Cyber Kill Chain: Wie Cyberkriminelle in Unternehmensnetze eindringen

Die Digitalisierung vereinfacht das Leben der Menschen deutlich und bietet darüber hinaus viele weitere Vorteile: leider auch für Kriminelle – Cyberkriminelle! Denn Cyberkriminelle suchen permanent nach Schwachstellen – wie etwa solche wie Log4Shell – und nutzen diese aus, um Zugang zu Unternehmensnetzwerken und -daten zu erhalten. Die Vorgehensweise, bzw. das Angriffsmodell, wie Angreifer Systeme infiltrieren, nennt sich „Cyber Kill Chain“. Wie genau sieht eine solche Cyber Kill Chain aus, und wie können Unternehmen diese unterbrechen?
Von   Dr. Sebastian Schmerl   |  Director Security Services EMEA   |  Arctic Wolf Networks Germany GmbH
9. Mai 2022

Was genau bedeutet Kill Chain?

Mit Kill Chain ist die genaue Vorgehensweise gemeint, wie Cyberkriminelle sich Zugang zu Unternehmensnetzen verschaffen und dort Schaden verursachen. Ein solcher Angriff läuft für gewöhnlich nach einem immer ähnlichen Muster ab und beinhaltet mehrere Teilschritte, die eine Angriffskette bilden: vom Eindringen über einen einzelnen Endpunkt bis hin zur Infektion des gesamten Systems. Wird die Kill Chain nicht unterbrochen, so heißt es im Allgemeinen Schach matt in sieben Zügen.

Kill Chain: Mit jedem geschmiedeten Glied zieht sich die Schlinge enger zusammen
Das Angriffsmodell erfolgt also in sieben Teilschritten und läuft üblicherweise folgendermaßen ab:

  1. Reconnaissance: Dieser Schritt umfasst die Suche nach geeigneten Angriffszielen im Internet. Der Bedrohungsakteur späht potenzielle „Opfer“ aus, indem er über Webseiten, Datenbanken, Suchmaschinen, das Darknet und Social Media u.a. Daten wie E-Mailadressen und Informationen zur IT-Struktur in Unternehmen sammelt.
  2. Weaponization: Im Anschluss daran, wird gezielt nach Systemschwachstellen gesucht und die entsprechenden Tools „in Position gebracht“, um Sicherheitslücken ausnützen und in Systeme vordringen zu können. Die Wahl der jeweiligen Schadsoftware ist dabei abhängig vom Ziel der Cyberattacke.
  3. Delivery: Nun erfolgt der eigentliche Angriff, dessen Grundlage die zuvor gesammelten Daten sind. Die Schadsoftware – z.B. in Form von Phishing Mails – wird übermittelt, das jeweilige System kompromittiert.
  4. Exploitation: Die Zuvor ermittelte Sicherheitslücke wird gezielt ausgenutzt, um sich einen initialen Zugang zum Unternetzwerk zu verschaffen. So bieten vor allem ungeschulte und nicht für das Thema Security sensibilisierte Mitarbeiterinnen und Mitarbeiter eine mögliche Angriffsfläche.
  5. Installation: Über das gewählte Einfallsziel und ohne Wissen des jeweiligen Nutzers wird die Schadsoftware implementiert. Der Cyberkriminelle setzt sich somit im betroffenen System fest.
  6. Command and Control: Der Angreifer hat nunmehr einen stabilen Zugriff auf das System und baut seinen Fernzugriff stetig aus.
  7. Actions on Objective: Der Angreifer wird dann auf weitere Programme zugreifen und versuchen, das System zu infiltrieren und sich auf das gesamte Netzwerk auszubreiten, um seinen Angriff abzuschließen. Mit anhaltender Dauer des Angriffs steigen auch die möglichen Auswirkungen für Unternehmen. Denn eine der Folgen einer langfristigen Ausbreitung ist, dass diese nicht mehr ohne erheblichen Aufwand behoben werden kann.

Um zu verhindern, dass Cyberkriminelle während eines Angriffs überhaupt die Gelegenheit zu einem der späteren Teilschritte der Kill Chain erhalten, sollten Unternehmen auf Prävention und Überwachung setzen.

Nicht auf Angriffe warten! Vorbeugen!

Hat sich ein Cyberkrimineller also erst einmal in einem System persistiert und ausgebreitet, ist es meist schon zu spät, um Schaden abzuwenden – dieser ist dann nur noch zu begrenzen. Das heißt, dass Unternehmen vor allem Security-Maßnahmen präventiv ergreifen sollten, um sich selbst vor Angriffen und deren Auswirkungen zu schützen.

So sollte eine Bestandsaufnahme des Ist-Zustands der Cybersecurity und IT-Infrastruktur erfolgen und Maßnahmen eingeleitet werden, alle Programme immer auf dem aktuellen Stand zu halten und Sicherheitslücken zu schließen. Aber nicht nur die Systeme müssen präventiv geschützt, auch die „Schwachstelle Mensch“ muss geschlossen werden.

Security Awareness: Mitarbeitende gegenüber Sicherheitsrisiken erfolgreich sensibilisieren
Mitarbeiterinnen und Mitarbeiter sind und bleiben Sicherheitsrisiken für Unternehmen. Dabei stehen Mutwilligkeit oder böse Absichten gar nicht so sehr im Vordergrund: Nachlässigkeit und Unwissen sind meist der tragende Faktor bei erfolgreichen Social-Engineering-Versuchen – also dem Erlangen von sensiblen Daten durch das Ausnutzen menschlicher Schwächen und Unachtsamkeiten. Diesem Risikofaktor können Unternehmen aber mit geeigneten Sensibilisierungsmaßnahmen entgegenwirken. Für den Erfolg entsprechender Security-Awareness-Kampagnen gilt es, folgende Punkte zu berücksichtigen:

  • Mitarbeitende sollten regelmäßig an Sicherheitsschulungen sowie an Phishing-Simulationen teilnehmen, um zu lernen, Unachtsamkeiten zu vermeiden und Angriffe zu erkennen.
  • Schulungen sollten durch Techniken wie Interaktivität, Gamification und Einsatz von Videos ergänzt werden, um die Inhalte ansprechend und einprägsam zu gestalten. Die Trainings sollten kontinuierlich erfolgen – jährliche oder halbjährliche Schulungen sind nicht genug, um Gelerntes zu verinnerlichen.
  • Auch für Sicherheitsschulungen gilt: Easy is right. Sicherheitstrainings müssen einfach, prägnant und effizient sein, damit die Mitarbeitenden konzentriert teilnehmen.
  • Mitarbeiterinnen und Mitarbeiter, die kritischen Nutzergruppen angehören oder Nachholbedarf haben, sollten vom Unternehmen gefördert werden und Anerkennung erhalten. So wird ein Anreiz für die Teilnahme an Schulungen geschaffen und der Lernwille verstärkt.
  • Trainings gehen mit einem hohen Aufwand einher und erfordern didaktische Kenntnisse bei der Erstellung und Durchführung. Daher sollte diese Aufgabe nicht Administratoren oder anderen Mitarbeitenden zufallen, sondern Experten für Sicherheitsschulungen überlassen werden.

Werden diese Punkte berücksichtigt, so sinkt die Wahrscheinlichkeit, dass ein Cyberangriff aufgrund des „Faktors Mensch“ erfolgreich verläuft.

Bedrohungserkennung: Managed Detection and Response & Managed Risk

Eine ausgereifte Bedrohungserkennung ist das „A und O“, wenn es um die Abwehr von Cyberattacken geht. Diese findet im Security Operations Center (SOC) statt. Doch nicht jedes Unternehmen hat die benötigten Ressourcen, um ein solches SOC selbst innerhalb der eigenen Organisation zu errichten und zu betreiben und umfassende Managed Detection and Response (MDR)- & Managed-Risk-Maßnahmen durchzuführen. Vor allem KMU sollten abwägen, ob für Sie die Zusammenarbeit mit einem Sicherheitsexperten nicht sinnvoll wäre. Denn solche Cybersecurity-Partner haben sowohl die neueste Technologie sowie umfangreich geschultes Personal an der Hand, um Sicherheitslücken zu entdecken und zu schließen sowie Bedrohungen erfolgreich zu erkennen und abzuwehren als auch mögliche Schäden von gelungenen Cyberattacken zu begrenzen.

Jedes Unternehmensnetzwerk birgt seine eigenen Cyberrisiken; die Bedrohungen für Organisationen sind mannigfaltig, die Sicherheitslücken treten in den Infrastrukturen stets an unterschiedlichen Stellen auf. Daher ist es nicht verwunderlich, dass eine „One Size Fits All“-Lösung nicht das Maß aller Dinge sein kann, wenn es um Cybersecurity geht. Daher muss für jedes Unternehmen eine Bestandsaufnahme der IT-Infrastrukturkomponenten und Evaluation der Gefahrenlage am Anfang aller Sicherheitsaktivitäten stehen. Erst, wenn dies geschehen ist, können spezifische Maßnahmen beschlossen und getroffen werden. Anders ist das im Fall des Angriffsmodells „Cyber Kill Chain“. Hier gibt es für jeden Teilschritt des Angriffs dafür vorgesehene spezifische Abwehrmaßnahmen.

Gegenmaßnahmen für die einzelnen Teilschritte der Kill Chain

Die sieben Teilschritte zur Bekämpfung der sieben Schritte der Cyber Kill Chain sind folgende:

  1. Maßnahmen gegen Reconnaissance: Es empfiehlt sich, permanent auf potenzielle Angriffsmöglichkeiten zu analysieren. Aber schon die Einschränkung der Veröffentlichung von Unternehmensdaten ist hier zielführend, um der „Reconnaissance“ entgegenzuwirken.
  2.  Maßnahmen gegen Weaponization: Auch in diesem Schritt steht die kontinuierliche Analyse der eigenen IT-Infrastruktur auf mögliche Angriffsformen im Mittelpunkt. Die gewonnenen Erkenntnisse ermöglichen eine Identifikation von neuen Angriffsmethoden und die präventive Risikominimierung. Zusätzlich sollten spezifische Verfahren zur Früherkennung durch Security-Monitoring und Detektionslösungen eingebracht werden.
  3. Maßnahmen gegen Delivery: Sind die möglichen Einfallstore von Angreifern erkannt, so wird geprüft, wie Übertragungsmedien, Server, Services oder Identitäten auf Angriffe überwacht werden können. Werden Spuren von Angriffen oder verdächtigen Aktivitäten erkannt, kann proaktiv gegen Angreifer vorgegangen werden. Ferner lassen sich Informationen zur Vorgehensweise sammeln und präventiv durch ein angepasstes Schutzkonzept nutzen.
  4. Maßnahmen gegen Exploitation: Die Maßnahmen gegen den “Exploitation“-Teilschritt des Angriffs beinhalten kontinuierliche Patches und automatische Schwachstellenscans. Denn deutlich mehr als 90 Prozent aller erfolgreichen Kompromittierungen von Unternehmen erfolgen über längst bekannte und behebbare Schachstellen. Zudem sollten Security Awareness Trainings und E-Mail-Phishing-Simulationen sowie ständige, weitere Sicherheitstrainings zu den durchgeführten Maßnahmen zählen.
  5. Maßnahmen gegen Installation: In diesem Schritt sollten die vom Angreifer durchgeführten Maßnahmen konsequent vereitelt werden. Dafür müssen auch innerhalb des Unternehmens und nicht nur am Security-Perimeter sicherheitsrelevante Aktionen erfasst und untersucht werden. Denn nur wenn vom Cyberkriminellen durchgeführte Vorgänge protokolliert, ausgewertet und erkannt werden, können diese in dieser Phase noch gestoppt werden.
  6. Maßnahmen gegen Command and Control: Kompromittierte Systeme und Services kommunizieren zur Befehlssteuerung mit den Angreifern. Durch Netzwerk und Endpoint-Monitoring können solche Comand- and Controll-Nachrichten vom/zum Angreifer erkannt und die nötigen Gegenmaßnahmen abgeleitet werden. Zutage getretene Sicherheitslücken sollten umgehend geschlossen werden. Für die Erkennung ist es unabdingbar, dass der eigene Datenverkehr vom und im Unternehmen überwacht wird und Grenzwertüberschreitungen oder Auffälligkeiten schnell aufgedeckt werden.
  7. Maßnahmen gegen Actions on Objective: Ist der Ernstfall eingetreten, und ein Angreifer hat sich Zugang zur gesamten oder einem Großteil der IT-Infrastruktur verschafft, ist es fast unmöglich, noch wirkungsvolle Abwehr- und Eindämmungsmaßnahmen zu ergreifen. Ziel ist es natürlich, dass ein Angreifer die letzte Phase nie erreicht und schon vor diesem Teilschritt bemerkt und abgewehrt wurde. Ist es hierfür aber bereits zu spät, müssen Schäden durch im Vorfeld definierte Aktionen (wie Desaster-Recovery, BCM und Backup-Pläne) so weit wie möglich reduziert werden.

Der Job des Sicherheitsexperten bedingt ein umfangreiches Wissen hinsichtlich neuester Technologien und Angriffsmitteln sowie Kenntnisse spezifischer Abwehrmaßnahmen, um die Reaktion auf Angriffe, Erkennung von Schwachstellen, Minimierung von Risiken und Minderung von Angriffsfolgen sicherzustellen. Security-Spezialisten müssen zudem über umfassendes Know-how des jeweiligen Systems verfügen. Werden die Mitarbeitenden in Unternehmen regelmäßig hinsichtlich der Sicherheitsrisiken und Social-Engineering-Methoden geschult, die Technologie stetig auf den neuesten Stand gebracht und eine umfassende Bedrohungserkennung durchgeführt, verringert sich das Risiko von erfolgreichen Cyberattacken für Unternehmen signifikant. Leider zeigt sich, dass aufgrund der Komplexität der IT-Security-Thematik und dem vorherrschenden Fachkräftemangel viele Unternehmen mit der Absicherung ihrer IT-Infrastruktur ohne externen Support überfordert sind.

Fazit: Cybersecurity versus Chain Reaction – für eine sichere IT-Infrastruktur

Die Abwehr von Cyberangriffen kann für Unternehmen nur dann erfolgreich sein, wenn deren Sicherheitsteams und -partner die Art, wie Cyberkriminelle vorgehen bekannt ist. Werden die erforderlichen Maßnahmen durchgeführt und Sicherheitsvorgaben eingehalten, so sinkt das Risiko, dass Cyberkriminelle in Unternehmensnetzwerke eindringen und Schaden anrichten können. Kenntnisse über das Angriffsmodell der Cyber Kill Chain ermöglichen folglich die Abwehr von Cyberattacken!

Dr. Sebastian Schmerl ist Director Security Services EMEA bei Arctic Wolf. Er bringt mehr als 15 Jahre Erfahrung im Bereich Cybersecurity mit sowie in der Bereitstellung von Cyber Defense Services und dem SOC-Aufbau für Unternehmen wie Daimler, Volkswagen, Bosch, Datev und Bayer.

Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.

27651

share

Artikel teilen

Top Artikel

Ähnliche Artikel