Erkläre die Cyber Kill Chain von Lockheed Martin und wie ein Blue Team sie nutzt.
Kurzantwort
Die Cyber Kill Chain modelliert einen Einbruch als sieben aufeinanderfolgende Stufen: Aufklärung, Bewaffnung, Auslieferung, Ausnutzung, Installation, Command and Control (C2) und Actions on Objectives. Verteidiger ordnen jeder Stufe Erkennungen und Maßnahmen zu; da die Stufen sequenziell sind, stört das Brechen eines einzelnen Glieds – die Phishing-Mail blockieren, das C2 abschalten – den gesamten Angriff. Sie drängt dazu, früh zu erkennen statt erst beim finalen Einbruch.
Die Cyber Kill Chain von Lockheed Martin gibt dem Blue Team ein gemeinsames Vokabular dafür, an welcher Stelle eines Einbruchs es erkennt und wo es eingreifen könnte. Interviewer nutzen sie, um zu sehen, ob du Angriffe als Prozess mit vielen Unterbrechungspunkten denkst und nicht als einen einzigen Moment des „Gehacktwerdens".
Die sieben Stufen
- Aufklärung – der Angreifer erforscht das Ziel (OSINT, Scanning, Mitarbeiterlisten).
- Bewaffnung – er koppelt einen Exploit mit einer Payload, z. B. ein bösartiges Makro in einem Dokument.
- Auslieferung – er übermittelt sie: Phishing-Mail, Watering-Hole-Seite, USB.
- Ausnutzung – die Payload wird ausgeführt, indem eine Schwachstelle missbraucht oder ein Nutzer getäuscht wird.
- Installation – die Malware etabliert Persistenz auf dem Host.
- Command and Control (C2) – das Implantat ruft den Angreifer für Anweisungen zurück.
- Actions on Objectives – der Angreifer erreicht sein Ziel: Datendiebstahl, Verschlüsselung, Sabotage.
Wie Verteidiger sie nutzen
Ordne jedem Glied eine Maßnahme und eine Erkennung zu: E-Mail-Filterung und Nutzerschulung stören die Auslieferung; Patches und Exploit-Mitigationen stören die Ausnutzung; EDR und Application-Allowlisting erwischen die Installation; DNS- und Egress-Filterung brechen das C2. Da die Stufen sequenziell sind, hindert das Brechen eines einzelnen Glieds den Angreifer daran, sein Ziel zu erreichen – und je früher du es brichst, desto günstiger die Reaktion.
Warum das wichtig ist
Die Kill Chain ist bewusst einfach, was ihre Stärke und ihre Kritik ist: Sie ist linear und stark malware-/perimeterfokussiert, sodass viele Teams sie für granulare Techniken mit MITRE ATT&CK kombinieren. Eine starke Antwort zählt die Stufen auf, erklärt „Defense in Depth = eine Chance, die Kette auf jeder Stufe zu brechen", und erkennt die Grenzen des Modells an.
Wahrscheinliche Anschlussfragen
- Warum ist Erkennung in der Auslieferungs- oder Ausnutzungsstufe besser als bei den Actions on Objectives?
- Was sind die Hauptkritikpunkte an der Kill Chain im Vergleich zu MITRE ATT&CK?
- Wo würde ein EDR einen Angreifer in dieser Kette am wahrscheinlichsten erwischen?