Cyber Kill Chain: Die 7 Phasen eines Angriffs erklärt

Das Cybersicherheitsunternehmen Picus Security hat einen erläuternden Artikel zu den sieben Phasen der Cyber Kill Chain veröffentlicht. Dieses Modell, ursprünglich von Lockheed Martin entwickelt, beschreibt die Schritte, die ein externer Angreifer unternimmt, um in die Systeme einer Organisation einzudringen.

Der Rahmen deckt den gesamten Angriffszyklus ab, von der ersten Aufklärung und Waffenentwicklung über die Installation und Kontrolle bis hin zur Erreichung der endgültigen Ziele. Durch das Verständnis dieser sieben Phasen – Aufklärung, Waffenentwicklung, Lieferung, Ausnutzung, Installation, Kommando und Kontrolle (C2) sowie Maßnahmen zum Erreichen der Ziele – können Organisationen ihre Abwehrfähigkeiten verbessern.

Picus Security hebt das Kernprinzip hervor, dass ein Angreifer in allen sieben Phasen erfolgreich sein muss, während die Verteidiger den Angriff nur an einem Punkt stoppen müssen. Dies macht die Kill Chain zu einem grundlegenden Werkzeug für die Analyse von Erkennungsabdeckung und die Gestaltung von Reaktionen auf Vorfälle.

Der Artikel geht auf jede Phase detailliert ein. Die Aufklärung beinhaltet, dass Angreifer Informationen über ein Ziel sammeln, einschließlich Personal, Technologie und externer Exponierung. Die Waffenentwicklung beinhaltet dann die Kopplung einer bösartigen Nutzlast mit einem auf entdeckte Schwachstellen zugeschnittenen Liefermechanismus.

Die Lieferung ist die Phase, in der das waffenentwickelte Werkzeug das Zielsystem erreicht, oft über Phishing. Die Ausnutzung tritt ein, wenn die Nutzlast eine Schwachstelle ausnutzt. Die Installation etabliert einen persistenten Zugriff, gefolgt von Kommando und Kontrolle für die Fernverwaltung. Schließlich sind Maßnahmen zum Erreichen der Ziele die ultimativen Ziele des Angreifers, wie z. B. die Exfiltration von Daten oder die Störung von Systemen.