”Dags att utveckla Cyber Kill Chain-ramverket i linje med dagens cybersäkerhetshot”

krönika Försvarsmodellen Cyber Kill Chain måste anpassas till dagens allt mer komplexa cyberhot. Det skriver Mick Baccio, säkerhetsexpert på Splunk i en krönika.

”Dags att utveckla Cyber Kill Chain-ramverket i linje med dagens cybersäkerhetshot”

I cybersäkerhetsbranschen pratas det ofta om olika försvarsmodeller eller ramverk som har utvecklats för att hjälpa organisationer att mer effektivt identifiera och stoppa avancerade attacker. En av de mest använda modellerna är Cyber Kill Chain (CKC), som ursprungligen kommer ifrån försvarsindustrin och består av olika steg som är listade i en specifik ordning. Genom att kartlägga potentiella attacker med hjälp av CKC-modellens olika steg kan organisationer förbereda sig bättre och ligga steget före hackare i varje skede av en attack, från konceptualisering till utförande.

Även om CKC-ramverket genom åren har visat sig vara effektivt, har det också varit för restriktivt för att fullt ut passa dagens moderna organisationers cybersäkerhetsstrategier. CKC utformades ursprungligen för att skydda mot skadlig programvara som en respons på att antalet Advanced Persistant Threats (APT) ökat. I takt med att cyberhoten blivit allt mer komplexa är det viktigt att även CKC-modellen utvecklas för att den ska förbli relevant.

Begränsningar av Cyber Kill Chain-modellen

Det ursprungliga CKC-ramverket fokuserade främst på skadlig kod och tar därför inte lika mycket hänsyn till andra typer av attacker. Ett exempel på sådana attacker är webbaserade angrepp som SQL Injection, ddos, Cross Site Scripting (XSS) och Zero Day. CKC-processen täcker dessutom inte insiderhot, trots att det är känt att de utgör en betydande risk.

Den begränsningen visar sig också i bristande flexibilitet. Alla angripare följer inte nödvändigtvis varje steg av CKC-processen, utan kan också välja att slå samman vissa steg. Det är exempelvis vanligt att hackare slår samman de fem första stegen i modellen. Om det traditionella ramverket då följs till punkt och pricka, riskerar säkerhetsteam att misslyckas med att upptäcka och stoppa hot innan de tar sig in i nätverket.

Teknikutvecklingen har öppnat för nya typer av attacker som ibland faller utanför det linjära tankesättet som CKC-ramverket bygger på. Innovationer som cloud computing, Devops, IoT, ai/maskininlärning och automatiserig har alla bidragit till att göra cyberattacker mer komplexa med fler datakällor och potentiella ingångspunkter. Samtidigt innebär andra kulturella och sociala faktorer, som exempelvis ökat distansarbete, att det finns fler möjligheter för hackare att utnyttja.

Vilka kompletteringar finns det till den ursprungliga CKC-modellen?

Även om varje företag kräver sina egna skräddarsydda planer för cybersäkerhet, finns det några övergripande sätt att anpassa de ursprungliga CKC-processerna.

Det kan till exempel vara att använda CKC samtidigt som man också kartlägger angriparnas tekniker med hjälp av MITRE ATT&CK-ramverket. På så sätt kan säkerhetsteam jämföra indicators of compromise (IOC) med fler typer av information om potentiella hot. En enhetlig Cyber Kill Chain ATT&CK-modell kan på så sätt användas för att utveckla effektiva säkerhetskontroller.

Kan snabbt lokalisera sårbarheter

Många specialiserade plattformar kan simulera CKC-processen. Det gör det möjligt att snabbt lokalisera och anpassa sig till eventuella sårbarheter.

Utöver att simulera cyberhot via e-post-, webb- och brandväggar kan de här plattformarna ge säkerhetsteamen rapporter över systemenheter som hjälper dem att identifiera särskilda risker. Organisationen kan sedan vidta relevanta åtgärder och förhindra framtida hot genom att ändra konfigurationer och installera patchar.

År 2024 har den ökande mångfalden av hot och den snabba teknikutvecklingen fått många att ifrågasätta CKC-processens effektivitet. Det verkar krävas ett mer omfattande helhetsgrepp. En smidig CKC-process som innehåller delar av MITRE ATT&CK och Extended Detection and Response (XDR)-strategier kan till exempel identifiera ett bredare spektrum av hot och hantera dem mer effektivt. Det finns dock ingen enstaka modell som passar alla. Företag bör ta de mest relevanta idéerna och koncepten från olika modeller och processer, baserat på kunskap och erfarenhet från sin egen miljö.

Oavsett vilket tillvägagångssätt man väljer, måste företag skapa en heltäckande cybersäkerhetsstrategi som kan hantera dagens allt mer komplexa cyberhot.

Mick Baccio är Global Security Advisor på Splunk

Denna artikel var tidigare publicerad på tidningen telekomidag.se

Senaste artiklarna

Hämtar fler artiklar
Till startsidan
Techtidningen

Techtidningen Premium

Nyhetstjänsten för dig som jobbar med professionell kommunikation. Nu med nya nischade nyhetsbrev för ditt intresseområde och utbildnings-tv.