The Anatomy of an Att&ck

IBM Technology

2 Mar 202307:46

Summary

TLDRIn diesem Video wird ein Cyberangriff anhand einer Szenarioanalyse erklärt. Der Angriff beginnt mit einer Aufklärungsphase, gefolgt von einem Phishing-Angriff, um Zugang zu internen Systemen zu erlangen. Anschließend nutzt der Angreifer gestohlene Anmeldedaten, um auf Dateiserver und Datenbanken zuzugreifen, die sensiblen Daten zu sammeln und sie zu exfiltrieren. Schließlich zerstört er die Daten, was das Unternehmen handlungsunfähig zurücklässt. Das Video erläutert die MITRE ATT&CK Framework, das hilft, Angriffsstrategien systematisch zu klassifizieren, und betont die Bedeutung von Menschen, Prozessen und Technologien (PPT) zur Abwehr solcher Angriffe.

Takeaways

😀 Ein Cyberangriff beginnt oft mit einer **Aufklärungsphase**, in der der Angreifer das Netzwerk scannt und nach Schwachstellen sucht.
😀 Eine gängige Methode des Angriffs ist **Phishing**, bei dem der Angreifer gefälschte E-Mails sendet, um Zugangsdaten zu stehlen.
😀 **Anfangszugang** wird durch das Einschleusen von **gültigen Anmeldedaten** erzielt, die dem Angreifer Zugang zu Systemen verschaffen.
😀 Der **Credential Access**-Schritt ermöglicht es dem Angreifer, in Systeme einzudringen und unverschlüsselte Zugangsdaten zu finden.
😀 **Privilegieneskalation** erlaubt es dem Angreifer, mit den erlangten Zugangsdaten auf höhere, kritische Systeme zuzugreifen.
😀 Nach dem Zugriff auf kritische Daten beginnt der Angreifer mit der **Sammlung** der Daten, um sie später zu exfiltrieren.
😀 Die **Exfiltration** ist der Prozess, bei dem der Angreifer die gesammelten Daten an einen externen Ort sendet.
😀 Als letzten Schritt führt der Angreifer eine **Zerstörung** der Daten durch, um die Beweise zu vernichten und die Organisation handlungsunfähig zu machen.
😀 Das **MITRE ATT&CK Framework** hilft, die Taktiken, Techniken und Verfahren (TTPs) eines Angreifers zu klassifizieren und zu verstehen.
😀 Sicherheitsfachleute können mit der **MITRE ATT&CK Framework**-Klassifikation Angriffe analysieren, um deren Taktiken und Techniken besser zu verstehen und darauf zu reagieren.
😀 Um sich gegen Angriffe zu verteidigen, setzen Organisationen auf **Menschen, Prozesse und Technologien (PPT)** als Antwort auf die TTPs der Angreifer.

Q & A

Wie beginnt ein Angreifer seine Attacke in diesem Szenario?
-Der Angreifer beginnt mit einer **Rekonnaissance**, bei der er das Netzwerk scannt, um Systeme und Schwachstellen zu identifizieren.
Was ist eine Phishing-Attacke und wie wird sie im Szenario verwendet?
-Bei einer Phishing-Attacke wird eine gefälschte E-Mail versendet, die den Empfänger dazu verleitet, auf einen schädlichen Link zu klicken und seine Anmeldedaten preiszugeben.
Warum nutzt der Angreifer unverschlüsselte Dateien auf dem Dateiserver?
-Der Angreifer sucht nach ungesicherten Passwörtern, die in einer unverschlüsselten Datei wie einer Excel-Tabelle gespeichert sind, um diese dann für den Zugang zu weiteren Systemen zu verwenden.
Was bedeutet 'Exfiltration' im Kontext eines Angriffs?
-'Exfiltration' bedeutet, dass der Angreifer die gestohlenen Daten aus dem Netzwerk in seine eigene Kontrolle bringt, beispielsweise über das Internet.
Was passiert, nachdem der Angreifer die Daten exfiltriert hat?
-Der Angreifer zerstört die gestohlenen Daten, um keine Spuren zu hinterlassen und die Opferorganisation vollständig leer zurückzulassen.
Was beschreibt das MITRE ATT&CK Framework?
-Das MITRE ATT&CK Framework ist eine Sammlung von Taktiken, Techniken und Verfahren (TTPs), die als Standard verwendet wird, um Angriffsstrategien zu klassifizieren und zu analysieren.
Wie wird die Technik des 'Active Scanning' im MITRE ATT&CK Framework klassifiziert?
-Die Technik des 'Active Scanning' fällt unter die Taktik der Rekonnaissance, bei der der Angreifer das Netzwerk scannt, um Systeme und Schwachstellen zu identifizieren.
Was ist der Unterschied zwischen 'Taktiken', 'Techniken' und 'Verfahren' im Kontext eines Angriffs?
-Taktiken sind die Ziele des Angreifers, Techniken beschreiben, wie diese Ziele erreicht werden, und Verfahren spezifizieren die detaillierte Durchführung der Technik, einschließlich der eingesetzten Tools.
Welche Rolle spielen die Begriffe 'PPT' (People, Process, Technology) in der Verteidigung?
-PPT steht für Menschen, Prozesse und Technologie und beschreibt die Mittel, die verwendet werden, um Angriffe zu erkennen, darauf zu reagieren und sie zu verhindern, indem die Sicherheitsressourcen des Unternehmens kombiniert werden.
Wie kann ein Unternehmen seine Abwehr gegen Phishing-Attacken verbessern?
-Durch Schulungen zur Erkennung von Phishing-E-Mails, Implementierung von Multi-Faktor-Authentifizierung (MFA) und den Einsatz fortschrittlicher Sicherheitslösungen wie E-Mail-Filter und Anti-Phishing-Software.