Definition von Angriffsvektoren
Ein Angriffsvektor ist die Methode oder Kombination von Methoden, die Cyberkriminelle nutzen, um das Netzwerk eines Opfers zu kompromittieren oder infiltrieren.
Angreifer entwickeln typischerweise ein Arsenal an Angriffsvektoren, die sie routinemäßig zur Durchführung ihrer Angriffe nutzen. Im Laufe der Zeit und bei wiederholter Nutzung werden diese Angriffsvektoren zu virtuellen „Visitenkarten“ von Cyberkriminellen oder organisierten E-Crime-Banden, anhand derer Bedrohungsanalysten, Cybersicherheitsdienstleistern, Strafverfolgungsbehörden und Regierungsbehörden verschiedenen Gegnern eine Identität zuweisen können.
Wenn Unternehmen die Angriffsvektoren eines Akteurs erkennen und verfolgen, können sie sich besser gegen bestehende oder bevorstehende gezielte Angriffe verteidigen. Darüber hinaus hilft das Wissen darüber, wer hinter einem Angriff steckt (was sich teils am verwendeten Angriffsvektor ablesen lässt), Unternehmen dabei, die Fähigkeiten der Angreifer zu verstehen und in Zukunft Maßnahmen zum Schutz des Unternehmens und seiner Vermögenswerte zu ergreifen.
Angriffsvektor, Angriffsfläche, Bedrohungsvektor und Bedrohungsakteur
Was ist die Angriffsfläche?
Die Angriffsfläche ist die Summe aller potenziellen Sicherheitsrisiken in der Umgebung eines Unternehmens. Anders ausgedrückt: Sie ist die Gesamtheit aller potenziellen (bekannten und unbekannten) Schwachstellen und Kontrollen bei allen Hardware-, Software- und Netzwerkkomponenten sowie Personen.
Angriffsflächen lassen sich in drei Grundarten einteilen:
- Digitale Angriffsfläche: Diese umfasst das gesamte Netzwerk und die Software-Umgebung eines Unternehmens, einschließlich Anwendungen, Code, Ports sowie andere Eintritts- und Austrittspunkte.
- Physische Angriffsfläche: Die gesamte Infrastruktur eines Unternehmens wie Desktop-Systeme, Laptops, mobile Geräte, Server, Zugangstore, Telekommunikationsinfrastruktur und sogar Stromleitungen.
- Social-Engineering-Angriffsfläche: Angriffe, die den menschlichen Geist ausnutzen und häufig bei Phishing, Pretexting (Smishing), Vishing (Voicemail) und anderen manipulativen Techniken eingesetzt werden, um den Menschen in die Irre zu führen.
Was ist ein Bedrohungsvektor?
Der Begriff Bedrohungsvektor bezeichnet die Methode, die ein Cyberkrimineller nutzt, um sich ersten Zugriff auf das Netzwerk oder die Infrastruktur eines Opfers zu verschaffen. „Bedrohungsvektor“ wird oft synonym mit „Angriffsvektor“ verwendet.
Was ist ein Bedrohungsakteur?
Als Bedrohungsakteure, böswillige Akteure oder digitale Gegner werden Personen oder Gruppen bezeichnet, die im digitalen Raum vorsätzlich Schäden anrichten. Sie nutzen Schwachstellen in Rechnern, Netzwerken und Systemen für Angriffe auf Einzelpersonen oder Unternehmen.
Der Begriff „Bedrohungsakteur“ umfasst auch Cyberkriminelle, ist jedoch viel weiter gefasst. So gelten ideologisch motivierte Täter wie Hacktivisten (Hacker Activists), Terroristen, Insider und sogar Internet-Trolle ebenfalls als Bedrohungsakteure.
CrowdStrike Global Threat Report 2024: Kurzfassung
Der CrowdStrike Global Threat Report 2024 basiert auf den Beobachtungen des CrowdStrike Counter Adversary Operations Teams und hebt die wichtigsten Themen, Trends und Ereignisse in der Cyber-Bedrohungslandschaft hervor.
Jetzt herunterladenWie werden Angriffsvektoren ausgenutzt?
Bedrohungsvektoren lassen sich im Allgemeinen in eine von zwei Kategorien einteilen:
- Passive Angriffsvektoren
- Aktive Angriffsvektoren
Passive Angriffsvektoren
Ein passiver Angriffsvektor ist eine Angriffstechnik, bei der der Angreifer das System eines Opfers auf Schwachstellen überwacht, z. B. einen offenen Port, eine Fehlkonfiguration oder eine nicht gepatchte Softwareanwendung, die er ausnutzen kann, um sich Zugriff zu verschaffen.
Bei einem passiven Angriff zielen die Angreifer in der Regel nicht darauf ab, das System zu beschädigen oder den Geschäftsbetrieb zu stören. Ihr Ziel besteht vielmehr darin, Zugang zu Daten und anderen vertraulichen Informationen zu erhalten.
Da passive Angriffsvektoren in der Regel das System nicht stören oder die Umgebung in irgendeiner Weise verändern, erkennen Unternehmen u. U. nicht, dass sie gerade angegriffen werden, und ergreifen daher auch nicht die notwendigen Schritte, um sich vor weiteren Schäden zu schützen.
Beispiele für passive Angriffsvektoren sind Port-Scanning, Sniffing, Lauschangriffe (z. B. Man-in-the-Middle-Angriffe) und viele Social-Engineering-Angriffe.
Aktive Angriffsvektoren
Ein aktiver Angriffsvektor ist eine Angriffstechnik eines Angreifers, die ein System verändert oder seinen Betrieb stört.
Ebenso wie bei passiven Angriffen versuchen viele Angreifer über aktive Angriffsvektoren, sich Zugriff auf sensible Daten zu verschaffen. Im Gegensatz zu passiven Angriffen erfolgen aktive Angriffe jedoch manchmal auch, um Chaos anzurichten und der IT-Umgebung des Opfers Schaden zuzufügen.
Beispiele für aktive Angriffsvektoren sind Malware, Ransomware, DDoS-Angriffe (Distributed Denial of Service), Anmeldedatendiebstahl und andere gängige Techniken.
Zehn gängige Arten von Angriffsvektoren
Social-Engineering-Angriffe
Beim Social Engineering nimmt ein Gegner eine Person ins Visier und schürt Emotionen wie Liebe, Angst oder Gier, um sie zu einer gewünschten Aktion zu bewegen. Über Social-Engineering-Angriffe beschaffen sich Angreifer in der Regel Informationen, die für komplexere Angriffe oder zum Zugriff auf sensible Daten oder Benutzeranmeldeinformationen genutzt werden können. Manchmal sollen damit aber auch relativ einfache „schnelle Erfolge“ erzielt werden, z. B. indem ein Mitarbeiter dazu verleitet wird, digitale Geschenkkarten zu kaufen und mit dem Angreifer zu teilen.
Social-Engineering-Angriffe bereiten Cybersicherheitsexperten große Sorgen, da es hier keine Rolle spielt, wie gut das gesamte Sicherheitspaket und wie präzise die Richtlinien sind. Ein Benutzer kann dennoch dazu verleitet werden, seine Anmeldedaten an einen böswilligen Akteur weiterzugeben. Sobald sich dieser Akteur Zugang verschafft hat, kann er sich mit den gestohlenen Anmeldedaten als legitimer Benutzer ausgeben und lateral bewegen, die vorhandenen Sicherheitsvorkehrungen ausfindig machen, Backdoors installieren, Identitätsdiebstahl begehen und natürlich Daten stehlen.
Gängige Beispiele für Social Engineering sind Phishing, Pretexting und Baiting.
Kompromittierte und schwache Anmeldedaten
Ein weiterer häufiger Angriffsvektor ist die Verwendung kompromittierter oder schwacher Anmeldedaten. Bei auf Anmeldeinformationen basierenden Angriffen nutzen Angreifer verschiedene Methoden, um die System-ID, das Kennwort oder beides eines Benutzers zu stehlen, zu knacken, zu erraten oder zu vereinnahmen. Mit diesen geben sie sich als dieser Benutzer aus und greifen dann auf das System zu oder führen Aktionen aus.
Wenn Angreifer Anmeldedaten erbeutet haben, können sie damit Kontobesitzer imitieren und sich als legitime Benutzer ausgeben (z. B. Mitarbeiter, Auftragnehmer, Service Accounts oder Drittanbieter). Da der Angreifer wie ein legitimer Benutzer wirkt, ist diese Art von Angriff besonders schwer zu erkennen.
Beispiele für Anmeldedaten-Angriffe:
- Diebstahl von Anmeldedaten: Beim Diebstahl von Anmeldedaten werden personenbezogene Daten wie Benutzernamen, Kennwörter und Finanzinformationen gestohlen, um Zugriff auf ein Online-Konto oder -System zu erlangen.
- Pass-the-Hash (PtH): Pass-the-Hash-Angriffe sind Cyberangriffe, bei denen Angreifer „gehashte“ Benutzeranmeldedaten stehlen und damit eine neue Benutzersitzung im gleichen Netzwerk erstellen. Im Gegensatz zu anderen Angriffen mit Anmeldedatendiebstahl können sich die Hacker hier Zugriff zum System zu verschaffen, ohne vorher das Kennwort abzugreifen oder zu knacken. Stattdessen nutzen sie eine gespeicherte Version des Kennworts, um eine neue Sitzung zu eröffnen.
- Password Spraying: Bei diesem Angriff nutzt ein Angreifer ein gängiges Kennwort (z. B. Kennwort123) für mehrere Konten in derselben Anwendung, um zufällig Zugriff auf das System zu erhalten.
Insider-Bedrohungen
Eine Insider-Bedrohung ist ein Cybersicherheitsrisiko, das aus dem Inneren des Unternehmens kommt. Dahinter steckt in der Regel ein aktueller oder ehemaliger Mitarbeiter oder eine andere Person mit direktem Zugang zum Netzwerk, zu sensiblen Daten oder zum geistigen Eigentum des Unternehmens und mit Wissen rund um die Geschäftsprozesse, Unternehmensrichtlinien und andere Informationen, die für einen Angriff nützlich sein können. Nicht alle Insider-Bedrohungsakteure handeln vorsätzlich. Einige sind möglicherweise selbst zum Opfer geworden, da ihre digitalen Ressourcen für die Nutzung durch externe Bedrohungsakteure kompromittiert wurden.
Sicherheitskonfigurationsfehler und Schwachstellen
Sicherheitskonfigurationsfehler sind alle Fehler oder Schwachstellen in der Codekonfiguration, die Angreifern den Zugriff auf sensible Daten ermöglichen und zu einer Daten- oder einer vollständigen Systemkompromittierung führen.
Zu den gängigsten Sicherheitskonfigurationsfehlern gehören AD-Konfigurationsfehler, also Schwachstellen innerhalb der Active Directory-Domäne. Diese häufiger auftretenden Sicherheitskonfigurationsfehler reichen von Angreifern, die sich administrative Rechte verschaffen, bis hin zu Problemen, die dadurch entstehen, dass Dienste auf Hosts mit mehreren Administratoren ausgeführt werden.
Ein weiteres Beispiel sind Sicherheitskonfigurationsfehler, die im Zusammenarbeitstool JIRA entdeckt wurden. Ein Konfigurationsfehler setzte viele Unternehmen der Gefahr aus, geschäftliche und personenbezogene Daten preiszugeben. In diesem Fall war ein Konfigurationsfehler bei den globalen Berechtigungen die Ursache für das Sicherheitsrisiko.
Ransomware
Ransomware ist eine Art von Malware, die die Daten eines Opfers verschlüsselt, wobei der Angreifer ein Lösegeld oder eine Zahlung verlangt, um den Zugriff auf die Dateien oder das Netzwerk des Benutzers wiederherzustellen. Normalerweise erhält das Opfer nach der Zahlung einen Entschlüsselungsschlüssel, um den Zugriff auf seine Dateien wiederherzustellen. Wenn keine Zahlung erfolgt, veröffentlicht der Bedrohungsakteur die Daten möglicherweise auf Data Leak Sites (DLS) oder blockiert den Zugriff auf die Dateien dauerhaft.
Ransomware hat sich zu einer der vorrangigsten Arten von Malware entwickelt und zielt auf eine Vielzahl von Sektoren ab, darunter Regierung, Bildung, Finanzen und Gesundheitswesen. Jedes Jahr werden damit weltweit Millionen von Dollar erpresst.
Malware
Malware (Kurzform für „malicious software“, schädliche Software) beschreibt Programme oder Code, mit denen Computern, Netzwerken oder Servern Schaden zugefügt werden soll. Cyberkriminelle entwickeln Malware, um heimlich in ein Computersystem einzudringen und sensible Daten und Computersysteme zu kompromittieren oder zerstören.
Gängige Arten von Malware sind Viren, Ransomware, Keylogger, Trojaner, Würmer, Spyware, Malvertising, Scareware, Backdoors und Mobilgeräte-Malware.
MITM-Angriffe (Man-in-the-Middle)
Ein Man-in-the-Middle-Angriff (MITM) ist eine Art von Cyberangriff, bei dem ein Angreifer den Austausch zwischen zwei Zielen abfängt. Der Angreifer versucht möglicherweise, einen Austausch zwischen zwei Personen, zwei Systemen oder einer Person und einem System zu „belauschen“.
Das Ziel eines MITM-Angriffs besteht darin, persönliche Daten, Kennwörter oder Bankdaten zu erfassen und/oder das Opfer zu einer Aktion zu verleiten, beispielsweise zum Ändern der Anmeldedaten, zum Abschluss einer Transaktion oder zur Überweisung von Geldern.
Session-Hijacking
Session-Hijacking ist eine Cyberangriffstechnik, bei der ein Angreifer die Sitzung eines legitimen Benutzers übernimmt oder kapert, indem er sich die Sitzungs-ID verschafft. Sobald der Kriminelle die Sitzung übernommen hat, kann er sich als kompromittierter Benutzer ausgeben und auf jedes System bzw. jede Ressource zugreifen, für die der Benutzer über Berechtigungen verfügt.
Brute-Force-Angriffe
Ein Brute-Force-Angriff nutzt einen Trial-and-Error-Ansatz, um Anmeldedaten und Verschlüsselungsschlüssel systematisch zu erraten. Der Angreifer gibt wahllos Kombinationen aus Benutzernamen und Kennwörtern ein, bis er schließlich richtig geraten hat.
Wenn der Angreifer erfolgreich ist, hat er Zugriff auf das System und kann sich als legitimer Benutzer tarnen, bis er entdeckt wird. In dieser Zeit bewegt der Angreifer sich lateral, installiert Backdoors, sammelt Systeminformationen für zukünftige Angriffe und entwendet Daten.
DDoS-Angriffe
Ein DDoS-Angriff (Distributed Denial-of-Service) ist ein böswilliger, gezielter Angriff, bei dem ein Netzwerk mit gefälschten Anfragen überhäuft wird, um den Geschäftsbetrieb lahmzulegen. Wenn Unternehmen Opfer eines solchen Angriffs werden, können die Benutzer nicht mehr ihren Routineaufgaben nachgehen, da sie keinen Zugriff auf E-Mails, Websites, Online-Konten oder andere Ressourcen haben, die normalerweise von dem (nunmehr kompromittierten) Computer oder Netzwerk betrieben werden.
Die meisten DDoS-Angriffe gehen zwar nicht mit einer Lösegeldforderung einher, doch für die Wiederherstellung kritischer Geschäftsabläufe sind erheblicher Zeit- und Personalaufwand sowie hohe Kosten erforderlich.
WEITERE INFORMATIONEN
Möchten Sie bei den Aktivitäten von Bedrohungsakteuren immer auf dem neuesten Stand sein? Dann besuchen Sie den Research and Threat Intel-Blog, um Informationen zu den neuesten Forschungsergebnissen und Trends sowie Einblicke in neue Cyberbedrohungen zu erhalten.Research and Threat Intel-Blog
Sicherung von Angriffsvektoren
Es gibt eine Vielzahl von Angriffsvektoren, von denen jeder eine bestimmte Schwachstelle ausnutzt, sei es eine Person, ungepatchte Software, ein falsch konfigurierter Dienst oder ein schwaches Kennwort. Ein Abwehrmechanismus allein kann ein Unternehmen niemals vor allen Angriffsarten schützen. Außerdem zielen viele Angriffsvektoren auf Menschen ab. Die meisten Sicherheitstools bieten daher nur begrenzten Schutz vor solchen Techniken, egal wie ausgereift sie auch sein mögen.
Aufgrund der Mischung aus digitalen und persönlichen Angriffsvektoren benötigen Unternehmen unbedingt einen umfassenden Sicherheitsansatz und eine Kombination aus präventiven, defensiven, proaktiven und reaktiven Sicherheitsmaßnahmen, um sich und ihre Vermögenswerte bestmöglich zu schützen. Hier finden Sie eine Liste mit Best Practices für die Entwicklung und Bereitstellung einer umfassenden Sicherheitsstrategie:
1. Entwickeln Sie ein zuverlässiges Schulungsprogramm zur Cybersicherheit für alle Mitarbeiter.
Bei der Sicherheit stehen Mitarbeiter an vorderster Front. Stellen Sie sicher, dass sie gute Hygienepraktiken befolgen, indem sie z. B. starke Kennwörter verwenden, sich nur mit sicheren WLANs verbinden und jederzeit auf Phishing-Angriffe achten – auf allen ihren Geräten. Sorgen Sie durch umfassende und regelmäßige Schulungen zur Sicherheitssensibilisierung dafür, dass Mitarbeiter sich der dynamischen Bedrohungslandschaft bewusst sind und die nötigen Schritte unternehmen, um sich selbst und das Unternehmen vor allen Arten von Cyberrisiken zu schützen.
2. Überwachen Sie die Betriebssystemkonfiguration und halten Sie sämtliche Software mit Patches und Updates immer auf dem aktuellen Stand.
Hacker suchen ständig nach Lücken und Hintertüren, die sich ausnutzen lassen. Wenn Sie Ihre Systeme stets aktuell halten, minimieren Sie Ihre Anfälligkeit für bekannte Risiken und begrenzen Angriffsvektoren, die Fehlkonfigurationen und andere IT-Schwachstellen als Zugang nutzen.
3. Priorisieren Sie den Cloud-Schutz.
Bedrohungsakteure nehmen aggressiv Cloud-Infrastrukturen ins Visier. Immer mehr Angreifer nutzen Cloud-Schwachstellen aus und setzen verschiedenste Taktiken, Techniken und Verfahren ein (z. B. Konfigurationsfehler oder Anmeldedaten-Diebstahl), um wichtige Unternehmensdaten und -anwendungen in der Cloud zu kompromittieren. Zum Stoppen von Cloud-Angriffen benötigen Sie agentenlose Funktionen zum Schutz vor Konfigurationsfehlern und Angriffen auf der Kontrollebene oder gegen Identitäten sowie Sicherheitsmaßnahmen, die Cloud-Workloads zur Laufzeit schützen.
4. Überwachen Sie Ihre Umgebung kontinuierlich auf böswillige Aktivitäten und Angriffsindikatoren (IOAs).
Mit einem System zur endpunktbasierten Detektion und Reaktion (EDR) werden alle Endgeräte überwacht und Daten zu Ereignissen erfasst, damit böswillige Aktivitäten automatisch erkannt werden können, die den Präventionsmaßnahmen entgangen sind.
5. Integrieren Sie Bedrohungsdaten in die Sicherheitsstrategie.
Überwachen Sie Systeme in Echtzeit und bleiben Sie mit Bedrohungsanalysen auf dem neuesten Stand, um das Adversary Universe zu identifizieren, das es möglicherweise auf Ihr Unternehmen abgesehen hat. Daten zum nächsten Schritt eines Bedrohungsakteurs sind unerlässlich, um Sicherheitsmaßnahmen proaktiv anpassen und künftige Angriffe verhindern zu können.
6. Schützen Sie sich vor identitätsbasierten Angriffen.
Sorgen Sie für umfassende Echtzeit-Transparenz in AD – sowohl vor Ort als auch in der Cloud – und identifizieren Sie Schatten-Administratoren, inaktive Konten, gemeinsam genutzte Anmeldedaten und andere AD-Angriffspfade.
Stärken Sie die AD-Sicherheit und reduzieren Sie Risiken, indem Sie den Authentifizierungsdatenverkehr sowie das Benutzerverhalten überwachen und robuste Sicherheitsrichtlinien erzwingen, die Anomalien proaktiv erkennen.
Implementieren Sie eine kontinuierliche Überwachung auf schwache Anmeldedaten, ungewöhnliche Zugriffe und Kennwortkompromittierungen, einschließlich dynamischer Risikobewertung für jeden Benutzer und jeden Service Account.
7. Weiten Sie Ihren MFA-Schutz (Multifaktor-Authentifizierung) aus.
Schützen Sie nicht verwaltete Endgeräte mit risikobasiertem bedingtem Zugriff und weiten Sie den MFA-Schutz (Multifaktor-Authentifizierung) auf Legacy-Anwendungen und -Tools aus. Verwenden Sie dabei proprietäre Analysen des Benutzerverhaltens und Authentifizierungsdatenverkehrs.
Erzwingen Sie konsistente risikobasierte Richtlinien, damit die Authentifizierung für jede Identität automatisch blockiert, zugelassen, geprüft oder verschärft wird.
8. Bestimmen Sie typische Benutzeraktivitäten.
Zentralisieren Sie die Benutzeraktivitäten und das Benutzerverhalten für alle relevanten Datenprotokolle, einschließlich Zugriff, Authentifizierung und Endgeräte.
Nutzen Sie diese Daten, um die typischen Aktivitäten der einzelnen Benutzer, Benutzergruppen, Funktionen, Titel und Geräte zu bestimmen und ungewöhnliche oder verdächtige Aktivitäten erkennen zu können.
Weisen Sie jedem Benutzer und Endgerät eine individuelle Risikobewertung zu, um dem Cybersicherheitsteam Kontext zu liefern.
9. Nutzen Sie Verhaltensanalysen und KI zur Erkennung von Bedrohungen.
Überwachen Sie das Verhalten von Benutzern und Geräten in Echtzeit mithilfe von Analysen und KI-gestützten Tools.
Gleichen Sie Warnmeldungen mit den Risikobewertungen ab, um weiteren Kontext zum Ereignis zu liefern und die Reaktionsmaßnahmen zu priorisieren.
10. Übung macht den Meister.
Führen Sie Red Team/Blue Team-Übungen durch. Auch wenn Technologie zur Erkennung und Abwehr von Angriffsversuchen zweifellos unverzichtbar ist, bilden Sicherheitsteams das wichtigste Glied in der Kette zum Stoppen von Angriffen. Bei Sicherheitsteams gilt: Übung macht den Meister. Fördern Sie eine Umgebung, in der regelmäßig Tabletop- und Red Team/Blue Team-Übungen durchgeführt werden, um Lücken zu identifizieren und Schwachstellen in Ihren Cybersicherheitsprozessen und Reaktionen zu beseitigen. Aber Ihre Sicherheitsteams sollten nicht die Einzigen sein, die fleißig üben. Starten Sie Programme zur Sensibilisierung aller Benutzer, um der anhaltenden Bedrohung durch Phishing und damit verwandten Social-Engineering-Techniken entgegenzuwirken.
Identifizieren von Angriffsvektoren mit CrowdStrike
Für uns bei CrowdStrike besteht ein wichtiger Teil der Prävention und Abwehr von Cyberangriffen darin zu verstehen, welche Gegner Ihr Unternehmen ins Visier nehmen könnten und welche Angriffsvektoren sie dazu nutzen.
Wir erstellen aussagekräftige Profile zu Bedrohungsakteuren, damit wir immer wissen, wer es auf unsere Kunden abgesehen hat, welche Fähigkeiten sie haben und welche Absichten sie verfolgen. Dadurch können wir gemeinsam mit unseren Kunden maßgeschneiderte Strategien entwickeln, um ihre am stärksten gefährdeten Daten und Vermögenswerte zu schützen und die Abwehrmaßnahmen in den Bereichen zu stärken, die von Bedrohungsakteuren am häufigsten ausgenutzt werden.
Im Rahmen unseres Human Intelligence-Angebots (HUMINT) haben wir das CrowdStrike Adversary Universe entwickelt, das Unternehmen dabei hilft, die Menschen hinter diesen Angriffen und die von ihnen verwendeten Methoden besser zu verstehen.
