Souverän entlang der Cyber Kill Chain Endpoint Security vermasselt Angreifern vielfach die Tour

Das als „Cyber Kill Chain“ geprägte Modell der Angriffskette ist ein nützliches Hilfsmittel zur Etablierung ganzheitlicher IT-Sicherheitskonzepte, bei denen Endpoint Security eine wichtige Rolle spielt.

Gesponsert von

Unternehmen sollten sich insbesondere dem Schutz des Endpunkts widmen
Unternehmen sollten sich insbesondere dem Schutz des Endpunkts widmen
(Bild: Pixabay)

Insbesondere vor dem Hintergrund immer neuer, hochentwickelter Angriffsmuster trägt das 2011 von Lockheed Martin entwickelte Modell der Cyber Kill Chain dazu bei, das Bewusstsein von Unternehmen im Hinblick auf die gegenwärtige Gefahrenlage zu schärfen. Es definiert mehrere Phasen, die Angreifer durchlaufen müssen, um ihr Ziel zu erreichen.

Phasen der Cyber Kill Chain:

  • 1. Auskundschaftung: Sammeln von Informationen zum Zielobjekt (E-Mailadressen, Arbeitsroutinen, Organisationsstrukturen, genutzte Technologien, branchenspezifische Anforderungen, Social-Media-Aktivitäten etc.) mithilfe unterschiedlicher Techniken
  • 2. Bewaffnung: Auswahl der passenden Angriffsroute und des geeigneten Werkzeugs (Ausnutzung von Webanwendungen oder Schwachstellen in Dokumenten, Einsatz standardisierter oder maßgeschneiderter Malware)
  • 3. Zustellung: Verteilen der schädlichen Inhalte über bereitstehenden Übertragungsweg (E-Mail, Web, USB-Stick etc.)
  • 4. Zugriff: Ausnutzen vorhandener Schwachstellen, um Schadsoftware zu aktivieren und/oder das Zielobjekt zu manipulieren
  • 5. Installation: Festsetzen der Schadsoftware auf jeweiligem Zielsystem
  • 6. Rückkopplung: Kontaktaufnahme der Malware zum Command-and-Control-Server, um dem Angreifer die Kontrolle über das Zielsystem (Steuerung via DNS, ICMP, Webseiten, soziale Netzwerke) zu ermöglichen und weitere Daten und/oder sensible Inhalte und Dokumente zu sammeln (Methoden: Bildschirmaufnahmen, Überwachung von Tastenanschlägen, Knacken von Passwörtern), häufig Kopie aller internen Daten auf Staging Host zur anschließenden Kompromittierung und Verschlüsselung
  • 7. Zielerreichung: Ausführen des ursprünglichen Plans durch den Angreifer (Übergriff auf weitere Ziele, Datenexport)

Zu beachten ist, dass die Cyber Kill Chain nicht linear, sondern zyklisch verläuft und in erweiterter Form neben der externen Sphäre einer Unternehmensinfrastruktur – jenseits des Perimeters – auch die interne betrifft.

Schützen Sie Ihre Endpoints

Unternehmen grundsätzlich im Vorteil

Ganz unabhängig von den spezifischen Aktivitäten auf den einzelnen Stufen der Cyber Kill Chain ist vor allem eine Kernaussage des Modells entscheidend: Ein Angriff lässt sich in jeder Phase stoppen und die Kette damit unterbrechen. Somit haben Unternehmen gegenüber Cyberkriminellen einen entscheidenden Vorteil: Während erfolgreiche Attacken alle Stufen durchlaufen müssen, reicht es im Zuge der Verteidigung in der Regel aus, an einer Stelle der Cyber Kill Chain einzugrätschen, um dem Angreifer die komplette Tour zu vermasseln. Oft ist es in dem Zusammenhang schon zielführend, wenn die vom Unternehmen eingesetzten Schutzmaßnahmen den Aufwand auf Seiten der Cyberkriminellen frühzeitig treiben. Dadurch steigen die Chancen, dass der Angreifer von ganz allein die Lust verliert und sich „leichtere Beute“ sucht.

Endpunkt als zentrales Element

Unternehmen sollten sich insbesondere dem Schutz des Endpunkts widmen. Denn dieser ist im Rahmen der Cyber Kill Chain immer involviert, vielfach direkt am Anfang. Somit lohnt sich Endpoint Security gleich doppelt. Natürlich geht es in erster Linie darum, einem Angriff überhaupt auf die Schliche zu kommen. Zugleich gilt aber auch: Je früher dies geschieht, umso besser. Zudem bietet jede Spur, die der Angreifer am Endpunkt hinterlässt, die Gelegenheit, mehr über ihn zu erfahren. Eine permanente Überwachung und Analyse der auf dem Endpunkt laufenden Anwendungen ist im Zuge lückenloser Sicherheit daher essenziell.

Panda Adaptive Defense 360 bietet Angreifern die Stirn

Es zählt also ein Sicherheitskonzept, das sowohl fortschrittliche Abwehrmaßnahmen als auch effektive Möglichkeiten zur Kontrolle aller stattfindenden Aktivitäten am Endpunkt umfasst. Darin liegt seit jeher die Stärke von Panda Adaptive Defense 360. Unternehmen werden in die Lage versetzt, in jeder Phase der internen wie externen Cyber Kill Chain selbst fortschrittlichste Angriffstechniken zu erkennen und zu unterbinden. Hierfür kommt u.a. eine umfassende Sammlung an Reputationsservices zum Einsatz, die weit über klassische signaturbasierte Analyse hinausgehen. Ins Kalkül gezogen werden viele zusätzliche Aspekte – von Heuristiken, Firewall-Informationen und URL-Reputation über kontextuelle Erkennung und Schwachstellenmanagement bis hin zur Anwendungskontrolle. Auf diese Weise kann das Risiko eines Übergriffs erheblich gemindert werden.

Darüber hinaus klassifiziert Panda Adaptive Defense 360 jede unbekannte, festgestellte Aktivität mithilfe von Schwarmintelligenz. Hierbei fließt das gesamte vorliegende konsolidierte und stetig wachsende Wissen im Hinblick auf alle Anwendungen, Binärdateien sowie weitere Dateien mit interpretierbarem Code – vertrauenswürdig wie bösartig – ein. Die entsprechende Wissensdatenbank in der Cloud wird vom KI-System und kompetenten Analysten auf Seiten von Panda Security kontinuierlich befüllt. Entsprechend des Zero-Trust-Ansatzes kommen Objekte nur dann zur Ausführung, wenn ihre Vertrauenswürdigkeit nach einschlägiger Prüfung außer Frage steht.

Mehrwert in jeder Phase der Cyber Kill Chain

Durch die ständige, detaillierte Überwachung aller Anwendungen am Endpunkt inklusive kontextueller Verhaltenserkennung, die automatische Klassifizierung von Endpoint-Prozessen mithilfe von Big Data und Machine-Learning-Techniken sowie die tiefgreifende Experten-Analyse aller nicht automatisch bewerteten Abläufe entsteht ein verlässlicher Schutzschirm. Gleichzeitig wird jede Auffälligkeit – egal aus welcher Richtung sie kommt – verfolgt und dokumentiert. Nicht nur deshalb ist Panda Adaptive Defense 360 in jeder Phase der erweiterten Cyber Kill Chain ein wichtiger Stützpfeiler.

Wer im Detail wissen möchte, wie die Lösung ihr Potenzial entlang der Cyber Kill Chain ausspielt, findet die Antwort im neuen eBook von WatchGuard Technologies.

Hier geht´s zum Ebook

(ID:47146448)