A moordketting (is een conceptueel model dat de opeenvolgende fasen van een cyberaanvalvan de planningsfase tot het bereiken van kwaadaardige doelstellingen.
Dit concept, geleend van het leger, is aangepast aan de cyberveiligheid door Lockheed Martin in 2011. Deze aanpak stelt verdedigers in staat om aanvallen te begrijpen, erop te anticiperen en ze te verstoren door mogelijke breekpunten in elke fase te identificeren.
🎯 Doel
Het belangrijkste doel van de kill chain is :
- De verschillende fasen van een aanval begrijpen Hiermee kun je de acties van een aanvaller bekijken en analyseren.
- Zwakke punten identificeren door de betrokken stappen te begrijpen, is het mogelijk om het volgende op te sporen kwetsbaarheden en de verdediging versterken.
- De aanval onderbreken Door de aanval in een vroeg stadium te detecteren, is het mogelijk om deze te stoppen voordat deze grote schade aanricht.
De 7 stadia van de cyberkillketen
- Erkenning Informatie verzamelen over het doelwit (netwerken, werknemers, kwetsbaarheden).
- Bewapenen (Bewapening: creëren van een aanvalsvector (bijv. malware gekoppeld aan een document).
- Levering (Levering): overdrachtsvector (e-mail, USB, gecompromitteerde website).
- Werking Een kwetsbaarheid wordt geactiveerd om kwaadaardige code uit te voeren.
- Installatie implementatie van persistente toegang (bijv. achterdeur).
- Commando en besturing (C2): Maakt een verbinding met de server van de aanvaller.
- Acties op doelstellingen Exfiltratie van gegevens, sabotage, ransomwareenz.
Ontwikkelingen en grenzen
- Het model MITRE ATT&CK maakt de kill chain compleet door de technieken te beschrijven die de aanvallers gebruiken
- Moderne aanvallen (APTransomware) kan bepaalde stappen omzeilen of versnellen
- De 'kill chain' blijft een educatief en strategisch hulpmiddel, maar moet gecombineerd worden met andere kaders voor een complete verdediging.
