Attack Kill Chain

Anzeichen für IT-Attacken erkennen

| Autor / Redakteur: Alexander Peters / Stephan Augsten

Je früher man aus der Attack Kill Chain ausbrechen kann, desto geringere Auswirkungen hat ein Sicherheitsvorfall.
Je früher man aus der Attack Kill Chain ausbrechen kann, desto geringere Auswirkungen hat ein Sicherheitsvorfall. (Bild: fontriel - Fotolia.com)

In den USA beschreibt die Abkürzung INAMOIBW, dass man in der IT-Sicherheit immer mit dem Schlimmsten rechnen sollte: „It’s not a matter of if but when.“ Wo bislang der Fokus zu sehr auf Prävention und Schutz lag, sollte man deshalb die Detektion und Eindämmung stärken.

Angriffe werden leider oft erst zu spät erkannt. Deshalb ist es kritisch, die Spuren erfolgreicher Angriffe möglichst schnell zu identifizieren und zu analysieren, damit man sofort handeln kann. Nur dann ist man in der Lage, Angriffe auch schnell einzudämmen. Sogar das BSI unterstreicht das Konzept des „Assume the Breach“ im Bericht „Die Lage der IT Sicherheit in Deutschland 2015“.

Bei der Auswahl von Security Tools sollte man betrachten, bei welchem Teil der „Attack Kill Chain“ ein Mehrwert entsteht und wo es Lücken gibt. Werkzeuge können zwar funktionierende Prozesse und geschulte Mitarbeiter unterstützen, diese aber nicht ersetzen.

1. Schritt: Aufklärung (Reconnaissance): Das Ziel für einen Cyber-Angriff wird ausgewählt und holt relevante Informationen über das Ziel ein. Angreifer interessieren sich nicht nur für technische Schwachstellen: auch Menschen und Prozesse haben Schwächen und diese können ausgenutzt werden.

2. Schritt: Exploit erstellen (Weaponization): Der nächste Schritt ist die Bereitstellung der Angriffsmethode - des Exploits. Man bereitet ein Stück Software bzw. eine Datei vor, um über eine IT Schwachstelle Zugang zu einem System zu erhalten. Mittlerweile gibt es ja neben dem kriminellen Schwarz-Markt auch absolut legitime Märkte und Tools für Zeor Day Exploits. Die Anzahl von "Zero-Days" ist von 24 im Jahr 2014 auf über 50 im Jahr 2015 angestiegen. Die meisten Angriffe verwenden jedoch leider bekannte Schwachstellen.

3. Schritt: Zustellung (Delivery): Sobald man die Angriffs-Payload fertiggestellt hat, muss man diese an das Ziel liefern. Hier kommen die „menschlichen Schwachstellen“ zum Einsatz: z.B. wenn man einen Mitarbeiter dazu bewegt, einen geschenkten USB-Stick in einen Rechner zu stecken und Dateien zu öffnen, oder eine E-Mail so vertrauenswürdig erscheinen lässt, dass der Anhang geöffnet oder auf ein Link geklickt wird. Auch populär sind Watering-Hole Attacks: über Web-Seiten, die von Mitarbeitern häufig genutzt werden, verteilt man Angriffs-Software. Durch eine Kombination von Schutz und Sensoren auf Perimeter, Servern und Endpunkten kann man hier schon eine erfolgreiche Auslieferung von Exploits erschweren bzw. verdächtiges Verhalten erkennen.

Ergänzendes zum Thema
 
Über Alexander Peters
 
Über die IT-SECURITY MANAGEMENT & TECHNOLOGY Conference 2016

4. Schritt: Eindringen (Exploitation): Wurde der Exploit erfolgreich ausgeliefert, kann auf dem Ziel-System ein entsprechender Code ausgeführt werden. Somit bekommt man als Angreifer schnell Zugang zum Ziel-System.

5. Schritt: Installieren (Installation): Nachdem man Zugang zu einem System erlangt hat, werden dann oft weitere Tools auf das kompromittierte System geladen.

6. Schritt: Command & Control: Nun geht es an die Übernahme relevanter Systeme im Hintergrund mit dem Ziel, Kommandos an das System zu leiten. In dieser Phase werden die Angriffs-Werkzeuge ggf. aktualisiert und nach Bedarf werden neue Module geladen. Hier kann es auch zu der internen Verbreitung auf andere Systeme kommen: "lateral Movement".

7. Schritt: Handeln (Action on Objectives): In dieser Phase findet dann auch die Exfiltration der Daten oft über verdeckte, verschlüsselte Kommunikations-Wege nach außen statt.

Von Protect hin zu Detect & Respond

Man darf sich also nicht nur auf den Schutz konzentrieren. Man muss sich vielmehr auch aktiv auf die Jagd nach Anzeichen machen, die einem zeigen, ob es schon zu einem der oben genannten Angriffsschritte gekommen ist.

Hier helfen eine stärkere Automatisierung sowie die intelligente Priorisierung durch Korrelation verschiedener lokaler Daten mit globalen Bedrohungs- und Reputationsdaten. Eine ausgereifte „Detonation Sandbox“ kann bei der Analyse von Schadcodes helfen, wobei die Ergebnisse Handlungs-Schritte zur Eindämmung und Bereinigung an möglichst vielen Kontrollpunkten ermöglichen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44061922 / Sicherheitsvorfälle)