Advania logo
    Kontakta oss
    Gå tillbaka

    Cyber Kill Chain

    Vad är Cyber Kill Chain?

    Cyber Kill Chain är en modell som beskriver de faser ett cyberangrepp typiskt går igenom, från första spaning till uppnått mål. Modellen togs fram av försvarskoncernen Lockheed Martin och bygger på en militär tankefigur: om försvararen kan bryta kedjan i någon av faserna misslyckas hela angreppet.

    Betydelsen av Cyber Kill Chain

    Modellens styrka är att den flyttar fokus från enskilda larm till angreppet som förlopp – och försvararen behöver bara lyckas bryta kedjan i ett av stegen. Cyber Kill Chain ger ett gemensamt språk för att analysera hot och identifiera var det egna försvaret har luckor, och används flitigt inom hotunderrättelsearbete, i SOC-miljöer och vid incidenthantering för att bedöma hur långt ett angrepp hunnit.

    Så fungerar Cyber Kill Chain

    Modellen delar in angreppet i sju faser:

    • Spaning (reconnaissance): angriparen kartlägger målet – människor, system och exponerade tjänster.
    • Vapenisering (weaponization): ett angreppsverktyg förbereds, till exempel ett dokument med skadlig kod.
    • Leverans (delivery): verktyget når målet, ofta via e-post, webb eller USB.
    • Exploatering (exploitation): en sårbarhet eller en användare utnyttjas så att koden körs.
    • Installation: angriparen etablerar fotfäste, exempelvis genom en bakdörr.
    • Kommando och kontroll (C2): det komprometterade systemet kopplar upp sig mot angriparens infrastruktur.
    • Måluppfyllelse (actions on objectives): angriparen genomför sitt egentliga mål – stöld av data, kryptering, sabotage.

    För varje fas kan försvararen koppla åtgärder som upptäcker, blockerar eller stör angreppet – till exempel e-postfilter i leveransfasen och nätverksövervakning i C2-fasen. Ju tidigare kedjan bryts, desto billigare blir incidenten.

    Användningsområden för Cyber Kill Chain

    Modellen används för att analysera inträffade incidenter, för att kartlägga vilka skydd som finns per fas och hitta luckor, samt för att strukturera rapportering till ledningen. Den kompletteras ofta av MITRE ATT&CK, som beskriver angriparens konkreta tekniker på betydligt mer detaljerad nivå – Kill Chain ger förloppet, ATT&CK ger detaljerna.

    Cyber Kill Chain i det praktiska försvarsarbetet

    Modeller gör nytta först när de omsätts i detektionsregler, skyddsåtgärder och övade processer. Advania hjälper organisationer att analysera sin försvarsförmåga fas för fas, täppa till luckor och bygga detektion och incidenthantering som bryter angreppskedjan så tidigt som möjligt.

    Vanliga frågor och svar om Cyber Kill Chain

    Vad är skillnaden mellan Cyber Kill Chain och MITRE ATT&CK?

    Cyber Kill Chain beskriver angreppets övergripande faser i en linjär kedja med sju steg. MITRE ATT&CK är en betydligt mer detaljerad kunskapsbas över hundratals konkreta tekniker som angripare använder, utan krav på ordningsföljd. De kompletterar varandra.

    Är Cyber Kill Chain fortfarande relevant?

    Ja, som pedagogisk modell och analysram. Kritiken är att moderna angrepp inte alltid är linjära och att modellen fokuserar på intrångets väg in. Därför kombineras den i dag oftast med ATT&CK och andra ramverk.

    Vilken fas är viktigast att bryta?

    Ju tidigare desto bättre – ett angrepp som stoppas i leveransfasen kostar en bråkdel av ett som upptäcks vid måluppfyllelse. I praktiken behövs skydd i alla faser, eftersom inget enskilt lager fångar allt.

    Hur använder vi modellen konkret?

    Lista era skydds- och detektionsförmågor per fas och leta luckor: kan vi upptäcka spaning? Stoppar vi leverans via e-post? Ser vi C2-trafik? Övningen ger en prioriterad åtgärdslista.

    Viktiga punkter att ta med sig om Cyber Kill Chain
    • Sju faser: modellen beskriver angreppet från spaning till måluppfyllelse.
    • Bryt kedjan: försvararen behöver bara stoppa angreppet i en fas.
    • Tidigt är billigt: ju tidigare kedjan bryts, desto mindre blir skadan.
    • Komplement till ATT&CK: Kill Chain ger förloppet, MITRE ATT&CK detaljerna.
    • Praktiskt verktyg: används för gapanalys, incidentanalys och ledningsrapportering.
    UPPTÄCK OCH FÖRHINDRA HOT

    Hur snabbt upptäcker ni ett pågående angrepp?

    Upptäck och förhindra hot