Net zoals elke beveiligingsoplossing een raamwerk heeft om kwaadaardige processen uit te bannen, heeft elke aanvaller een raamwerk om een infrastructuur binnen te dringen of perimeterbeveiligingen te omzeilen. De cyber kill chain is een concept dat is ontworpen om geavanceerde aanvallen te identificeren en te stoppen voordat ze escaleren of organisaties treffen. Het omvat meerdere fasen van deze aanvallen en toont de relevantie van bedreigingen aan. Cyber kill chains kunnen worden gebruikt om incidentbeheer en responsmodellen te verbeteren.
Ze bieden beveiligingsvoordelen wanneer ze goed worden begrepen en geïmplementeerd. Beveiligingsteams kunnen hun tekortkomingen ontdekken en toekomstige vragen stellen die het bedrijf ten goede komen. Het informeert ook de cyberbeveiligingsstrategieën van een organisatie en versterkt de verdedigingsmechanismen. In deze gids wordt uitgelegd wat een cyber kill chain is, worden veelvoorkomende stappen in een cyber kill chain belicht en wordt meer informatie gegeven over het raamwerk. Als u nieuwsgierig bent naar cyber kill chains, dan is dit bericht een goed startpunt.
Wat is een Cyber Kill Chain?
De Cyber Kill Chain is een op inlichtingen gebaseerd verdedigingsmodel dat voor het eerst werd ontwikkeld door Lockheed Martin. Het doel ervan was om beveiligingsteams te helpen cyberaanvallen te ontrafelen, te begrijpen en in fasen in te delen. Het is een Cyber Kill Chain-model dat de fasen in kaart brengt die een aanvaller doorloopt voordat hij met succes de verdediging kan doorbreken.
De fasen van de cyber kill chain geven een overzicht van hoe lang geavanceerde persistente bedreigingen (APT's) duren en laten de volgorde van gebeurtenissen zien. Ze omvatten alle fasen, van de eerste verkenning tot het bereiken van de doelstellingen van de aanvaller.
Cyber Kill Chain vs MITRE ATT&CK
Een cyber kill chain biedt een gedetailleerd overzicht van vijandige gedragingen en tactieken. Het wordt vaak gebruikt bij red teaming, forensische analyse en incidentrespons. Het MITRE ATT&CK-framework is ontworpen om meer inzicht te bieden en meer aanpassingsvermogen te bieden tegen verschillende bedreigingen. Cyber kill chains worden gebruikt om een solide basis te leggen en proactieve verdedigingsstrategieën te ontwikkelen. Ze werken uitstekend voor organisaties die een combinatie van inbraakdetectiesystemen, firewalls en moderne beveiligingsoplossingen gebruiken.
Wanneer een bedrijf een meer diepgaand inzicht wil krijgen in hoe aanvallers te werk gaan in de cloud en in endpoint-omgevingen, dan is het MITRE ATT&CK-framework een uitkomst. Een cyber kill chain-protocol kan een aanval onmiddellijk stoppen en dient als een waardevol hulpmiddel voor het verbeteren van beveiligingsactiviteiten. MITRE ATT&CK is gedetailleerder, flexibeler en brengt realistische aanvalstechnieken, -technieken en -procedures (TTP's) in kaart. MITRE ATT&CK kan ook worden gebruikt om te reageren op bedreigingen in elke fase van een aanval, ongeacht waar deze zich in de aanvalscyclus voordoen.
Zorgen met betrekking tot de cyber kill chain
Het cyber kill chain-model is niet geschikt voor het detecteren van multi-vector aanvallen, omdat het een lineaire aanpak volgt. Het kan alleen bedreigingen in kaart brengen die een voorspelbaar pad volgen. Cyber Kill Chain-processen kunnen snel worden ontmanteld als aanvallen buiten de volgorde vallen. De Cyber Kill Chain houdt ook geen rekening met bedreigingen van binnenuit en webgebaseerde aanvallen. Het is een statisch model voor het detecteren van bedreigingen dat zich uitsluitend richt op externe bedreigingen. Omdat het afhankelijk is van perimeterbeveiliging en malwaredetectie, werkt het niet goed voor cloudgebaseerde beveiligingsomgevingen.
Hoewel de Cyber Kill Chain in 2011 is opgezet, is het raamwerk niet bijgewerkt om zich aan te passen aan de veranderende aard van cyberdreigingen. Het is niet bijzonder effectief tegen ransomware-as-a-service (RaaS) bedreigingen en heeft het beperkte detectieprofielen. De Cyber Kill Chain is niet flexibel en kan geen complexe aanvalsscenario's aan. Het mist ook de dreigingsinformatie die nodig is om vanuit meerdere bronnen te worden geanalyseerd. Het kan zelfs minder geavanceerde aanvallen missen, zoals "spray and pray"-tactieken of bedreigingen die niet volgens de gebruikelijke patronen verlopen.
Hoe werkt de Cyber Kill Chain?
De Cyber Kill Chain splitst een aanval op in verschillende stappen en fasen. Het hanteert een gestructureerde aanpak om te herkennen hoe tegenstanders te werk gaan en bespreekt hoe ze in elke fase kunnen worden gestoord. Het beschouwt een aanval niet als een op zichzelf staande gebeurtenis.
De Cyber Kill Chain blijft zo vroeg mogelijk in de aanvalscyclus zoeken naar de bewegingen van aanvallers en deze tegengaan. Als de organisatie er niet in slaagt haar maatregelen te implementeren, kan dit op de lange termijn ernstige gevolgen hebben. In wezen is de Cyber Kill Chain een routekaart of blauwdruk die organisaties kunnen volgen om zich te beschermen en te verdedigen tegen de nieuwste cyberdreigingen.
threat-intelligence-ops-report1-purple
7 fasen van de Cyber Kill Chain
De Cyber Kill Chain bestaat uit zeven fasen, namelijk:
1. Verkenning
Verkenning is de eerste fase van het Cyber Kill Chain-model. Hierin worden inzichten verkregen over potentiële doelwitten en worden deze bestudeerd. U leert ook over hun kwetsbaarheden en ontdekt met welke derde partijen deze doelwitten mogelijk verbonden zijn. U onderzoekt ook andere potentiële toegangspunten, vindt nieuwe toegangspunten en verkenning kan zowel online als offline plaatsvinden.
2. Bewapening
Cyberwapens en killchain-tools worden gebruikt om het netwerk van het doelwit aan te vallen en te penetreren. Deze tools kunnen variëren van malware, ransomware, payloads en andere kwaadaardige varianten.
3. Levering
De tegenstanders zullen proberen gebruikers te bereiken en een breed scala aan phishing-middelen te versturen die kwaadaardige links bevatten. De onderwerpen van deze e-mails zullen proberen het slachtoffer over te halen of aan te zetten tot actie. Nadat de levering is geslaagd, kan de tegenstander het netwerk van de organisatie hacken en hardware- en softwarekwetsbaarheden verder uitbuiten.
4. Exploitatie
Aanvallers zullen proberen dieper in netwerken door te dringen en misbruik te maken van de kwetsbaarheden die ze in de vorige stappen hebben ontdekt en geëxploiteerd. Ze zullen proberen hun doelstellingen te verwezenlijken en zich lateraal door netwerken te bewegen om grotere doelen te bereiken. Als er doelen zijn die verantwoordelijk zijn voor het netwerk en die niet de nodige beveiligingsmaatregelen hebben genomen, zullen aanvallers zich op hen richten.
5. Installatie
De installatiefase omvat pogingen om malware en andere ransomwarevarianten op de doelnetwerken te installeren. De aanvallers zullen proberen de controle over uw systemen over te nemen en gevoelige gegevens te exfiltreren. Ze kunnen ook andere cyberwapens, Trojaanse paarden, achterdeurtjes en opdrachtregelinterfaces installeren.
6. Command-and-Control (C2)
In de command-and-control-fase van de cyberkill chain proberen aanvallers te communiceren met de malware die ze zojuist op uw netwerken hebben geïnstalleerd. Ze geven de tools instructies om op afstand specifieke taken uit te voeren. De aanvallers gebruiken communicatiekanalen om computers te besturen die zijn geïnfecteerd met hun malware en botnets. Ze kunnen proberen websites te overbelasten met verkeer of C2-servers opdracht geven om hun missie uit te voeren.
7. Acties op doelen
Dit is de laatste fase waarin aanvallers zullen proberen hun doelstellingen uit te voeren en daarin te slagen. Hun doelen kunnen variëren, afhankelijk van het type cyberaanval dat ze uitvoeren. Sommige aanvallers zullen proberen uw diensten te onderbreken, ze uit de lucht te halen of de organisatie volledig online te zetten. Ze kunnen malware verspreiden om gevoelige gegevens te stelen, denial-of-service-aanvallen uitvoeren of ransomware gebruiken om de organisatie af te persen.
Beperkingen van de cyber kill chain
Hier volgen enkele nadelen en beperkingen van cyber kill chains:
- Een van de grootste zwakke punten van cyber killchain-fasen is dat ze geen bedreigingen van binnenuit kunnen detecteren. Aanvallen waarbij ongeautoriseerde partijen gebruikmaken van gecompromitteerde inloggegevens kunnen evenmin worden gedetecteerd. Webgebaseerde aanvallen blijven onopgemerkt door het cyber killchain-framework. Enkele voorbeelden hiervan zijn SQL-injecties, DOS- en DDOS-aanvallen, cross-site scripting, en zero-day exploits.
- Cyber killchain-modellen kunnen ook aanvallen missen die niet al te ingewikkeld zijn. Voorbeelden hiervan zijn aanvallen die niet veel onderzoek vereisen en niet erg geavanceerd zijn.
- Het cyber killchain-raamwerk kan basisvarianten missen, met name spray-and-pray-aanvalstactieken die op slimme wijze de best opgezette detectieschema's puur toevallig kunnen omzeilen.
Praktijkvoorbeelden van cyber kill chain in actie
Hier volgen enkele praktijkvoorbeelden van cyber kill-processen in actie:
Datalek bij Target (2013)
De aanvallers begonnen hun verkenning met het ontdekken van kwetsbaarheden bij Fazio Mechanical, de externe HVAC-leverancier van Target. Na het gebruik van phishing-e-mails als malware, leverden ze de payload aan Fazio-medewerkers en gebruikten ze legitieme leveranciersgegevens om het netwerk van Target binnen te dringen. Memory-scraping-malware werd op kassamachines geladen en via command-and-control-communicatie werden 70 miljoen klantgegevens en 40 miljoen creditcardnummers gestolen.
Hack bij Sony Pictures Entertainment (2014)
De aanvallers voerden uitgebreide verkenningen uit van de infrastructuur van Sony voordat ze wiper-malware en backdoors als wapens inzetten. Spear-phishingberichten bevatten de malware-tools en maakten gebruik van gestolen beheerdersgegevens om kwaadaardige payloads over het netwerk te verspreiden. De command-and-control-kanalen bleven maandenlang bestaan, wat resulteerde in gegevensvernietiging, gestolen films en losgeld eisen om de release van The Interview te voorkomen.
SolarWinds Supply Chain Compromise (2020)
Kwaadwillende actoren gebruikten het updateproces van SolarWinds voor spionage, waarbij ze legitieme updates als wapens gebruikten via de SUNBURST-achterdeur. Malware verspreidde zich naar 18.000 gebruikers via gekaapte builds met behulp van stille updateveren om payloads af te leveren, en command-and-control-communicatie maakte gebruik van domeingeneratie-algoritmen voor ontwijkingsdoeleinden om toegang te krijgen tot zowel commerciële als overheidsnetwerken met gevoelige informatie.
Ransomware-aanval op Colonial Pipeline (2021)
De aanvallers van DarkSide-ransomware maakten tijdens de verkenningsfase gebruik van de VPN-kwetsbaarheden van Colonial Pipeline en gebruikten payloads die waren afgestemd op operationele technologieomgevingen. Gestolen inloggegevens verschaften hen de eerste toegang, waarbij ze profiteerden van het hergebruik van wachtwoorden en het ontbreken van meervoudige authenticatie. De installatie van ransomware verstoorde de pijpleidingactiviteiten, waarbij command-and-control-kanalen de versleutelingsstatus in de gaten hielden totdat een losgeld van 4,4 miljoen dollar was betaald.
Verbeter de beveiliging met de Cyber Kill Chain en SentinelOne
Het AI-platform voor dreigingsdetectie van SentinelOne kan het Cyber Kill Chain-model toepassen en in praktijk brengen. Met de netwerkmonitoringfuncties van SentinelOne kunt u verkenningsoperaties detecteren. De Offensive Security Engine van SentinelOne blijft vijanden meerdere stappen voor en kan bedreigingen detecteren voordat ze zich voordoen, en ze zelfs voorspellen. Tijdens de leverings- en bewapeningsfase identificeren de gedrags-AI-engines van SentinelOne kwaadaardige URL's en bestanden voordat ze op eindpunten worden uitgevoerd. U beschikt over signatuurloze, realtime detectie voor het identificeren van nieuwe bedreigingen.
Zodra aanvallers de exploitatiefase hebben bereikt, controleert de ActiveEDR-technologie van SentinelOne de systeemactiviteit om kwaadaardige activiteiten te identificeren en te blokkeren. U moet de geautomatiseerde responsmogelijkheden van SentinelOne implementeren om getroffen eindpunten onmiddellijk te isoleren wanneer verdachte activiteiten plaatsvinden. Voor de installatiefase biedt SentinelOne rollback-mogelijkheden waarmee schadelijke wijzigingen ongedaan kunnen worden gemaakt. U krijgt uitgebreid inzicht in alle systeemactiviteiten via de uniforme beheerconsole van SentinelOne. SentinelOne kan activa, bronnen, accounts en andere gebeurtenissen in de hele cloud in kaart brengen.lt;/p>
Wanneer aanvallers command-and-control-communicatie uitvoeren, detecteert en blokkeert SentinelOne uitgaande verbindingen met kwaadaardige servers. SentinelOne kan laterale bewegingen over netwerken blokkeren en escalerende privileges voorkomen. Het kan bedreigingen in quarantaine plaatsen en ransomware, malware, schaduw-IT, zero-days, social engineering en meer. U kunt SentinelOne ook gebruiken om veilig een back-up te maken van uw gevoelige gegevens en te zorgen voor een sterke gegevensbeveiliging. De forensische tools van SentinelOne maken gedetailleerd onderzoek na een incident mogelijk, waardoor u inzicht krijgt in aanvalspatronen en uw verdediging tegen toekomstige pogingen kunt versterken.
Conclusie
Inzicht in de Cyber Kill Chain stelt beveiligingsteams in staat om aanvallen in elk stadium te verstoren, waardoor de bescherming tegen steeds veranderende bedreigingen wordt gemaximaliseerd. U kunt dit raamwerk omzetten in bruikbare verdedigingsstrategieën door beveiligingsmaatregelen aan elke fase te koppelen. SentinelOne zet dit theoretische model om in praktische bescherming via zijn autonome platform, dat zichtbaarheid en responsmogelijkheden biedt in alle stadia van een aanval. Als u uitgebreide bescherming tegen geavanceerde bedreigingen nodig hebt, biedt SentinelOne de tools die nodig zijn voor moderne verdediging.
Implementeer vandaag nog SentinelOne. Stop aanvallen onmiddellijk.
"FAQs
De Cyber Kill Chain is een door Lockheed Martin ontwikkeld, op inlichtingen gebaseerd verdedigingskader dat cyberaanvallen opsplitst in zeven opeenvolgende stappen. U kunt dit raamwerk toepassen om de volgorde van aanvallen te begrijpen en gerichte verdedigingsmaatregelen te nemen bij elke stap. Het laat zien hoe de aanvallers te werk gaan, vanaf de eerste verkenning tot het bereiken van hun doel.
De zeven fasen zijn: 1) Verkenning – verzamelen van informatie over het doelwit, 2) Bewapening – ontwikkeling van kwaadaardige payloads, 3) Levering – levering van wapens aan doelwitten, 4) Exploitation – uitvoering van kwaadaardige code, 5) Installation – verkrijgen van persistentie, 6) Command-and-Control – creëren van kanalen voor toegang op afstand, en 7) Actions on Objectives – uitvoeren van doelstellingen van de aanvaller, zoals gegevensdiefstal of -vernietiging.
Organisaties implementeren het Kill Chain-model door verdedigingsmaatregelen af te stemmen op elke fase van de aanval. Ze kunnen monitoringtools voor vroegtijdige waarschuwing installeren bij verkenning, e-mailfilters voor het blokkeren van levering, eindpuntbeveiliging voor exploitatie- en installatiefasen, netwerkmonitoring voor C2-detectie en gegevensbeschermingscontroles in de laatste stap.
De Cyber Kill Chain helpt u bedreigingen op te sporen door een systematische manier te bieden om in elke fase naar aanwijzingen voor aanvallen te zoeken. U kunt zoeken naar verkenning door middel van ongebruikelijke scans, levering via verdachte e-mails en installatie via nieuwe bestanden of wijzigingen in het register. Als u op zoek bent naar deze fase-specifieke indicatoren, kunt u aanvallen eerder in hun cyclus detecteren.
U kunt aanvallen stoppen door ze op elk punt in de Cyber Kill Chain te onderbreken. Door verkenning te stoppen door middel van netwerkversterking, het verwijderen van kwaadaardige e-mailbijlagen, het patchen van kwetsbaarheden om misbruik te voorkomen of het onderscheppen van C2-communicatie, onderbreekt u aanvallen voordat ze zijn voltooid. Voor een optimale bescherming hebt u meerdere beveiligingslagen nodig die op verschillende fasen zijn gericht.
Critici wijzen erop dat de Cyber Kill Chain te gestructureerd is voor hedendaagse aanvallen. Het model is minder effectief in het bestrijden van bedreigingen van binnenuit, webaanvallen en cloudomgevingen. Het model gaat uit van een lineaire voortgang, terwijl daadwerkelijke aanvallen juist springerig zijn. U moet zich ervan bewust zijn dat het sinds 2011 niet meer uitgebreid is herzien en dus minder relevant is voor nieuwere bedreigingen zoals ransomware-as-a-service.
Lockheed Martin heeft de Cyber Kill Chain-methodologie in 2011 ontwikkeld als een van hun Intelligence-Driven Defense-initiatieven. U herinnert zich misschien dat deze was gebaseerd op de militaire theorie van 'kill chain'-operaties, maar aangepast aan cyberbeveiliging. De methodologie is ontwikkeld om organisaties te helpen Advanced Persistent Threats (APT's) beter te begrijpen en te bestrijden door aanvallen op te splitsen in specifieke, aanpakbare fasen.
