Begränsningar av Cyber Kill Chain-modellen
Det ursprungliga CKC-ramverket fokuserade främst på skadlig kod och tar därför inte lika mycket hänsyn till andra typer av attacker. Ett exempel på sådana attacker är webbaserade angrepp som SQL Injection, ddos, Cross Site Scripting (XSS) och Zero Day. CKC-processen täcker dessutom inte insiderhot, trots att det är känt att de utgör en betydande risk.
Den begränsningen visar sig också i bristande flexibilitet. Alla angripare följer inte nödvändigtvis varje steg av CKC-processen, utan kan också välja att slå samman vissa steg. Det är exempelvis vanligt att hackare slår samman de fem första stegen i modellen. Om det traditionella ramverket då följs till punkt och pricka, riskerar säkerhetsteam att misslyckas med att upptäcka och stoppa hot innan de tar sig in i nätverket.
Kostnadsfritt nyhetsbrev
Få den senaste uppdateringarna direkt i inkorgen.
Teknikutvecklingen har öppnat för nya typer av attacker som ibland faller utanför det linjära tankesättet som CKC-ramverket bygger på. Innovationer som cloud computing, Devops, IoT, ai/maskininlärning och automatiserig har alla bidragit till att göra cyberattacker mer komplexa med fler datakällor och potentiella ingångspunkter. Samtidigt innebär andra kulturella och sociala faktorer, som exempelvis ökat distansarbete, att det finns fler möjligheter för hackare att utnyttja.
Vilka kompletteringar finns det till den ursprungliga CKC-modellen?
Även om varje företag kräver sina egna skräddarsydda planer för cybersäkerhet, finns det några övergripande sätt att anpassa de ursprungliga CKC-processerna.
Det kan till exempel vara att använda CKC samtidigt som man också kartlägger angriparnas tekniker med hjälp av MITRE ATT&CK-ramverket. På så sätt kan säkerhetsteam jämföra indicators of compromise (IOC) med fler typer av information om potentiella hot. En enhetlig Cyber Kill Chain ATT&CK-modell kan på så sätt användas för att utveckla effektiva säkerhetskontroller.
Kan snabbt lokalisera sårbarheter
Många specialiserade plattformar kan simulera CKC-processen. Det gör det möjligt att snabbt lokalisera och anpassa sig till eventuella sårbarheter.
Utöver att simulera cyberhot via e-post-, webb- och brandväggar kan de här plattformarna ge säkerhetsteamen rapporter över systemenheter som hjälper dem att identifiera särskilda risker. Organisationen kan sedan vidta relevanta åtgärder och förhindra framtida hot genom att ändra konfigurationer och installera patchar.
År 2024 har den ökande mångfalden av hot och den snabba teknikutvecklingen fått många att ifrågasätta CKC-processens effektivitet. Det verkar krävas ett mer omfattande helhetsgrepp. En smidig CKC-process som innehåller delar av MITRE ATT&CK och Extended Detection and Response (XDR)-strategier kan till exempel identifiera ett bredare spektrum av hot och hantera dem mer effektivt. Det finns dock ingen enstaka modell som passar alla. Företag bör ta de mest relevanta idéerna och koncepten från olika modeller och processer, baserat på kunskap och erfarenhet från sin egen miljö.
Oavsett vilket tillvägagångssätt man väljer, måste företag skapa en heltäckande cybersäkerhetsstrategi som kan hantera dagens allt mer komplexa cyberhot.
Mick Baccio är Global Security Advisor på Splunk
Denna artikel var tidigare publicerad på tidningen telekomidag.se
publicerad 17 september 2024