Die Bedrohungen der Cybersicherheit werden immer häufiger, vielfältiger und komplexer. Erhalten Sie einen schnellen, aktuellen Überblick über 21 Cyber-Sicherheitsbedrohungen und erfahren Sie, wie Sie die Informationen erhalten, die Sie benötigen, um Datenschutzverletzungen zu verhindern und Ihre Informationssicherheit zu stärken.
In diesem Beitrag erfahren Sie:
- Was sind Cyber-Sicherheitsbedrohungen
- 21 Cyber-Bedrohungen: DDoS, MitM, Social Engineering und mehr
- Gängige Quellen von Cybersicherheitsbedrohungen
- Trends und Herausforderungen im Bereich der Cybersicherheit
- Wie man Bedrohungen priorisiert: das OWASP-Bedrohungsmodell
- Bedrohungsdaten für die Bedrohungsabwehr nutzen
- Was sind Cybersicherheitsbedrohungen?
- Welches sind die wichtigsten Arten von Cybersicherheitsbedrohungen?
- Distributed Denial of Service (DDoS)
- Man-in-the-middle-Angriff (MitM)
- Social-Engineering-Angriffe
- Malware- und Spyware-Angriffe
- Passwortangriffe
- Advanced Persistent Threats (APT)
- Quellen von Cyber-Bedrohungen
- Top-Cybersicherheitsprobleme und -trends
- Top-Herausforderungen für die Cybersicherheit
- Priorisierung von Cyber-Bedrohungen: Das OWASP-Bedrohungsmodell
- Nutzung von Bedrohungsdaten für die Bedrohungsprävention
- Erfahren Sie mehr über Cybersicherheits-Bedrohungen
- Siehe unsere weiteren Leitfäden zur Informationssicherheit
- SIEM-Sicherheitsleitfaden
- Leitfaden zu User and Entity Behavior Analytics
- Leitfaden zu Insider-Bedrohungen
- Security Operations Centers Guide
- DLP Guide
- Leitfaden für die Reaktion auf Vorfälle
Was sind Cybersicherheitsbedrohungen?
Cybersicherheitsbedrohungen spiegeln das Risiko eines Cyberangriffs wider. Ein Cyberangriff ist ein absichtlicher und böswilliger Versuch einer Organisation oder einer Einzelperson, in die Systeme einer anderen Organisation oder Einzelperson einzudringen. Zu den Motiven des Angreifers können Informationsdiebstahl, finanzieller Gewinn, Spionage oder Sabotage gehören.
Welches sind die wichtigsten Arten von Cybersicherheitsbedrohungen?
Die wichtigsten Arten von Cyber-Bedrohungen sind:
- Distributed Denial of Service (DDoS)
- Man in the Middle (MitM)
- Social Engineering
- Malware und Spyware
- Passwortangriffe
- Advanced Persistent Threats (APT)
Wir gehen auf jede dieser Bedrohungen im Folgenden näher ein.
Distributed Denial of Service (DDoS)
Das Ziel eines Denial of Service (DoS)-Angriffs ist es, die Ressourcen eines Zielsystems zu überwältigen und zu bewirken, dass es nicht mehr funktioniert und die Benutzer keinen Zugang mehr haben. Distributed Denial of Service (DDoS) ist eine Variante von DoS, bei der Angreifer eine große Anzahl von Computern oder anderen Geräten kompromittieren und sie in einem koordinierten Angriff gegen das Zielsystem einsetzen.
DDoS-Angriffe werden oft in Kombination mit anderen Cyber-Bedrohungen eingesetzt. Diese Angriffe können einen Denial-of-Service-Angriff starten, um die Aufmerksamkeit des Sicherheitspersonals zu erregen und Verwirrung zu stiften, während sie subtilere Angriffe durchführen, die darauf abzielen, Daten zu stehlen oder andere Schäden zu verursachen.
Methoden für DDoS-Angriffe sind unter anderem:
- Botnets – Systeme unter der Kontrolle von Hackern, die mit Malware infiziert wurden. Angreifer nutzen diese Bots, um DDoS-Angriffe auszuführen. Große Botnets können Millionen von Geräten umfassen und Angriffe von verheerendem Ausmaß starten.
- Schlumpf-Angriff: Sendet Internet Control Message Protocol (ICMP)-Echoanfragen an die IP-Adresse des Opfers. Die ICMP-Anfragen werden von „gefälschten“ IP-Adressen generiert. Angreifer automatisieren diesen Prozess und führen ihn in großem Umfang durch, um ein Zielsystem zu überwältigen.
- TCP SYN-Flood-Angriff: Angreifer überfluten das Zielsystem mit Verbindungsanfragen. Wenn das Zielsystem versucht, die Verbindung abzuschließen, antwortet das Gerät des Angreifers nicht und zwingt das Zielsystem zu einer Zeitüberschreitung. Dadurch füllt sich die Warteschlange schnell und verhindert, dass legitime Benutzer eine Verbindung herstellen können.
Die folgenden beiden Angriffe sind heute weniger verbreitet, da sie auf Schwachstellen im Internetprotokoll (IP) beruhen, die auf den meisten Servern und in den meisten Netzwerken behoben wurden.
- Teardrop-Angriff – führt dazu, dass sich die Felder für die Länge und den Fragmentierungsversatz in IP-Paketen überschneiden. Das Zielsystem versucht, die Pakete zu rekonstruieren, was jedoch fehlschlägt und zum Absturz führen kann.
- Ping-of-Death-Angriff – sendet Pings an ein Zielsystem mit fehlerhaften oder übergroßen IP-Paketen, wodurch das Zielsystem abstürzt oder einfriert.
Man-in-the-middle-Angriff (MitM)
Wenn Benutzer oder Geräte über das Internet auf ein entferntes System zugreifen, gehen sie davon aus, dass sie direkt mit dem Server des Zielsystems kommunizieren. Bei einem MitM-Angriff durchbrechen Angreifer diese Annahme, indem sie sich zwischen den Benutzer und den Zielserver schalten.
Wenn der Angreifer die Kommunikation abgefangen hat, kann er die Anmeldeinformationen eines Benutzers kompromittieren, vertrauliche Daten stehlen und unterschiedliche Antworten an den Benutzer zurücksenden.
MitM-Angriffe umfassen:
- Session Hijacking – ein Angreifer kapert eine Sitzung zwischen einem Netzwerkserver und einem Client. Der angreifende Computer ersetzt seine IP-Adresse durch die IP-Adresse des Clients. Der Server glaubt, dass er mit dem Client korrespondiert, und setzt die Sitzung fort.
- Replay-Angriff – ein Cyberkrimineller belauscht die Netzwerkkommunikation und spielt die Nachrichten zu einem späteren Zeitpunkt erneut ab, wobei er sich als der Benutzer ausgibt. Replay-Angriffe wurden durch das Hinzufügen von Zeitstempeln zur Netzwerkkommunikation weitgehend entschärft.
- IP-Spoofing: Ein Angreifer gaukelt einem System vor, dass es mit einer vertrauenswürdigen, bekannten Einheit korrespondiert. Auf diese Weise verschafft das System dem Angreifer Zugang. Der Angreifer fälscht sein Paket mit der IP-Quelladresse eines vertrauenswürdigen Hosts und nicht mit seiner eigenen IP-Adresse.
- Lauschangriff: Angreifer nutzen die unsichere Netzwerkkommunikation, um auf Informationen zuzugreifen, die zwischen Client und Server übertragen werden. Diese Angriffe sind schwer zu erkennen, da Netzwerkübertragungen scheinbar normal ablaufen.
Social-Engineering-Angriffe
Social-Engineering-Angriffe funktionieren, indem Benutzer psychologisch manipuliert werden, damit sie für einen Angreifer erwünschte Aktionen durchführen oder sensible Informationen preisgeben.
Social-Engineering-Angriffe umfassen:
- Phishing-Angreifer versenden betrügerische Korrespondenz, die scheinbar von legitimen Quellen stammt, normalerweise per E-Mail. Die E-Mail kann den Benutzer dazu auffordern, eine wichtige Aktion auszuführen oder auf einen Link zu einer bösartigen Website zu klicken, was dazu führt, dass der Benutzer dem Angreifer vertrauliche Informationen übergibt oder sich bösartigen Downloads aussetzt. Phishing-E-Mails können einen E-Mail-Anhang enthalten, der mit Malware infiziert ist.
- Spear-Phishing – eine Variante des Phishings, bei der Angreifer gezielt auf Personen mit Sicherheitsrechten oder Einfluss abzielen, z. B. Systemadministratoren oder leitende Angestellte.
- Homograph-Angriffe – Angreifer erstellen gefälschte Websites mit sehr ähnlichen Webadressen wie eine legitime Website. Die Benutzer greifen auf diese gefälschten Websites zu, ohne den geringfügigen Unterschied in der URL zu bemerken, und übermitteln möglicherweise ihre Anmeldedaten oder andere vertrauliche Informationen an einen Angreifer.
Malware- und Spyware-Angriffe
Angreifer verwenden viele Methoden, um Malware auf das Gerät eines Benutzers zu bringen. Benutzer können aufgefordert werden, eine Aktion durchzuführen, z. B. auf einen Link zu klicken oder einen Anhang zu öffnen. In anderen Fällen nutzt Malware Schwachstellen in Browsern oder Betriebssystemen, um sich ohne das Wissen oder die Zustimmung des Benutzers zu installieren.
Ist die Malware erst einmal installiert, kann sie die Aktivitäten des Benutzers überwachen, vertrauliche Daten an den Angreifer senden, dem Angreifer beim Eindringen in andere Ziele innerhalb des Netzwerks helfen und sogar bewirken, dass das Gerät des Benutzers an einem Botnet teilnimmt, das vom Angreifer für böswillige Zwecke genutzt wird.
Zu den Social-Engineering-Angriffen gehören:
- Trojaner-Virus – gaukelt dem Benutzer vor, es handele sich um eine harmlose Datei. Ein Trojaner kann einen Angriff auf ein System starten und eine Hintertür einrichten, die Angreifer nutzen können.
- Ransomware – verhindert den Zugriff auf die Daten des Opfers und droht damit, sie zu löschen oder zu veröffentlichen, wenn kein Lösegeld gezahlt wird.
- Malvertising – von Hackern kontrollierte Online-Werbung, die bösartigen Code enthält, der den Computer eines Benutzers infiziert, wenn dieser auf die Anzeige klickt oder sie auch nur betrachtet. Malvertising wurde in vielen führenden Online-Publikationen gefunden.
- Wiper-Malware – zielt darauf ab, Daten oder Systeme zu zerstören, indem gezielte Dateien überschrieben oder ein ganzes Dateisystem zerstört wird. Wiper-Malware dient in der Regel dazu, eine politische Botschaft zu senden oder Hacker-Aktivitäten nach der Datenexfiltration zu verbergen.
- Drive-by-Downloads – Angreifer können Websites hacken und bösartige Skripte in den PHP- oder HTTP-Code einer Seite einfügen. Wenn Benutzer die Seite besuchen, wird Malware direkt auf ihrem Computer installiert; oder das Skript des Angreifers leitet die Benutzer auf eine bösartige Website um, die den Download durchführt. Drive-by-Downloads nutzen Schwachstellen in Browsern oder Betriebssystemen aus.
- Betrügerische Sicherheitssoftware gibt vor, nach Malware zu suchen und zeigt dem Benutzer dann regelmäßig gefälschte Warnungen und Erkennungen an. Die Angreifer können den Benutzer auffordern, für die Entfernung der gefälschten Bedrohungen von seinem Computer oder für die Registrierung der Software zu bezahlen. Benutzer, die der Aufforderung nachkommen, übermitteln dem Angreifer ihre finanziellen Daten.
Passwortangriffe
Ein Hacker kann sich Zugang zu den Passwortinformationen einer Person verschaffen, indem er die Verbindung zum Netzwerk „ausschnüffelt“, Social Engineering einsetzt, diese errät oder sich Zugang zu einer Passwortdatenbank verschafft. Ein Angreifer kann ein Kennwort auf zufällige oder systematische Weise „erraten“.
Zu den Angriffen auf Kennwörter gehören:
- Brute-Force-Kennwort-Ermittlung: Ein Angreifer verwendet eine Software, die viele verschiedene Kennwörter ausprobiert, in der Hoffnung, das richtige zu erraten. Die Software kann eine gewisse Logik verwenden, um Passwörter auszuprobieren, die mit dem Namen der Person, ihrem Beruf, ihrer Familie usw. zusammenhängen.
- Wörterbuchangriff – ein Wörterbuch mit gängigen Passwörtern wird verwendet, um Zugang zum Computer und Netzwerk des Opfers zu erhalten. Eine Methode besteht darin, eine verschlüsselte Datei mit den Passwörtern zu kopieren, dieselbe Verschlüsselung auf ein Wörterbuch mit regelmäßig verwendeten Passwörtern anzuwenden und die Ergebnisse zu vergleichen.
Advanced Persistent Threats (APT)
Wenn eine Einzelperson oder eine Gruppe unbefugten Zugang zu einem Netzwerk erhält und über einen längeren Zeitraum unentdeckt bleibt, können die Angreifer sensible Daten exfiltrieren und so eine Entdeckung durch das Sicherheitspersonal des Unternehmens absichtlich vermeiden. APTs erfordern ausgeklügelte Angreifer und sind mit großem Aufwand verbunden, so dass sie sich in der Regel gegen Nationalstaaten, große Unternehmen oder andere wertvolle Ziele richten.
Quellen von Cyber-Bedrohungen
Wenn man eine Cyber-Bedrohung identifiziert, ist es wichtig zu verstehen, wer der Akteur der Bedrohung ist, sowie seine Taktiken, Techniken und Verfahren (TTP). Zu den üblichen Quellen von Cyber-Bedrohungen gehören:
-
- Staatlich gesponserte Cyber-Angriffe können die Kommunikation, militärische Aktivitäten oder andere Dienste, die die Bürger täglich nutzen, stören.
- Terroristen-Terroristen können staatliche oder militärische Ziele angreifen, aber manchmal auch zivile Websites ins Visier nehmen, um sie zu stören und dauerhaften Schaden anzurichten.
- Wirtschaftsspione-organisierte Kriminalität und internationale Unternehmensspione betreiben Wirtschaftsspionage und Gelddiebstahl. Ihr primäres Motiv ist finanzieller Natur.
- Organisierte kriminelle Gruppen – kriminelle Gruppen infiltrieren Systeme, um Geld zu verdienen. Organisierte Verbrechergruppen nutzen Phishing, Spam und Malware, um Identitätsdiebstahl und Online-Betrug zu begehen.
- Hacker: Es gibt weltweit eine große Zahl von Hackern, die von Anfängern („Skript-Kiddies“) oder solchen, die fertige Bedrohungs-Toolkits nutzen, bis hin zu ausgeklügelten Operatoren reichen, die neue Arten von Bedrohungen entwickeln und die Abwehrmaßnahmen von Unternehmen umgehen können.
- Hacktivisten – Hacktivisten sind Hacker, die aus politischen oder ideologischen Gründen in Systeme eindringen oder diese stören, anstatt finanziellen Gewinn zu erzielen.
- Böswillige Insider – Insider stellen eine sehr ernste Bedrohung dar, da sie bereits Zugang zu Unternehmenssystemen und Kenntnisse über Zielsysteme und sensible Daten haben. Insider-Bedrohungen können verheerend und sehr schwer zu erkennen sein.
- Cyberspionage – ist eine Form des Cyberangriffs, bei dem geheime oder sensible geistige Daten gestohlen werden, um sich einen Vorteil gegenüber einem konkurrierenden Unternehmen oder einer staatlichen Einrichtung zu verschaffen.
Top-Cybersicherheitsprobleme und -trends
Mit der technologischen Entwicklung verändern sich auch die Bedrohungen und Probleme, mit denen Sicherheitsteams konfrontiert werden. Im Folgenden finden Sie einige der wichtigsten Trends und Probleme im Bereich der Cybersicherheit.
Die wachsende Rolle der künstlichen Intelligenz (KI)
KI ist ein zweischneidiges Schwert: Sie verbessert die Sicherheitslösungen und wird gleichzeitig von Angreifern genutzt, um diese Lösungen zu umgehen. Dies liegt zum Teil daran, dass KI immer leichter zugänglich ist. In der Vergangenheit war die Entwicklung von Modellen für maschinelles Lernen nur möglich, wenn man Zugang zu erheblichen Budgets und Ressourcen hatte. Jetzt jedoch können Modelle auf privaten Laptops entwickelt werden.
Diese Zugänglichkeit macht KI zu einem Werkzeug, das sich vom großen digitalen Wettrüsten auf alltägliche Angriffe ausgeweitet hat. Während Sicherheitsteams mithilfe von KI versuchen, verdächtiges Verhalten zu erkennen, nutzen Kriminelle sie, um Bots zu entwickeln, die sich als menschliche Nutzer ausgeben, und um die Eigenschaften und das Verhalten von Malware dynamisch zu verändern.
Die Qualifikationslücke in der Cybersicherheit wächst weiter
Seit 2018 wächst die Sorge über die Qualifikationslücke in der Cybersicherheit. Es gibt einfach nicht genug Cybersicherheitsexperten, um alle benötigten Positionen zu besetzen. Da immer mehr Unternehmen gegründet werden und andere ihre bestehenden Sicherheitsstrategien aktualisieren, nimmt diese Zahl zu.
Moderne Bedrohungen, von geklonten Identitäten bis hin zu tiefgreifenden gefälschten Kampagnen, sind immer schwieriger zu erkennen und zu stoppen. Die zur Bekämpfung dieser Bedrohungen erforderlichen Sicherheitskompetenzen gehen weit über das bloße Verständnis für die Implementierung von Tools oder die Konfiguration von Verschlüsselungen hinaus. Diese Bedrohungen erfordern vielfältige Kenntnisse über eine Vielzahl von Technologien, Konfigurationen und Umgebungen. Um diese Fähigkeiten zu erlangen, müssen Unternehmen hochrangige Experten einstellen oder die Ressourcen für die Schulung ihrer eigenen Mitarbeiter aufwenden.
Hacking von Fahrzeugen und Bedrohungen durch das Internet der Dinge (IoT) nehmen zu
Die Datenmenge in einem modernen Fahrzeug ist enorm. Selbst nicht autonome Fahrzeuge sind mit einer Vielzahl von intelligenten Sensoren ausgestattet. Dazu gehören GPS-Geräte, integrierte Kommunikationsplattformen, Kameras und KI-Steuerungen. Die Wohnungen, Arbeitsplätze und Gemeinden vieler Menschen sind voll von ähnlichen intelligenten Geräten. Zum Beispiel sind in Lautsprecher eingebettete persönliche Assistenten intelligente Geräte.
Die Daten auf diesen Geräten können Kriminellen sensible Informationen liefern. Zu diesen Informationen gehören private Gespräche, sensible Bilder, Tracking-Informationen und der Zugang zu Konten, die mit den Geräten verwendet werden. Diese Geräte können von Angreifern leicht zur Erpressung oder zum persönlichen Vorteil missbraucht werden. So können sie beispielsweise Finanzdaten missbrauchen oder Informationen auf dem Schwarzmarkt verkaufen.
Besonders bei Fahrzeugen ist die Gefahr eines persönlichen Schadens sehr real. Wenn Fahrzeuge teilweise oder ganz von Computern gesteuert werden, haben Angreifer die Möglichkeit, Fahrzeuge wie jedes andere Gerät zu hacken. Dies könnte sie in die Lage versetzen, Fahrzeuge als Waffen gegen andere oder als Mittel zur Schädigung des Fahrers oder der Insassen einzusetzen.
Top-Herausforderungen für die Cybersicherheit
Zusätzlich zu den oben behandelten spezifischeren Problemen gibt es auch allgemeinere Herausforderungen, mit denen viele Cybersicherheitsteams konfrontiert sind. Nachstehend sind einige der häufigsten aktuellen Herausforderungen aufgeführt.
Mobile Geräte sind schwer zu verwalten und zu sichern
Auch wenn die Menschen die intelligenten Technologien noch nicht ganz verinnerlicht haben, so hat doch fast jeder ein mobiles Gerät irgendeiner Art. Smartphones, Laptops und Tablets sind weit verbreitet. Diese Geräte sind oft vielseitig einsetzbar, da sie sowohl für berufliche als auch für private Aktivitäten verwendet werden, und die Benutzer können ihre Geräte im Laufe des Tages mit mehreren Netzwerken verbinden.
Dieser Reichtum und die weit verbreitete Nutzung machen mobile Geräte zu einem attraktiven Ziel für Angreifer. Angriffe sind nicht neu, aber die eigentliche Herausforderung besteht darin, dass die Sicherheitsteams keine vollständige Kontrolle über die Geräte haben. BYOD-Richtlinien (Bring your own device) sind weit verbreitet, aber diese Richtlinien beinhalten oft keine interne Kontrolle oder Verwaltung.
Oft können die Sicherheitsteams nur kontrollieren, was mit diesen Geräten innerhalb des Netzwerks geschieht. Die Geräte können veraltet, bereits mit Malware infiziert oder unzureichend geschützt sein. Die einzige Möglichkeit für Sicherheitsteams, diese Bedrohungen zu blockieren, besteht darin, die Verbindung zu verweigern, was nicht praktikabel ist.
Die Komplexität der Cloud-Umgebung
Da Unternehmen täglich auf Cloud-Ressourcen umsteigen, werden viele Umgebungen immer komplexer. Dies gilt insbesondere für hybride und Multi-Cloud-Umgebungen, die eine umfassende Überwachung und Integration erfordern.
Mit jedem Cloud-Service und jeder Ressource, die in eine Umgebung aufgenommen wird, steigt die Anzahl der Endpunkte und die Wahrscheinlichkeit einer Fehlkonfiguration. Da sich die Ressourcen in der Cloud befinden, sind die meisten, wenn nicht sogar alle Endpunkte mit dem Internet verbunden, was Angreifern auf globaler Ebene Zugang gewährt.
Um diese Umgebungen zu sichern, benötigen Cybersicherheitsteams fortschrittliche, zentralisierte Tools und oft auch mehr Ressourcen. Dazu gehören auch Ressourcen für den Schutz und die Überwachung rund um die Uhr, da die Ressourcen auch nach Feierabend noch in Betrieb und potenziell angreifbar sind.
Ausgereifte Phishing-Methoden
Phishing ist eine alte, aber immer noch gängige Taktik von Angreifern, um an sensible Daten wie Anmeldedaten und Finanzinformationen zu gelangen. In der Vergangenheit waren Phishing-E-Mails eher vage und gaben sich oft als Autoritätspersonen mit einem großen Nutzerkreis aus. Zum Beispiel Facebook oder Netflix. Heutzutage wird beim Phishing jedoch häufig Social Engineering eingesetzt.
Viele Menschen geben bereitwillig große Mengen an Informationen über sich selbst preis, z. B. wo sie leben und arbeiten, welche Hobbys sie haben und welcher Marke sie treu sind. Angreifer können diese Informationen nutzen, um gezielte Nachrichten zu versenden, wodurch die Wahrscheinlichkeit steigt, dass die Nutzer auf ihre Tricks hereinfallen.
Staatlich gesponserte Angriffe
Da sich immer mehr Teile der Welt in die digitale Welt verlagern, nimmt die Zahl der groß angelegten und staatlich gesponserten Angriffe zu. Netzwerke von Hackern können jetzt von gegnerischen Nationalstaaten und Interessengruppen genutzt und gekauft werden, um Regierungs- und Organisationssysteme lahmzulegen.
Bei einigen dieser Angriffe sind die Ergebnisse leicht erkennbar. So wurden beispielsweise zahlreiche Angriffe festgestellt, bei denen es um die Manipulation von Wahlen ging. Andere Angriffe können jedoch unbemerkt bleiben, indem sie unbemerkt sensible Informationen wie militärische Strategien oder Geschäftsinformationen sammeln. In jedem Fall ermöglichen die Ressourcen, mit denen diese Angriffe finanziert werden, den Kriminellen den Einsatz fortschrittlicher und verteilter Strategien, die nur schwer zu erkennen und zu verhindern sind
Priorisierung von Cyber-Bedrohungen: Das OWASP-Bedrohungsmodell
Die Zahl der Cyber-Bedrohungen wächst rasant, und es ist für Unternehmen unmöglich, sich auf alle vorzubereiten. Um die Priorisierung von Cyber-Sicherheitsmaßnahmen zu unterstützen, hat OWASP ein Modell zur Bewertung von Cyber-Bedrohungen entwickelt, das wie folgt zusammengefasst ist:
Risiko = Wahrscheinlichkeit + Auswirkung
Betrachten Sie die Wahrscheinlichkeit einer Cyber-Bedrohung – wie einfach ist es für Angreifer, einen Angriff durchzuführen? Gibt es Angreifer, die über die entsprechenden Fähigkeiten verfügen? Wie wahrscheinlich ist es, dass Sie in der Lage sind, die Bedrohung zu erkennen und zu entschärfen?
Betrachten Sie außerdem die Auswirkungen der Bedrohung – wie empfindlich sind die Systeme, die wahrscheinlich betroffen sind, wie wertvoll und empfindlich sind die Daten, die verloren gehen könnten, und wie groß wären generell die finanziellen oder rufschädigenden Auswirkungen eines Angriffs?
Indem Sie die Wahrscheinlichkeit mit den Auswirkungen kombinieren, können Sie Bedrohungen identifizieren, die für Ihr Unternehmen von Bedeutung sind, und sicherstellen, dass Sie geschützt sind.
Nutzung von Bedrohungsdaten für die Bedrohungsprävention
Bedrohungsdaten sind organisierte, vorab analysierte Informationen über Angriffe, die ein Unternehmen bedrohen könnten. Bedrohungsdaten helfen Organisationen, potenzielle oder aktuelle Cyber-Bedrohungen zu verstehen. Je mehr Informationen das Sicherheitspersonal über Bedrohungsakteure, ihre Fähigkeiten, Infrastruktur und Motive hat, desto besser kann es seine Organisation verteidigen.
Threat-Intelligence-Systeme werden in der Regel in Kombination mit anderen Sicherheitstools eingesetzt. Wenn ein Sicherheitssystem eine Bedrohung identifiziert, kann es mit Bedrohungsdaten abgeglichen werden, um die Art der Bedrohung, ihren Schweregrad und bekannte Methoden zur Eindämmung oder Eindämmung der Bedrohung sofort zu verstehen. In vielen Fällen können Bedrohungsdaten dazu beitragen, Bedrohungen automatisch zu blockieren. So können beispielsweise bekannte bösartige IP-Adressen an eine Firewall weitergeleitet werden, um den Datenverkehr von kompromittierten Servern automatisch zu blockieren.
Bedrohungsdaten werden in der Regel in Form von Feeds bereitgestellt. Es gibt kostenlose Bedrohungsdaten-Feeds und andere, die von kommerziellen Sicherheitsforschungseinrichtungen bereitgestellt werden. Mehrere Anbieter stellen Bedrohungsdaten-Plattformen zur Verfügung, die zahlreiche Bedrohungsdaten-Feeds enthalten und dabei helfen, Bedrohungsdaten zu verwalten und in andere Sicherheitssysteme zu integrieren.
Erfahren Sie mehr über Cybersicherheits-Bedrohungen
Bedrohungen der Informationssicherheit und Tools zu ihrer Bekämpfung
Der Wert von Informationen macht sie heute zu einer begehrten Ware und zu einem verlockenden Ziel für Diebstahl und Sabotage, wodurch diejenigen, die sie erstellen und nutzen, einem Angriffsrisiko ausgesetzt sind. Kriminelle finden ständig neue Wege, um Sicherheitstools zu umgehen, und Sicherheitsentwickler arbeiten daran, durch die Entwicklung intelligenterer Lösungen immer einen Schritt voraus zu sein.
Der Verlust von Informationen kann einem Unternehmen großen Schaden zufügen, aber durch die richtigen Vorsichtsmaßnahmen und den Einsatz geeigneter Tools kann das Risiko stark minimiert werden. Lesen Sie weiter, um herauszufinden, welche Arten von Bedrohungen der Informationssicherheit Sie berücksichtigen müssen, einschließlich Beispielen für häufige Bedrohungen, und wie Sie Ihre Risiken mindern können.
Weiterlesen: Bedrohungen der Informationssicherheit und Tools zu ihrer Bekämpfung
Drive By Downloads: Was sie sind und wie man sie vermeidet
Die meisten Menschen machen sich keine Gedanken über die Websites, die sie besuchen. Sie klicken schnell durch und achten nicht darauf, ob ein Link sie weiterleitet oder ob ein sicheres Protokoll verwendet wird. Oft ist das kein Problem, aber wenn Sie zufällig eine Website besuchen, die kompromittiert wurde, kann Ihr System schnell durch einen Drive-By-Download infiziert werden.
Hier sehen wir uns an, was ein Drive-By-Download ist, welche Art von Schaden er verursachen kann, und behandeln einige Strategien, die Ihr Security Operations Center verwenden kann, um Ihr Risiko zu minimieren.
Weiterlesen: Drive By Downloads: Was sie sind und wie man sie vermeidet
Cyberkriminalität: Arten, Beispiele und was Ihr Unternehmen tun kann
Cyberkriminalität ist die Kehrseite der Cybersicherheit – ein breites Spektrum an schädlichen und illegalen Aktivitäten, die mit Hilfe von Computern und dem Internet durchgeführt werden. Dieser Artikel soll Ihnen helfen, Cyberkriminalität zu verstehen und Ihr Unternehmen dagegen zu schützen.
Weiterlesen: Internetkriminalität: Arten, Beispiele und was Ihr Unternehmen tun kann
Was ist MITRE ATT&CK: Eine Erklärung
MITRE ATT&CK ist eine weltweit zugängliche Wissensdatenbank über Taktiken und Techniken von Angreifern, die auf realen Beobachtungen von Cyberangriffen basieren. Sie werden in Matrizen dargestellt, die nach Angriffsstufen geordnet sind, vom anfänglichen Systemzugriff bis hin zum Datendiebstahl oder zur Maschinenkontrolle. Es gibt Matrizen für gängige Desktop-Plattformen – Linux, macOS und Windows – sowie für mobile Plattformen.
Weiterlesen: Was ist MITRE ATT&CK: An Explainer
Was ist MITRE ATT&CK: An Explainer
Das MITRE ATT&CK-Framework, -Modell und -Taxonomie bietet einen kategorisierten und strukturierten Katalog von Taktiken (das „Warum“ eines Angriffs) und Techniken (das „Wie“ und manchmal das „Was“ eines Angriffs). Die Beziehung zwischen Taktiken und Techniken wird als ATT&CK-Matrix organisiert und dargestellt. Die Philosophie des ATT&CK-Modells besteht darin, dass Sie diese Bedrohungen und Angriffe verstehen, verhindern und entschärfen können, indem Sie sich auf Ihre Verteidigung gegen dokumentiertes Bedrohungsverhalten konzentrieren und Prioritäten setzen.
Weiterlesen: Minderung von Sicherheitsbedrohungen mit MITRE ATT&CK
Verteidigung gegen Ransomware: Vorbeugung, Schutz, Entfernung
Ein Ransomware-Angriff kann für ein Unternehmen lähmend sein. Während eines Angriffs blockieren Cyberkriminelle den Zugriff auf Ihre Dateien oder Ihr Netzwerk und behaupten, dass Ihr Zugang wiederhergestellt wird, wenn Sie eine Lösegeldgebühr zahlen. Eine wirksame Strategie zur Abwehr von Ransomware ist unerlässlich, um größere Schäden zu verhindern, und muss drei Säulen umfassen: Prävention, Schutz und schnelle Entfernung.
Weiterlesen: Verteidigung gegen Ransomware: Vorbeugung, Schutz, Entfernung
Top 5 Social-Engineering-Techniken und wie man sie verhindert
Social Engineering nutzt das schwächste Glied in unserer Sicherheitskette – unsere menschlichen Mitarbeiter – aus, um Zugang zu Unternehmensnetzwerken zu erhalten. Angreifer nutzen immer raffiniertere Tricks und emotionale Manipulation, um Mitarbeiter, selbst Führungskräfte, zur Preisgabe vertraulicher Informationen zu bewegen. Erfahren Sie mehr über die Phasen eines Social-Engineering-Angriffs, über die wichtigsten Social-Engineering-Bedrohungen laut InfoSec Institute und über bewährte Methoden zu deren Abwehr.
Weiterlesen: Die 5 wichtigsten Social-Engineering-Techniken und wie man sie verhindern kann
Erkennung von Privilegieneskalation: Der Schlüssel zur Verhinderung fortgeschrittener Angriffe
Angreifer werden immer raffinierter, und organisierte Hackergruppen führen fortgeschrittene Angriffe gegen attraktive Ziele durch. Eine Schlüsselkomponente bei fast allen fortgeschrittenen Angriffen ist die Privilegienerweiterung – ein Versuch, ein Konto zu kompromittieren und dann die Privilegien des Angreifers zu erweitern, indem er entweder die Kontrolle über weitere Konten erlangt oder die Privilegstufe des kompromittierten Kontos erhöht.
Lesen Sie weiter, um zu verstehen, wie die Privilegienerweiterung funktioniert, wie Sie sie in Ihrem Unternehmen erkennen können und wie Sie Ihre Systeme schützen und fortgeschrittene Angriffe stoppen können, bevor sie Ihre empfindlichsten Ressourcen erreichen.
Lesen Sie weiter: Privilege Escalation Detection: Der Schlüssel zur Verhinderung von fortgeschrittenen Angriffen
SIEM-Konzepte: Sicherheitsvorfälle
Sicherheitsvorfälle bezeichnen das Versagen von Sicherheitsmaßnahmen oder das Eindringen in die Systeme oder Daten eines Unternehmens. Dazu gehört jedes Ereignis, das die Integrität, Verfügbarkeit oder Vertraulichkeit von Informationen bedroht. Zu den Ursachen von Sicherheitsvorfällen gehören Verletzungen der Sicherheitsgrenzen, Cyberangriffe und Insider-Bedrohungen.
Vorfälle erfordern in der Regel, dass ein IT-Administrator Maßnahmen ergreift. Incident Response (IR) ist ein organisierter Prozess, mit dem sich Organisationen gegen Sicherheitsvorfälle wehren.
Weiterlesen: SIEM-Konzepte: Sicherheitsvorfälle
Siehe unsere weiteren Leitfäden zur Informationssicherheit
Für tiefergehende Leitfäden zu weiteren Themen der Informationssicherheit, wie z.B. Datenschutzverletzungen, siehe unten:
SIEM-Sicherheitsleitfaden
SIEM-Sicherheit bezieht sich auf die Integration von SIEM mit Sicherheitstools, Netzwerküberwachungs-Tools, Leistungsüberwachungs-Tools, kritischen Servern und Endpunkten sowie anderen IT-Systemen.
Siehe Top-Artikel in unserem SIEM-Sicherheitsleitfaden
- 7 Open Source SIEMs: Funktionen vs. Einschränkungen
- SIEM-Lösungen: Wie sie funktionieren und warum Sie sie brauchen
- Bekämpfung von Cyberangriffen mit SOAR
Leitfaden zu User and Entity Behavior Analytics
UEBA steht für User and Entity Behavior Analytics und ist eine Kategorie von Cybersecurity-Tools, die das Benutzerverhalten analysieren und fortgeschrittene Analysen anwenden, um Anomalien zu erkennen.
Siehe Top-Artikel in unserem User and Entity Behavior Analytics-Leitfaden
- Was ist UEBA und warum es ein wesentlicher Bestandteil Ihrer Incident Response sein sollte
- User Behavior Analytics (UBA/UEBA): Der Schlüssel zur Aufdeckung von Insider- und unbekannten Sicherheitsbedrohungen
- Behavioral Profiling: Die Grundlage moderner Sicherheitsanalysen
Leitfaden zu Insider-Bedrohungen
Eine Insider-Bedrohung ist eine bösartige Aktivität gegen ein Unternehmen, die von Benutzern mit legitimem Zugriff auf das Netzwerk, die Anwendungen oder Datenbanken eines Unternehmens ausgeht.
Siehe die wichtigsten Artikel in unserem Leitfaden zu Insider-Bedrohungen
- Bekämpfung von Insider-Bedrohungen mit Data Science
- Indikatoren für Insider-Bedrohungen: Den Feind im Inneren finden
- Wie man bösartige Insider findet: Tackling Insider Threats Using Behavioral Indicators
Security Operations Centers Guide
Ein Security Operations Center (SOC) ist traditionell eine physische Einrichtung in einer Organisation, in der ein Informationssicherheitsteam untergebracht ist.
Siehe Top-Artikel in unserem Leitfaden für Security Operations Center
- Wie man ein Security Operations Center für kleine Unternehmen aufbaut
- Security Operations Center Rollen und Verantwortlichkeiten
- SecOps: 7 Steps to : Taking DevOps One Step Further
- Data Breach Guide
DLP Guide
DLP ist ein Ansatz, der darauf abzielt, Geschäftsinformationen zu schützen. Es verhindert, dass Endbenutzer wichtige Informationen außerhalb des Netzwerks verschieben.
Siehe die wichtigsten Artikel in unserem DLP-Leitfaden
- Data Loss Prevention Policy Template
- Data Loss Prevention Tools
- Sicherheitsverletzungen: Was Sie wissen müssen
Leitfaden für die Reaktion auf Vorfälle
Die Reaktion auf Vorfälle ist ein Ansatz für den Umgang mit Sicherheitsverletzungen.
Siehe die wichtigsten Artikel in unserem Leitfaden für die Reaktion auf Vorfälle
- Der vollständige Leitfaden zur CSIRT-Organisation: Wie man ein Incident Response Team aufbaut
- Wie man schnell eine wirksame Incident Response Policy einführt
- Incident Response Plan 101: Wie man einen erstellt, Vorlagen und Beispiele
Schreibe einen Kommentar