Kill chain

Een kill chain is een gestructureerd model dat de stappen beschrijft die een aanvaller doorloopt bij het uitvoeren van een cyberaanval. Het concept is in 2011 ontwikkeld door Lockheed Martin als onderdeel van hun Intelligence Driven Defense-methodologie. Het model is afgeleid van militaire doctrine, waar een kill chain de fasen beschrijft van het identificeren tot het uitschakelen van een doelwit. In cybersecurity biedt het verdedigers een systematische manier om aanvallen te begrijpen, te detecteren en te onderbreken.

De Cyber Kill Chain bestaat uit zeven fasen die een aanvaller typisch doorloopt: reconnaissance, weaponization, delivery, exploitation, installation, command and control, en actions on objectives. Door elke fase te begrijpen, kun je als verdediger op meerdere punten in het aanvalsproces ingrijpen. Het doorbreken van slechts een enkele schakel in de keten kan een volledige aanval stoppen. Dit maakt de kill chain tot een van de meest invloedrijke concepten in moderne cybersecurity, naast frameworks als MITRE ATT&CK.

Waarom is de kill chain belangrijk?

De kill chain is belangrijk omdat het verdedigers een gemeenschappelijke taal en structuur geeft om over aanvallen te communiceren. In plaats van ad hoc te reageren op individuele incidenten, kun je aanvallen analyseren als een reeks samenhangende stappen. Dit verandert je beveiligingsstrategie van reactief naar proactief.

Voor Nederlandse organisaties die onder NIS2 vallen, biedt de kill chain een raamwerk om aan te tonen dat je systematisch nadenkt over dreigingsdetectie en -respons. Het NCSC benadrukt in het Cybersecuritybeeld 2025 dat dreigingen steeds diverser worden. De kill chain helpt om die diversiteit te structureren en je verdediging daarop af te stemmen.

Een ander voordeel is dat de kill chain laat zien dat je niet op elk punt perfect hoeft te zijn. Als je een phishing-mail niet kunt tegenhouden bij delivery, kun je nog steeds de exploitatie voorkomen met goede endpoint security. Als exploitation lukt, kun je command and control-verkeer blokkeren met netwerksegmentatie. Deze gelaagde verdediging, ook wel defense in depth genoemd, wordt direct ondersteund door het kill chain-model.

De kill chain helpt ook bij het prioriteren van securityinvesteringen. Door te analyseren in welke fasen je verdediging het zwakst is, kun je gericht investeren in de maatregelen die het meeste effect hebben. Dit voorkomt dat je budget besteedt aan tools die overlappen in functionaliteit terwijl andere fasen ongedekt blijven.

Hoe pas je de kill chain toe?

Het toepassen van de kill chain begint met het in kaart brengen van je huidige verdedigingsmaatregelen per fase. Maak een matrix met de zeven fasen als rijen en je beveiligingstools, processen en mensen als kolommen. Identificeer waar je sterke detectie en preventie hebt, en waar gaten zitten.

In de reconnaissance-fase kun je verdedigen door je digitale footprint te minimaliseren. Verwijder onnodige informatie van publieke websites, beperk wat zichtbaar is op LinkedIn over je technische infrastructuur en gebruik DNS-filtering om scans te detecteren. In de weaponization-fase heb je als verdediger beperkte invloed, omdat de aanvaller zijn payload buiten je netwerk bouwt. Maar je kunt wel threat intelligence gebruiken om bekende aanvalstooling te herkennen.

De delivery-fase is een van de meest effectieve punten om in te grijpen. E-mailfiltering, webfiltering en endpoint protection stoppen het grootste deel van de aanvalspogingen in deze fase. Bij exploitation beschermen patchmanagement en applicatie-whitelisting je tegen bekende kwetsbaarheden. De installation-fase detecteer je met endpoint detection and response-oplossingen die verdacht gedrag op endpoints monitoren.

Command and control-verkeer kun je detecteren en blokkeren met netwerk monitoring, DNS-analyse en firewallregels die uitgaand verkeer naar verdachte domeinen tegenhouden. In de laatste fase, actions on objectives, is het zaak om data-exfiltratie te detecteren via data loss prevention en om laterale beweging te beperken door netwerksegmentatie.

De unified kill chain combineert het Lockheed Martin-model met MITRE ATT&CK-tactieken voor een completer beeld. Dit uitgebreide model voegt post-exploitatie fasen toe zoals lateral movement en credential theft, wat relevant is voor het detecteren van geavanceerde persistent threats (APT's).

De kill chain in de praktijk

Een financiele instelling ontvangt een gerichte phishing-mail (delivery) gericht aan een medewerker van de financiele administratie. De mail bevat een bijlage met een macro die bij opening malware installeert. De e-mailfilter vangt de mail niet op omdat deze van een gecompromitteerd, legitiem e-mailadres komt. De medewerker opent de bijlage en de macro wordt uitgevoerd (exploitation).

De malware probeert een backdoor te installeren (installation), maar het endpoint detection-systeem herkent het verdachte gedrag en blokkeert de installatie. De aanval is gestopt in fase vijf van de kill chain, ondanks dat fasen drie en vier succesvol waren voor de aanvaller. Dit illustreert de kracht van defense in depth: je hoeft niet elke fase te winnen, zolang je minimaal een schakel in de keten doorbreekt.

Een ander praktijkvoorbeeld is een organisatie die via threat intelligence ontdekt dat een aanvalsgroep actief reconnaissance uitvoert op hun sector. Door proactief hun externe aanvalsoppervlak te verkleinen en extra monitoring in te schakelen, verstoren ze de aanval al in de eerste fase. De kill chain biedt hier het kader om de juiste maatregelen aan de juiste fase te koppelen.

Bij een ransomware-aanval is de actions on objectives-fase het moment waarop bestanden worden versleuteld. Organisaties die goede backups hebben en hun netwerk gesegmenteerd hebben, beperken de schade zelfs als alle eerdere fasen gefaald hebben. De kill chain maakt zichtbaar dat elke verdedigingslaag waarde toevoegt.

Veelgestelde vragen over de kill chain

Hoeveel fasen heeft de Cyber Kill Chain?

De originele Cyber Kill Chain van Lockheed Martin bevat zeven fasen: reconnaissance, weaponization, delivery, exploitation, installation, command and control, en actions on objectives. Sommige uitbreidingen voegen een achtste fase toe: monetization, die de financiele motivatie van aanvallers beschrijft.

Wat is het verschil tussen de kill chain en MITRE ATT&CK?

De kill chain beschrijft de chronologische stappen van een aanval op hoog niveau. MITRE ATT&CK is een gedetailleerde kennisbank van specifieke tactieken, technieken en procedures die aanvallers gebruiken. De twee vullen elkaar aan: de kill chain geeft het overzicht, ATT&CK de diepgang.

Is de kill chain nog relevant in 2025?

Ja, de kill chain blijft relevant als denkmodel voor het structureren van je verdediging. Critici wijzen erop dat moderne aanvallen niet altijd lineair verlopen, maar het principe van defense in depth en het doorbreken van aanvalsketens is tijdloos. De unified kill chain adresseert veel van de oorspronkelijke beperkingen.

In welke fase van de kill chain kun je het beste ingrijpen?

Hoe eerder je ingrijpt, hoe beter. Detectie in de reconnaissance- of delivery-fase voorkomt dat een aanvaller voet aan de grond krijgt. Maar elke fase biedt kansen voor detectie en preventie. Het belangrijkste is dat je in minimaal drie fasen sterke detectie hebt.

Hoe combineer je de kill chain met zero trust?

Zero trust versterkt de kill chain door in elke fase het principe van never trust, always verify toe te passen. Zelfs als een aanvaller voorbij de delivery-fase komt, beperkt zero trust de mogelijkheden voor laterale beweging en privilege escalation in latere fasen van de keten.

Meer weten over dreigingsdetectie? Bekijk Monitoring & Incident Response oplossingen op IBgidsNL.