Wat is de cyber kill chain? Stappen, voorbeelden en hoe je deze kunt verstoren

Mei 21, 2026
Kaseya
Bedreigingsdetectie, Bedreigingen

Elke cyberaanval verloopt volgens een vast patroon. De aanvaller moet binnenkomen, voet aan de grond krijgen, zich door de omgeving bewegen en uiteindelijk zijn doel bereiken. Dat patroon is niet willekeurig. Het volgt een herkenbare reeks fasen, en de cyber kill chain biedt beveiligingsteams een kader om precies te begrijpen hoe die reeks eruitziet en op welke punten deze kan worden doorbroken.

Voor MSP’s en IT-teams die complexe, gedistribueerde omgevingen beveiligen, is de kill chain meer dan alleen een theoretisch model. Het is een praktisch instrument om beveiligingsmaatregelen af te stemmen op het daadwerkelijke verloop van een aanval en om vast te stellen waar hiaten in de beveiliging organisaties kwetsbaar maken. Tools zoals Datto EDR, Kaseya SIEM en Kaseya MDR zijn ontworpen om aanvallers in verschillende fasen van die keten te stoppen, voordat de schade een stadium bereikt waarin herstel het moeilijkst is.

Wat is de cyber kill chain?

De cyber kill chain is een raamwerk dat de fasen van een cyberaanval in kaart brengt, vanaf de eerste verkenning tot het moment waarop de aanvaller zijn uiteindelijke doel bereikt. Het is in 2011 ontwikkeld door Lockheed Martin, naar het voorbeeld van het militaire concept van een ‘kill chain’, waarbij een gevecht met de vijand wordt opgedeeld in herkenbare stappen die elk afzonderlijk kunnen worden aangepakt en verstoord.

Op het gebied van cyberbeveiliging dient het model hetzelfde doel. Door inzicht te krijgen in de stappen die een aanvaller moet doorlopen, kunnen beveiligingsteams in elke fase controlepunten aanwijzen waar de aanval kan worden opgespoord, vertraagd of volledig gestopt. Een aanvaller die in fase twee wordt tegengehouden, bereikt fase vijf nooit. Een aanvaller die in fase vier wordt opgemerkt, kan worden ingeperkt voordat hij fase zeven bereikt.

Het raamwerk is oorspronkelijk ontworpen met het oog op geavanceerde, aanhoudende bedreigingen (APT’s): geavanceerde, langdurige aanvallen die worden uitgevoerd door tegenstanders met ruime middelen, die zorgvuldig plannen voordat ze tot actie overgaan. Het raamwerk blijft het meest direct toepasbaar op dit soort bedreigingen, hoewel de onderliggende logica in bredere zin van toepassing is op de manier waarop beveiligingsteams nadenken over gelaagde verdedigingsmechanismen tegen elke vorm van gestructureerde aanval.

De 7 stappen van de cyberkillchain

Het oorspronkelijke model van Lockheed Martin omvat zeven opeenvolgende stappen. Elke stap vormt een moment waarop verdedigers kunnen ingrijpen.

Stap 1: Verkenning

Voordat een aanvaller een aanval uitvoert, verzamelt hij informatie over het doelwit. Hierbij gaat het onder meer om het in kaart brengen van openbaar beschikbare gegevens over de infrastructuur van de organisatie, e-mailadressen van medewerkers, vacatures waaruit blijkt welke technologie wordt gebruikt, profielen op sociale media en alle naar buiten gerichte systemen die als toegangspunt kunnen dienen.

Verkenning kan passief zijn, waarbij gebruik wordt gemaakt van open-source-informatie (OSINT) zonder de systemen van het doelwit rechtstreeks te raken, of actief, waarbij wordt gezocht naar open poorten, softwareversies worden geïdentificeerd en wordt gezocht naar kwetsbaarheden. Hoe meer informatie een aanvaller hier verzamelt, hoe nauwkeuriger en overtuigender de aanval later wordt.

Defensieve aanpak: toezicht houden op externe scanactiviteiten, het beperken van openbaar beschikbare technische informatie en het controleren welke systemen voor medewerkers toegankelijk zijn via het internet.

Stap 2: Militaire toepassing

De aanvaller gebruikt de informatie die hij tijdens de verkenning heeft verzameld om zijn aanvalspayload samen te stellen. Dit houdt doorgaans in dat er schadelijke bestanden worden gemaakt die zijn ontworpen om misbruik te maken van een specifieke kwetsbaarheid die in de omgeving van het doelwit is vastgesteld. Voorbeelden van dergelijke ‘weaponization’ zijn onder meer een phishingdocument met een ingebedde macro die een trojan voor toegang op afstand verspreidt, een gemanipuleerde PDF die misbruik maakt van een kwetsbaarheid in de PDF-reader, of een dropper die bij uitvoering ransomware installeert.

Beveiligingsmedewerkers hebben zelden direct inzicht in deze fase, aangezien deze zich volledig afspeelt op door de aanvaller gecontroleerde infrastructuur. De focus ligt hier op het verkleinen van het aanvalsoppervlak dat tijdens de verkenning aan het licht is gekomen: door bekende kwetsbaarheden snel te verhelpen, worden de middelen weggenomen die de aanvaller van plan was te gebruiken.

Stap 3: Levering

De aanvaller bezorgt de kwaadaardige payload bij het doelwit. E-mail is de meest voorkomende manier om dit te doen, via phishingcampagnes met schadelijke bijlagen of links. Andere methoden zijn onder meer gehackte websites die drive-by-downloads aanbieden, besmette USB-sticks, gehackte software-updates van derden (aanvallen op de toeleveringsketen) en het misbruiken van diensten die in verbinding staan met het internet.

Defensieve focus: e-mailfiltering, webfiltering, DNS-beveiliging en bewustwordingstrainingen voor gebruikers vinden allemaal plaats in de ontvangstfase. Het blokkeren van de ontvangst voordat de inhoud een apparaat bereikt, is de meest effectieve verdedigingsmaatregel die er is, omdat hierdoor alle volgende fasen worden voorkomen.

Stap 4: Exploitatie

Zodra de payload het doelwit bereikt, wordt deze uitgevoerd en maakt hij misbruik van een kwetsbaarheid om eerste toegang te verkrijgen. Dit kan een softwarekwetsbaarheid zijn in een niet-gepatchte toepassing, een browser-exploit die wordt geactiveerd door het bezoeken van een kwaadaardige pagina, of een macro die in een Office-document wordt uitgevoerd nadat de gebruiker op ‘Inhoud inschakelen’ heeft geklikt.

Hier vindt de overgang plaats van buiten de omgeving naar binnen. Exploitatie is de fase waarvoor endpoint-detectietools specifiek zijn ontworpen: gedragsanalyse brengt de afwijkende procesactiviteit aan het licht die volgt op een succesvolle exploitatie, zelfs als de kwetsbaarheid zelf niet van tevoren bekend was.

Stap 5: Installatie

Zodra de aanvaller toegang heeft verkregen, installeert hij persistente malware of een achterdeur om zijn aanwezigheid te behouden, zelfs als het oorspronkelijke toegangspunt wordt afgesloten. Veelgebruikte mechanismen voor persistentie zijn onder meer het aanmaken van opstartvermeldingen in het register, het instellen van geplande taken, het toevoegen van opstartvermeldingen of het inzetten van een trojan voor toegang op afstand die contact maakt met een door de aanvaller gecontroleerde command-and-control-infrastructuur.

Het doel is om een herstart, een wachtwoordwijziging of een patch die het oorspronkelijke beveiligingslek dicht, te overleven. Zonder een permanente installatie verliest de aanvaller de toegang zodra de sessie wordt beëindigd. EDR-tools met continue telemetrie van eindpunten zijn specifiek in staat om de wijzigingen in het register, nieuwe geplande taken en het aanmaken van ongebruikelijke processen te detecteren die kenmerkend zijn voor deze fase.

Stap 6: Command and Control (C2)

De geïnstalleerde malware zet een communicatiekanaal op naar de door de aanvaller beheerde infrastructuur. Via dit kanaal kan de aanvaller op afstand opdrachten geven, gegevens ontvangen, extra tools installeren en de volgende fasen van de aanval aansturen. C2-verkeer wordt vaak vermomd als legitiem webverkeer, via populaire clouddiensten geleid of versleuteld om detectie te voorkomen.

Deze fase biedt een cruciale kans om de aanval op te sporen. De C2-communicatie moet de netwerkgrens passeren, wat betekent dat netwerkmonitoringtools en DNS-filtering deze kunnen onderscheppen. Een eindpunt dat is gehackt maar waarvan het C2-kanaal is geblokkeerd, kan niet verder worden gestuurd. Door het op dit punt te isoleren, wordt het incident ingeperkt voordat laterale bewegingen beginnen.

Stap 7: Maatregelen met betrekking tot de doelstellingen

In de laatste fase voert de aanvaller zijn doel uit. Voor financieel gemotiveerde aanvallers betekent dit doorgaans het inzetten en versleutelen van ransomware, het stelen van gegevens met het oog op afpersing of verkoop, of financiële fraude. Actoren die namens een staat opereren, kunnen zich richten op spionage, het vernietigen van kritieke systemen of het verkrijgen van langdurige, permanente toegang voor toekomstig gebruik.

Dit is de fase waarvan het herstel de meeste schade en de hoogste kosten met zich meebrengt. Aanvallen die daadwerkelijk schade aan doelwitten toebrengen, vereisen een volledige incidentrespons: forensisch onderzoek, het opnieuw opzetten van systemen, eventuele melding aan toezichthouders en reputatiemanagement. Het belangrijkste doel van alle maatregelen die in een verdedigingsstrategie aan deze fase voorafgaan, is ervoor te zorgen dat de aanvaller deze fase nooit bereikt.

Voorbeeld van een cyberkillchain: een ransomware-aanval

Door de zeven stappen aan de hand van een concreet dreigingsscenario te doorlopen, wordt duidelijk hoe het model in de praktijk werkt:

  1. Verkenning: De aanvaller spoor een middelgroot productiebedrijf op via een vacature waarin wordt verwezen naar een specifieke versie van ERP-software met een bekend beveiligingslek. Daarnaast verzamelt hij via LinkedIn de namen van medewerkers en hun e-mailadressen.
  2. Misbruik: aan de hand van de werknemersgegevens stellen ze een phishing-e-mail op waarin ze zich voordoen als een leverancier. Bij de e-mail voegen ze een document toe dat misbruik maakt van de kwetsbaarheid in het ERP-systeem en bij uitvoering een trojan voor toegang op afstand op de computer installeert.
  3. Verloop: De phishing-e-mail wordt naar een medewerker van de crediteurenadministratie gestuurd. De e-mail komt door de filters heen omdat het domein van de afzender een overtuigende kopie is en de bijlage niet wordt gemarkeerd als een bekende schadelijke hash.
  4. Misbruik: De medewerker opent de bijlage. De macro in het document wordt uitgevoerd, waarbij misbruik wordt gemaakt van het beveiligingslek en een PowerShell-opdracht wordt uitgevoerd die de trojan downloadt van een door de aanvaller beheerde server.
  5. Installatie: De trojan installeert zichzelf als een geplande taak, die zo is geconfigureerd dat deze ook na het opnieuw opstarten blijft bestaan. De trojan neemt om de paar minuten via HTTPS contact op met de C2-infrastructuur.
  6. Beheer en controle: De aanvaller controleert of hij toegang heeft, zet tools in om inloggegevens te stelen en besteedt enkele dagen aan het lateraal verplaatsen door de omgeving, waarbij hij bestandsdelingen en back-upsystemen in kaart brengt voordat hij tot actie overgaat.
  7. Acties gericht op doelstellingen: De aanvaller verspreidt de ransomware gelijktijdig over het netwerk vanaf meerdere gehackte eindpunten. De versleuteling van bestanden begint op tientallen systemen voordat er ook maar één waarschuwing wordt geactiveerd.

Als deze keten in stap drie (e-mailfiltering die de phishing-bericht opvangt), stap vier (EDR die de uitvoering van PowerShell detecteert) of stap zes (DNS-filtering die het C2-signaal blokkeert) was doorbroken, zou het uiteindelijke resultaat zijn voorkomen. Hoe verder de aanvaller in de keten komt voordat hij wordt ontdekt, hoe duurder en complexer de reactie wordt.

Cyber kill chain versus MITRE ATT&CK: wat is het verschil?

Beide kaders brengen het gedrag van aanvallers in kaart, maar ze werken op verschillende detailniveaus en dienen verschillende doelen.

De cyber kill chain is een overzichtsmodel dat de fasen van een aanval in chronologische volgorde weergeeft. Het is nuttig voor strategische planning, om inzicht te krijgen in het verloop van een aanval en om te communiceren met niet-technische belanghebbenden. De zeven stappen bieden beveiligingsteams een gemeenschappelijke terminologie om te bespreken op welk punt in de levenscyclus van een aanval een dreiging is gedetecteerd of waar de verdedigingsmaatregelen hebben gefaald.

MITRE ATT&CK is een gedetailleerde, voortdurend bijgewerkte kennisbank met tactieken, technieken en procedures (TTP's) van aanvallers. In plaats van zeven opeenvolgende fasen bevat het honderden specifieke technieken, ingedeeld per tactiek, die zijn afgeleid van waargenomen aanvallen in de praktijk. Het is geen lineair proces: een aanvaller kan technieken uit meerdere MITRE-tactieken tegelijkertijd of in verschillende volgordes toepassen, afhankelijk van wat hij tegenkomt.

De twee raamwerken vullen elkaar aan. De kill chain biedt een structureel overzicht van het verloop van een aanval. MITRE ATT&CK biedt de technische details over hoe elke fase van dat verloop precies wordt uitgevoerd. Beveiligingsteams gebruiken de kill chain vaak voor de communicatie rond incidenten en strategische defensieplanning, terwijl ze MITRE ATT&CK inzetten voor detectietechnieken, het in kaart brengen van waarschuwingen en het beoordelen van de dekking van tools.

Datto EDR koppelt zijn detecties aan het MITRE ATT&CK-raamwerk, wat betekent dat waarschuwingen worden weergegeven in de context van de gebruikte tactiek en techniek. Hierdoor worden de technische details van MITRE gekoppeld aan de fase van de kill chain die ze vertegenwoordigen, waardoor analisten zowel inzicht krijgen in de specifieke techniek die wordt waargenomen als in de plaats die deze inneemt in de bredere aanvalsreeks.

Beperkingen van de cyber kill chain

Het kill chain-model is zeer nuttig, maar kent ook belangrijke beperkingen waarvan beveiligingsteams zich bewust moeten zijn.

Er wordt uitgegaan van een lineair aanvals
. Het oorspronkelijke model beschrijft een opeenvolgende ontwikkeling van fase één tot en met fase zeven. Bij echte aanvallen worden fasen echter vaak overgeslagen, worden meerdere fasen tegelijkertijd uitgevoerd of wordt teruggekeerd naar eerdere fasen. Een aanvaller die al over inloggegevens beschikt uit een eerdere inbreuk, kan de verkennings- en leveringsfase volledig overslaan.

Het richt zich op bedreigingen aan de rand
Het model is ontworpen in een tijdperk van lokale netwerken met duidelijke grenzen. Bedreigingen van binnenuit, cloud-native aanvallen, gecompromitteerde toegang door derden en aanvallen op de toeleveringsketen passen niet naadloos in de traditionele kill chain-structuur.

Het houdt geen rekening met de snelheid van moderne aanvallen
Uit het Global Incident Response Report 2026 van Unit 42 blijkt dat de snelste aanvallen tegenwoordig al binnen 72 minuten na de eerste toegang tot gegevensdiefstal leiden. Het kill chain-model gaat ervan uit dat verdedigers in elke fase tijd hebben om de aanval te detecteren en erop te reageren. Bij snelle, geautomatiseerde aanvallen is die tijdspanne vaak korter dan het model suggereert.

Dit kan een vals gevoel van volledigheid geven
Een organisatie die in alle zeven fasen van de kill chain beveiligingsmaatregelen heeft geïmplementeerd, kan nog steeds aanzienlijke hiaten vertonen als die maatregelen geen rekening houden met de specifieke technieken die aanvallers in elke fase gebruiken. MITRE ATT&CK is een beter hulpmiddel om de dekking op techniekniveau te beoordelen.

Hoe kan de cyber kill chain de beveiliging verbeteren?

Ondanks zijn beperkingen blijft de kill chain een praktisch kader voor gestructureerde defensieplanning. Zo pas je het toe:

  • Breng uw beveiligingsmaatregelen in kaart per fase: breng voor elk van de zeven fasen in kaart welke middelen en processen u inzet om activiteiten van aanvallers op te sporen of te voorkomen. De hiaten die bij deze oefening aan het licht komen, laten zien waar investeringen nodig zijn.
  • Geef prioriteit aan het in een vroeg stadium stoppen van aanvallen: hoe eerder in de aanvalsketen je een aanval stopt, hoe minder schade deze aanricht en hoe eenvoudiger het herstel is. Maatregelen bij de levering (e-mailfiltering, DNS-beveiliging) en bij het misbruik (patching, EDR-gedragsdetectie) leveren het meeste rendement op, omdat ze alle volgende fasen voorkomen.
  • Pas de ‘kill chain’-benadering toe bij de evaluatie van incidenten: loop na elk beveiligingsincident de stappen van de kill chain door en breng vast in welke stap de aanvaller werd ontdekt, hoever hij was gevorderd voordat de aanval werd ingeperkt, en welke beveiligingsmaatregelen – indien aanwezig – de aanval eerder hadden kunnen opvangen. Dit leidt tot concrete, uitvoerbare verbeteringen in plaats van algemene conclusies als ‘de beveiliging versterken’.
  • Vertrouw niet alleen op de kill chain: vul deze aan met MITRE ATT&CK om de dekking van detectie op techniekniveau te beoordelen, en met dreigingsinformatie die de specifieke TTP’s weergeeft van aanvallers die het op uw sector gemunt hebben.

Hoe Kaseya de kill chain doorbreekt

Het beveiligingsplatform van Kaseya is ontworpen om MSP’s en kleine IT-teams de mogelijkheid te bieden aanvallen in meerdere fasen van de kill chain tegelijkertijd te detecteren en te stoppen, zonder dat daarvoor een groot intern beveiligingsteam nodig is.

Datto EDR is actief in de fasen van exploitatie, installatie en command-and-control. Gedragsmonitoring detecteert afwijkende procesuitvoering, persistentie-mechanismen en C2-signalen, met meer dan 65 geautomatiseerde responsacties om systemen te isoleren, te beëindigen en in quarantaine te plaatsen voordat laterale bewegingen beginnen. Detecties worden gekoppeld aan MITRE ATT&CK, waardoor analisten direct inzicht krijgen in welke techniek wordt gebruikt en waar deze zich in de aanvalsreeks bevindt.

Kaseya SIEM biedt platformoverschrijdend inzicht dat de gehele kill chain bestrijkt, waarbij telemetrie uit meer dan 60 gegevensbronnen – variërend van eindpunten, het netwerk en identiteitsbeheer tot de cloud – met elkaar wordt gecorreleerd. Gebeurtenissen die op zichzelf los van elkaar lijken te staan – zoals een mislukte aanmelding, het starten van een ongebruikelijk proces of afwijkend uitgaand verkeer – vormen samen een samenhangend kill chain-patroon in één gecorreleerd incident. Dankzij de bewaartermijn van 400 dagen voor logbestanden is forensische reconstructie mogelijk, wat nodig is om de verblijftijd en de volledige omvang vast te stellen.

Kaseya MDR voegt een analistenlaag toe die detectie omzet in actieve verdediging. Beveiligingsanalisten in de VS houden uw omgeving 24 uur per dag in de gaten, onderzoeken bevestigde bedreigingen en nemen maatregelen om deze in te dammen voordat aanvallen zich verder ontwikkelen, zonder dat u daarvoor een 24/7 SOC hoeft te bemannen.

Samen bestrijken deze mogelijkheden de volledige aanvalsketen, van eindpunt tot cloud, waardoor MSP’s en IT-teams over het nodige inzicht en de nodige reactiemogelijkheden beschikken om aanvallen te stoppen lang voordat deze hun doel kunnen bereiken.

Eén compleet platform voor IT- en Security

Kaseya 365 de alles-in-één-oplossing voor het beheer, de beveiliging en de automatisering van IT. Dankzij naadloze integraties tussen cruciale IT-functies vereenvoudigt het de bedrijfsvoering, versterkt het de beveiliging en verhoogt het de efficiëntie.

Vraag een demo aan Ontdek Kaseya 365

Één platform. Alles omtrent IT.

Kaseya 365 profiteren van de voordelen van de beste tools voor IT-beheer en beveiliging in één enkele oplossing.

Ontdek Kaseya 365

Uw succes is onze nummer 1 prioriteit

Partner First staat voor flexibele voorwaarden, gedeeld risico en toegewijde ondersteuning voor uw bedrijf.

Ontdek Partner First Pledge

Kaseya's rapport over de stand van zaken bij MSP's in 2026

Kaseya - Rapport over de stand van zaken bij MSP's in 2026 - Webafbeelding - 1200x800 - BIJGEWERKT

Ontvang MSP-inzichten voor 2026 van meer dan 1.000 dienstverleners en ontdek hoe u uw omzet kunt vergroten, u kunt aanpassen aan de druk van de markt en concurrerend kunt blijven.

Nu downloaden

Ontdek categorieën

Wat is dreigingsdetectie en -respons (TDR)?

Ontdek hoe dreigingsdetectie en -respons (TDR) werkt, waarom het belangrijk is, welke tools erbij worden gebruikt en hoe MSP’s en IT-teams effectieve TDR-programma’s kunnen opzetten.

Lees blogbericht

Wat is XDR? Een gids voor uitgebreide detectie en respons

Ontdek de basisprincipes van XDR, waaronder hoe het werkt, de belangrijkste voordelen, hoe het zich verhoudt tot vergelijkbare technologieën en hoe u vandaag nog dekking op XDR-niveau kunt realiseren.

Lees blogbericht

Indicatoren van inbreuken (IOC's): soorten, voorbeelden, opsporing en reactie

Ontdek wat Indicators of Compromise (IOC’s) zijn, welke hoofdtypen er zijn, wat veelvoorkomende voorbeelden zijn en hoe beveiligingsteams ze gebruiken om bedreigingen op te sporen en erop te reageren.

Lees blogbericht