Wat is de Cyber Kill Chain?
De Cyber Kill Chain is een model dat de fasen van een gerichte cyberaanval beschrijft — van voorbereiding tot daadwerkelijke impact. Het werd ontwikkeld door Lockheed Martin en helpt organisaties bij het begrijpen, detecteren en verstoren van aanvallen.
In OT-context is de Kill Chain nuttig om aanvallen op productieomgevingen, zoals APT’s, gestructureerd te analyseren en te onderbreken.
🔁 De 7 fasen van de Cyber Kill Chain
| # | Fase | Beschrijving in OT-context |
|---|---|---|
| 1 | Reconnaissance | Verzamelen van informatie over PLC’s, SCADA, leveranciers, netwerkinrichting |
| 2 | Weaponization | Maken van een payload (bv. gemodificeerde firmware, backdoor voor HMI) |
| 3 | Delivery | Verspreiden via phishing, USB, kwetsbare remote access of supply chain |
| 4 | Exploitation | Uitvoeren van exploit (bv. misbruik van onbeveiligde engineering software) |
| 5 | Installation | Installeren van malware, RAT of rogue tools op HMI of engineerstation |
| 6 | Command & Control | Opzetten van communicatiekanaal naar aanvaller (bijv. via Historian bridge) |
| 7 | Actions on Objective | Datalek, sabotage van PLC, manipulatie van sensorwaarden, etc. |
🧠 Kill Chain & OT-specifieke voorbeelden
| Fase | Voorbeeld |
|---|---|
| Reconnaissance | Aanvaller scant netwerk en ontdekt open TCP/102 (S7 Comm) naar PLC |
| Weaponization | Aanvaller bouwt aangepaste Ladder Logic voor sabotage |
| Delivery | Trojan wordt geleverd via updatepakket van leverancier (zie Supply Chain-risico) |
| Exploitation | PLC accepteert onbeveiligde code zonder Code Signing |
| Installation | Backdoor op Engineering Station of SCADA-webserver |
| Command & Control | Uitgaande verbinding via Historian naar aanvallerserver |
| Actions on Objective | Temperatuursensor gemanipuleerd, veiligheidsfunctie uitgeschakeld |
🔐 Kill Chain doorbreken
| Fase | Verdedigingsmaatregel |
|---|---|
| Reconnaissance | Netwerksegmentatie, Firewall, SIEM-logging |
| Weaponization | Threat Intelligence en IOC-detectie |
| Delivery | Email Filtering, USB Control, Software Whitelisting |
| Exploitation | Patchmanagement, Access Control, Vulnerability Scanning |
| Installation | EDR, Application Control, Least Privilege |
| Command & Control | Proxy, DNS Monitoring, Anomaliedetectie |
| Actions on Objective | Zero Trust Architecture, Incident Response Plan |
Hoe eerder je in de keten ingrijpt, hoe groter de kans dat je de aanval zonder schade stopt.
✅ Waarom is dit model waardevol in OT?
- Het structureert het denken over cyberaanvallen in industriële context
- Je kunt maatregelen per fase koppelen aan bestaande systemen en processen
- Het helpt bij het trainen van operators, engineers en security-teams
- Integreerbaar met MITRE ATT&CK for ICS voor diepgang
📌 Samengevat
De Cyber Kill Chain laat zien hoe cyberaanvallen zich ontwikkelen, en waar je ze het beste kunt detecteren en onderbreken. In OT-omgevingen is vroege detectie in fases 1–3 cruciaal om fysieke impact in fase 7 te voorkomen.