In dit artikel leer je de 7 fases van de Cyber Kill Chain en hoe security monitoring helpt om hackers te stoppen voordat ze het einde van de Chain bereiken.
Wist je dat de meeste cyberaanvallen een patroon volgen? Dit patroon wordt toegelicht door middel van de “Cyber Kill Chain”, in kaart gebracht door Lockheed Martin. Hoewel dit patroon overeenkomsten heeft met hoe “reguliere” criminelen te werk gaan gebruiken cybercriminelen andere wapens en manieren om je netwerk over te nemen. Als je dit patroon begrijpt, dan kun je stappen nemen om elke fase beter te beveiligen.
Daarom bespreken we in dit blogartikel de 7 fases van de Cyber Kill Chain en hoe security monitoring helpt om cybercriminelen te stoppen voordat ze het einde van de Chain bereiken.
1.Reconnaissance
Tijdens de reconnaissance (verkenningsfase) houden cybercriminelen je organisatie in de gaten om te kijken waar en hoe ze binnen kunnen komen. Dit is vergelijkbaar met inbrekers die je huis in de gaten houden om te kijken welk raam of deur ze makkelijk kunnen forceren en op welke momenten je niet thuis bent.
2.Weaponization
Zodra de ingang is bepaald, wordt er een wapen gekozen en ontwikkeld. Waar inbrekers een betonschaar of ram kunnen gebruiken, ontwikkelen hackers malafide advertenties en YouTube-filmpjes of bijvoorbeeld een phishing e-mail of SMS.
3.Delivery
Zodra het wapen klaar is moet deze op het netwerk van de organisatie binnenkomen. Dat kan bijvoorbeeld via een website waar de malafide advertentie of YouTube video op staat, of een e-mail/SMS die naar een medewerker wordt gestuurd. Vaak is de delivery via een vertrouwd persoon of organisatie waarvan de hacker de persoonsgegevens heeft gestolen.
Tegenwoordig vindt zulke "impersonation as a service”op grote schaal plaats. Groepen criminele (“traffers”) houden zich hierbij exclusief bezig met het verzamelen van persoonsgegevens. Vaak weten zulke traffers niet eens dat ze in zo’n groep zitten: het is de cybercrimineel die ze de tools geeft en de data verzamelt, en deze verkoopt de crimineel dan weer door.
4.Exploitation
Tijdens de exploitatiefase wordt er via de delivery malware op het device geïnstalleerd om binnen te komen. Dit is het eerste punt van toegang in het netwerk en vanuit hier kunnen cybercriminelen additionele malware richting de eindgebruiker sturen. Hier denken ze ook na over het uitwissen van hun sporen zodat ze ongezien verder kunnen.
5.Installation
In deze fase wordt de malware software uitgebreid en wordt de “command & control” software op het netwerk geïnstalleerd.
6.Command & Control:
Tijdens de Command- & Controlfase worden steeds meer facetten van het netwerk overgenomen. Op deze manier kunnen cybercriminelen langzaam de controle overnemen en de netwerkbeheerder(s) buiten spel zetten.
7.Impact
Dit is de laatste fase, waarbij de cybercriminelen onthullen dat ze je netwerk hebben overgenomen. Dit doen ze door bijvoorbeeld je data versleutelen, systemen en machines platleggen, of waardevolle of privacygevoelige data te exploiteren.
Meestal is dit in ruil voor losgeld, maar afhankelijk van de organisatie kunnen ze ook andere dingen van waarde eisen. Bovendien weet je nooit of je data niet al ergens anders opgeslagen of verkocht is na het betalen van losgeld – cybercriminelen komen dan ook geregeld terug om extra losgeld te eisen.
Security Monitoring
Het is natuurlijk essentieel om preventieve maatregelen voor elke stap in de Chain te nemen. Maar toch is en blijft dat niet voldoende, want hackers lopen altijd één stap voor op de beveiliging.
Gelukkig kunnen in iedere stap mogelijk sporen worden achtergelaten. Dat is waar Security Monitoring op is gericht: 24/7 actieve analyse of er ergens in de Chain hackers actief zijn of sporen zijn achtergelaten. En als die gevonden worden kan er worden overgegaan op incident response. Hiermee voorkom je dat de cybercrimineel tot het einde van de Chain komt en de organisatie kan afpersen door het netwerk en alle end-devices of jouw waardevolle data te controleren.