Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

Doorbreek cyber kill chain met endpointbeveiliging

18 mei 2021 - 08:395 minuten leestijdOpinieSecurity & AwarenessWatchGuard
Martijn Nielen
Martijn Nielen

Bij het uitvoeren van een cyberaanval doorlopen aanvallers over het algemeen een aantal vaste stappen. Indien je bekend bent met deze stappen, kan dit de beveiliging van jouw organisatie versterken. Hoe ziet zo’n cyber kill chain eruit en hoe helpt endpointbeveiliging bij het doorbreken van deze keten?

De term kill chain verwijst naar een militair concept waarbij een fysieke aanval in meerdere fasen wordt opgedeeld: van de initiële identificatie tot het uiteindelijke vernietigen van het doelwit. Lockheed Martin presenteerde in 2011 met de cyber kill chain het digitale equivalent, dat de verschillende stappen van een digitale aanval uiteenzet. De cyber kill chain bestaat uit zeven basisstappen die aanvallers altijd moeten nemen bij het uitvoeren van een cyberaanval:

  1. Externe verkenning
    Aanvallers leren in deze stap de zwakke plekken van hun doelwit kennen. Welke aanvalsmethoden leveren de hoogste kans op succes op?
  2. Cyberwapens kiezen
    Deze stap kent veel verschillende vormen. Zo kan op maat gemaakte malware worden ingezet, kunnen kwetsbaarheden worden uitgebuit via onder meer pdf- of Office-bestanden of kunnen zwakke plekken in webapplicaties worden misbruikt. Deze stap draait om het technische mechanisme dat een aanvaller inzet.
  3. Dreiging afleveren
    De derde stap draait om het daadwerkelijk uitvoeren van een aanval tegen een doelwit. Denk hierbij aan het verleiden van een slachtoffer tot het bezoeken van een malafide website of het openen van een malafide bijlage. Denk echter ook aan sql-injecties of het uitbuiten van kwetsbaarheden in verouderde software.
  4. Zwakke plekken uitbuiten
    Nadat de malafide payload is afgeleverd compromitteert deze het doelwit. De aanvallers krijgen hiermee voet tussen de deur bij het slachtoffer. In de praktijk kan de payload een phishingmail zijn, maar ook malware of social engineering.
  5. Permanente toegang verkrijgen
    Aanvallers zijn in de vorige stap van de cyber kill chain het netwerk binnengedrongen. Zij hebben hiermee tijdelijke toegang tot dit netwerk verkregen. In stap vijf creëren zij permanente toegang tot het systeem. Via een backdoor hebben ze dan op ieder willekeurig moment toegang tot het systeem.
  6. Command & control-infrastructuur creëren
    Zodra permanente toegang tot systemen van een slachtoffer is verzekerd, richten de aanvallers zich op het creëren van een betrouwbaar communicatiekanaal. Via dit kanaal kunnen zij hun aanval aansturen en soms ook data extraheren. Dit kanaal wordt ook wel het c&c-kanaal genoemd.
  7. Acties tegen doelwit uitvoeren
    De laatste stap omvat de malafide acties die aanvallers uitvoeren op systemen van slachtoffers. Denk hierbij aan het stelen van inloggegevens of gevoelige data, maar ook aan het meekijken met een webcam.

Te weinig aandacht voor bewegingen van aanvallers

Opvallend aan de cyber kill chain die Lockheed Martin omschrijft is dat er relatief weinig aandacht is voor bewegingen van aanvallers binnen het netwerk van het slachtoffer. Zo kunnen aanvallers al langere tijd aanwezig zijn op het netwerk voordat zij worden opgemerkt. Deze tijd gebruiken zij voor het verkennen van het netwerk en in kaart brengen van relevante doelen.

Het WatchGuard Threat Lab-team pleit daarom al langer voor een alternatieve variant van de cyber kill chain. Het kiezen van cyberwapens in stap twee maakt in deze versie plaats voor de bewegingen van aanvallers binnen het netwerk van het slachtoffer. Zo is het apparaat waar aanvallers toegang tot krijgen lang niet altijd het uiteindelijke doelwit. In deze alternatieve tweede stap bewegen aanvallers richting hun doelwit.

Gedragsanalyse

Bij nagenoeg elke cyberaanval doorlopen aanvallers de verschillende stappen van de cyber kill chain. Het onderbreken van deze keten kan aanvallers dan ook in de wielen rijden. Endpointbeveiliging (epp) is hiervoor een krachtig middel. Een epp-suite kan allerlei vormen van endpointbeveiliging omvatten. We zoomen in op de wijze waarop een epp-suite verschillende stappen van de cyber kill chain kan doorbreken.

  • Dreiging afleveren

Bij veel aanvallen speelt malware een cruciale rol. Malware kan zijn werk pas doen nadat het op een endpoint is genesteld. Een goede epp-suite merkt een besmetting tijdig op en stopt de dreiging. Het is belangrijk dat een epp-suite niet alleen bekende malware opmerkt, maar juist ook onbekende dreigingen. Gedragsanalyse speelt hierbij een belangrijke rol.

  • Uitbuiten

Zwakke plekken in de beveiliging van software kunnen door aanvallers worden uitgebuit. Epp-suites gaan dit tegen met behulp van anti-exploit-technologieën. Zo kan de software het geheugen van endpoints monitoren op bekende technieken die aanvallers misbruiken voor het uitbuiten van kwetsbaarheden.

  • Command & control

Aanvallers vertrouwen op c&c-infrastructuur voor het aansturen van malware. Sommige epp-suites monitoren netwerkverkeer op verdacht verkeer dat kan duiden op c&c-verkeer. Het blokkeren van dit verkeer verstoort de communicatie tussen de aanvallers en malafide software.

  • Acties tegen doelwit uitvoeren

Idealiter voorkom je dat een endpoint wordt besmet met malware. Lukt dat niet? Dan wil je in ieder geval zeker stellen dat adequaat wordt ingegrepen. Veel epp-suites bevatten endpoint detection & response (edr)-functionaliteiten die hierbij helpen. Edr monitort endpoints en detecteert malafide activiteiten. Zo is direct in te grijpen en verdere schade te voorkomen.
Een epp-suite biedt dus een gelaagde bescherming tegen aanvallen, waarmee je de cyber kill chain kunt doorbreken. Want waar een aanvaller succes moet hebben bij het doorlopen van alle schakels van de keten, doorbreek jij deze keten al indien je de toegang tot slechts één van de schakels weet te stoppen.

Meer over

DDoSMalwareOfficePDFPhishingSQL

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Slimme connectiviteit: de toekomst van bouwen

    Hoe stoom jij jouw organisatie in de bouw en installatie sector klaar voor de digitale toekomst?

    Computable.nl

    De weg van dataverzameling naar impact

    Iedere organisatie heeft data, maar niet iedereen weet hoe je het goed gebruikt. Hoe zet je waardevolle informatie om in actie?

    Computable.nl

    Beveiliging en IT samen sterk tegen bedreigingen

    Deze paper geeft concrete strategieën en handvatten om IT en Security effectiever te integreren.

    Meer lezen

    OpinieSecurity & Awareness

    Hoe endpoint-beveiligde usb-drives bescherming bieden

    OpinieSecurity & Awareness

    De opkomst van endpoint detection en response

    hacker
    OpinieSecurity & Awareness

    Laat de securityrapporten een wake-upcall zijn

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs