Netzwerksicherheit

Cyber Kill Chain als Basis für mehrstufigen Schutz

| Autor / Redakteur: Michael Haas* / Stephan Augsten

Anpassungen im Rahmen der Kill Chain 3.0

Oft wird auch bemängelt, das Kill-Chain-Modell beschränke sich in erster Linie auf Initialangriffe und konzentriere sich nicht genügend darauf, wie sich die Angreifer anschließend im Netzwerk ausbreiten. Hier muss entsprechend korrigiert und angepasst werden – insbesondere im Hinblick auf die horizontale Ausweitung des Angriffs auf Teilnetze und die damit einhergehende Ausnutzung von Berechtigungen.

Die von Watchguard angepasste Cyber Kill Chain 3.0.
Die von Watchguard angepasste Cyber Kill Chain 3.0. (Bild: Watchguard)

Hier der Vorschlag von WatchGuard für die Kill Chain 3.0. Auf Basis dieser Anpassungen lassen sich den Angriffsaktivitäten nun in jeder einzelnen Phase der Kill Chain konkrete Abwehrmaßnahmen gegenüber stellen. So schützen beispielsweise die Port-Analyse und IP-Erkennung sowie das sogenannte Header Masquerading im ersten Schritt vor dem Ausspionieren.

Der Verteilung der schädlichen Inhalte kann durch das Blockieren von Firewall-Ports, Intrusion Prevention Services (IPS) oder Applikationskontrolle Einhalt geboten werden. IPS und Software-Patches beugen der Ausnutzung von Schwachstellen auf dem Zugriffslevel vor, und mithilfe der Netzwerksegmentierung wird einer Ausweitung des Angriffs auf das gesamte Netzwerk gezielt der Riegel vorgeschoben.

Abwehr nicht nur am Angriffspunkt

Es gilt: Alle Phasen sind gleich wichtig und erfordern umfassende Maßnahmen. Die Annahme, dass es am besten ist, die Angriffe so früh wie möglich abzuwehren, ist dabei grundsätzlich nicht falsch. Allerdings hat dies auch dazu geführt, dass die größte Konzentration bisher auf der Etablierung von Abwehrmechanismen auf den „Einstiegsstufen“ der Kill Chain lag, während weiterführende Sicherheitskontrollen vernachlässigt wurden.

Dabei gelingt es den Angreifern immer häufiger, die anfangs errichteten Barrieren zu durchbrechen. Wenn dann keine lückenlosen Schutzvorkehrungen – wie beispielsweise Data Loss Prevention, ein Segmentierungsansatz oder Scans zur Überprüfung auf Botnets mit Command-and-Control-Strukturen – anschließen, ist die hehre Idee des gesamten Modells hinfällig.

Last but not least kommt es darauf an, maximale Transparenz zu schaffen. Die Voraussetzungen sind optimal, da das Modell die einzelnen Bereiche, in denen sich ein Netzwerkangriff stoppen lässt, exakt herausstellt. Entlang der sieben Stufen hinterlässt der Angreifer wertvolle Informationen, die dabei helfen, gegenwärtige sowie künftige Attacken besser abzuwehren.

Wichtig ist in diesem Zusammenhang ein Visualisierungswerkzeug, das die Logdaten aller Sicherheitsfunktionen zusammenbringt, miteinander in Verbindung setzt und somit gezielte Auswertungen und Einblicke ermöglicht. Auf diese Weise lassen sich selbst die ausgefeiltesten Übergriffe enttarnen. Angreifer haben kaum noch eine Chance, unentdeckt zu bleiben.

Im Hinblick auf die Ausgangsfrage lässt sich also festhalten, dass bereits minimale Anpassungen am Grundgerüst der Kill Chain große Wirkung haben. Somit liefert das Modell durchaus einen tragfähigen Ansatz bei der Abwehr moderner Bedrohungen und unterstützt Unternehmen beim Aufbau einer effektiven Sicherheitsinfrastruktur.

* Michael Haas ist Area Sales Director Central EMEA bei WatchGuard Technologies.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43307138 / Netzwerk-Security-Devices)