Cyber Kill Chain
Was ist Cyber Kill Chain?
Cyber Kill ChainSiebenstufiges Modell von Lockheed Martin, das den Ablauf eines gezielten Angriffs von der Aufklärung bis zu den Aktionen am Ziel beschreibt.
Die 2011 von Lockheed Martin veröffentlichte Cyber Kill Chain zerlegt eine Intrusion in sieben aufeinander folgende Phasen: Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command and Control sowie Actions on Objectives. Verteidiger sollen die gegnerische Aktivität in jeder Phase erkennen, verweigern, stören, abschwächen, täuschen oder zerstören – jedes durchtrennte Glied lässt die Kampagne scheitern. Sie war eines der ersten breit angenommenen, gegnerzentrierten Rahmenwerke und ist nach wie vor nützlich, um Schutzmaßnahmen zu mappen, Telemetrie zu priorisieren und Incident-Zeitlinien zu kommunizieren. Kritiker bemängeln, dass sie klassische, malwarebasierte Angriffe besser abbildet als Insider-Missbrauch, Cloud-Native-Angriffe oder leise Spionage; viele Teams kombinieren sie daher mit MITRE ATT&CK.
● Beispiele
- 01
Einen Vorfall vom Phishing bis zur Ransomware auf die sieben Phasen abbilden, um versagte Kontrollen zu identifizieren.
- 02
EDR, E-Mail-Sicherheit und Netzwerkabwehr gezielt einzelnen Kill-Chain-Phasen zuordnen.
● Häufige Fragen
Was ist Cyber Kill Chain?
Siebenstufiges Modell von Lockheed Martin, das den Ablauf eines gezielten Angriffs von der Aufklärung bis zu den Aktionen am Ziel beschreibt. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Cyber Kill Chain?
Siebenstufiges Modell von Lockheed Martin, das den Ablauf eines gezielten Angriffs von der Aufklärung bis zu den Aktionen am Ziel beschreibt.
Wie funktioniert Cyber Kill Chain?
Die 2011 von Lockheed Martin veröffentlichte Cyber Kill Chain zerlegt eine Intrusion in sieben aufeinander folgende Phasen: Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command and Control sowie Actions on Objectives. Verteidiger sollen die gegnerische Aktivität in jeder Phase erkennen, verweigern, stören, abschwächen, täuschen oder zerstören – jedes durchtrennte Glied lässt die Kampagne scheitern. Sie war eines der ersten breit angenommenen, gegnerzentrierten Rahmenwerke und ist nach wie vor nützlich, um Schutzmaßnahmen zu mappen, Telemetrie zu priorisieren und Incident-Zeitlinien zu kommunizieren. Kritiker bemängeln, dass sie klassische, malwarebasierte Angriffe besser abbildet als Insider-Missbrauch, Cloud-Native-Angriffe oder leise Spionage; viele Teams kombinieren sie daher mit MITRE ATT&CK.
Wie schützt man sich gegen Cyber Kill Chain?
Schutzmaßnahmen gegen Cyber Kill Chain kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Cyber Kill Chain?
Übliche alternative Bezeichnungen: Lockheed-Martin-Kill-Chain, Intrusion Kill Chain.
● Verwandte Begriffe
- defense-ops№ 905
Reconnaissance
Erste Angriffsphase, in der Angreifer Informationen über Mitarbeitende, Technologie und Angriffsfläche eines Ziels sammeln, bevor sie eindringen.
- defense-ops№ 535
Initial Access
Die MITRE-ATT&CK-Taktik (TA0001), die Techniken zusammenfasst, mit denen Angreifer erstmals Fuß in einer Zielumgebung fassen.
- compliance№ 687
MITRE ATT&CK
Global zugängliche, von MITRE gepflegte Wissensdatenbank über Taktiken und Techniken realer Angreifer.
- malware№ 201
Command and Control (C2)
Infrastruktur und Kanäle, mit denen Angreifer die Kommunikation zu kompromittierten Systemen aufrechterhalten und ihnen Befehle senden.
- defense-ops№ 315
Diamond Model of Intrusion Analysis
Analyse-Framework, das jedes bösartige Ereignis mit vier Knoten verbindet: Adversary, Capability, Infrastructure und Victim.
- defense-ops№ 527
Indicator of Compromise (IoC)
Ein beobachtbares Artefakt – etwa ein Datei-Hash, IP, Domain, URL oder Registry-Schlüssel – das auf eine erfolgte oder laufende Kompromittierung hinweist.
● Siehe auch
- № 397Execution (MITRE-Taktik)
- № 817Persistence
- № 298Defense Evasion
- № 325Discovery (MITRE-Taktik)
- № 199Collection (MITRE-Taktik)
- № 398Exfiltration
- № 518Impact (MITRE-Taktik)