Die Bühnen

1. Informationsbeschaffung (Forschung)

Auch als Aufklärungsphase bekannt. Angreifer untersuchen die IT-Umgebung (verwendete Software), die Organisationsstruktur und das Management. In einigen Fällen überwachen sie möglicherweise die Interessen der Mitarbeiter in sozialen Medien. Durch übermäßiges Teilen von Informationen können sich Bedrohungsakteure häufig über aktuelle Themen, aktuelle Ereignisse, arbeitsbezogene Probleme und Sorgen usw. informieren. Diese Informationen sind nützlich, um die Angriffe anzupassen.

Artikellink Listenelement 1
2. Erster Zugriff
Die anfängliche Kompromittierung variiert, umfasst aber normalerweise Spear-Phishing, Zero-Day-Exploits und andere Formen des Social Engineering, bei denen Mitarbeiter dazu verleitet werden, Schadcode auszuführen. Dieser Code ermöglicht es Angreifern, zu den weiteren Phasen überzugehen. Normalerweise ist ein RAT (Remote Access Tool) für die im Folgenden beschriebene Phase 3 am nützlichsten und kann mit Berechtigungen auf Kernel-Ebene kombiniert werden, da dies böswilligen Akteuren ermöglicht, die Abwehrmaßnahmen vollständig zu zerstören.

Artikellink Listenelement 2
3. Befehl und Kontrolle (c&c)
Angreifer werden eine permanente Verbindung zu den Tools aufbauen, die sie platziert haben, und ihr Bestes tun, um diese Verbindung zu verbergen. Sie werden den kompromittierten Host eingehend untersuchen und diese Informationen werden für die im Folgenden beschriebene Phase 4 nützlich sein.

Artikellink Listenelement 3
4. Seitliche Bewegung
Mithilfe verschiedener Techniken zum Auffinden und Speichern von Anmeldeinformationen können Angreifer weitere Hosts kompromittieren. Die in den vorherigen Phasen beschriebenen bösartigen Routinen werden für jeden Host wiederholt. Dadurch können sie mit der als Nächstes beschriebenen Phase 5 fortfahren.

Artikellink Listenelement 4
5. Asset-Erkennung und Exfiltration
Dies geschieht normalerweise durch das Durchsuchen von Dateien und Ordnern. Angreifer finden Rechner, die möglicherweise wertvolle Informationen enthalten – normalerweise Informationen zu Kunden und internen Projekten. Informationen werden auf die Rechner der Angreifer heruntergeladen, und das Geschäft ist nun vollständig gefährdet und den Angreifern ausgeliefert.

Artikellink

Was können Unternehmensinhaber tun, um sicherzustellen, dass ihre Informationen vor gezielten Angriffen geschützt sind?

Trainieren, trainieren, nochmal trainieren

Stellen Sie sicher, dass Ihre Mitarbeiter darin geschult sind, Phishing und andere Formen des Social Engineering zu erkennen.

Bewache die Türen

Investieren Sie in Sicherheit, die alle Türen (Web und E-Mail) schützt. Normalerweise empfiehlt es sich, Lösungen eines einzigen Anbieters zu verwenden, die nahtlos integriert und einfach zu verwalten sind.

Investieren Sie in umfassende Netzwerksicherheit

Umfassende Netzwerksicherheit, die C&C-Blockierung und Intrusion Prevention umfasst, begrenzt das Risiko eines erfolgreichen Angriffs erheblich.

Weitere bewährte Methoden

Halten Sie Betriebssystem und Software auf dem neuesten Stand. Stellen Sie sicher, dass Mitarbeitern nicht mehr Berechtigungen erteilt werden, als sie für ihre Arbeit benötigen. Vermeiden Sie die Wiederverwendung von Unternehmenskennwörtern. Verwenden Sie immer sichere Kennwörter und eine Zwei-Faktor-Authentifizierung. Stellen Sie sicher, dass Mitarbeiter auf Unternehmensgeräten keine nicht arbeitsbezogenen Aktivitäten durchführen. Stellen Sie sicher, dass Sie über einen Wiederherstellungsplan nach einem Angriff verfügen, falls alle Abwehrmaßnahmen versagen.

Zusätzliche Ressourcen

Um Angriffe im Detail zu verstehen, empfiehlt es sich immer, die Mitre-Website zu besuchen. Das ATT&CK-Framework ist zwar nicht das ABC, aber sicherlich das D der Cybersicherheit. Es beschreibt die verschiedenen Taktiken und Techniken sowie APT-Gruppen (Advanced Persistent Threat).

zur Mitre Website

Gezielte Angriffe

Die Bühnen

Was können Unternehmensinhaber tun, um sicherzustellen, dass ihre Informationen vor gezielten Angriffen geschützt sind?

Zusätzliche Ressourcen