Cyber Kill Chain: Die 7 Phasen für bessere Cybersecurity

Die Cyber Kill Chain – auch als CKC oder „Cyberattack Lifecycle“ bezeichnet – ist ein Sicherheitsmodell zur Identifizierung und Abwehr ausgeklügelter Cyberangriffe, bevor diese eine Organisation schädigen können.

Das normalerweise aus sieben Stufen bestehende Cyber-Kill-Chain-Modell zerlegt die Phasen eines Cyberangriffs, damit Sicherheitsteams diese erkennen, unterbrechen oder verhindern können. Mit dem Cyber-Kill-Chain-Rahmen lassen sich relevante Bedrohungen besser verstehen und das Vorfallmanagement sowie die Reaktionsfähigkeit verbessern.

Beim richtigen Einsatz bieten Cyber Kill Chains erhebliche Sicherheitsvorteile. Bei falscher Anwendung können sie Organisationen aber auch gefährden. Bestimmte Schwachstellen der Kill Chain werfen Fragen über ihre Zukunft auf. Dennoch können Unternehmen die Cyber-Kill-Chain-Methodik für ihre Cybersicherheitsstrategien nutzen.

Der Cyber-COBRA-Ansatz gilt zudem als neueres Werkzeug für die Integration in Kill-Chain-Strategien zur dynamischen und kontextbezogenen Bewertung von Bedrohungen. (Mehr dazu in Kürze.)

Dieser Artikel beleuchtet die Ursprünge, Anwendungsfälle und Warnhinweise der Kill Chain und zeigt, warum sie ein klassisches, aber umstrittenes Thema im Cybersecurity-Management ist.Zunächst starten wir aber hiermit …

Was ist eine Kill Chain in der Cybersicherheit?

Eine Cyber Kill Chain ist ein Sicherheitsframework zur Identifizierung und Abwehr ausgeklügelter Cyberangriffe durch die Zerlegung der Attacke in mehrere Phasen. Das Modell hilft Sicherheitsteams dabei, Angriffe zu erkennen, zu unterbrechen oder zu verhindern, bevor sie eine Organisation schädigen.

Das Kill-Chain-Konzept stammt ursprünglich aus dem Militärsektor, wo feindliche Angriffe identifiziert, in Phasen zerlegt und mit präventiven Maßnahmen beantwortet werden. Diese Militärstrategie inspirierte die ursprüngliche Cybersecurity Kill Chain, die Lockheed Martin im Jahr 2011 entwickelte.

Die Cyber Kill Chain stärkt die Verteidigung einer Organisation gegen Advanced Persistent Threats (APTs) beziehungsweise ausgeklügelte Cyberangriffe. Zu diesen Bedrohungen gehören typischerweise:

• Malware
• Ransomware
• Trojaner
• Phishing
• Weitere Social-Engineering-Techniken

Cyber Kill Chains ermöglichen Unternehmen die Vorbereitung und einen Vorsprung vor Hackern in jeder Angriffsphase – von der Konzeption bis zur Ausführung. Die Integration von Cyber COBRA in den Kill-Chain-Prozess erweitert den Rahmen durch eine detailliertere und kontextspezifische Bewertung potenzieller Bedrohungen. Das verbessert die Reaktionsstrategien.

(Dokumentation zum CKC-Dashboard in Splunk abrufen.)

Cyber Kill Chain vs. MITRE ATT&CK

Die Cyber Kill Chain wird häufig mit dem MITRE-ATT&CK-Framework verglichen, einem Ansatz der MITRE Corporation. MITRE ATT&CK veranschaulicht ebenfalls die Phasen eines Cyberangriffs, die häufig dem Cyber-Kill-Chain-Modell ähneln.

Der Hauptunterschied zwischen Cyber Kill Chain und MITRE ATT&CK liegt darin, dass MITRE-Taktiken keine bestimmte Reihenfolge aufweisen – im Gegensatz zu den spezifischen Gruppierungen und linearen Strukturen der Kill Chain.

Ein weiterer Unterschied besteht darin, dass das Cyber-Kill-Chain-Framework den Cyberangriffsprozess auf hoher Ebene in sieben Phasen behandelt, während MITRE ATT&CK verschiedene Techniken und Verfahren für die Details eines Cyberangriffs untersucht.

Überblick über die MITRE-ATT&CK-Matrix für UnternehmenÜberblick über die MITRE-ATT&CK-Matrix für Unternehmen

Die nachfolgend beschriebene Cyber-COBRA-Methodik ergänzt beide Frameworks durch ein Bewertungssystem, das den Bedrohungsgrad anhand des spezifischen Angriffskontexts beurteilt. Das ermöglicht eine präzisere Priorisierung der Reaktionsmaßnahmen.

Elemente sowohl der Kill Chain als auch von ATT&CK lassen sich in die Cybersecurity-Strategie integrieren – mehr dazu später.

(Lest dazu: Umsetzung von MITRE ATT&CK & MITRE D3FEND, einem ergänzenden Framework.)

Cyber COBRA

Cyber COBRA (Contextual Objective Rating) ist ein neuartiges Framework zur Bewertung der Cybersicherheit, das ein differenzierteres und dynamischeres Verständnis der Sicherheitslage einer Organisation ermöglicht. Anders als etablierte Frameworks wie Cyber Kill Chain oder MITRE ATT&CK, die sich auf bestimmte Angriffsphasen oder Taktiken, Techniken und Verfahren (TTPs) konzentrieren, liegt der Fokus von Cyber COBRA auf dem Echtzeitkontext. Es wurde als Reaktion auf die immer komplexer werdende Cyber-Bedrohungslandschaft entwickelt und integriert eine kontinuierliche Überwachung und kontextbezogene Analyse, um Risiken auf der Grundlage folgender Faktoren zu bewerten:

• Aktuelle Bedrohungslage
• Wert der gefährdeten Assets
• Den sich entwickelnden Taktiken der Angreifer

Dieser Ansatz ermöglicht es Organisationen, ihre Verteidigungsmaßnahmen effektiver zu priorisieren und sich an Veränderungen anzupassen, anstatt sich nur auf statische, periodische Bewertungen zu verlassen. Obwohl sich Cyber COBRA noch nicht ganz durchgesetzt hat, steht es für einen zukunftsorientierten Cybersecurity-Ansatz, der dem Branchentrend zu proaktiveren und adaptiven Verteidigungsstrategien folgt.

Eine Erläuterung der grundlegenden Konzepte bietet das Cyber-COBRA-Whitepaper von Lockheed Martin. Diskussionen über die Evolution dynamischer Cybersecurity-Frameworks finden sich in Branchenberichten wie der SANS-Studie zur kontextbasierten Sicherheit und in Cybersecurity-Communities wie ISACA, die die Bedeutung kontextbewusster Sicherheitsstrategien betonen. Diese Ressourcen vermitteln ein breiteres Verständnis dafür, wie Frameworks wie Cyber COBRA zunehmend in die praktische Cybersicherheit integriert werden.

Die sieben Phasen einer Cyber Kill Chain

Das ursprüngliche Cyber-Kill-Chain-Modell von Lockheed Martin beschreibt sieben Schritte. Dabei handelt es sich um das am häufigsten zitierte Framework in der Branche. Die siebenphasige Cyber Kill Chain von Lockheed untersucht Methodik und Motivation eines Cyberkriminellen über den gesamten Angriffszeitraum. Sie hilft Unternehmen dabei, Bedrohungen zu verstehen und zu bekämpfen. Die sieben Phasen sind:

1. Ausspähung (Reconnaissance)
2. Bewaffnung
3. Übermittlung
4. Ausnutzung (Exploitation)
5. Installation
6. Command & Control
7. Handlung

Betrachten wir die einzelnen Phasen.

Cyber Kill Chain®, Lockheed Martin (Bildquelle)

Phase 1: Erkundung

Angreifer sammeln Informationen über ihr Ziel, um Schwachstellen und mögliche Einfallstore zu identifizieren. Diese Phase umfasst:

• Sammeln öffentlicher Daten (OSINT).
• Einsatz von Spionage-Werkzeugen.
• Einsatz automatisierter Scanner zum Aufspüren von Sicherheitssystemen oder Drittanbieter-Anwendungen.

(Siehe Zusammenhang zwischen Schwachstellen, Bedrohungen und Risiken.)

Phase 2: Bewaffnung

Nach der Informationsbeschaffung entwickeln Angreifer Malware oder schädliche Nutzlasten, um erkennte Schwachstellen auszunutzen. Dieser Prozess kann die Entwicklung neuer Malware-Formen oder die Anpassung bestehender Programme an spezifische Schwachstellen beinhalten.

Phase 3: Übermittlung

Angreifer versuchen, das Netzwerk des Ziels zu infiltrieren, indem sie Malware einschleusen. Gängige Methoden umfassen das Versenden von Phishing-E-Mails, den Einsatz von Social-Engineering-Werkzeugen und das Ausnutzen von Hardware- oder Software-Schwachstellen.

(Verwandtes Thema: Arten von Schwachstellen.)

Phase 4: Ausnutzung

Nach der Einschleusung der Schadsoftware nutzen Angreifer die Schwachstellen des Ziels aus und dringen tiefer in das Netzwerk ein. Oft bewegen sie sich seitlich über die Systeme hinweg, um weitere potenzielle Eintrittspunkte und Schwachstellen zu finden.

Phase 5: Installation

In dieser Phase installieren Angreifer Schadsoftware, um zusätzliche Kontrolle über das Netzwerk zu erlangen. Zu den Strategien gehören der Einsatz von Trojanern, die Manipulation von Zugriffs-Tokens, Befehlszeilen-Schnittstellen und Hintertüren zur Rechteausweitung und Änderung von Berechtigungen.

Phase 6: Command & Control

Angreifer richten einen Kommando- und Kontrollkanal (C2) ein, um ihre eingesetzten Cyberwaffen aus der Ferne zu überwachen und zu steuern. Sie verwenden Verschleierungstechniken zur Verwischung ihrer Spuren und Denial-of-Service-Taktiken (DoS), um Sicherheitsteams von den Hauptzielen des Angriffs abzulenken.

Phase 7: Handlung

Die letzte Phase umfasst die Ausführung des primären Angriffsziels, wie etwa:

• Datenexfiltration
• Verschlüsselung (und mögliche Versuche der Lösegelderpressung)
• Angriffe auf Lieferketten

Diese Phase kann – je nach Erfolg – der vorherigen Schritte und Komplexität des Angriffs Wochen oder Monate dauern.

Gibt es eine achte Stufe in der Cyber Kill Chain?

Einige Sicherheitsexperten plädieren für die Aufnahme einer achten Phase in Cyber Kill Chains: Monetarisierung. Diese kann auch als finales Angriffsziel betrachtet werden, konzentriert sich aber speziell auf den finanziellen Gewinn des Cyberkriminellen aus dem Angriff. Der Angreifer kann eine Lösegeldforderung stellen – dabei werden Gelder durch die Androhung der Veröffentlichung oder des Verkaufs sensibler Daten (personenbezogene Informationen oder Industriegeheimnisse) erpresst.

Die Gewinne der Kriminellen durch Cyberangriffe haben sich in jüngster Zeit durch die zunehmende Nutzung von Kryptowährungen vergrößert. Kryptowährungen erleichtern und sichern für Angreifer die Forderung und den Erhalt von Geldern, was den dramatischen Anstieg der Monetarisierung von Cyberangriffen begünstigt.

Prävention von Cyberangriffen

Die Prävention von Cyberangriffen erfordert einen proaktiven, mehrschichtigen Sicherheitsansatz. Hier findet ihr Strategien zur Verbesserung der Verteidigung eures Unternehmens:

Fortschrittliche Bedrohungserkennungs-Werkzeuge. Setzt Tools wie Intrusion-Detection-Systeme (IDS), Intrusion-Prevention-Systeme (IPS) und Endpoint-Detection-and-Response-Lösungen (EDR) ein. Diese Werkzeuge können Bedrohungen in Echtzeit erkennen und eindämmen. Sie verkürzen das Zeitfenster für Angreifer.

Regelmäßige Schwachstellenanalysen und Penetrationstests. Führt regelmäßig Schwachstellenbewertungen und Penetrationstests durch, um Sicherheitsschwachstellen zu erkennen und zu beheben, bevor Angreifer sie ausnutzen können. Dies sollte sowohl automatisierte Scans als auch manuelle Tests durch qualifizierte Sicherheitsexperten umfassen.

Patch-Verwaltung. Stellt sicher, dass die gesamte Software, einschließlich Betriebssystemen, Anwendungen und Sicherheitstools, mit den neuesten Patches und Updates aktualisiert wird. Dies reduziert das Risiko, dass Angreifer bekannte Schwachstellen ausnutzen.

Netzwerksegmentierung. Implementiert eine Netzwerksegmentierung, um den Bewegungsradius von Angreifern innerhalb eures Netzwerks einzuschränken. Durch die Aufteilung eures Netzwerks in kleinere, isolierte Segmente lassen sich Einbrüche eingrenzen und der Zugriff von Angreifern auf sensible Bereiche verhindern.

Multi-Faktor-Authentifizierung (MFA). Verlangt eine Multi-Faktor-Authentifizierung für alle Benutzerkonten – besonders für solche mit Zugriff auf sensible Daten und kritische Systeme. MFA fügt eine zusätzliche Sicherheitsebene hinzu, die Angreifern den unberechtigten Zugriff erschwert.

Schulungs- und Sensibilisierungsprogramme für Mitarbeiter. Führt regelmäßige Cybersicherheitsschulungen und Sensibilisierungsprogramme für die Angestellten durch. Bringt ihnen bei, wie sie Phishing-Versuche und Social-Engineering-Angriffe erkennen können und wie sie sich sicher im Internet bewegen. Eine fachkundige Belegschaft stellte eine entscheidende Verteidigungslinie gegen Cyber-Bedrohungen dar.

Planung der Reaktion auf Vorfälle. Entwickelt und pflegt einen umfassenden Plan zur Vorfallsreaktion. Dieser Plan sollte die Maßnahmen bei einem Sicherheitsvorfall beschreiben, einschließlich Rollen und Verantwortlichkeiten, Kommunikationsprotokollen und Wiederherstellungsverfahren. Testet und aktualisiert den Plan regelmäßig, um seine Wirksamkeit sicherzustellen.

Verhaltensanalyse. Verhaltensanalysen nutzen, um Anomalien und ungewöhnliche Aktivitätsmuster im Netzwerk zu erkennen. Durch die Festlegung einer Basislinie für normales Verhalten könnt ihr potenzielle Bedrohungen erkennen, die herkömmliche Sicherheitsmaßnahmen übersehen könnten.

Zero-Trust-Architektur. Führt ein Zero-Trust-Sicherheitsmodell ein, das nach dem Prinzip „Niemals vertrauen, immer verifizieren“ arbeitet. Dieser Ansatz erfordert die kontinuierliche Verifizierung aller Benutzer, Geräte und Anwendungen innerhalb und außerhalb des Netzwerks. Erst dann wird der Zugriff gewährt.

Regelmäßige Datensicherungen. Führt regelmäßige Sicherungen aller kritischen Daten durch und vergewissert euch, dass die Backup-Systeme geschützt und getestet sind. Bei einem Ransomware-Angriff oder Datenverlust ermöglichen zuverlässige Backups eine schnelle Wiederherstellung und minimieren Ausfallzeiten.

Schwachstellen in der Cyber Kill Chain

Das Cyber-Kill-Chain-Modell von Lockheed Martin hat zwar seine Stärken, manche empfinden das 2011 entwickelte Framework jedoch als veraltet und wenig innovativ. Ein wesentlicher Schwachpunkt des traditionellen Modells besteht darin, dass es darauf ausgelegt ist, Malware zu erkennen und zu verhindern und die Sicherheit an den Grenzen zu schützen. Dabei handelt es sich um die klassischen, grundlegenden Säulen der Cybersicherheit. Heute stehen wir jedoch vor deutlich mehr Sicherheitsbedrohungen über zahlreichere Angriffsflächen hinweg, während die Cyberkriminellen immer ausgefeilter agieren.

Es folgen die wichtigsten Nachteile der traditionellen siebenstufigen Cyber Kill Chain:

Eingeschränktes Angriffserkennungsprofil

Die Kill Chain ist in ihrer Fähigkeit zur Erkennung verschiedener Angriffsarten begrenzt. Ursprünglich für Malware und Payloads konzipiert, deckt sie moderne Bedrohungen nicht ausreichend ab wie:

• Dateilose Malware
• Living-Off-The-Land-Angriffe
• Fortgeschrittene webbasierte Exploits wie SQL-Injection, Cross-Site-Scripting (XSS) und Zero-Day-Schwachstellen.

Zudem übersieht sie Angriffe durch unbefugte Parteien, die kompromittierte Zugangsdaten ausnutzen.

Keine Erkennung von Insider-Bedrohungen

Die traditionelle Cyber Kill Chain berücksichtigt keine internen Bedrohungen, die ein erhebliches Risiko für Organisationen darstellen. Interne Bedrohungen können von Mitarbeitern oder Auftragnehmern ausgehen, die ihre legitimen Zugriffsrechte missbrauchen. Eine effektive Erkennung erfordert die Überwachung von Benutzerverhalten und -aktivitäten in Netzwerken und Anwendungen, oft durch automatisierte Systeme mit Warnmeldungen bei verdächtigen Aktivitäten.

Mangelnde Flexibilität

Nicht alle Angreifer folgen der Cyber Kill Chain linear. Sie können Phasen überspringen, kombinieren oder zurückspringen. Manche Angriffe verzichten beispielsweise auf umfangreiche Aufklärung und setzen stattdessen auf breit angelegte „Spray and Pray“-Taktiken. Ein Bericht zeigte, dass fast 90 Prozent der Angriffe die ersten fünf Phasen der Kill Chain in einer einzigen Aktion kombinierten.

Die starre Struktur der traditionellen Kill Chain kann dazu führen, dass Firmen Bedrohungen übersehen oder unzureichend auf sie reagieren, wenn sie nicht diesem Muster entsprechen.

Transformative Technologien

Technologische Fortschritte – Cloud-Computing, DevOps, IoT, maschinelles Lernen und Automatisierung – haben das Spektrum der Cyberangriffe erweitert. Diese Innovationen schaffen neue Eintrittspunkte und Datenquellen, die das traditionelle Kill-Chain-Framework vor Anpassungsprobleme stellen. Darüber hinaus haben die Zunahme der Remote-Arbeit und die Verbreitung von Kryptowährungen zusätzliche Möglichkeiten für Cyberkriminelle geschaffen.

Neue Bedrohungen und Techniken

Cyberkriminelle entwickeln ständig neue Methoden, die die Möglichkeiten der ursprünglichen Kill Chain übertreffen. Techniken wie Deepfake-Phishing, KI-gesteuerte Angriffe und ausgefeilte Ransomware-Kampagnen erfordern dynamischere und reaktionsschnellere Sicherheitsmodelle. Die traditionelle Cyber Kill Chain bietet keine angemessene Anleitung zur Eindämmung dieser fortgeschrittenen Bedrohungen.

Die Behebung dieser Schwachstellen erfordert die Integration umfassenderer und flexiblerer Frameworks wie MITRE ATT&CK und Cyber COBRA. Diese bieten einen detaillierteren und anpassungsfähigeren Ansatz für moderne Cyberbedrohungen. Organisationen müssen ihre Sicherheitsstrategien kontinuierlich weiterentwickeln, um Angreifern einen Schritt voraus zu sein und ihre digitalen Assets wirksam zu schützen.

Wie kann die Cyber Kill Chain die Sicherheit verbessern?

Obwohl die ursprünglichen sieben Phasen der Cyber Kill Chain kritisch hinterfragt wurden, können Organisationen diese Prinzipien weiterhin nutzen, um sich besser auf bestehende und künftige Cyberangriffe vorzubereiten. Ein Cyber-Kill-Chain-Framework kann die Cybersicherheitsstrategie eines Unternehmens leiten, sei es durch die Identifizierung von Mängeln in der aktuellen Strategie oder durch die Bestätigung dessen, was bereits gut funktioniert. So könnte es beispielsweise Anreize für die Einführung von Diensten und Lösungen geben, wie zum Beispiel:

• Software zum Schutz von Endgeräten
• VPNs
• Mitarbeiterschulungen

Die Integration von Cyber COBRA in dieses Framework kann eine zusätzliche Ebene der Bewertung und Priorisierung hinzufügen. Das stellt sicher, dass die kritischsten Schwachstellen umgehend behoben werden. Da sich die Cyberangriffe weiterentwickeln, müssen Organisationen eine Strategie in Betracht ziehen, die einen mehrschichtigen Ansatz aus administrativen, technischen und physischen Sicherheitsmaßnahmen umfasst. Die Cyber-Kill-Chain-Methodik kann dabei helfen, dies zu erreichen, aber das ursprüngliche Modell ist in seiner Reichweite begrenzt.

Alternativen zur ursprünglichen Cyber Kill Chain

Während jedes Unternehmen sein eigenes maßgeschneidertes Cyber-Kill-Chain-Framework benötigt, gibt es weitere Möglichkeiten, den ursprünglichen Kill-Chain-Prozess anzupassen:

Einheitliche Kill Chain

Das Konzept einer Unified Kill Chain verbindet Techniken aus MITRE ATT&CK mit dem ursprünglichen Cyber-Kill-Chain-Modell. Das Ergebnis ist ein detailliertes, kombiniertes Rahmenwerk aus 18 einzelnen Stufen, die sich in drei Kernphasen unterteilen lassen:

1. Erste Schritte
2. Netzwerkausbreitung
3. Maßnahmen zur Erreichung der Ziele

Mit diesem Ansatz können Sicherheitsteams gleichzeitig Kompromissindikatoren (Indicators of Compromise, IOCs) mit mehreren Gefahreninformationen vergleichen, um effektiv auf Bedrohungen zu reagieren. Ein Unified-Kill-Chain-ATT&CK-Modell kann von defensiven und offensiven Teams zur Entwicklung von Sicherheitskontrollen genutzt werden.

Simulation von Cyber Kill Chains

Organisationen können Kill-Chain-Modelle auch für Cyberangriffs-Simulationen nutzen, wobei zahlreiche spezialisierte Plattformen zur Simulation des Cyber-Kill-Chain-Prozesses existieren. Dies ermöglicht es, Eintrittspunkte oder Systemschwachstellen in sehr kurzer Zeit zu lokalisieren und zu beheben.

Neben der Simulation von Cyberbedrohungen über E-Mail-, Web- und Firewall-Gateways können diese Plattformen auch einen Risikobericht der Systemeinheiten erstellen. Dieser hilft den Teams dabei, zentrale Risikobereiche zu identifizieren. Die Organisation kann dann Maßnahmen ergreifen und künftige Bedrohungen durch Methoden wie Konfigurationsänderungen und Patch-Installation verhindern.

Schreibt die Cyber Chain noch nicht ab

Die kontinuierliche Entwicklung von Cyberangriffen hat viele dazu veranlasst, die Zukunft der Cyber Kill Chain in Frage zu stellen. Eine agile Kill Chain, die Elemente von MITRE ATT&CK und erweiterte Erkennungs- und Reaktionsstrategien (XDR) beinhaltet, könnte ein breiteres Spektrum an Bedrohungen identifizieren und diese effektiver verhindern sowie neutralisieren.

Unabhängig von der Haltung zum Cyber-Kill-Chain-Framework spielt die Behebung vorhandener Schwachstellen und eine umfassende Cybersicherheitsstrategie eine entscheidende Rolle beim Schutz jedes Unternehmens.