Nieuwe Cyber Kill Chain nodig

Weten welke stappen een cybercrimineel zet bij een aanval, is erg belangrijk voor iedere security-specialist. Een goed hulpmiddel hierbij is de zogeheten ‘Cyber Kill Chain’ zoals deze werd ontwikkeld door Lockheed Martin. Toch klopt deze aanpak niet helemaal, meent WatchGuard-analist Marc Laliberte. We houden er dan namelijk te weinig rekening mee dat cybercriminelen zelden rechtstreeks op hun doel afgaan.

Lockheed Martin is een belangrijke aanbieder van militaire technologie. Het ontwikkelt daarbij ook tal van systemen om cybercriminelen en ‘state sponsored’ hackers buiten de deur van netwerken te houden. Om een aanvaller te kunnen tegenhouden, is het van groot belang om te weten welke stappen hij gedurende een attack zal doorlopen. Het defensieconcern heeft daarom een zogeheten ‘cyber kill chain’ ontwikkeld.

Stappenmodel

Dit model of framework is weergegeven in bijgaand kader en bestaat uit een aantal stappen. Te beginnen bij reconnaissance ofwel het verkennen van het doelwit. In deze fase verzamelt de aanvaller zoveel mogelijk informatie over het doel. Hierna ontwikkelt die aanvaller het wapentuig (zeg maar: de payload) waarmee hij zijn aanval wil uitvoeren, waarna de aanval in stap 3 ook daadwerkelijk wordt uitgevoerd en het doelsysteem in stap 4 wordt binnengedrongen. Zodat in stap 5 de malafide software kan worden geïnstalleerd en het systeem onder de controle van de aanvaller wordt gebracht (stap 6). Is het doelsysteem eenmaal overgenomen, dan kan de aanvaller zijn aandacht richten op andere systemen in het netwerk. Zijn hier nog meer systemen te vinden die kunnen worden overgenomen? In stap 8 tenslotte kan de aanvaller zijn doelstelling realiseren.

Laliberte vindt dit een uitstekend overzicht van de fasen die in een aanval wordt doorlopen. Toch wil hij een aanpassing doen. Hij is namelijk van mening dat stap 2 bij een gemiddelde cyberaanval beter geschrapt kan worden. Daar heeft hij een duidelijke reden voor. Een cybercrimineel zal namelijk - anders dan een spion of door een staat gesponsorde hacker die precies weet welke info hij wil stellen - zelden recht op zijn doel afgaan. Veelal verzamelt hij in de eerste fase veel informatie over zijn doelwit. Een van de belangrijkste conclusies die hij dan hoopt te kunnen trekken is: welk systeem of welk deel van het netwerk is het meest geschikt om aan te vallen? Anders gezegd: waar zit de zwakste plek?

Zwakke plekken

Zo’n zwakke plek is het meest aangewezen punt om te proberen een netwerk binnen te dringen. Is dat eenmaal gelukt, dan gaat de aanvaller stap-voor-stap op zoek naar zijn doelsysteem. Of dit nu een CRM-systeem met klantgegevens is, een database met R&D-gegevens of een financiële applicatie. Stap 2 kan volgens Laliberte bij ‘gewone’ cyberaanvallen dus beter worden geschrapt terwijl na de command and control-stap het beste een stap genaamd lateral movement kan worden toegevoegd.

Laliberte heeft daarom een nieuwe versie van de Cyber Kill Chain ontwikkeld waarbij de weapanization-stap en de stap rond lateral movement zijn gewisseld.

Iedere aanval is uniek

Overigens waarschuwt Laliberte er voor om dit soort frameworks al hét model voor een cyberaanval op een netwerk te zien. Iedere aanval is uniek, meent hij, en lang niet iedere aanval wordt op dezelfde wijze aangepakt. Desondanks is hij van mening dat Kill Chain Models erg nuttig zijn om de structuur van cyberaanvallen duidelijk te maken. Een dergelijk model kan bijvoorbeeld erg goed helpen om business managers meer inzicht te geven in de manier waarop cybercriminelen te werk gaan en welke tegenmaatregelen dus nodig zijn. Zowel als het gaat om organisatorische maatregelen als om investeringen in hard- en software.

In een blog op Dark Reading gaat Marc Laliberte dieper in op zijn aangepaste kill chain-model: http://bit.ly/2ddAztA.

De Cyber Kill Chain van Lockheed Martin versus de variant van Marc Laliberte van WatchGuard

Robbert Hoeffnagel