![\"Die](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/\/shutterstock-2491917805-1-300x100.jpg\" "\\"Bild")
<\/p>\n<\/p>\n
Die Angriffsfl\u00e4che umfasst die Gesamtheit der Cybersicherheitsrisiken, denen ein Unternehmen oder eine Organisation ausgesetzt sein kann. Sie ist (h\u00e4ufig) sehr gro\u00df, was bedeutet, dass ein Cyberangriff aus nahezu jeder Richtung erfolgen kann. Um Bedrohungen zu antizipieren und Gegenma\u00dfnahmen einleiten zu k\u00f6nnen, wurde seit 2011 eine Methode zur modellhaften Darstellung von Cyberangriffen entwickelt: die Kill Chain.<\/strong><\/p>\n Die sogenannte Kill Chain fu\u00dft auf einem milit\u00e4rischen Konzept zur Identifizierung der Struktur eines Angriffs und bietet einen Rahmen, um Cyberangriffe sowie vor allem die Vorgehensweisen von Cyberkriminellen besser zu verstehen. Wie funktioniert die Kill Chain? Welche Schritte umfasst sie? Wie wurde das Modell entwickelt? Und warum ist die Kill Chain nach wie vor unabdingbar f\u00fcr die Cybersicherheit? Die Erl\u00e4uterungen und Entschl\u00fcsselungen zu diesen Fragen finden Sie in diesem Artikel.<\/p>\n <\/p>\n Die Kill Chain wurde 2011 in einem White Paper von Lockheed Martin<\/a>, einem US-amerikanischen Unternehmen, das auf Luft- und Raumfahrt sowie Verteidigung spezialisiert ist, entwickelt. Es handelt sich dabei um einen analytischen Rahmen, innerhalb dessen die verschiedenen Schritte eines Cyberangriffs aufgesplittet und untersucht wurden <\/strong>\u2013 einen Pr\u00e4ventionsrahmen, der urspr\u00fcnglich entwickelt wurde, um Eindringversuche in Computernetzwerke mittels Advanced Persistent Threats (APTs) einzud\u00e4mmen. Daher stammt auch die urspr\u00fcngliche Bezeichnung \u201eIntrusion Kill Chain\u201c. In der Folge setzte sich das Modell der Cyber Kill Chain durch.<\/p>\n Es beruht auf der Idee, dass ein Cyberangriff sieben aufeinanderfolgende Schritte durchlaufen muss, um erfolgreich zu sein, von der Aufkl\u00e4rung bis hin zur Datenextraktion. Daraus folgt die Annahme, dass ein fehlendes Glied in dieser Kette dazu f\u00fchrt, dass der Cyberangriff vereitelt wird.<\/strong><\/p>\n Die sieben Schritte der Kill Chain lauten:<\/p>\n Einige Kill-Chain-Modelle beinhalten noch den achten Schritt der Monetarisierung<\/strong>: Hier versuchen Cyberkriminelle, Geld zu erwirtschaften, entweder mithilfe von zuvor eingesetzter Ransomware oder durch den Weiterverkauf gestohlener Daten. Das traditionelle theoretische Modell geht allerdings nicht n\u00e4her auf die Tatsache ein, dass unterschiedliche Gruppen an diesen sieben Schritten beteiligt sein k\u00f6nnen, oder dass nicht alle Cyberkriminellen tats\u00e4chlich jeden Schritt durchlaufen. Im Zuge der Professionalisierung von kriminellen Gruppierungen und dem Aufkommen der \u00d6konomie der Verwundbarkeit<\/a> k\u00f6nnten manche Angreifer beispielsweise einen Erstzugang von einer anderen Gruppe kaufen und anschlie\u00dfend direkt mit dem dritten Schritt der Kill Chain fortfahren. Solche Besonderheiten erfordern eine Weiterentwicklung des Modells, bei der alternative Versionen der Kill Chain entstehen.<\/p>\n <\/p>\n Das Kill-Chain-Modell war (und ist) ein wirksames Mittel, um Cyberangriffe in aufeinanderfolgende Schritte zu unterteilen. Doch angesichts moderner, dynamischer Vorgehensweisen, bei denen einige dieser Schritte \u00fcbersprungen oder wiederholt werden k\u00f6nnen, st\u00f6\u00dft es an gewisse Grenzen. <\/strong>Sein Einsatz bleibt theoretisch und ist m\u00f6glicherweise weniger effektiv bei komplexen Angriffen, bei denen Desinformation, Betrug oder Einflussnahme \u2013 oder sogar interne Bedrohungen \u2013 zum Einsatz kommen. Um diese Beschr\u00e4nkungen im Hinblick auf die lineare Abfolge und die Granularit\u00e4t zu \u00fcberwinden, sind neue Modelle entstanden.<\/p>\n Eines der bekanntesten ist das MITRE ATT&CK-Framework (Adversarial Tactics, Techniques and Common Knowledge<\/em>), ein umfassendes Datenrepositorium<\/a> der Taktiken und Techniken, die Cyberkriminelle in den verschiedenen Phasen eines Angriffs verwenden. Im Gegensatz zur Kill Chain, die sich haupts\u00e4chlich auf die einzelnen Schritte eines Angriffs konzentriert, bietet das MITRE ATT&CK-Repository einen detaillierten Einblick in das spezifische Angriffsverhalten. Dies tr\u00e4gt zu einem besseren Verst\u00e4ndnis und zur Simulation von Angriffen bei.<\/strong> W\u00e4hrend die Aufkl\u00e4rung eine der sieben Phase der Kill Chain ist, ist sie einer von\u2026 vierzehn Schritten bei MITRE ATT&CK. Als dynamisches Modell eignet sich das Framework besser f\u00fcr Organisationen, die eine granulare Sicherheitsbewertung vornehmen und ihre Haltung zur Cybersicherheit proaktiv verbessern m\u00f6chten. Auch SOC- und CSIRT-Teams greifen auf diesen Standard zur\u00fcck, um zu verstehen, mit welchen Cyberangriffen sie konfrontiert werden und wie sie effektiv darauf reagieren k\u00f6nnen. Deshalb ist es f\u00fcr SOC-Betreiber und L\u00f6sungsanbieter wichtig, dass sie die verschiedenen ausgegebenen Alarmprotokolle unkompliziert mit einem Element aus dem MITRE ATT&CK-Repository verkn\u00fcpfen und so eine effizientere Erstreaktion finden k\u00f6nnen.<\/p>\n Als Ergebnis einer Verschmelzung beider Ans\u00e4tze wurde die sogenannte Unified Kill Chain mithilfe eines hybriden Forschungsansatzes entwickelt, der<\/strong> \u201edas Designkonzept mit qualitativen Forschungsmethoden kombiniert<\/em>\u201c. Wie auf der diesbez\u00fcglichen Website<\/a> definiert, umfasst dieses Modell 18 Schritte, die in drei gro\u00dfe Phasen unterteilt sind: \u201eIn\u201c (Phase des Erstzugriffs), \u201eThrough\u201c (Phase der \u00dcbernahme der Kontrolle \u00fcber das Ziel) und \u201eOut\u201c (Phase des Erreichens des Angriffszwecks).<\/p>\n Zur Erg\u00e4nzung der urspr\u00fcnglichen Kill Chain schlugen Ben Nimmo und Eric Hutchins aus dem Unternehmen Meta ein neues Repository vor:<\/a> die \u201eOnline Operations Kill Chain\u201c. Dieser neue Ansatz integriert b\u00f6swillige Online-Verhaltensweisen,<\/strong> wie Spionage, Desinformation, Betrug und mehr. Dieser neue Standard umfasst zehn Schritte<\/a>, die Aktivit\u00e4ten wie die Akquirierung von Assets und deren Tarnung, das Sammeln von Informationen, die Koordination oder das Testen von Verteidigungsma\u00dfnahmen abdecken.<\/p>\n Dar\u00fcber sind noch weitere, branchenspezifischere Rahmenwerke entstanden, wie z. B. das Framework Cyber Fraud Kill Chain<\/strong>, das von der Firma Optiv entwickelt wurde, um Cyberangriffen auf Finanzinstitute zu begegnen.<\/p>\n <\/p>\n Vor dem Hintergrund all dieser alternativen Frameworks ist die Kill Chain mehr denn je ein unverzichtbares Instrument, um die Cybersicherheit von Unternehmen und Organisationen zu gew\u00e4hrleisten \u2013 ein Instrument, auf das auch Cyber-Threat-Intelligence<\/a>-Teams sowohl zur Untersuchung und zum Verst\u00e4ndnis von Cyberbedrohungen als auch zur kontinuierlichen Verbesserung des Schutzes von Cybersicherheitsl\u00f6sungen zur\u00fcckgreifen.<\/p>\n Durch die fr\u00fchzeitige Erkennung eines Eindringversuchs und die Implementierung einer Strategie zum Schutz von Endger\u00e4ten k\u00f6nnen Cyberangriffe einged\u00e4mmt werden, bevor sie ihre Endphase erreichen. Um sich im Alltag zu sch\u00fctzen, k\u00f6nnen Sie deshalb auf L\u00f6sungen zum Schutz von Endger\u00e4ten zur\u00fcckgreifen.<\/strong> L\u00f6sungen zur Erkennung und Reaktion (Endpoint Detection & Response<\/em>, EDR<\/a>) sind eine erste Ma\u00dfnahme zum Schutz von Endger\u00e4ten und k\u00f6nnen durch erweiterte Erkennungs- und Reaktionsl\u00f6sungen (eXtended Detection & Response<\/em>, XDR<\/a>) erg\u00e4nzt werden. Diese aggregieren und analysieren alle Daten der in Ihrer Infrastruktur vorhandenen Assets (Netzwerke, Endger\u00e4te usw.). Durch das Erkennen von Anmeldeversuchen (Aufkl\u00e4rung), das Identifizieren von Dateidownloads auf dem Rechner und die Verwendung einer Sandbox zur Analyse von Dateien<\/a> (Ausnutzung) oder das Analysieren des ausgehenden Netzwerkverkehrs (Steuerung und Kontrolle) k\u00f6nnen diese L\u00f6sungen Bedrohungen innerhalb der verschiedenen Schritte der Kill Chain erkennen.<\/p>\n Und um Ihre Sicherheitsstrategie noch weiter auszubauen, k\u00f6nnen Sie Firewalls und L\u00f6sung zur Erkennung von Eindringversuchen implementieren<\/strong>. Ob durch die Erkennung sowie das Verhindern der Ausnutzung von Schwachstellen, Web-Sicherheit durch URL-Filterung sowie IP- und Domain-Filterung oder Netzwerksegmentierung, Netzwerkschutzl\u00f6sungen<\/a> bieten Ihnen Schutz, Kontrolle und Leistung in den verschiedenen Schritten des Kill-Chain-Modells.<\/p>\n <\/p>\nWas ist die Kill Chain?<\/h2>\n
\n
![\"\"](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/intrusion-kill-chain-v2.png\")
<\/a><\/p>\nDie Weiterentwicklung des Kill-Chain-Modells<\/h2>\n
![\"\"](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/\/the-unified-kill-chain-300x95.png\")
<\/a><\/p>\nDie Kill Chain als unverzichtbares Tool f\u00fcr Cybersicherheit<\/h2>\n