Kill Chain (Cyber Kill Chain)

Die Cyber Kill Chain ist ein Modell zur systematischen Darstellung von Phasen eines Cyberangriffs. Ursprünglich von Lockheed Martin entwickelt, bietet es Sicherheitsverantwortlichen ein strukturiertes Verständnis darüber, wie Angriffe vorbereitet, durchgeführt und ausgeweitet werden. Ziel ist es, jeden Schritt des Angreifers zu erkennen und rechtzeitig zu unterbrechen.

Das Kill-Chain-Modell hilft insbesondere bei der Entwicklung von Detection- und Prevention-Strategien, der Incident ResponseIncident Response (Reaktion auf Sicherheitsvorfälle) Incident Response bezeichnet den strukturierten Prozess zur Erkennung, Analyse, Eindämmung und ... Mehr und im Threat HuntingThreat Hunting Threat Hunting bezeichnet einen proaktiven Sicherheitsansatz, bei dem Sicherheitsexperten gezielt nach Hinweisen auf bisher unentdeckte... Mehr. Es ist in der Praxis ein bewährtes Konzept zur Analyse von Angriffskampagnen – auch in Kombination mit MITRE ATT&CKMITRE ATT&CK MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) ist ein öffentlich zugängliches, systematisches Framework zur Besc... Mehr.

Die klassischen 7 Phasen der Kill Chain:

1. Reconnaissance: Informationsbeschaffung über Zielsysteme und Benutzer
2. Weaponization: Erstellen von Malware, Exploits oder Phishing-Dokumenten
3. Delivery: Übermittlung des Angriffsvektors (z. B. per E-Mail, Web, USB)
4. Exploitation: Ausnutzung einer Schwachstelle zur Ausführung
5. Installation: Etablierung persistenter Malware oder Zugangsmethoden
6. Command & Control (C2): Aufbau einer Kommunikationsverbindung zum Angreifer
7. Actions on Objectives: Datenexfiltration, Zerstörung, Manipulation o. ä.

Erweiterte Kill Chains:

• Moderne Modelle integrieren Insider Threats, Supply Chain Angriffe und Cloud-basierte Szenarien
• Kombination mit MITRE ATT&CK für mehr Detailtiefe bei Taktiken und Techniken

Nutzung in der Praxis:

• Bedrohungsanalyse und Verteidigungsplanung
• Früherkennung durch gezielte Korrelation von Telemetriedaten
• Erstellung von Security Playbooks und AutomatisierungAutomatisierung Automatisierung bezeichnet den Einsatz von Technologien, um wiederkehrende und manuelle Aufgaben oder Prozesse ohne menschliches Eingr... Mehr in SOAR-Systemen

Verwandte Begriffe:

MITRE ATT&CK, Threat Hunting, Incident Response, ForensicsForensics (Digitale Forensik) Digitale Forensik – auch Cyber Forensics oder IT-Forensik genannt – bezeichnet die systematische Sammlung, Analyse u... Mehr, Detection EngineeringDetection Engineering Detection Engineering bezeichnet den Prozess der Entwicklung, Implementierung und Optimierung von Erkennungsmechanismen für Cyb... Mehr, Attack Vector, TTPs