Security professionals verschillen van mening over de effectiviteit van de kill chain als een verdedigingsmodel tegen internetcriminelen. Sommigen staan er volledig achter en benadrukken het succes van het model bij meerdere beveiligingsteams. Volgens sceptici ontbreekt het echter in het model aan details en geldt het alleen voor specifieke aanvallen. Volgens mij hebben beide partijen een goed punt. Ik wil dan ook drie simpele stappen voorstellen om de kill chain nog beter te maken.
De kill chain bestaat uit zeven fasen van een netwerkaanval. Het idee is dat iedere fase een kans is voor specifieke verdedigingsmethoden.
- Verkenning, waarin de hacker middels diverse technieken leert over het doelwit.
- Bewapening. De hacker zet een kwaadaardige payload op en stemt deze af op het doelwit.
- Toegang. De hacker bezorgt de payload bij het doelwit via een communicatiekanaal.
- Exploitatie: De hacker misbruikt software of menselijke zwakheden om de payload daadwerkelijk op de starten.
- Installatie. De payload nestelt zich definitief in de doelbestemming.
- Contact met het ’thuisfront’. De malware verbindt met de hacker en geeft deze de controle.
7. Acties. De hacker voert zijn geplande actie uit.
Wijziging van de kill chain-fasen
We moeten de huidige fasen onder de loep nemen. Als we de kill chain gebruiken als defensief wapen, dan moet iedere link in de chain bruikbaar zijn voor de verdediging. Dat geldt nu bijvoorbeeld niet voor de bewapeningsfase, want als organisatie sta je daar machteloos tegenover. Waarom zou je het dan toch in de chain opnemen?
Bovendien, zo hebben anderen aangegeven, richt de huidige kill chain zich voornamelijk op de initiële binnenkomst en niet zozeer op hoe gewiekste aanvallers hun kwaadaardige payload na binnenkomst verder over het netwerk verspreiden. De kill chain heeft dus een wijziging in de fasen nodig. Ik stel het volgende voor:
- De eerste stap van verkenning blijft staan.
2. De fase van bewapening kunnen we overslaan en wordt toegang.
3. Exploitatie wordt gewijzigd in de fase infectie.
4. Contact met het ’thuisfront’ blijft ongewijzigd.
5. Verspreiding over het netwerk.
6. Acties en de exfiltratie.
Verdediging per fase
In dit nieuwe model is bij iedere stap een verdediging mogelijk. Zo zijn poort- en IP-scandetectie en header-verbergingmaatregelen gericht tegen de verkenningsfase. Geblokkeerde firewallpoorten, IPS en applicaton control zijn mogelijke wapens tegen de toegangsfase. Patchen en IPS beschermen tegen exploitatie, en netwerksegmentatie helpt tegen de verspreiding.
Teveel nadruk op preventieve bescherming
Hoe eerder in de chain je een aanval voorkomt, hoe beter, zo luidt de algemene gedachte. Hoewel dat technisch waar is, vermoed ik dat dat ook de reden is dat we vroeg in de kill chain veel meer tijd spenderen aan preventieve bescherming. En die tijd gaat ten koste van de latere verdedigingslinies, waarmee je nog altijd aanvallen onschadelijk kunt maken.
Het is gewiekste hackers dan ook vaak alles aan gelegen om voorbij die eerste linies te komen, daarna hebben ze immers vrij spel. Zonder genoeg focus op latere verdedigingsmethoden als botnet C&C-detectie, data loss prevention en interne netwerksegmentatie is een verdediging onvolledig en laten we kansen liggen. Kortom: de strijd is met Kill Chain 3.0 nog niet verloren na de initiële infectie.
Vergeet monitoring niet
Ten slotte hebben we een monitoring-component nodig die alle zeven stappen van de kill chain volledig omvat. De kill chain is goed in het uitlichten van de individuele gebieden. Maar als we een aanval niet kunnen monitoren zodra het door alle stappen loopt, missen we belangrijke data. Data die we kunnen gebruiken om de huidige aanval te stoppen, of in de toekomst nieuwe te voorkomen. Monitoring- en analysetools moeten eigenlijk een kernonderdeel zijn van de Kill Chain 3.0. Zonder deze tools mis je waarschijnlijk de tekenen van een geavanceerde aanval.
Met de iets gewijzigde Kill Chain sta je sterker in je schoenen. Vergeet vervolgens niet alle stappen aandacht te geven, ook de latere aanvalsstadia bieden genoeg verdedigingsmogelijkheden. Dat, in combinatie met een overkoepelende monitoringtool, is in het kort de Kill Chain 3.0: een fantastisch model voor het voorkomen en onderscheppen van geavanceerde aanvallen.
Etiënne van der Woude, Regional Sales Manager Benelux bij WatchGuard Technologies
