:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Was ist die Lockheed Martin Cyber Kill Chain? Cyber Kill Chain - Grundlagen, Anwendung und Entwicklung
Wer Cyber-Attacken früher erkennen und abwehren will, muss die Ziele und das Vorgehen der Angreifer verstehen und die Abwehr danach ausrichten. Die Lockheed Martin Cyber Kill Chain ist ein mehrstufiges Modell zur Analyse von Attacken und zum Aufbau der Abwehr entlang der Angriffsschritte.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Angreifer erkennen und unschädlich machen, das ist nicht nur ein Ziel der Cyber-Sicherheit. Die militärische Verteidigung möchte dies genauso erreichen. Ein Modell der militärischen Abwehr ist die sogenannte Kill Chain, die Angriffskette, die zu der Zerstörung des Angriffsziels führen soll. Mit diesem Modell werden Angriffe strukturiert und in einzelne Schritte zerlegt. Schritte eines Angriffs können sein: Festlegen des Ziels, Lokalisierung des Ziels, Beobachtung des Ziels, Wahl der für das Ziel geeigneten Waffen, Anwendung der Waffen und die Erfolgskontrolle durch Untersuchung des angegriffenen Ziels.
Für jeden Schritt wird in einem solchen Modell überlegt, welche Ziele der Angreifer in diesem Schritt hat und welche Angriffsmethoden er nutzen kann, um seine Ziele zu erreichen. Auf dieser Basis können für jeden Angriffsschritt die passenden Abwehrmethoden definiert werden. Entscheidend ist dabei, dass die Sichtweise des Angreifers das Modell bestimmt und nicht die der Abwehr.
Im Jahr 2011 übertrug das unter anderem im Rüstungsbereich tätige Unternehmen Lockheed Martin das Kill Chain Modell auf die Cyber-Sicherheit. Das Modell trägt hier den inzwischen geschützten Namen „Lockheed Martin Cyber Kill Chain“.
Bestandteile der Cyber Kill Chain
Genau wie die militärische Kill Chain sieht auch die Lockheed Martin Cyber Kill Chain mehrere Angriffsstufen vor. Diese Stufen bilden die Struktur und den Ablauf einer Attacke ab. Zu jeder Stufe gibt das Modell an, welche Aktivitäten Angreifer unternehmen, so dass man seine Abwehr entsprechend aufstellen kann. Im Fall der Cyber Kill Chain sind die Stufen:
RECONNAISSANCE (Identify the Targets)
Angreifer: Sucht sein Ziel, sammelt Informationen über das Ziel (E-Mail-Adressen, Daten aus sozialen Netzwerken, Informationen über Unternehmen und IT-Systeme).
Verteidigung: Minimiert öffentlich einsehbare Informationen, wertet Zugriffe auf Webseiten und Server aus, um verdächtige Suchaktivitäten aufzudecken.
WEAPONIZATION (Prepare the Operation)
Angreifer: Stellt die passenden Angriffswerkzeuge zusammen (Malware, Exploit).
Verteidigung: Sucht Spuren von Angriffsversuchen, analysiert entdeckte Malware, prüft den typischen Einsatzzweck der entdeckten Malware.
DELIVERY (Launch the Operation)
Angreifer: Startet Angriff, verteilt Malware (z.B. via E-Mail, USB-Stick, Social Media, verseuchte Websites).
Verteidigung: Überwacht die möglichen Angriffswege, analysiert entdeckte Angriffe (IT-Forensik), um die Ziele und Absichten besser zu verstehen.
EXPLOITATION (Gain Access to Victim)
Angreifer: Will Schwachstelle (Hardware, Software, Nutzer) ausnutzen, verleitet Nutzer zur Mitwirkung (Social Engineering).
Verteidigung: Beseitigt Schwachstellen, sensibilisiert Nutzer.
INSTALLATION (Establish Beachhead at the Victim)
Angreifer: Installiert und versteckt Malware, bringt Backdoor an.
Verteidigung: Überprüft Installationen, Aktivitäten, Zertifikate und Berechtigungen, blockiert verdächtige Aktionen.
COMMAND & CONTROL (C2) (Remotely Control the Implants)
Angreifer: Sucht und öffnet Kommunikationskanäle, um die Schadfunktionen aus der Ferne steuern zu können.
Verteidigung: Untersucht Malware-Aktivitäten, um Kommunikationskanäle aufzuspüren und zu blockieren.
ACTIONS ON OBJECTIVES (Achieve the Mission’s Goal)
Angreifer: Missbraucht Zugänge und Berechtigungen, versucht weitere Berechtigungen zu erlangen, manipuliert und zerstört Daten und Systeme, stiehlt Informationen.
Verteidigung: Sucht nach verdächtigen Aktivitäten, führt forensische Analysen durch, startet Notfallprogramm, versucht Schaden einzudämmen.
Nutzen der Cyber Kill Chain
Die Cyber-Angriffe werden zunehmend komplex, deshalb ist es wichtig, eine Struktur in den Ablauf der Attacken zu bringen, um die Abwehr strukturieren und organisieren zu können. Genau hier hilft ein Modell wie die Lockheed Martin Cyber Kill Chain. Obwohl die Cyber Kill Chain bereits einige Jahre alt ist, kann sie nicht nur auf klassische Malware-Attacken angewandt werden. Auch die fortschrittlichen Attacken (Advanced Persistent Threats, APTs) lassen sich so abbilden und in Schritte zerlegen.
Während der Angreifer nach dem Modell den kompletten Prozess durchlaufen muss, um das Ziel zu erlangen, kann die Abwehr auf jeder Stufe versuchen, die Cyber Kill Chain zu unterbrechen und so den Angriff zu stoppen. Dennoch ist es erforderlich, die Abwehr tatsächlich mehrstufig aufzubauen, denn auf jeder Stufe kann der Angreifer bereits Schaden anrichten. Je früher der Angriff erkannt und gestoppt werden kann, desto geringer ist der zu erwartende Schaden.
Auf Basis der Cyber Kill Chain können Unternehmen ihre vorhandene Abwehr analysieren, indem sie die Lösungen den einzelnen Stufen zuordnen und so mögliche Lücken in der Cyber-Abwehr identifizieren. Selbst die Funktionen einzelner Security-Lösungen lassen sich den verschiedenen Stufen der Cyber Kill Chain zuordnen. Dadurch kann erkannt werden, ob die eingesetzten Security-Funktionen den notwendigen mehrstufigen Ansatz der Abwehr abbilden.
Ein Vorgehen nach der Cyber Kill Chain hat auch die positive Folge, dass die Abwehr stärker ausgerichtet wird auf Analyse und Erfahrung. Die Abwehr sucht nach Angriffsmustern und lernt aus erkannten Angriffen. Unternehmen bauen dadurch ihre eigene Security Intelligence auf.
Richtiger Einsatz der Cyber Kill Chain
Security Intelligence oder Threat Intelligence gilt als Kernelement der modernen Cyber-Abwehr. Entsprechend kommen vermehr sogenannte Threat Intelligence Plattformen zum Einsatz, die die Security-Analysten bei der Erkennung, Bewertung und Abwehr von Cyber-Attacken unterstützen sollen.
Ein Modell wie Lockheed Martin Cyber Kill Chain hilft bei dem Einsatz von Threat Intelligence Plattformen, indem Prioritäten für die Suche nach verdächtigen Aktivitäten aus dem Modell abgeleitet werden können. Wird auf einer Stufe der Cyber Kill Chain ein Angriff entdeckt, kann für die nächste Stufe mit besonderer Priorität nach den zu erwartenden Folgeaktivitäten gesucht werden. Die Cyber Kill Chain kann also dabei helfen, die richtigen Stellschrauben in der Cyber-Abwehr zu finden und diese richtig zu nutzen.
Aktuelle Weiterentwicklung
Entscheidend für Security Intelligence ist der Austausch von Bedrohungsinformationen mit anderen Organisationen. Die Lockheed Martin Cyber Kill Chain ist in die Entwicklung entsprechender Standards und Austauschformate für Security Intelligence wie STIX (Structured Threat Information eXpression) eingeflossen.
Security-Berichte wie der Annual NTT Global Threat Intelligence Report (GTIR) nutzen die Stufen der Cyber Kill Chain als Referenzpunkte, um zum Beispiel anzugeben, wieviel Prozent der Angriffsaktivitäten auf welcher Stufe des Angriffs entdeckt wurden und welche Abwehrmaßnahmen auf dieser Stufe anzuwenden sind.
Die Lockheed Martin Cyber Kill Chain erfährt in den letzten Jahren auch Kritik, sie sei zu fokussiert auf Malware-Attacken und auf den Prozess eines Systemeinbruchs. Manche Kritiker sagen, eine zu starke Konzentration der Abwehr auf die Cyber Kill Chain sei gefährlich, denn es würden dann andere Angriffswege außer Acht gelassen.
Grundsätzlich jedoch wird die Lockheed Martin Cyber Kill Chain als Hilfe bei der Abwehr begrüßt. Es gibt auch Abwandlungen der Cyber Kill Chain, um zum Beispiel Insider-Attacken abbilden und besser beantworten zu können (Internal Kill Chain). Bei Insider-Attacken können für Angriffe Insider-Informationen und Berechtigungen ausgenutzt werden, die externe Angreifer erst erlangen müssen.
(ID:44690260)
:quality(80)/images.vogel.de/vogelonline/bdb/1930700/1930780/original.jpg "Hacker infiltrierten mit einer neuen Angriffstechnik Ende 2021 Regierungssysteme in Westasien. (Thaut Images - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1944700/1944703/original.jpg "Auch im Zusammenhang mit der Supply-Chain-Security gilt nach wie vor das Sprichwort: Jede Kette ist nur so stark wie ihr schwächstes Glied. (Romolo Tavani - stock.adobe.com)")