Wie gehen Cyberkriminelle vor. Strategien und Taktiken!

Konstantin Ziouras • 13. März 2023

Informationssicherheit

Gnothi seauton, Kenne Dich selbst. 

(vom Apollotempel in Sparta) Im Kontext der strategischen Planung der Informationssicherheits-Maßnahmen, ist es selbstverständlich das eigene Unternehmen und die eigene Strategie zu kennen. Wirklich zu kennen, mit Tiefe, Details, Vorgehensweisen, Richtlinien und Prozesse. Geschulte und aufmerksame Mitarbeiter geeignete technische Maßnahmen gehören dazu.


Kenne Deinen Feind: 

Sun-Tsu, hat in seinem Buch, „Die Kunst des Krieges“ sinngemäß folgenden Gedanken hinterlassen: Kenne Deinen Feind. Wenn Du Dich selbst kennst, doch nicht den Feind, genügt es nicht. (kein wort-wörtliches Zitat aus einem bestimmten Buch)

Was bedeutet das für uns? Es ist wichtig sich ebenso intensiv mit den Strategien der organisierten Cyberkriminellen zu befassen, wie mit den eigenen Strategien.


Da das Ziel des Informationssicherheitsmanagement Systems ist es, auch den großen Haien der organisierten Kriminalität zu widerstehen, nicht nur den Gelegenheitstätern. Deshalb sollte die eigene Strategie möglichst viele Blickwinkel berücksichtigen. 

Zu Beginn eines Informationssicherheitsmanagement Systems steht die Analyse der „Interessen der Interessierten Parteien“.

Viele Organisationen erwähnen Ihre Mitarbeiter, Partner, Shareholder, Lieferanten, Kunden etc., alles Partner im Guten. 

Was ist mit den weniger Guten, die auch ein berechtigtes Interesse daran haben, dass Ihr ISMS versagt?

Begeben wir uns nun in den „criminal master mind“, versuchen wir uns etwas mit Profiling:


Wie gehen Cyberkriminelle vor. Strategien und Taktiken!


1 Aufklärungsarbeit / Reconnaissance

Der kriminelle Gegner versucht, Informationen zu sammeln, die er zur Planung künftiger Operationen verwenden kann. (z.B. Erstangriffe, Ziele festlegen, priorisieren, weitere Aufklärungsaktivitäten steuern…)

 

  • Aktiv Informationen sammeln / ausspähen, zur Vorbereitung späterer Aktivitäten
  • Passiv Informationen sammeln…
  • Details sammeln, über 
  • Organisation, 
  • Infrastruktur, Netzstruktur, Webseiten, Domains,
  • Personal, 
  • Abläufe, 
  • Werte 
  • mögliche Zugänge, etc.,
  • Aufbauend auf vorherige öffentlich zugängliche Informationen, aktive Sammlung spezifischer Details 

 

2 Entwicklung der Ressourcen / Resource Development

Der kriminelle Gegner versucht, Ressourcen zu schaffen, die zur Unterstützung seiner Operation eingesetzt werden können.

 

  • Ressourcen selbst erschaffen, kaufen, in Auftrag geben, stehlen, kompromittieren (zur späteren Nutzung)
  • Ressourcen Beispiele: 
  • Programme/Software, 
  • Infrastruktur, Netzwerk, 
  • Rechner, Benutzer-Konten, 
  • System-Konten, Email-Konten, Domänen, 
  • Hardware. (z.B. kompromittierte Rechner für DDOS Attacken, Email Konten für Phishing…) etc.

 

3 Erster Zugriff / Initial Access

Der kriminelle Gegner versucht in Ihr Netzwerk einzudringen.

 

  • Z.B. durch allgemeines Phishing, durch gezieltes Spearphishing.
  • durch Ausnutzen von Schwachstellen auf öffentlich zugänglichen Webservern. 
  • durch gültige Konten, 
  • durch Nutzung externer Remote-Dienste.
  • Erste Zugriffe können durch das Ändern von Passwörtern andere Benutzer in Ihren Rechten Einschränken.

 

4 Ausführung / Execution

Der kriminelle Gegner versucht bösartigen Code auszuführen.

 

  • um das Netzwerk weiter zu erkunden
  • Zum Diebstahl von Daten. 
  • zum Ausführen von Skripten per Fernzugriffstools.

 

5 Ausharren / Persistence

Der kriminelle Gegner versucht seine Stellung zu halten, auszuharren und abzuwarten, im Verborgenen bleiben, um bei passenden Gelegenheiten weitere Aktionen durchzuführen, 

 

  • z.B. start, Stop von Prozessen, Rechnern, Systemen,
  • Änderungen in der Konfiguration, Zugriffsrechte allgemein,
  • Änderungen beim Neustart durch "Autostart"
  • Einspielen oder ändern von Code.

 

6 Höhere Berechtigungen ergattern / Priviledge Escalation

Der Angreifer versucht, sich höhere Berechtigungen zu verschaffen.

 

  • Erstes Eindringen ins Netzwerk ohne besondere Rechte zum die Umgebung zu erforschen
  • Versuch höhere Rechte zu ergattern, um spätere Ziele zu erreichen
  • Ausnutzung von Systemschwächen, Fehlkonfigurationen und Sicherheitslücken.
  • Überlappungen mit dem Schritt „Ausharren“
  • Beispiele für erweiterten Zugriff sind:
  • SYSTEM/root
  • lokaler Administrator
  • Benutzerkonto mit Admin-ähnlichem Zugriff
  • Benutzerkonten mit Zugriff auf ein bestimmtes System oder zur Ausführung einer bestimmten Funktion

 

7 Umgehung der Verteidigung / Defence Evasion

Der Angreifer versucht, nicht entdeckt zu werden, z.B.

 

  • Durch Deinstallation/Deaktivierung von Sicherheitssoftware,
  • Durch Verschleierung/Verschlüsselung von Daten und Skripten,
  • Angreifer nutzen und missbrauchen auch vertrauenswürdige Prozesse, um ihre Malware zu verstecken und zu tarnen.

 

8 Zugriff auf Anmeldeinformationen / Credential Access

Der Angreifer versucht, Kontonamen und Passwörter zu stehlen, z.B. durch

 

  • Keylogging oder Credential Dumping,
  • Die Verwendung legitimer Anmeldedaten kann Angreifern Zugang zu Systemen verschaffen, ihre Entdeckung erschweren und ihnen die Möglichkeit geben, weitere Konten zu erstellen, um ihre Ziele zu erreichen.

 

9 Erkundung / Discovery

Der Angreifer versucht, Ihre physikalische oder digitale Umgebung zu beobachten, auskundschaften, um z.B.:

 

  • Wissen über die Organisation zu erlangen,
  • das interne Netzwerk auszukundschaften,
  • mögliche Einstiegspukte zu finden
  • Zeitpunkte oder Gelegenheiten identifizieren,
  • Weitere Teile des Netzwerkes, oder weitere Systeme identifizieren

 

10 Laterale Bewegung / Lateral Movement

Der Angreifer versucht, sich durch Ihre Umgebung zu bewegen, z.B.:

 

  • in einem System auf das andere,
  • von einem Netzwerkteil in andere Teile des Netzwerkes
  • In Remote Locations
  • In Ihren redundanten Systemen, redundanten Data Center.

 

Um das primäres Ziel zu erreichen, müssen die Eindringlinge dauerhaft oder wiederholt das Netzwerk erkunden, um Ziele zu finden und sich anschließend Zugang zu verschaffen. Um ihr Ziel zu erreichen, müssen sie sich oft durch mehrere Systeme und Konten bewegen, um Zugang zu erhalten. Angreifer können ihre eigenen Fernzugriffs-Tools installieren, um Lateral Movement zu erreichen, oder sie verwenden legitime Anmeldeinformationen mit nativen Netzwerk- und Betriebssystem-Tools, die möglicherweise unauffälliger sind.


11 Erfassung / Collection

Der Angreifer versucht, Daten zu sammeln, die für sein Ziel von Interesse sind. Nach dem Sammeln von Daten ist der nächste Schritt häufig Daten zu stehlen (zu exfiltrieren) oder zu manipulieren. 

mögliche Zielquellen: Laufwerkstypen, Browser, Audio- und Videodaten. E-Mails. 

mögliche Erfassungsmethoden: Screenshots, protokollieren von Daten / Transaktionen, Kopieren von Daten und Informationen, erfassen von Tastatureingaben.


12 Steuerung und Kontrolle / Comand and Control

Der Angreifer versucht, mit kompromittierten Systemen zu kommunizieren, um sie zu kontrollieren. Wichtige Merkmale:

Kommunikation zwischen Systeme der Angreifer und Opfernetzwerk.

Imitation des normalen, erwarteten Datenverkehrs um eine Entdeckung zu vermeiden


13 Exfiltration, Auslagerung / Exfiltration

Der Angreifer versucht, Daten zu stehlen. Wesentliche Merkmale können sein:

 

  • Gesammelte Daten verpacken um eine Entdeckung zu vermeiden,
  • Oft mit Komprimierung und Verschlüsselung 
  • Übertragung der gestohlenen Daten über den Befehls- und Kontrollkanal oder einen alternativen Kanal, wobei die Größe der Übertragung begrenzt werden kann, um nicht auffällig zu werden.

 

14 Auswirkungen / Impact

Der Angreifer versucht, Ihre Systeme und Daten zu manipulieren, zu stören oder zu zerstören. Beispiele dafür können sein:

 

  • Geschäfts- und Betriebsprozesse manipulieren
  • Zerstörung oder Manipulation von Daten. 
  • Kleine verschleierte Manipulationen: In manchen Fällen sehen Geschäftsprozesse zwar wie gewohnt aus, wurden aber möglicherweise verändert, um die Ziele des Angreifers zu erreichen.

 

15 Langfristige / kurzfristige Strategien / Long Term – Short Term strategies

 

  • Der Angreifer versucht so schnell wie möglich bekannte Schwachstellen zu nutzen, seinen Gewinn zu erzielen und sich aus dem Staub zu machen. (z.B. ein punktueller Angriff)
  • Der Angreifer versucht sich zu etablieren, um langfristige Ziele zu verfolgen (z.B. Langfristige Industriespionage)
  • Der Angreifer versucht sich zu etablieren, um langfristige Ziele zu verfolgen, z.B. kleine unauffällige Gewinne zu erzielen und unauffällig zu bleiben, anstatt mit einem großen Schaden Aufmerksamkeit zu erregen. (Die Kuh melken so lange es geht).

 

Dies sind leider nur Strategien. Es gibt zu jeder Strategie viele mögliche Taktiken, und tools, und es gibt noch mehr Strategien. Für den Anfang reicht diese Übersicht.


Nun ein Beispiel: 

Nr. 7. Umgehung der Verteidigung / Defence Evasion

Sie haben sicherlich ein Event Monitoring aufgesetzt, Sie überwachen regelmäßig einen Betriebspunkt, der ihnen wichtig ist. 

Überwachen Sie auch zusätzlich, ob Ihre Überwachung zuverlässig läuft und „richtig anzeigt“?

Ist die Überwachung "kalibriert" (Fine tuning)?

Ist die Überwachung verifiziert und /oder validiert?


Nun eine Kombination Nr. 7 & Nr. 1: 

Aufklärungsarbeit / Reconnaissance ergibt sich folgende Frage: könnte die „regelmäßige Überwachungsaktivität“ ausgehebelt werden, indem die Periodizität, zwischen den Überwachungs-Zyklen benutzt wird? Manchmal ist es ratsam selber überraschend – unvorhersehbar zu agieren, einen Rhythmus zu durchbrechen.

Finden die Verifizierungen und Validierungen Ihrer Überwachungssysteme auch öfters statt, oder nur am Anfang des Projektes?

Stichwort: Selbstüberwachung


Lessons learned

Was lernen wir daraus? Wie wenden wir solche Überlegungen konkret an? Ich empfehle ...

 

  • den Werkzeugkasten des Risikomanagements zu benutzen um die eigenen Anforderungen an die Sicherheitsmechanismen Ihres Unternehmens zu erweitern. 
  • die Risikoanalyse, die mögliche Wege, wild zu kombinieren.
  • mit dem erworbenen Wissen aus solchen Analysen die Leistungsmerkmale ihrer technischen Ausstattung auf Vollständigkeit zu prüfen.
  • die Awareness Maßnahmen auf die Kompetenz der Mitarbeiter anzupassen. 
  • Die Standard Awareness Schulungen für alle
  • Die Strategien, Taktiken, Methoden, und Werkzeuge der Cyber-kriminellen, für die Mitarbeiter/innen mit besonderer Verantwortung im Informations-Sicherheits-System.
  • Optimieren Sie Ihren Cybersecurity Incident Response Prozess . Dieser unterscheidet sich vom IT Incident Management Prozess nach ITIL oder COBIT
  • Analysieren Sie die Anatomie eines tatsächlichen, oder eines theoretischen Informationssicherheitsvorfalles
  • Lernen Sie ständig dazu, bleiben Sie informiert, wechseln Sie Perspektiven.

 

Ich wette mit Ihnen, mit so einem Perspektivenwechsel können Sie, / wir zusammen Ihre Risikobetrachtung und damit Ihre Sicherheitsmaßnahmen wesentlich erweitern und eine wesentliche Feinabstimmung erreichen.


Quellen:

https://attack.mitre.org/


Viele Erfolg!

Vielen Dank für Ihren Besuch,

Ihr Konstantin Ziouras 

Sinn und Unsinn - Managementsysteme und Zertifizierung

von Konstantin Ziouras 8. Februar 2024
Fragen Sie sich manchmal wofür machen Sie den ganzen Aufwand mit einem Qualitätsmanagement System, oder schlimmer, mit einem Informationssicherheitsmanagement System? Finden Sie zurück zurück zu Sinn und Zweck. Entdecken Sie worum es geht, Mein Zauberwort ist "Sicherstellen". Was ist ihnen so wichtig, dass Sie es nicht der Tagesform ihrer Selbst oder Ihrer Mitarbeiter überlassen? Was ist ihnen so wichtig, dass Sie es nicht dem Zufall überlassen wollen?

Plan und Strategie - Wo ist der Unterschied?

von Konstantin Ziouras 31. Januar 2024
Zu Management Systemen gehören Planungsdokumente, es gibt oft Pläne, Konzepte Strategie-Papiere. Manch Dokument ist besser, manches dürftiger, deshalb ein paar Gedanken dazu, in beliebiger Reihenfolge: Was ist ein Plan? Was ist eine Strategie? Zuerst kommt die Strategie, das ist der Blick auf das ganze, diese enthält was wir wollen, was wir steuern können und die ganzen Ungewissheiten und Abhängigkeiten. Dann kommt der Plan (oder Pläne) mit dem Konkretem was planen zu tun, also unser Beitrag, Schritt für Schritt! Am besten finde ich, Sie müssen gar nicht einverstanden sein, mit meinen weiteren Darlegungen! Hoffentlich finden Sie für sich, was Sie jeweils darunter verstehen. Eine Strategie… beschreibt eine Theorie, beschreibt unseren Wunsch, als ein zu erreichendes Ziel, und den Weg, den wir gehen wollen, den Weg den wir zu gehen bereit sind, um dieses Ziel war werden zu lassen! Eine Strategie… Ist langfristig, enthält eine kohärente zielorientierte Logik, enthält kohärente Ziele, enthält aufeinander abgestimmte Aktivitäten, Fähigkeiten, zu erzielende Ergebnisse enthält Aktivitäten welche zusammen als Ganzes, die Erreichung von Unternehmenszielen verfolgen, verfolgt Ziele, welche für das Unternehmen erstrebenswert sind, orientiert sich an ein bestimmtes Ergebnis, welches wir erreichen wollen, berücksichtigt vorhandene und neue Kunden, die unsere Produkte oder Dienstleistung haben wollen, erlaubt leider nicht das Kundenverhalten zu kontrollieren oder zu steuern, aber gibt den Weg vor, den WIR gehen wollen, und zu gehen bereit sind, Berücksichtigt, interessierte Parteien, und eine konsistente Kommunikation zueinander / miteinander, intern, extern. Strategien bringen in der Regel eine emotionale Sorge mit sich „wird es so wie wir uns das Vorstellen?" Akzeptieren wir diese „Ängste und Sorgen“, Strategien führen NICHT zu „Vorhersagen“, sondern zu einem Wunschszenario, Strategien laufen entlang der zugrundeliegenden Logik, solange die äußeren Einflussfaktoren mitspielen, Strategien bedürfen der Anpassung im Verlauf der Umsetzung! Strategie – kurz gefasst: Das ist unser Spielplatz / unsere Umgebung, die uns bekannten Rahmenbedingungen und Randbedingungen (unser Markt)! was wollen wir erreichen, (Ziel)! wie wollen wir es erreichen, (Plan)! welche Fähigkeiten setzen wir ein, (wir und unsere Kollegen/innen)! Das ist unser Management System, das ist unser Versuch sicherzustellen, dass wir unser Ziel erreichen! Eine gute Strategie enthält… eine Chancen- und Risikobetrachtung / Risikobewertung, eine Erfolgskontrolle, um unser Verhalten den laufenden Gegebenheiten anzupassen, einen Kommunikationsplan, und einiges mehr... Ein Plan ist in der Praxis unvollständig… ist leider oft eine Liste von Aktivitäten, Maßnahmen, enthält oft Aktivitäten welche nicht zwingend in sich zusammen kohärent sind, enthält oft Aktivitäten welche nicht zwingend ein gemeinsames Ziel verfolgen, berücksichtigt oft keine konsistente Kommunikation (intern, extern) zielt in der Regel auf die Ressourceneinteilung und Ressourcen Zuordnung ab. Pläne bringen in der Regel eine emotionale Gemütsruhe „wir haben es geplant, wir wissen was wir tun“, Planen ermöglicht meist eine Kostenkontrolle, Planen führt zu „Vorhersagen“ können kurz, mittel, oder langfristig sein, enthalten meist Aktivitäten die wir kontrollieren und steuern können, das ist sehr gut, regeln in der Regel die Ressourceneinteilung und Ressourcen Zuordnung etc.... Ein Plan sollte mehr sein als eine Liste von Aktivitäten, ein Plan sollte obige Versäumnisse vermeiden, eine Einführung haben, Ziele definieren, auf die Ziele angepasste konkrete Arbeitsergebnisse definieren (Deliverables / Output), einen Zeitplan und Meilensteine enthalten, Ressourcen festlegen, Verantwortung und Aufgabenverteilung regeln, interne / externe Mitwirkungspflichten definieren, Kommunikationswege und konsistente Kommunikations-Inhalte enthalten (intern / extern), Evtl. auch ein Risikomanagement enthalten oder mindestens berücksichtigen, eine Erfolgskontrolle enthalten! und ja, das komplizierteste sind dann ganze Projektpläne, davon kann man viel lernen, aber es kann auch zu viel des Guten sein! Ein Konzept... enthält eine konkrete Beschreibung einer Aufgabe und des Lösungsweges, Ein Konzept beantwortet: Warum Wie Wann Ein Konzept enthält einen verständlichen Titel, eine Zusammenfassung / Einleitung, eine Einführung, ein Ziel/Ziele, eine Begründung und Vorteile / Nachteile, eine Beschreibung über eingesetzte Methoden, Ressourcen, Materialien, den Weg / Plan / Umsetzungsschritte, die Zeitachse, Verantwortlichkeiten (und denken Sie an Vertretungsregelungen), Evtl. auch eine Risikobewertung / Risikobetrachtung, Notwendige Dokumentation, Qualifikation / Schulungsmaßnahmen, und falls nötig referenziert es auf weitere mit geltende Dokumente... Lessons learned: Es gibt Überschneidungen, es gibt Unterschiede, Sie sehen es so, oder nicht, sorgen Sie für sich für die Klarheit die Sie benötigen! Definieren Sie was das, was für Sie wichtig ist! Legen Sie den Zweck/Umfang/Inhalt Ihrer Dokumente in ihrem Management System fest, sodass Ihre Dokumente Ihrem Unternehmen einen maximalen Wert bringen. Beschreiben Sie in jedem Dokument, an erster Stelle nach dem Titel, den Zweck eines Dokuments, legen Sie per Inhaltsverzeichnis im jeweiligen Template den Umfang fest. (Lesen Sie auch: Inhalte einer Idealen Prozessbeschreibung https://www.ziouras-consulting.com/inhalte-einer-idealen-prozessbeschreibung ) Schon sind diese Hilfsmittel und Dokumente wertvoller, und können nur noch mit der Zeit besser werden. Viele Erfolg Ihr Konstantin Ziouras
Risk-Bowtie

Die Bowtie Methode für die Risiko Betrachtung

von Konstantin Ziouras 29. Januar 2024
Tun Sie sich manchmal etwas schwer in die Risikoanalyse einzutauchen? Manchmal brauchen wir eine neue Betrachtungsweise! Manchmal ist es schwierig Bücher oder Normen zu verstehen, manchmal ist es schwierig einen gemeinsamen Blickwinkel mit Kollegen oder Beratern zu finden. Manchmal sieht man den Wald vor lauter Bäumen nicht. Risikoanalyse einmal anders? Vielleicht bringt Sie dieser Ansatz auf neue Ideen! Die Bowtie Methode für die Risiko Betrachtung (Bowtie = Die Fliege zum Anzug) Dieser Betrachtungsansatz lässt sich breit benutzen, für Prozesse, Produkte, FMEA, Benutzung gefährlicher Substanzen, Automotive, Medizintechnik, Informationssicherheit, Qualitätsmanagement etc. Ein Bild spricht mehr als Tausend Worte! Auf einen Blick: im Zentrum die mögliche Gefahr, Welche Ursachen kann es dafür geben? Was können wir im Vorfeld tun? Schulungen, Technische, organisatorische Maßnahmen, etc.? Was können wir, oder müssen wir tun, wenn es doch passiert? Wie reagieren wir? Welche Konsequenzen sind möglich?

Fragen die sich eine Organisation zur Benutzung von künstlicher Intelligenz (KI) stellen sollte.

von Konstantin Ziouras 28. Juni 2023
Artificial Intelligence ist keine Modeerscheinung mehr! Es sind neue Angebote auf dem Markt, die sich etablieren, die vieles verändern werden. Es sind machtvolle Tools, und die Versuchung ist groß, diese zu benutzen. Warum auch nicht? Nur, welche Risiken ergeben sich? Welche Chancen können genutzt werden? Was sollte davor geregelt und geklärt werden?
Information Bias. Confirmation Bias

Information Bias - Confirmation Bias - Befangenheit - Bestätigungsfehler

von Konstantin Ziouras 17. April 2023
Wenn wir ein Thema untersuchen oder erarbeiten, sind wir immer voreingenommen! Auch wenn es im bestmöglichen Sinn gemeint ist, überhaupt nicht negativ, wir sind voreingenommen, und vorgeprägt, durch... unsere Persönlichkeit - ICH denke also bin ICH unsere Art Dinge anzugehen - ICH mach das so unsere bewusste Erfahrungen - ICH habe das x Mal so gemacht… unser bewusstes Training – Ich habe das so gelernt, mein Meister hat es mir so gezeigt unsere unbewussten antrainierten Denkmuster, Motorik und Reaktionen Wir fangen ziemlich alles mit einer ersten Meinung an. Die Frage ist, ob wir an dieser Meinung zwanghaft festhalten müssen, oder ob wir einsichtig neue Erkenntnisse, und neue Wege zulassen, wenn es sich als nötig oder sinnvoll erweist? Erkennen wir überhaupt, dass es sinnvoll oder nötig wäre eine existierende Meinung zu ändern?

Wo fängt ein ISMS an? Aller Anfang ist leicht!

von Konstantin Ziouras 15. April 2023
Sie tun sich anfangs schwer? Wo und wie beginnen Sie mit einem neuen Information-Sicherheitsmanagement-System (ISMS)? Gehen wir das zusammen Schritt für Schritt durch. Wir finden Orientierung in der Norm (egal welche Version, am besten immer die aktuellste :-) z.B. ISO27001, Kapitel 4 4.1 Kontext: Was ist die Strategische Ausrichtung des Unternehmens? Welche Interne und externe Einflussfaktoren sehen Sie? Welche positive Aspekte erkennen Sie, und welche negative Aspekte befürchten Sie mit einem ISMS? 4.2 Interesierte Parteien Welche interne und externe Parteien sehen Sie in Ihrem Umfeld? Was sind deren Anforderungen? 4.3 Scope des ISMS Was wollen Sie mit Ihrem ISMS beschützen? Wofür soll Ihr ISMS gelten? Was sind Ihre Produkte bzw. Dienstleistungen? Welche Standorte haben Sie? Wer sind Ihre Mitarbeiter und Abteilungen? Was sind die bei Ihnen eingesetzte Technologien? Wie ist Ihr Netzwerk aufgesetzt? Welche Prozesse haben Sie in Ihrem Unternehmen (Kernprozesse, Unterstützungsprozesse, ausgelagerte Prozesse, Management Prozesse) Was sind die Schnittstellen zwischen Ihren Prozessen? Wie lenken Sie ausgelagerte Prozesse? So geht es weiter, Schritt für Schritt! Ist es kompliziert? Nein! Nicht, wenn es transparent ist, und verständlich gemacht wird! Ist es komplex? Ja! Deshalb unterstütze ich Sie gerne! Ich führe Sie mit den richtigen Fragen, und unterstütze Sie dabei die Antworten zu finden! Umfassend, bis zur Zertifizierung, mit Fachwissen, Erfahrung und die Fähigkeit in den Normen zwischen den Zeilen zu lesen... Detaillierte Analyse, Prozess-Dokumentation, Optimierung, Ergänzung, Neuentwicklung, Entwurf und Dokumentation von Richtlinien, Awareness-Training für Mitarbeiter, Risiko Management Training für die ISMS verantwortlichen Personen, Implementierung von Maßnahmen (Controls) Audit. Verständlich, nachhaltig, entwicklungsfähig, menschlich, auf Augenhöhe, für Sie! Vielen Dank für Ihren Besuch. Ihr Konstantin Ziouras

Der Industriespion der keiner sein will – Künstliche Intelligenz und ChatGPT als Spion!

von Konstantin Ziouras 8. April 2023
Der Industriespion der keiner sein will – Künstliche Intelligenz und ChatGPT als Spion! Spätestens jetzt ist es für Unternehmen und Organisationen nötig ihre Haltung zu K ünstlicher I ntelligenz (KI) bzw. ChatGPT zu überdenken und festzulegen. Warum sollte das für Sie relevant sein, auch wenn scheinbar keine Berührungspunkte bestehen? Vorfall 1: Samsung Kürzlich wurde in diversen Medien berichtet, dass Entwickler des koreanischen Unternehmens Samsung, Software Code mit dem Sie Probleme hatten, in ChatGPT eingegeben haben, um Hilfe zu bekommen. Eigentlich eine wundervolle Idee könnte man meinen, da doch viele Tutorials im Internet rumgeistern, wie ChatGPT beim Programmieren und bei der Fehlersuche hervorragend unterstützen kann. Ja, ABER: Die Mitarbeiter haben unbedacht „proprietären Software-Code“ in ChatGPT eingegeben. Ohne Non Disclosure Agreements, ohne Beratungs-Vertrag, ohne interne Klärung der Konsequenzen, ohne Risiko Management! Unter Missachtung der Warnung im Kleingedruckten von ChatGPT "keine geheimen Informationen einzugeben" haben Sie eigenmächtig gehandelt, um Probleme zu lösen. ChatGPT ist eine lernfähige KI, die aus allen Eingaben weiter lernt. Dies gilt für alle öffentlich zugängliche Varianten, die derzeit im Umlauf sind, und Begeisterungsstürme auslösen. Nun sind die benannten Code Bestandteile nicht mehr geheim, sondern evtl. öffentlich zugänglich, oder nur mit viel Aufwand wieder löschbar. Vorfall 2: Lerninstitute Begeisterte Schüler bzw. Studenten experimentieren und lassen sich Texte schreiben. Auch andere Personen! Ist das nicht herrlich, was die KI alles schneller und besser kann? Wir erleben ein Stück Science-Fiction live mit! Wir sind dabei! JA, ABER: Grundsätzlich spricht nichts dagegen, zu experimentieren. Auch hier gilt. Bitte an mögliche Konsequenzen und Regeln für alle denken! Es sollte klare Spielregeln geben, für alle Beteiligte, bzgl. Nutzungsmodelle: Es gibt Themen die womöglich zu Streitigkeiten, Disqualifizierung oder späterer Rufschädigung führen können. Regeln zu Quellenangaben, Plagiarismus, Benotungen, Aufsätze, Diplomarbeiten, Doktorarbeiten! Bisherige Regeln decken nicht die Benutzung einer KI akademischer Ausbildung und Arbeit! Wie steht es mit geistigem Eigentum etc.? Die Skandale mit diversen plagiierenden Politikern waren und sind nur eine mögliche Konsequenz. Lessons learned: Es gibt sicherlich gute und legitime Anwendungen einer KI, es gibt sicher auch unerwünschte. Spätestens jetzt ist es Zeit für Organisationen darüber nachzudenken, und zu solchen Themen klare Spielregeln zu definieren, z.B. a) mit einer „Richtlinie zur Benutzung von Künstlicher Intelligenz“ (Policy), oder b) mit entsprechenden Ergänzungen Ihrer existierenden Richtlinien, z.B. Richtlinie zur Internet-Nutzung Nachtrag: Andere unabsehbare Konsequenzen müssen wir weiterhin beobachten, z.B. "verbesserte Cyber Attacken" unter Mitwirkung von KI. Vielen Dank für Ihren Besuch. Ihr Konstantin Ziouras

Der personalisierte Cyber Angriff, per Excellence – ein Meisterstück!

von Konstantin Ziouras 1. April 2023
Wie kann ein Cyber Angriff noch persönlicher werden als ein persönliches Scam-Email, bezüglich Ihres "Amazon Kontos", "Google Kontos", "Strom", oder "Telefon Kontos"? Geht es noch glaubhafter, noch perfider? JA, es geht! z.B. mit öffentlich zugänglichen kostenlosen Informationen aus dem Handelsregister, aus öffentlichen Auktionen, öffentlichen Gerichtsverhandlungen usw.

Begriffe für Tools im Einsatz in der Informationssicherheit

von Konstantin Ziouras 20. März 2023
Begriffe für Tools im Einsatz in der Informationssicherheit Der wichtigste Effekt den Sicherheitstools bieten ist „ Visibilität “. Die Verteidiger der Informationssicherheit, müssen sehen können , sehen was im Verborgenen passiert. Je nach Tool, unterscheiden und definiert der Hersteller, wo Licht ins Dunkle gebracht werden kann, in welche Hardware-Komponenten, in welche digitalen Komponenten, welche Zustände und welche Zustandsänderungen erfasst, erkannt, in Bezug gebracht, gemeldet und visualisiert werden können; welche Filter und Feineinstellungmöglichkeiten angeboten werden. Nun zur Übersicht einige Begriffe: SOC: Security Operations Center ISOC: Information Operations Center GSOC: Global Security Operations Center Die Schaltzentrale, das Cyber Security Team, welches die Cybersecurity Vorfälle (Security-Incidents) überwacht, identifiziert, analysiert, und hoffentlich behebt; wenn möglich 365 Tage pro Jahr, 24 Stunden pro Tag. Dies sind die Helden, die sich um die Überwachung und Bearbeitung der Alarme, und das Cyber Incident Management kümmern. Für das SOC sind wichtig: Strategie, technische Lösungen, Prozesse, Schulungen, Kontinuierliche Verbesserung NOC: Network Operations Center Ein Team welches sich um die Netzwerk Leistung und Geschwindigkeit kümmert. SEM: Security Event Management Ein Tool, welches Echtzeitanalysen und Echtzeitberichte erstellt und dem SOC zur Verfügung stellt. Ein Event ist alles, was in den Systemen und im Netzwerk passiert, die normalen Aktivitäten und die „unerlaubten“. Wir interessieren uns um die "schlechten". SIM: Security Information Management Ein Tool, welches für die Erfassung und Verwaltung von Logfiles und weiteren sicherheits-relevanten Daten benutzt wird. Die protokolierten Daten werden analysiert. Wenn Events gewisse voreingestellte „Grenzwerte“ überschreiten, werden Meldungen ausgegeben. Hier liegt die Kunst der Einstellungen, um sinnvolle Filter und Grenzwerte zu generieren. Ein Event welches gemeldet wird, kann als Warnung oder als Alarm eingestuft sein. Es kann falsch Positive und falsch Negative Alarme geben. SIEM: Security Incident and Event Management Ein einzelnes Sicherheitsmanagement-System, welches Aktivitäten im Netzwerk sichtbar und transparent macht, welches beide Aufgaben übernimmt, als SEM und als SIM. Hier werden Maschinendaten in Echtzeit aus vielen Quellen (Endpoints) gesammelt, analysiert, kategorisiert und bewertet! Je nach Trigger werden Alarme ausgegeben. Das SOC Team arbeitet mit diesen Alarmen, Daten und Berichten, versucht Vorfälle möglichst frühzeitig zu erkennen, von den falschen Alarmen zu trennen, und reagiert auf die Vorfälle. Je moderner das SIEM Tool, desto fortschrittlichere Fähigkeiten hat es. (Modernere haben extravagante Bezeichnungen wie „Next Gen SIEM“ o.ä. Ein SIEM kann Daten aus verschiedensten Quellen aggregieren, z.B. Server : Webserver, Proxyserver, Mailserver, Fileserver, FTP-Server Netzwerkgeräte: Router, Switches, Wireless Access Points, Modems, Leitungstreiber, Hubs Sicherheitsgeräte: IDP/IPS (Intrusion Detection und Intrusion Prevention System), Firewalls, Antivirus-Software, Content-Filter... Applikationen / Programme: Sehr vielfältig, um nicht alle zu sagen. Ein SIEM kann auf viele Metadaten bzw. Attribute achten, und diese auswerten: Benutzerkonten, Prozesse, Events, IP Adressen, Speicher… Dabei werden Änderungen erkannt (Prozessstart, Stop, Anlegen eines Benutzerkontos, Benutzen eines Benutzerkontos, um sich einzuloggen, Berechtigungsänderungen eines Benutzerkontos etc. EDR: Endpoint detection and Response Systeme die Bedrohungen innerhalb der definierten Endpunkte erkennt und darauf reagiert. Prinzipielle ähnlich wie ein SIEM, aber fokusiert auf Endpoint Geräte, als Clients, Computer, Server, Mobile Devices. In der Regel arbeiten diese Systeme mit „Endpoint Agents“, also Applikationen am Endgerät. Diese Agieren wie bessere Antivirus Software, schützen gegen Malware, Dateien und Programmattacken, und erkennen auch Verhaltensmuster. Wegen der Verhaltensmustererkennung sind sie besser als Anti Virus Software die „nur“ bekannte Signaturen detektiert, und besser als SIEM nur im Einsatz auf Endgeräten. EDR ergänzt SIEM, liefert wertvolle Logfiles (Protokolle) für das SIEM, und kann auch durch Automatismen bestimmte Angriffe abwehren. XDR: Extended Detection and Response Dieses sind modernere EDR-Systeme, welche Daten aus immer mehr Endgeräten erfassen, auswerten und korrelieren. Das wichtigste sind die Korrelationen und Zusammenfassungen von "scheinbar unabhängigen Alerts" zu einem zusammenhängenden Vorfall. Sie wirken automatisch und clients, Applications, auf mehreren Sicherheitsebenen, vollständiger, z.B. Endpunkte wie EDR, und E-Mail, Benutzerkonten, Server, Cloud, SaaS, Netzwerk, Datenbanken, und generell alles Assets. Dies ermöglicht eine schnellere Erkennung von Bedrohungen und verbesserte Untersuchungs- und Reaktionszeiten und Abwehrmechanismen durch das SOC Team. Es konzentriert die Aufwände, anstatt vielen kleinen einzelnen Alerts nachzujagen, auf wenigere, aber zusammenhängende. MDR: Management Detection and Response Hier handelt es sich um eine Dienstleistung in Kombination mit oben beschriebener Technik. Dies ist für Unternehmen die kein eigenes SOC Team 24/7 parat haben, interessant! Hier teilen sich Menschen und Technik die Erkennung, Filterung und Auswertung und Feinjustierung von Alarmen, und „Verhinderung von Bedrohungen“, als Dienstleistung! Diese Spezialisten-Teams helfen auch bei „Reparatur“ Aufgaben falls nötig. SOAR: Security, Orchestration, Automation and Response SOAR ist eine vollständige Plattform, eine Schaltzentrale um SOC Teams zu managen und zu unterstützen. Hier werde diverse Cyber-Sicherheits-Tools z.B. SIEM, DER; Firewalls, über Schnittstellen eingebunden. Es können große Mengen an Informationen verarbeitet werden, Alarme priorisiert und bearbeitet werden. SOAR beinhaltet Automation und vordefinierte Szenarien, Workflows etc., um Entscheidungen zu erleichtern und Reaktionen zu beschleunigen. Workflows können auch zur Überprüfung in Einsatz kommen, um Alarme abzuarbeiten, und falsche Alarme herauszufiltern. Ebenfalls sind in der Regel Incident Ticket Protokollierung, Nachbearbeitung, Berichtswesen und Wissensdatenbanken integriert. Als Mechanismen haben wir also: Präventiver Schutz vor einer "Infektion", Erkennung und Verhinderung von Malware vor einer "Infektion" durch Erkennung bekannter Dateitypen, digitaler Signaturen, digitaler "Antikörper" Manche Malware ist neu, oder alte wurde verändert um einer Erkennung zu entgehen. Hier ist wichtig: Reaktive Detektion nach einer "Infektion", durch Erkennung von Verhaltensmuster. Malware, wenn einmal drin, muss etwas tun, die nächsten Schritte sind oft typisch für verschiedene Angriffsarten. Je nach hinterlegten Regeln, Workflows, Logikbäumen, Vergleichs-Algorithmen, können Benutzerkonten/Systemkonten Prozesse, Dateien, Kommunikation etc. analysiert werden, Alarme gegeben werden und automatische Reaktionen ausgeführt werden. Response und Recovery... Lessons Learned: Mesch: Es bedarf wie immer, Menschen und Technik. Die Menschen müssen Ihre eigesetzte Technik kennen, verstehen, und beherrschen, sowohl die Technik für die Geschäftsprozesse als auch die Technik für die Sicherheitsüberwachung. Maschine: Namen sind Schall und Rauch: Es kommt darauf an, was genau die eingesetzte Lösung kann, was sie nicht kann, wie sie eingestellt ist, wie modern, und wie anpassungsfähig auf neue Gefahren sie ist, wie sie kombiniert werden kann. ISMS: Mensch, Maschinen, Strategien und tolle Konzepte und Richtlinien dokumentiert auf Papier. Letztendlich kommt es darauf an, wie lernfähig das gesamte Informationssicherheitsmanagement System ist und bleibt, welche Strategie es verfolgt, wie diese umgesetzt wird... Vieles hängt davon ab, wie "Risiken bewertet" werden, wie Logikfehler durchrutschen oder vermieden werden, und wie Sie am Ball bleiben! Alles Gute, viel Erfolg! Vielen Dank für Ihren Besuch. Ihr Konstantin Ziouras P.S. Tools in der Übersicht: https://www.gartner.com/reviews/market/security-information-event-management und Suchen Sie nach den Stichworten: magic quadrant for siem 2022

Cyber Kill Chain - Anatomie einer Cyber Attacke

von Konstantin Ziouras 19. März 2023
Lockheed Martin, das US amerikanisches Militärunternehmen, hat vor einigen Jahren Cyber Attacken nach militärischen Erfahrungen in ein Angriffs Modell gegossen. Dieses ist in 7 Phasen unterteilt. Es dient dazu sowohl die Schritte des Cyberkriminellen als auch der Verteidigung besser zu sortieren und zu verstehen. Reconnaissance Weaponization Delivery Exploitation Installation Command and Control (C2) Action on Objectives Manche würden auch ergänzen: 8. Get the money and run or do it again Dieses Modell ist eine Vereinfachung. Natürlich gibt es Varianten, Variationen, und kein Krimineller muss sich daran halten! Die Cyber Welt wird immer komplexer, es werden neue Wege gesucht und gefunden. Artificial Inteligence ist angekommen. Trotzdem sind Modelle hilfreich: für den Strategie-Tisch, für Schulungen, für Struktur, für das Lernen. Ja es gibt auch augenscheinliche Schwächen, z.B. ein Insider kann erste Schritte scheinbar überspringen, hat diese aber im stillen Kämmerlein durch gemacht, und sich einen Plan zurecht gelegt! Nach diesem Modell muss ein Angriff alle diese 7 Phasen durchlaufen, um an sein Ziel zu gelangen und erfolgreich zu sein. Das bedeutet, wir haben die ersten 6 Schritte lang die Gelegenheit den Angriff zu vereiteln, um den letzten Schritt zu verhindern. Schauen wir uns diese Schritte einzeln an, und überlegen auch potentielle Taktiken als Gegenmaßnahmen (ohne Anspruch auf Vollständigkeit). 1. Reconnaissance / Aufklärungsarbeit (Mögliche Ziele identifizieren und auskundschaften) Planungsphase des Angreifers. Suche nach öffentlich zugänglichen Informationen, z.B. Email Adressen sammeln Angestellte / Personen / Rollen identifizieren Informationen sammeln aus dem Web, den Nachrichten, den Sozialen Medien, Konferenzlisten, Informationen im Darknet kaufen Möglichkeiten der Verteidigung: Vor der Tür können wir wenig tun! Begrenzen Sie und kontrollieren Sie die öffentlich zugängliche Information, z.B. mit einer Social Media Richtlinie (Sowohl für Social Media, als auch für eigene Webseiten des Unternehmens Wieviel können Sie an den eigenen Webservern loggen, nach Mustern durchsuchen, und als Historie für Analysen aufbewahren? 2. Weaponization / Bewaffnung aussuchen (Angriff vorbereiten) Automatisierte Tools werden „in Ruhe“ für den ausgesucht, zusammengestellt, und deren Einsatz wird vorbereitet, z.B. USB Stick, evtl. in Kombination mit einem Köder / Angebot z.B. in einem Modemagazin und einem Aufkleber „Sommerkollektion YSL“ auf dem USB Stick, oder einem Ford Mustang Magazin, und einem Ferrari Ettiket? Dateibasierte Angriffe werden vorbereitet, z.B. mit einem Köder, kaschierte Emails bzw. Webseiten mit „Fangangeboten“ Die entsprechende Malware, z.B.: eine Backdoor, oder Exploit wird vorbereitet. Möglichkeiten der Verteidigung: Die Vorbereitung des Gegners kann nicht verhindert werden! Aber in der Zeit kann und muss sich das Unternehmen ebenfalls vorbereiten, aus der Vergangenheit lernen, sich mental und digital vorbereiten: Sicherheitsstrategie, System und Controls aufsetzen und in der Tat umsetzen. Detektoren / Scanner aktiv und aktuell halten Awareness Schulungen durchführen Angriff / Verteidigung Trainings Incident Response Plan ausarbeiten, und trainieren Erkennung bekannter Muster einstellen (Viren, Malware, Trojaner) Analysen und Trends beobachten, allgemein informiert bleiben Sparten- und Branchen-Spezifische Information einholen über Angriffe beobachten 3. Delivery / Lieferung (Platzierung des Cyber-Schädlings) Der Angreifer verschickt sein getarntes Paket. Der Angriff hat begonnen, z.B. USB Stick liegt im Hof, oder auf einem Firmen-Parkplatz, oder Ein USB Stick liegt in einem Paket einer Material-Lieferung, als Dankeschön, oder Werbegeschenk dabei. Dateibasierte Angriffe werden losgeschickt, mit Köder, Spam Emails, Persönliche Emails, gefälschte Emails bzw. Webseiten mit „Ködern/Fangangeboten“, gefakte Webseiten, etc. Direkter kontrollierter Angriff über Webserver / Datenbanken Penetrationsversuch über offene Ports und Protokolle Interaktionen über Social Media, Uploads, Einladungen, Honigtöpfchen/Köder. Die Phantasie hat keine Grenzen. Möglichkeiten der Verteidigung: Die erste und wichtigste Möglichkeit einen Angriff zu vereiteln, z.B. Sperrung der USB Ports für Datenspeicher Rollen, Verantwortung, Zugriffsrechte verstehen, planen, kontrollieren, aufzeichnen (Logging), einschränken auf das nötige Maß Server und Infrastrukturtrennen, kennen, überwachen. Standardkonfigurationen und Settings vermeiden Technik Einsetzen die Indizien überwacht und meldet Analyse der physikalischen und der digitalen Lieferungen Micro-Demilitarisierte Zonen einsetzen. Doppelte Firewalls einsetzen Scanner einsetzen, aktuell halten Logging sammeln, für laufende Analysieren, und für forensische Analysen falls es mal nötig sein sollte. Daten analysieren und Trends und unübliche Aktionen beobachten (z.B. Start von Programmen zur „Unzeiten“, Start von Programmen die „nicht gelistet sind“… Neue Benutzerkonten, die nicht freigegeben wurden erkennen und sperren Gestartete Prozesse die „nicht gestartet sein sollten", erkennen und genauer anschauen... 4. Exploitation / Ausbeutung (Zugriff erlangen) Der Angriff muss nun eine Schwäche ausnutzen, eine Hardware-, Software-, oder Menschliche Schwäche. Starten des Angriffs aus der Ferne Starten des Angriffs durch ein „Opfer“ eines Köders (Email Anhang, Link klicken…) Möglichkeiten der Verteidigung: Menschliches Verhalten kennen, beobachten, und stärken. Digitale Verteidigungsmöglichkeiten einsetzen. Aufmerksamkeit-Schulungen und Tests nach Schulungen durchführen Secure Coding Ausbildung für Entwickler einsetzen, und prüfen Vulnerability scaning durchführen Penetration Test (Pen Test)... Endpoints stärken / Endpoint hardening (individuell) Administrationsrechte beschränken Ausführungsrechte, und Automatische Startups beschränken / kontrollieren / überwachen Schellcode-, Script- Beschränkungen Digitale Audits, scanns ... 5. Installation / Installation (Festsetzen um einen geheimen Kommunikationskanal zu öffnen) Hier werden normalerweise durch den Angreifer Backdoors geöffnet (Kommunikationskanäle) um sich beim Opfer System einzunisten, und langfristig zu agieren, z.B. Webshell auf Webserver Backdoors auf clients Services hinzufügen, die selbstständig laufen (Autorun, Registry Schlüssel…) Hinzuaddierte Komponenten werden getarnt. Möglichkeiten der Verteidigung: Hier sind digitale Erkennungstools (Detection) essentiell, für Überwachung, Erkennung, Protokollierung und Analyse, z.B. Überwachung von typischen installationspfaden, Services und Registry Analyse von Berechtigungen zur Installation / zum Start von Prozessen (auch temporäre) Überwachung von Filesystemen bezüglich „anlegen abnormaler Dateien“ Zertifikate und Programme überwachen Zeitstempel von Programmen / Dateien / Skripten überwachen (z.B. Installationsdatum / Patch Datum) 6. Command & Control (C2) / Zugriffskontrolle bekommen (Fernkontrolle etablieren) Hier passiert die Kommunikation mit dem Angreifer, um das Opfer System zu verändern, z.B. Zweiwege Kommunikation / Fernkontrolle zur Kommando-Infrastruktur des Angreifers etablieren. Meist über Web, DNS, Emailprotokolle Die Kommandostruktur des Angreifers ist evtl. auf einem anderen „gekapertem und missbrauchten System, oder Netzwerk“ Möglichkeiten der Verteidigung: Hier ist die letzte Möglichkeit der Verteidigung, indem die Kommunikation unterbunden wird. Kennen der erlaubten Kommunikationen Entdecken der „unerlaubten Kommunikation Entdecken der Malware Wege in die Außenwelt limitiert halten, kennen und überwachen Proxies einsetzen, überall wo möglich (http, DNS) Standardkonfigurationen und Settings vermeiden Kreativität einsetzen, Analytische Fähigkeiten trainieren Echtzeitanalyse trainieren Sperrmechanismen trainieren und bereit halten 7. Action on Objectives / Das Ziel des Angriffs erreichen (der Schadensfall ist eingetreten, das Ziel des Angriffs wurde erreicht) Der Angreifer sendet das „Kill“ Kommando. Er/sie drückt auf dem Roten Knopf. Was nun passiert hängt vom Endziel der kriminellen Gegner ab: Benutzer Daten sammeln / klauen / kopieren und rausschicken Berechtigungen fälschen für weitere Schritte, Gehen Sie zurück zu Schritt Nr 4 Weitere interne Erkundungsausflüge unternehmen (*) Aus der gesicherten Position, innerhalb des Netzwerks fortpflanzen. Daten / Informationen zerstören Daten / Informationen verschlüsseln und Opfer erpressen (Ransomware) Evtl. sollte noch ein Schritt 8 hinzugezählt werden, falls es um Geld geht 8. 8. Get the money and run or do it again / Geld kassieren nach der Erpressung Möglichst versteckt, mit Kryptowährungen etc. Die Angreifer freuen sich und die Sektkorken knallen Verteidigung: Einschalten der Polizei / BKA Zahlen oder nicht, wie, wo, wann, womit? Versuchen den Schaden zu begrenzen Scherbenhaufen aufräumen, Kunden, Partner, Reputation, Öffentlichkeit, Behörden Neu beginnen, weiter machen, oder ... Lessons learned: Diese Methodik kann behilflich sein die eigenen Maßnahmen zu hinterfragen, umgesetzte Maßnahmen zu bestätigen, Lücken zu entdecken. Indem dieses Modell selbst hinterfragt wird, hilf es die eigene Strategie und Techniken auf den Prüfstand zu stellen. Wer dieses Modell gemeistert hat, ist im Anschluß daran reif für die Oberklasse, das Studium der Mitre Attack Datenbank, oder NIST Vulnerability Database mit viel mehr Details, vielen Angriffsstrategien , noch viel mehr Taktiken, Techniken und Details. Gehen Sie mal folgendes Gedankenexperiment durch: Der Täter ist schon mittendrin im System, nicht draußen vor der Tür! Was ergibt sich daraus? Wie geht Ihre Organisation im Konkreten Fall vor ? Quellen: a) Lockhead Martin - The Cyber Kill Chain " https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html " b) Mitre Attack Organisation und Datenbank: https://attack.mitre.org/ c) NIST Vulnerability Database (NVD): https://nvd.nist.gov/vuln (*) Nach einer IBM Analyse, betrug die durchschnittliche Verweildauer ca. 9 Monate, bevor es zum final count down kam. Es gibt viele solche Werte, von 50 Tagen, bis 270 Tage, alles erschreckend viel! IBM: In 2022, it took an average of 277 days—about 9 months—to identify and contain a breach. https://www.ibm.com/reports/data-breach Vielen Dank für Ihren Besuch. Sofern Sie das strategische Gespräch suchen, bitte gerne! Ihr Konstantin Ziouras
Weitere Beiträge