyber Kill Chain

Security Intelligence oder Threat Intelligence gilt als Kernelement der modernen Cyber-Abwehr. Entsprechend kommen vermehr sogenannte Threat Intelligence Plattformen zum Einsatz, die die Security-Analysten bei der Erkennung, Bewertung und Abwehr von Cyber-Attacken unterstützen sollen.

Ein Modell wie Lockheed Martin Cyber Kill Chain hilft bei dem Einsatz von Threat Intelligence Plattformen, indem Prioritäten für die Suche nach verdächtigen Aktivitäten aus dem Modell abgeleitet werden können. Wird auf einer Stufe der Cyber Kill Chain ein Angriff entdeckt, kann für die nächste Stufe mit besonderer Priorität nach den zu erwartenden Folgeaktivitäten gesucht werden. Die Cyber Kill Chain kann also dabei helfen, die richtigen Stellschrauben in der Cyber-Abwehr zu finden und diese richtig zu nutzen.

Aktuelle Weiterentwicklung

Entscheidend für Security Intelligence ist der Austausch von Bedrohungsinformationen mit anderen Organisationen. Die Lockheed Martin Cyber Kill Chain ist in die Entwicklung entsprechender Standards und Austauschformate für Security Intelligence wie STIX (Structured Threat Information eXpression) eingeflossen.

Security-Berichte wie der Annual NTT Global Threat Intelligence Report (GTIR) nutzen die Stufen der Cyber Kill Chain als Referenzpunkte, um zum Beispiel anzugeben, wieviel Prozent der Angriffsaktivitäten auf welcher Stufe des Angriffs entdeckt wurden und welche Abwehrmaßnahmen auf dieser Stufe anzuwenden sind.

Die Lockheed Martin Cyber Kill Chain erfährt in den letzten Jahren auch Kritik, sie sei zu fokussiert auf Malware-Attacken und auf den Prozess eines Systemeinbruchs. Manche Kritiker sagen, eine zu starke Konzentration der Abwehr auf die Cyber Kill Chain sei gefährlich, denn es würden dann andere Angriffswege außer Acht gelassen.

Grundsätzlich jedoch wird die Lockheed Martin Cyber Kill Chain als Hilfe bei der Abwehr begrüßt. Es gibt auch Abwandlungen der Cyber Kill Chain, um zum Beispiel Insider-Attacken abbilden und besser beantworten zu können (Internal Kill Chain). Bei Insider-Attacken können für Angriffe Insider-Informationen und Berechtigungen ausgenutzt werden, die externe Angreifer erst erlangen müssen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44690260 / Risk Management)