Cyber kill chain

De cyber kill chain is een model dat de stappen beschrijft die een aanvaller doorloopt bij een gerichte cyberaanval, van de eerste verkenning tot het bereiken van het uiteindelijke doel. Het model is in 2011 ontwikkeld door Lockheed Martin en bestaat uit zeven opeenvolgende fasen. Door elke fase te begrijpen, kun je als verdediger op meerdere punten in de aanvalsketen ingrijpen en een aanval stoppen voordat deze schade aanricht. De cyber kill chain is een van de meest invloedrijke frameworks in de cybersecurity en vormt de basis voor veel hedendaagse detectie- en responsstrategieen die organisaties wereldwijd toepassen.

Waarom is de cyber kill chain belangrijk?

De cyber kill chain is belangrijk omdat het verdedigers een gestructureerd kader biedt om aanvallen te analyseren en te bestrijden. In plaats van een aanval als een enkel gebeurtenis te beschouwen, breekt het model de aanval op in afzonderlijke stappen. Op elk van deze stappen kun je detectie- en preventiemaatregelen implementeren. Als je een aanval in een vroege fase detecteert en blokkeert, voorkom je dat de aanvaller latere fasen bereikt.

Het model dwingt organisaties om te denken vanuit het perspectief van de aanvaller. Door te begrijpen welke stappen een Advanced Persistent Threat (APT) doorloopt, kun je strategisch en gericht investeren in beveiligingsmaatregelen die de aanvalsketen doorbreken. Een organisatie die alleen investeert in perimeterverdediging, mist detectiemogelijkheden in latere fasen. De kill chain maakt deze blinde vlekken zichtbaar.

Voor incidentrespons biedt de cyber kill chain een gemeenschappelijke taal. Wanneer een security-analist rapporteert dat een aanval zich in de exploitation-fase bevindt, weet het hele team precies wat dat betekent en welke acties nodig zijn. Dit versnelt de communicatie en coördinatie tijdens incidenten aanzienlijk, wat cruciaal is wanneer elke minuut telt en vertragingen door miscommunicatie kostbare schade kunnen veroorzaken.

Hoe pas je de cyber kill chain toe?

De zeven fasen van de cyber kill chain vormen een lineair model dat je stap voor stap doorloopt om jouw verdediging te structureren.

Fase 1 is reconnaissance: de aanvaller verzamelt informatie over het doelwit. Dit omvat het scannen van openbare bronnen, social media-profielen van medewerkers, technische informatie over jouw infrastructuur en organisatiestructuur. Verdediging in deze fase richt zich op het beperken van publiek beschikbare informatie en het monitoren van scanactiviteit op jouw netwerk.

Fase 2 is weaponization: de aanvaller ontwikkelt of selecteert het aanvalsmiddel, bijvoorbeeld door een exploit te koppelen aan een backdoor in een document of applicatie. Als verdediger heb je in deze fase beperkte zichtbaarheid omdat de activiteit plaatsvindt buiten jouw netwerk.

Fase 3 is delivery: het aanvalsmiddel wordt naar het doelwit gestuurd via phishing-e-mails, besmette websites of fysieke media. E-mailfiltering, webproxy's en security awareness training zijn de primaire verdedigingsmaatregelen in deze fase.

Fase 4 is exploitation: de kwetsbaarheid wordt benut om code uit te voeren op het systeem van het doelwit. Patch management, application whitelisting en exploit-preventietechnologieen zijn hier effectief. Fase 5 is installation: de aanvaller installeert persistente toegang, zoals een backdoor of remote access trojan. Endpoint detection and response (EDR) en gedragsanalyse detecteren deze activiteit.

Fase 6 is command and control (C2): het gecompromitteerde systeem maakt contact met de infrastructuur van de aanvaller. Netwerkmonitoring en DNS-filtering helpen bij het detecteren en blokkeren van C2-communicatie. Fase 7 is actions on objectives: de aanvaller voert het uiteindelijke doel uit, of dat nu data-exfiltratie, ransomware-deployment of sabotage is. Data loss prevention en strikte netwerksegmentatie beperken de impact in deze laatste en meest kritieke fase.

Cyber kill chain in de praktijk

Een IT-dienstverlener voor het MKB ontvangt een goed vormgegeven phishing-e-mail (delivery) gericht aan een systeembeheerder. De e-mail bevat een PDF met een embedded exploit (weaponization) die een kwetsbaarheid in de PDF-reader benut (exploitation). Na opening installeert de malware een remote access tool (installation) die verbinding maakt met een command-and-control server (C2). De aanvaller gebruikt de beheerdersrechten om zich lateraal te verplaatsen naar klantomgevingen (actions on objectives).

Met kennis van de kill chain had de organisatie op meerdere punten kunnen ingrijpen. E-mailfiltering had de phishing-e-mail in de delivery-fase kunnen blokkeren. Een gepatchte PDF-reader had de exploitation voorkomen. EDR had de installation gedetecteerd. DNS-filtering had de C2-communicatie geblokkeerd. Netwerksegmentatie had de laterale beweging beperkt. De kill chain laat zien dat je niet op elk punt perfect hoeft te zijn, zolang je genoeg lagen hebt om de keten te doorbreken.

Het model heeft ook beperkingen die in de loop der jaren duidelijker zijn geworden. Critici wijzen erop dat de oorspronkelijke kill chain vooral gericht is op perimeteraanvallen en minder goed past bij insider threats, supply chain-aanvallen of cloudgebaseerde dreigingen. Het MITRE ATT&CK framework biedt een meer gedetailleerd en flexibel alternatief dat beter aansluit bij moderne dreigingen. Veel organisaties gebruiken beide frameworks complementair: de kill chain voor strategisch overzicht en ATTVeel organisaties gebruiken beide frameworks complementair: de kill chain voor strategisch overzicht en ATT&CK voor tactische details.

CK voor tactische details. De kill chain biedt boardroom-niveau communicatie over cyberdreigingen, terwijl ATTVeel organisaties gebruiken beide frameworks complementair: de kill chain voor strategisch overzicht en ATT&CK voor tactische details.

CK de operationele details levert die SOC-analisten nodig hebben voor dagelijkse detectie en respons.

Veelgestelde vragen over de cyber kill chain

Wie heeft de cyber kill chain ontwikkeld?

Lockheed Martin ontwikkelde het model in 2011 als onderdeel van hun Intelligence Driven Defense framework. Het is gebaseerd op militaire kill chain-concepten, vertaald naar het cybersecuritydomein voor het analyseren van geavanceerde cyberaanvallen.

Wat is het verschil tussen de cyber kill chain en MITRE ATT&CK?

De cyber kill chain beschrijft zeven lineaire fasen van een aanval op hoog niveau. MITRE ATT&CK biedt een gedetailleerde matrix van honderden specifieke tactieken, technieken en procedures. ATT&CK is granulairder en flexibeler, terwijl de kill chain beter werkt als strategisch overzichtsmodel.

In welke fase moet je een aanval het liefst stoppen?

Hoe eerder, hoe beter. Stoppen in de reconnaissance- of delivery-fase voorkomt dat de aanvaller voet aan de grond krijgt in jouw netwerk. Maar het principe van defense in depth betekent dat je op elke fase detectie en preventie moet inrichten als vangnet voor wanneer eerdere lagen falen.

Is de cyber kill chain nog relevant in 2026?

Ja, als strategisch denkmodel. De fundamentele basislogica dat aanvallen uit opeenvolgende stappen bestaan die elk afzonderlijk verstoord kunnen worden, blijft geldig. Voor tactische analyse is het model echter aangevuld met gedetailleerdere frameworks zoals MITRE ATT&CK.

Hoe gebruik je de cyber kill chain voor security-investeringen?

Map jouw bestaande beveiligingsmaatregelen systematisch op de zeven fasen van het model. Identificeer fasen zonder dekking en investeer daar gericht. Dit voorkomt overinvestering in een enkele fase terwijl andere fasen onbeschermd blijven. Veel organisaties investeren zwaar in perimeterverdediging maar missen detectiecapaciteit in latere fasen.

Versterk jouw verdediging in elke fase van de kill chain. Vergelijk SIEM aanbieders op IBgidsNL.