Netzwerksicherheit

Cyber Kill Chain als Basis für mehrstufigen Schutz

| Autor / Redakteur: Michael Haas* / Stephan Augsten

Mit ein paar Handgriffen kann die Cyber Kill Chain auch bei komplexen Angriffen für mehr Sicherheit sorgen.
Mit ein paar Handgriffen kann die Cyber Kill Chain auch bei komplexen Angriffen für mehr Sicherheit sorgen. (Bild: Archiv)

Die Cyber Kill Chain zur Abwehr von Netzwerk-Attacken besitzt offenkundige Schwachstellen. Trotzdem kann das von Lockeed Martin propagierte Kill-Chain-Modell immer noch als ordentliches Fundament für mehrstufige Sicherheitskonzepte dienen.

In den USA hat jeder, der sich ernsthaft mit dem Thema IT-Sicherheit beschäftigt, schon einmal von der Cyber Kill Chain von Lockheed Martin gehört. Inzwischen hält der Begriff auch Einzug in das Vokabular der hiesigen Security-Experten. Dabei wird der im Jahr 2011 veröffentlichte Ansatz, der der Entschärfung hochentwickelter Netzwerkattacken dienen soll, durchaus heiß diskutiert.

Das Kill-Chain-Prinzip wurde lange Zeit überschwänglich als optimale Lösung zur Gewährleistung robuster Security-Architekturen in IT-Abteilungen angepriesen. Aufgrund der sich konstant weiterentwickelnden Technologien verwundert es allerdings kaum, dass inzwischen auch berechtigte Kritik geäußert wird. Immer häufiger ist zu hören, dass es dem Modell an entscheidenden Details fehle.

Die Effektivität bei spezifischen Attacken – beispielsweise durch Advanced Persistent Threats – steht demnach zur Debatte. In diesem Zusammenhang können jedoch ein paar wenige Optimierungen dazu beitragen, die Kill Chain praxisnaher zu gestalten.

Um auch besonders hinterlistige Angreifer erfolgreich abwehren zu können, reichen drei einfache Schritte zur Weiterentwicklung aus. Die Erweiterung nennen wir an dieser Stelle Kill Chain 3.0. Zunächst aber zum originären Modell, das einen externen Netzwerkübergriff in die folgenden sieben Phasen unterteilt:

Die Cyber Kill Chain von Lockheed Martin.
Die Cyber Kill Chain von Lockheed Martin. (Bild: Lockheed Martin)

  • 1. Auskundschaftung: Sammeln von Informationen zum Zielobjekt (E-Mailadressen, Arbeitsroutinen, Organisationsstrukturen etc.) mithilfe verschiedener Techniken
  • 2. Bewaffnung: Auswahl der passenden Angriffsroute und des geeigneten Werkzeugs
  • 3. Zustellung: Verteilen der schädlichen Inhalte über bereitstehenden Übertragungsweg (E-Mail, Web, USB-Stick etc.)
  • 4. Zugriff: Ausnutzen vorhandener Schwachstellen, um Schadsoftware zu aktivieren
  • 5. Installation: Festsetzen der Schadsoftware auf jeweiligem Zielsystem
  • 6. Rückkopplung: Kontaktaufnahme der Malware zum Command-and-Control-Server, um dem Angreifer die Kontrolle über das Zielsystem zu ermöglichen
  • 7. Zielerreichung: Ausführen des ursprünglichen Plans durch den Angreifer

Aktuell sind an verschiedenen Stellen dieses Modells – wie beispielsweise auf der Stufe der „Bewaffnung“ – keinerlei Möglichkeiten der Verteidigung vorgesehen. Hier ist allein der Angreifer am Zug, dem Angegriffenen sind die Hände gebunden.

Wenn die Kill Chain als Abwehrsystem fungieren soll, ist es wichtig, dass der jeweiligen Aktivität des Angreifers auf jeder einzelnen Stufe etwas entgegensetzt werden kann. Deshalb gilt es, unnötige Glieder aus der Kette zu entfernen und stattdessen Teilschritte zu definieren, welche konkrete Handlungsoptionen zur Gegenwehr umfassen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43307138 / Netzwerk-Security-Devices)