Serg Nvns - Fotolia

Sicherheit und die Kill Chain: Das unterschätzte Zeitfenster

Um effektiv auf Angriffe reagieren zu können, sollten Unternehmen sich mit der so genannten Kill Chain vertraut machen und entlang dieser die aktive Verteidigung aufbauen.

Ein gutes Incident Response Management ist entscheidend, um im Ernstfall auf Cyberbedrohungen reagieren zu können. Die Erfahrungen der Experten des SANS Institutes zeigen allerdings, dass viele Spezialisten der Cybersicherheit die verfügbare Zeit aus unterschiedlichsten Gründen nicht effektiv nutzen.

In den Köpfen vieler sind potentielle Angreifer technische Genies. Die Annahme ist, dass es nur noch um Schadensbegrenzung geht, sobald ein Angreifer die präventiven Schutzmaßnahmen umgehen kann.

Die Wahrheit ist allerdings, dass die meisten Angriffe eher simpel aufgebaut sind, eben nicht in Sekundenschnelle durchgeführt werden und mit einer soliden Sicherheitsarchitektur durchaus abgewehrt werden können.

Die Möglichkeiten zur Abwehr erkennen

Das heißt nicht, dass ausgefeilte Angriffe wie APTs (Advanced Persistent Threats) ausbleiben. Diese zielen oft auf sensible Daten und kritische Infrastrukturen, allerdings sind sie seltener, als allgemein angenommen wird. Die entscheidende Erkenntnis ist: Auch ausgereifte Angriffe bieten viele Möglichkeiten, um zu reagieren und diese abzuwehren. Ein reiner Prevent-Only-Ansatz reicht in der Cybersicherheit nicht aus. Wer das gesamte Abwehrpotential ausnutzen möchte, sollte sich mit der sogenannten Kill Chain vertraut machen und entlang dieser eine aktive Verteidigung aufbauen.

Der Begriff Kill Chain bezeichnet ursprünglich ein militärisches Konzept, das die Struktur eines Angriffs als eine Kette aus Einzelschritten verbildlicht. Diese Einzelschritte bilden eine Kette, die von der Zielidentifikation bis zur Zerstörung des Ziels reicht. Das Konzept wurde in den letzten Jahren von dem Technologiekonzern Lockheed Martin auf die Cybersicherheit übertragen, so dass die Idee einer Kill-Chain-Verteidigungsstrategie darin besteht, die Sicherheitsmaßnahmen entlang der Einzelschritte zu planen, um die Kette so früh wie möglich zu unterbrechen.

Wenn der Angreifer allerdings sieben Schritte unternehmen muss, um erfolgreich zu sein, dann haben die Verteidiger auch sieben Chancen, um den Angriff abzuwehren – schließlich können einige dieser Schritte Tage, Wochen oder gar Monate dauern. Die Annahme, im Ernstfall könnten nur noch automatisierte Programme und Software rechtzeitig reagieren, basiert oft darauf, dass manche Schritte und deren Verteidigungsmöglichkeiten einfach übersehen werden.

Die ersten beiden Schritte sind reine Vorbereitung

Ein starker Cyberangriff benötigt eine gute Vorbereitung. Im ersten Schritt, der Reconnaissance, recherchiert der Angreifer und sammelt beispielsweise E-Mail-Adressen, Daten aus sozialen Netzwerken, Informationen über das Unternehmen, seine IT-Systeme und mehr. Das ist zeitraubend und Unternehmen, die ihre öffentlich sichtbaren Informationen reduzieren, können den ersten Schritt der Informationsbeschaffung schon einmal erschweren und sich zusätzlich Zeit verschaffen. Auf der eigenen Website können außerdem die Zugriffe analysiert werden, um sich nach verdächtigen Suchaktionen auf einen möglichen Angriff vorzubereiten.

Bevor der Angreifer mit der Offensive beginnt, wie sich viele diese vorstellen, kommt es zur sogenannten Weaponization. Hierbei muss der Angreifer die Informationen auswerten, die passenden Exploits suchen und das Malware-Paket schnüren. Die verantwortlichen Teams der Cybersicherheit können die Spuren von Angriffsversuchen und bekannte Malware analysieren. Der typische Einsatzzweck einer aktuellen Malware gibt einen wertvollen Hinweis auf mögliche Angriffsszenarien, auf die man sich vorbereiten kann.

Im dritten und vierten Schritt wird die Malware versandt und Schwachstellen genutzt

Erst mit dem dritten Schritt startet der eigentliche Angriff, Delivery genannt. Hier wird gezielt versucht, Malware zu verteilen. Phishing-Mails sind dafür sehr beliebt, weil die Chancen immer noch hoch sind, dass jemand einen gefährlichen Anhang öffnet oder auf einen falschen Link klickt. Das reicht, um den Angriff zu initiieren, und ist eine billige Methode. Ähnliche Angriffsvektoren sind USB-Sticks oder andere elektronische Kanäle wie Social Media.

Meistens wurden bis zu diesem Zeitpunkt noch keine Schwachstellen ausgenutzt. Erst im vierten Schritt, dem Exploit, ist das der Fall. Dabei können Fehler in der Hard- und Software genauso relevant sein wie Mitarbeiter, die als Ziel von Social Engineering dazu verleitet werden, einen schädlichen Link anzuklicken, die Malware herunterzuladen oder zu installieren. Entsprechend antrainierte und vermittelte Security-Awareness-Maßnahmen könnten bereits einige Angriffsversuche an dieser Stelle der Kill Chain stoppen.

Erst die Schritte fünf bis sieben der Kill Chain richten Schaden an

Wenn Schwachstellen nicht rechtzeitig geschlossen wurden, kann es anschließend zum fünften Schritt, der Installation von Malware, kommen. In diesem Schritt werden bestimmte Programme auf den infizierten Systemen heruntergeladen und die Manipulation verschleiert. Hier entsteht allerdings meistens immer noch kein Schaden. Ein gutes Monitoring der Aktivitäten und Berechtigungen im Netz kann das Schlimmste zu diesem Zeitpunkt verhindern.

Erik van Buggenhout, SANS

„Wer seine Kronjuwelen identifiziert und weiß, wo sie liegen, hat bereits die wichtigsten Informationen und kann geeignete Sicherheitsmaßnahmen etablieren.“

Erik van Buggenhout, SANS Institute

Im vorletzten Teil der Kill Chain, dem „Command and Control“, übernimmt der Angreifer die Kontrolle über die installierte Malware. Das heißt, dass er mögliche Kommunikationskanäle sucht, um die Malware von außen zu aktivieren, ihre schädlichen Funktionen in Gang setzt, um seine eigentliche Absicht zu verfolgen. Auch an dieser Stelle gibt es noch immer Möglichkeiten, auf verdächtige Aktivitäten zu reagieren und die Kommunikationskanäle rechtzeitig zu blockieren.

Es sollte bereits klar sein, dass ein Cyberangriff aufwendiger ist, als viele glauben: Sechs Schritte bieten umfangreiche Möglichkeiten, einen geplanten Angriff aufzuhalten. Erst im letzten Schritt, den „Actions on Objectives“, kann sich der Angreifer am Ziel wähnen. Jetzt beginnt der Angreifer seine eigentliche Absicht umzusetzen: Zugänge und Berechtigungen werden missbraucht, Daten und Systeme zerstört oder Informationen extrahiert. An dieser Stelle müssen die vorher erarbeiteten Notfallpläne aktiviert werden, um den Schaden der Attacke einzudämmen.

Die Kronjuwelen führen zur eigenen Kill-Chain-Strategie

Eine gute Kill-Chain-Verteidigungsstrategie hilft, die eigene Organisation vor fortschrittlichen Angriffen zu schützen. Die Vielzahl der Möglichkeiten wirkt anfänglich verwirrend, lässt sich aber durchschauen, wenn man sich verdeutlicht, wo die eigenen Kronjuwelen im Netzwerk liegen – also jene Daten, die für das Geschäftsmodell des Unternehmens entscheidend sind und die für Angreifer am interessantesten sein können.

Wer seine Kronjuwelen identifiziert und weiß, wo sie liegen, hat bereits die wichtigsten Informationen, um die Kill Chain beziehungsweise den Weg des Angreifers zu diesen Daten vorab nachzuverfolgen, und kann geeignete Sicherheitsmaßnahmen etablieren.

Über den Autor:
Erik van Buggenhout, Certified Instructor beim SANS Institute und Mitgründer der Cybersicherheitsfirma NVISO.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

So verbessert Advanced Security Analytics die Sicherheit

Per verhaltensbasierter Angriffserkennung die Security verbessern

Advanced Persistent Threats der Geschäftsleitung erklären

 

Artikel wurde zuletzt im Dezember 2017 aktualisiert

Erfahren Sie mehr über Datensicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close