01.07.2022 | Digital Innovation

Cyber-Kill-Chains

Da dank des mobilen Arbeitens immer mehr Geräte mit den Unternehmensnetzwerken unserer Branche verbunden sind, betrachtet Corey Nachreiner die Bedeutung der Endpunktsicherheit aus dem Blickwinkel der Militärstrategie.

Der Begriff "Kill Chain" wurde ursprünglich als militärisches Konzept verwendet, das sich auf die Strukturierung eines Angriffs in Phasen von der Identifizierung der Schwachstellen eines Gegners bis zu deren Ausnutzung bezieht. Sie bestand aus der Identifizierung des Ziels, der erzwungenen Entsendung zum Ziel, der Entscheidung, dem Befehl zum Angriff auf das Ziel und schließlich der Zerstörung des Ziels. Vereinfacht ausgedrückt kann es als stereotyper Einbruch betrachtet werden, bei dem der Dieb ein Gebäude auskundschaftet, bevor er versucht, einzudringen, und dann mehrere weitere Schritte durchläuft, bevor er mit den Wertgegenständen abhaut. Im Jahr 2011 stellte Lockhead Martin seine eigene "Cyber-Kill-Chain" vor, um die verschiedenen Schritte im Zusammenhang mit einem digitalen Angriff zu erklären. So wie die traditionelle Kill Chain die sieben Schritte eines physischen Angriffs beschreibt, beschreibt die Cyber-Kill-Chain den Modus Operandi eines typischen Cyberangriffs.
Externe Erkundung: Lernen Sie die Schwächen Ihres Opfers kennen und wählen Sie die besten Angriffsmethoden.
Bewaffnung und Verpackung: Ausnutzung von Webanwendungen, Malware, z. B. zusammengesetzte Schwachstellen in ODF-, Office- oder anderen Dokumentformaten, oder Watering-Hole-Angriffe.
Auslieferung: Die Art und Weise, wie der Angriff übermittelt oder gestartet wird, kann viele Arten von digitalen Übertragungsmechanismen umfassen. Die Übermittlung von Nutzdaten erfolgt in der Regel entweder durch den Besuch einer bösartigen Webpräsenz oder das Öffnen einer bösartigen PDF-Datei oder durch den Angreifer, z. B. durch eine SQL-Eingabe.
Ausbeutung: Die Nutzlast kompromittiert dann das Objekt und fasst Fuß. Wie all dies technisch abläuft, hängt von der Art des Angriffs ab. In einigen Fällen handelt es sich um einen technischen Exploit-Mechanismus, z. B. spezialisierter Code, der eine Schwachstelle in der Software ausnutzt, um etwas auf Ihrem Computer zu "erzwingen". Die Attacke könnte aber auch einfach eine gute Phishing-Mail sein.
Die Installation: Der nächste Schritt ist die Herstellung der Persistenz: In der Regel wird Malware installiert, die bei jedem Neustart oder Einschalten des Geräts weiterläuft. Dies ist in der Regel so konzipiert, dass die Malware an den Endpunkten, auf die sie Zugriff hat, erhalten bleibt und dem Angreifer heimlich die Kontrolle gibt.
Befehl und Kontrolle: Einfaches Einrichten eines Kommunikationsmechanismus - eines C2-Kanals - zur Kontrolle der Opfergeräte und zum Exfiltrieren von Daten. Dies kann so einfach sein wie das Senden von Daten über normale Netzwerkdienste wie ICR oder HTTP oder so komplex wie das Verstecken von speziell verschlüsseltem Datenverkehr in trickreichen, unerwarteten Netzwerkdiensten, z. B. versteckt in DNS-Optionen oder ICMP-Nachrichten.
Aktionen auf Ziele: Diese letzte Phase umfasst die böswilligen Aktionen, wie das Abgreifen von Passwort-Hashes, die Installation von Ransomware, das Protokollieren von Schlüsseln, das Ausspionieren Ihrer Webcam, das Sammeln von Dateien und Daten und vieles mehr.
Das ursprüngliche Modell von Lockheed Martin deckte eine häufige Angriffsphase, die so genannte laterale Bewegung oder Schwenkbewegung, nicht richtig ab. Oft ist das erste Gerät, über das ein Angreifer die Kontrolle erlangt, nicht das Ziel, so dass er zusätzliche Schritte unternehmen muss, um Zugang zu diesem Gerät zu erhalten.
Diesem Umstand wird dadurch Rechnung getragen, dass die Cyber-Kill-Chain als kreisförmig und nicht linear betrachtet wird. Wir sind jedoch der Meinung, dass die laterale Bewegung und das Schwenken eine eigene Stufe verdienen, und haben eine alternative Version vorgeschlagen, die die Stufe der Bewaffnung durch eine Stufe speziell für laterale Bewegung und Schwenken ersetzt.
Für diejenigen, die Systeme und Daten verteidigen, kann das Verständnis der Kette dabei helfen, die erforderlichen Schutzmaßnahmen zu ermitteln. Auch wenn Angreifer ihre Methoden ständig weiterentwickeln, besteht ihr Vorgehen immer aus diesen allgemeinen Phasen. Je näher am Anfang der Kette ein Angriff gestoppt werden kann, desto besser. Ein gutes Verständnis der Angreifer, ihrer Methoden und Taktiken hilft also dabei, effektivere Verteidigungsmaßnahmen aufzubauen.
Cyber-Kriminelle suchen nach dem schwächsten Einstiegspunkt, um ein Unternehmensnetzwerk anzugreifen. Dies geschieht häufig über Endgeräte wie Laptops und Telefone, was bedeutet, dass eine Sicherheitsstrategie den Schutz der Endgeräte von Mitarbeitern, die von zu Hause ausarbeiten, verstärken muss.
Der Endpunktschutz kann viele Stufen der Angriffskette erkennen und die meisten Bedrohungen vollständig verhindern oder es Ihnen ermöglichen, die ausgefeiltesten Bedrohungen in späteren Stufen zu beseitigen. Der Endpunktschutz sollte mehrere Ebenen der Malware-Erkennung, Host-Firewalling und Intrusion Detection Services, Exploit-Erkennung und -Prävention, Endpunkt-Erkennung und -Reaktion, Web- und E-Mail-Sicherheitsfunktionen, URL- oder IP/Domain-Filterung und Patch-Management umfassen.
Diese Sicherheitsebenen können in vielen Phasen hilfreich sein. Zum Beispiel bei der Bereitstellung: Gute Endpunktschutz-Lösungen nutzen viele Arten der Web- oder E-Mail-Malware-Erkennung, aber auch Daten und maschinelles Lernen, kombiniert mit einem Zero-Trust-Modell, das sicherstellt, dass nicht klassifizierte Dateien nicht ausgeführt werden.
Um eine Bedrohung abzuschwächen, kann der Endpunktschutz die Ausführung unbekannter Anwendungen bis zur Überprüfung blockieren, indem verdächtige Aktivitäten blockiert, Malware unter Quarantäne gestellt, ein kompromittierter Prozess beendet oder sogar das System komplett heruntergefahren wird.

| Originalversion veröffentlicht in ACHEMA Inspire, Ausgabe Juli 2022/Deutsche Übersetzung durch DECHEMA Ausstellungs-GmbH |

Autor

Corey Nachreiner

CTO von Watchguard, einem IT-Sicherheitsspezialisten mit Sitz in Everett, Washington

Schlagwörter in diesem Artikel:

#digitalisierung, #sicherheit

Weitere Beiträge finden:

Zur Magazin-Detailsuche

Newsletter

Immer informiert

Mit unserem Newsletter erhalten Sie aktuelle Informationen rund um die ACHEMA frei Haus. So verpassen Sie garantiert keine wichtigen Termine.

Jetzt abonnieren

Tickets
Kontakt