Die Cyber-Kill-Chain dient branchenweit bei Cyberangriffen als Orientierung für Angreifer sowie für Verteidiger. Die Beschreibung und das Wissen um die einzelnen Phasen gelten jedoch nicht nur für die weitaus geläufigere Seite der IT-Sicherheit, sondern mit einigen Abweichungen auch für die Operational Technology (OT) Sicherheit. Diese Unterschiede will dieser Artikel aufzeigen.
Der Inhalt im Überblick
Wie ist Cyber-Kill-Chain aufgebaut?
Die Cyber-Kill-Chain wurde, angelehnt an die militärische Kill-Chain, von den Analysten Eric M. Hutchins, Michael J. Cloppert and Rohan M. Amin von Lookheed Martin entwickelt. Dabei beschreibt diese den Hergang eines Cyberangriffs in sieben Phasen wie folgt:
- Reconnaissance
- Weaponization
- Delivery
- Exploitation
- Installation
- Command and Control
- Actions on Objectives
Obgleich selten ein Angriff einem anderen gleicht, können durch diese Phasen wichtige Informationen, wie z.B. der Fortschritt eines Angriffs oder mögliche nächste Schritte, besser eingeschätzt und entsprechend gehandelt werden.
Reconnaissance
Diese Phase beschreibt das Auskundschaften durch den Angreifer. Oftmals wird diese in Form von Portscans der Infrastruktur, aber auch OSINT, also allgemein bzw. öffentlich verfügbare Informationen verwirklicht. Abhängig davon, wie extensiv das Auskundschaften betrieben wird, kann diese Phase im späteren Verlauf einen großen Einfluss haben.
Weaponization
Die zweite Phase beinhaltet die Erstellung des sog. Payloads also der Schadsoftware. In den meisten Fällen besteht diese aus zwei grundsätzlichen Komponenten. Zum einen muss das Programm dem Angreifer einen Fernzugriff ermöglichen. Zum anderen muss das Programm die in der vorherigen Phase ausgekundschaftete Schwachstelle ausnutzen können.
Delivery
Die dritte Phase der Cyber-Kill-Chain beinhaltet u.a. die Übertragung des schadhaften Paketes auf ein System mit dem Zweck in die Infrastruktur einzudringen. Ein häufiges Beispiel hierfür ist eine Phishing-Mail, der ein PDF- oder ein Word-Dokument anhängt, welches wiederum ein Makro beinhaltet, dass auf dem fraglichen System ausgeführt wird.
Exploitation
Diese Phase wird von dem Ausnutzen der ausgekundschafteten Schwachstelle geprägt. Wenn dieser Schritt erfolgreich war, kann erstmals Code auf dem infizierten System ausgeführt werden.
Installation
In dieser Phase wird, um bei dem obigen Beispiel zu bleiben, mit Hilfe der Schadsoftware ein Fernzugang zu dem System hergestellt. Der Angreifer hat somit die Möglichkeit sich auf einem System festzusetzen, die in Phase Zwei erstellen Module auszuführen und die weiteren Schritte zur Ausbreitung in der Infrastruktur vorzubereiten.
Command and Control
In der vorletzten Phase der Cyber-Kill-Chain geht es vor allem um die Sicherstellung eines Kommunikationskanals. Dieser ist nicht nur wichtig, um weitere Befehle z.B. für die Malware zu übermitteln, sondern auch um einen etablierten Weg in das Unternehmen zu haben.
Actions on Objectives
Am Ende steht die Phase, in der die Angreifer ihr eigentliches Ziel umsetzten. Beispiele hierfür sind u.a. Sabotage, Datendiebstahl, Verschlüsselung, etc. Diese werden danach oftmals verwendet, um das betroffene Unternehmen zu erpressen.
Wenn Angreifer es jedoch auf die Betriebssicherheit eines Unternehmens abgesehen haben, beginnt ab diesen Punkt erst die zweite Stufe.
Wie ist der Ablauf in der OT-Sicherheit?
Der Begriff Operational Technology (OT) bezeichnet
„Hardware und Software, die durch die direkte Überwachung und/oder Steuerung von Industrieanlagen, Anlagen, Prozessen und Ereignissen eine Änderung erkennt oder verursacht.“
Bei einem Cyberangriff auf ICS-Ebene (industrial control systems) ist das Überwinden der IT-Infrastruktur nur der erste Schritt. Das Besondere an einem Angriff auf diese Systeme ist die zugrundeliegende Technik sowie die dazugehörigen Verfahren und Konfigurationen. Angreifer benötigen spezielles Wissen über vielschichtige Systeme in Bereichen, welche im Vergleich zu IT-Umgebungen wesentlich einzigartiger sind. Gleichzeitig sind diese Art der Systeme deutlich empfindlicher. Machen Angreifer in der ersten Stufe einen Fehler oder verhalten sich zu auffällig, kann dies auf der OT-Ebene darunter unvorhersehbare Folgen haben.
Da die zweite Stufe eines ICS-Angriffs aus logistischer Sicht bedeutend umfangreicher ausfallen kann, kommt es nicht selten vor, dass zwischen Stufe 1 (IT) und Stufe 2 (OT) ein größerer Zeitraum liegt.
Development & Tuning
In der ersten Phase von Stufe 2 eines ICS-Angriffs werden die Erkenntnisse aus Stufe 1 verwendet. Die gesammelten Informationen über e.g. Hardwarekomponenten, Konfigurationen, etc. werden genutzt, um die Systeme möglichst genau nachzubauen oder zu beschaffen, damit die von den Angreifern entwickelte Software vor dem Angriff auf die ICS-Ebene getestet werden kann.
Validation
Um in dieser Phase die Tests ausreichend effektiv gestalten zu können, wird die gleiche oder möglichst ähnliche Hardware oder Umgebungen wie beim Opfer verwendet. Die Angreifer versuchen auf diese Weise sicherzustellen, dass ihre Schadsoftware kompatibel ist, keinen Alarm auslöst oder die Hardware vor Erreichen der endgültigen Ziele abschaltet oder zerstört.
ICS-Angriff
In der letzten Phase des ICS-Angriffs werden die entwickelten Prozesse eingeschleust, installiert und ausgeführt. Zumeist hat der Angriff mehrere Facetten, abhängig vom abschließenden Ziel.
Wenn auch abhängig von der Motivation der Angreifer, die Ziele von ICS-Angriffe lassen sich in drei Kategorien unterteilen:
- Zerstörung
- Kontrollverlust
- Manipulation
Im Vergleich zu Angriffen auf eine IT-Infrastruktur, haben ICS-Angriffe signifikant unterschiedliche Auswirkungen. Ein DDoS-Angriff kann für IT-Systeme eines Unternehmens verehrend sein, doch ein möglicher Verlust über die Kontrolle von Sicherheitssystemen im ICS-Bereich kann im schlimmsten Fall das Leben von Menschen gefährden.
Angreifer verstehen, Abwehrmaßnahmen ableiten
Anhand des Cyber-Kill-Chain-Modells lässt sich abstrakt der typische Lebenszyklus eines anhaltenden Cyberangriffs verstehen, um diese später wiederzuerkennen und zu verhindern. Dieses Wissen lässt sich – wie gezeigt – mit einigen Unterschieden auch bei der OT-Sicherheit anwenden, um hier ebenfalls geeignete Abwehrmaßnahmen abzuleiten.