un — Cybersecurity: Verteidigung in Tiefe

un

guest

1 / ?

back to lessons

Willkommen

Willkommen zu Cybersecurity: Verteidigung in Tiefe.

Jede Woche ein neuer Titel: Ein Krankenhaus wird von seinen eigenen Systemen ausgeschlossen durch Ransomware, Millionen von Passwörtern aus einer durchgebrochenen Datenbank gestohlen, ein Pipeline wird durch Angreifer, die sich durch ein einzelnes kompromittiertes Passwort eingeloggt haben, ausgeschaltet.

Cybersecurity ist nicht darüber, ein Hacker in einem Hoodie zu sein. Es ist darum, wie Systeme versagen und Verteidigungen aufzubauen, die halten, wenn: nicht wenn: etwas schiefgeht.

Dieses Lektion wird Sie von grundlegenden Konzepten bis hin zu Bedrohungsmodellierung, Netzwerkschutz, Anwendungssicherheit, Incidentsresponse und schließlich in Karrierebahnen führen, in denen diese Kenntnisse bezahlt werden.

CIA-Triad

Die CIA-Triad

Jede Sicherheitsentscheidung geht auf drei Grundsätze zurück. Die Industrie nennt sie den CIA-Triad: nichts mit dem Geheimdienst zu tun.

Vertraulichkeit: Nur autorisierte Personen können den Zugriff auf die Daten haben. Ein medizinisches Record sollte für den Patienten und ihren Arzt sichtbar sein, nicht für die gesamte Internet.

Integrität: Daten wurden nicht manipuliert. Wenn deine Bank sagt, dein Guthaben ist 500$, musst du vertrauen, dass niemand es von 5.000$ geändert hat.

Verfügbarkeit: Systeme und Daten sind verfügbar, wenn sie benötigt werden. Patientenrecords in einem Krankenhaus sind nutzlos, wenn das Netzwerk ausfällt, während einer Notlage.

Die meisten Verstöße verletzen mindestens einen dieser Grundsätze. Ransomware-Angriffe betreffen die Verfügbarkeit. Datenlecks betreffen die Vertraulichkeit. Ein Man-in-the-Middle-Angriff auf Finanztransaktionen betrifft die Integrität.

Die Sicherheit in der Realität ist um die Kompromisse zwischen allen drei Aspekten. Ein System in einer Safe hat perfekte Vertraulichkeit, aber null Verfügbarkeit.

CIA-Triad: Vertraulichkeit, Integrität, Verfügbarkeit

Ein Unternehmen speichert Kundenkreditkartennummern in einer Datenbank. Letzte Woche hat ein Angreifer einige der gespeicherten Nummern ohne, dass jemand etwas merkte, geändert. Welcher Teil der CIA-Triad wurde verletzt und warum ist diese spezifische Verletzung wichtiger als nur den Zugriff auf die Daten zu verlieren?

Angriffswinkel

Wie Attacken tatsächlich erfolgen

Hollywood zeigt Hackers, die fieberhaft grünen Code in einen Terminal eingeben. Die Realität ist weniger glamourös. Die meisten Verstöße beginnen mit einem der wenigen gängigen Angriffswinkel:

Phishing: Menschen dazu täuschen, um eine Verbindung zu klicken, eine Datei zu öffnen oder Anmeldeinformationen auf einer falschen Website einzugeben. Das ist immer noch der Hauptzugriffsweg. Spear-Phishing zielt auf einen bestimmten Person mit individuell angepasstem Köder.

Malware: Software, die dazu entworfen ist, Schaden zu verursachen oder unbefugten Zugriff zu gewähren: Ransomware verschlüsselt Ihre Dateien und fordert Lösegeld, Trojäne verbergen sich als legitime Software und Würmer verbreiten sich automatisch über Netzwerke.

Lieferkettentäuschungen: Vertrauenswürdige Anbieter oder Software-Abhängigkeiten kompromittieren. Der SolarWinds-Angriff im Jahr 2020 führte eine schädliche Codeinjektion in einen standardmäßigen Software-Update ein, der in 18.000 Organisationen, einschließlich US-Regierungseinrichtungen, verteilt wurde.

Angriffe auf Anmeldedaten: Rücksichtsloses Passwort knacken, sogenanntes Credential Stuffing (verwendete Passwörter aus anderen Verstößen) oder Ausnutzen von Standardanmeldedaten, die nie geändert wurden.

Zero-Day-Exploits: Angriffe auf eine Sicherheitslücke, die der Softwareanbieter noch nicht kennt. Das ist selten, aber verheerend, weil kein Patch verfügbar ist.

Gängige Angriffswinkel: Phishing, Malware, Lieferkettentäuschungen, Angriffe auf Anmeldedaten, Zero-Day

Bedrohungsexekutiven und MITRE

Wer steckt hinter den Angriffen?

Nicht alle Angreifer sind gleich. Sicherheitsprofis kategorisieren sie aufgrund ihrer Motivation und Fähigkeiten:

Script Kiddies: Wenig befähigte Angreifer, die vorbereitete Werkzeuge verwenden. Sie verursachen tatsächlichen Schaden, aber sie sind nicht vielschichtig.

Hacktivisten: Politisch oder gesellschaftlich motiviert. Sie verändern Websites, veröffentlichen Daten oder führen Denial-of-Service-Angriffe durch, um einen Punkt zu treffen.

Cyberkriminelle: Gewinnorientiert. Ransomware-Gangs, Betrugsringe und Datenbroker. Das ist organisierte Kriminalität, die sich für das Internet adaptiert hat.

Nation-State-Akteure (APTs): Fortschrittliche beständige Bedrohungen, die von Regierungen unterstützt werden. Sie verfügen über große Budgets, individuelle Werkzeuge und Geduld, die in Jahren gemessen wird. Denken Sie an Spionage, Sabotage von Infrastrukturen und Diebstahl von geistigem Eigentum.

Interne Bedienstete: Mitarbeiter oder Dienstleister mit berechtigtem Zugriff, die dies missbrauchen, entweder boshaft oder durch Fahrlässigkeit.

Framework von MITRE ATT&CK

MITRE ATT&CK ist eine öffentlich verfügbare Kenndatenbank, die tatsächliche Angreifer-Techniken nach Phasen organisiert: Initialzugriff, Ausführung, Persistenz, Berechtigungssteigerung, laterale Bewegung, Auswilderung und mehr. Verteidiger nutzen es, um zu verstehen, was Angreifer in jeder Phase tun, und entsprechende Erkennungen aufzubauen.

Bedroher-Taxonomie: Script Kiddies, Hacktivists, Cybercriminals, Nation-State APTs, Interne Bedienstete

Ein mittelgroßes Rechnungswesenunternehmen wird von Ransomware getroffen. Die Angreifer gelangten über einen phishing-E-Mail-Zugriff, der an einen Mitarbeiter in der Rechnungslegung gesendet wurde. Die Lösegeldforderung beträgt 200.000 US-Dollar in Kryptowährung. Basierend auf dem Angriffswinkel und der Forderung, welche Art von Bedrohungsexekutiven ist wahrscheinlich verantwortlich? Erklären Sie Ihren Sachverstand.

Feuerwände, VPNs und IDS/IPS

Netzwerkschutzschichten

Verteidigung in Tiefen: Netzwerkschutzschichten

Netzwerksicherheit ist darum bemüht, den Verkehr zu kontrollieren, der in Ihr Netzwerk eintritt, es verlässt und sich innerhalb des Netzwerks bewegt. Ein einzelnes Gerät schafft dies nicht: Verteidigung in Tiefen bedeutet, mehrere Kontrollen zu verwenden.

Feuerwände: Die erste Verteidigungslinie. Eine Feuerwand untersucht Netzwerkverkehr und erlaubt oder blockiert ihn basierend auf Regeln. Eine grundlegende Feuerwand filtert nach IP-Adresse und Portnummer. Eine Next-Generation-Feuerwand (NGFW) untersucht den tatsächlichen Inhalt des Verkehrs und kann spezifische Anwendungen identifizieren.

VPNs (virtuelle Private Netzwerke): Verschlüsseln von Verkehr zwischen zwei Punkten, indem sie einen sicheren Tunnel über einen unzuverlässigen Netzwerk, wie das öffentliche Internet, erstellen. Distanzmitarbeiter verwenden VPNs, um auf interne Firmenressourcen zuzugreifen, als wären sie vor Ort.

IDS/IPS (Intrusion Detection/Prevention Systeme): Ein IDS überwacht den Datenverkehr und warnt, wenn es verdächtiges Verhalten sieht. Ein IPS tut das Gleiche, kann aber den Datenverkehr automatisch blockieren. Denk an IDS als Sicherheitskamera und IPS als Sicherheitskamera mit einem Wächter, der den Türriegel ziehen kann.

Netzwerkssegmentierung: Eine Netzwerkeinteilung in isolierte Bereiche, damit ein Eindringling in einem Bereich nicht leicht in andere vordringen kann. Eine kompromitierte Arbeitsstation im Marketing-Departement sollte nicht auf die Datenbank-Server im Finanz-Departement zugreifen können.

Zero Trust und DNS-Sicherheit

Zero Trust Architecture

Traditionelle Netzwerksicherheit folgte dem Burg-und-Moat-Modell: starke Perimeter-Abwehrmaßnahmen, aber sobald Sie drinnen sind, werden Sie vertraut. Dies scheitert katastrophal, wenn ein Angreifer die Peripherie überschreitet: oder wenn die Peripherie verschwindet, weil alle von zu Hause arbeiten.

Zero Trust kehrt das Modell um: niemals vertrauen, immer überprüfen. Jede Anfrage: ob sie von innen oder außen auf das Netzwerk zukommt: muss authentifiziert, autorisiert und verschlüsselt werden. Schlüsselprinzipien:

- Explicit überprüfen: Authentifizieren und autorisieren basierend auf allen verfügbaren Daten: Identität, Standort, Gerätezustand, Dienst oder Arbeitslast, Datenklassifizierung.

- Minimale Berechtigungen: Benutzern und Systemen nur die minimalen Berechtigungen geben, die sie benötigen, für nur so lange, wie sie sie benötigen.

- Angreifer vermuten: Systeme so entwerfen, als ob ein Angreifer bereits drin wäre. Den Schadensradius eines Kompromittierungsfall minimieren.

DNS-Sicherheit

DNS übersetzt Domain-Namen in IP-Adressen. Angreifer nutzen dies in mehreren Arten: DNS-Spoofing leitet Nutzer auf betrügerische Seiten um, DNS-Tunneling versteckt Datenexfiltration in DNS-Anfragen und Domain-Hijacking übernimmt eine legitime Domain. DNSSEC fügt kryptografische Signaturen zu DNS-Antworten hinzu, um das Fälschen zu verhindern.

Zero Trust vs. Burg-und-Moat-Architektur und DNS-Sicherheit

Ihr Unternehmen verwendet derzeit ein Burg-und-Moat-Netzwerkelement: eine starke Firewall an der Peripherie, aber sobald Mitarbeiter mit dem internen Netzwerk verbunden sind, können sie fast alles erreichen. Der CEO möchte wissen, warum Sie eine Zero-Trust-Architektur vorschlagen, die teurer ist und für die Mitarbeiter mehr Hürden aufbaut. Geben Sie Ihre Argumentation: Welche spezifischen Risiken schafft das aktuelle Modell?

Einführung in Angriffe

Wenn Anwendungen zum Angriffsschwerpunkt werden

Netzwerkschutzmaßnahmen können perfekt sein, aber wenn die Anwendung selbst Schwachstellen hat, können Angreifer einfach durch die Haupttür gehen.

SQL-Injection: Der Angreifer fügt verbotenes SQL-Cod in ein Eingabefeld ein. Wenn die Anwendung Datenbankabfragen durch Kombinieren von Benutzerinput erstellt, kann der Angreifer den gesamten Datenbankzugriff lesen, ändern oder löschen. Beispiel: Eingabe ' OR 1=1 -- in eine Anmeldeformular führen, könnte die Authentifizierung vollständig umgehen.

Cross-Site Scripting (XSS): Der Angreifer fügt verbotenes JavaScript in eine Webseite ein, die andere Benutzer betrachten werden. Wenn ein Opfer die Seite lädt, wird der Code in ihrem Browser ausgeführt und kann Sitzungscookies stehlen, sie zu betrügerischen Seiten umleiten oder was sie auf der Seite sehen, ändern.

Die OWASP Top 10: Das Open Web Application Security Project veröffentlicht eine regelmäßig aktualisierte Liste der wichtigsten Sicherheitsrisiken für Webanwendungen. Injection und XSS sind seit über einem Jahrzehnt auf der Liste. Andere Einträge umfassen fehlerhafte Zugriffskontrolle, Sicherheitsmängel in der Konfiguration und unsicheres Design.

Der Ausweg bei Angriffen mit Injection ist nicht nur Filterung von Eingaben: es ist parameterisierte Abfragen (auch als vorbereitete Anfragen bekannt). Statt SQL-Strings mit Benutzerinput zu erstellen, werden die Inputs als getrennte Parameter übergeben, die die Datenbank als Daten und nicht als Code behandelt.

SQL-Injection-Angriff gegenüber Parameterisierten Abfragen-Lösung

Authentifizierung und sichere Entwicklung

Authentifizierung im Einklang

Authentifizierung bedeutet, dass Sie beweisen, wer Sie sind. Autorisierung bedeutet, dass bestimmt wird, was Sie tun dürfen. Die Verwechslung beider Begriffe ist eine häufige Ursache von Schwachstellen.

Multi-Factor Authentication (MFA): Erfordert zwei oder mehr Faktoren: etwas, das du kennst (Passwort), etwas, das du hast (Telefon oder Hardware-Schlüssel), etwas, das du bist (Abdruck). MFA blockiert den überwiegenden Teil von Angriffen aufgrund von Anmeldeinformationen, weil ein gestohlenes Passwort alleine nicht ausreicht.

OAuth 2.0 und OpenID Connect: Standards für delegierte Autorisierung und Authentifizierung. Wenn du auf 'Anmelden mit Google' klickst, ermöglicht OAuth dem Anwendungsprogramm, deine Identität durch Google zu verifizieren, ohne jemals dein Google-Passwort zu sehen.

Sicherer Softwareentwicklungslebenszyklus (SDLC)

Sicherheit kann nicht nachträglich an die Software angehängt werden. Der sichere SDLC integriert Sicherheit in jeder Phase:

- Design: Bedrohungsmodellierung: Was könnte schiefgehen?

- Development: Sicherheitscodierungsstandards, Code-Überprüfung, statische Analysewerkzeuge

- Testing: Dynamische Analyse, Penetrationstests, Fuzz-Testing

- Deployment: Verschleierte Konfigurationen, Geheimnissverwaltung

- Maintenance: Patching, Vulnerabilitätsanalyse, Abhänglichkeitsaktualisierungen

MFA-Faktoren und sichere SDLC-Phasen

Ein Entwickler in Ihrem Team schreibt eine Anmeldeformular, die eine Benutzername- & Passwortschaltfläche aufnimmt und eine SQL-Abfrage wie folgt erstellt: SELECT * FROM users WHERE username = '[Benutzerinput]' AND password = '[Benutzerinput]'. Sie sagen, es funktioniert in der Testphase. Erkläre das Sicherheitsproblem und beschreibe die richtige Vorgehensweise.

Lebenszyklus der Ereignisbehandlung

Wenn die Prävention versagt

Kein Schutz ist perfekt. Wenn ein Durchbruch passiert, kann die Differenz zwischen einem geringfügigen Vorfall und einer Katastrophe davon abhängen, wie schnell und effektiv Sie reagieren.

Der standardmäßige Lebenszyklus der Ereignisbehandlung umfasst sechs Phasen:

1. Vorbereitung: Bilden Sie das Team, definieren Sie Rollen, erstellen Sie Handbücher, führen Sie Tischspieler durch. Das geschieht, bevor ein Vorfall passiert. Ein unvorbereitetes Team verliert kostbare Stunden damit, herauszufinden, wer was tut.

2. Detektion und Analyse: Identifizieren Sie, dass ein Vorfall stattfindet, und bestimmen Sie seinen Umfang. Hier ist, wo SIEM (Security Information and Event Management)-Systeme Protokolle aus der gesamten Umgebung aggregieren und auf verdächtige Muster hinweisen. SOC (Security Operations Center)-Analysten bearbeiten diese Benachrichtigungen rund um die Uhr.

3. Enthaltung: Blutstillung. Kurzfristige Enthaltung kann bedeuten, einen infizierten Computer vom Netzwerk zu isolieren. Langfristige Enthaltung kann bedeuten, einen sauberen parallelen Umgebung aufzubauen, während Sie untersuchen.

4. Beseitigung: Entfernen Sie die Anwesenheit des Angreifers vollständig: Malware, Rückdoors, kompromitierte Konten und Persistenzmechanismen.

5. Wiederherstellung: Systeme in den Normalbetrieb zurückkehren lassen. Überprüfen Sie, ob die Umgebung sauber ist. Beobachten Sie genau nach Anzeichen, dass der Angreifer immer noch anwesend ist.

6. Erkenntnisse gezogen: Das am häufigsten vernachlässigte Stadium. Durchführen Sie ein schuldloses Post-Mortem: Was ist passiert, wie wurde es erkannt, was funktionierte, was nicht und welche Änderungen verhindern werden, dass es zu einem erneuten Auftreten kommt.

Incident-Response-Lebenszyklus: 6 Phasen von der Vorbereitung bis zu den Erkenntnissen gezogen

Incident-Response-Szenario

Szenario: Ransomware um 2 Uhr morgens

Sie sind der Sicherheitsanalyst im Wechsel. Um 2:14 Uhr wird Ihr SIEM eine Warnung auslösen: Mehrere Dateiserver zeigen ungewöhnliche Verschlüsselungstätigkeiten an. Innerhalb von Minuten melden Angestellte im europäischen Büro, dass ihre Dateien durch Ransom-Notizen ersetzt wurden, die 50 Bitcoin fordern.

Ihr Incident-Response-Plan sagt aus, den IR-Team-Leiter zu informieren und das Ransomware-Handbuch zu befolgen. Der CEO ruft an. Recht wünscht Informationen über Pflichten bei der Benachrichtigung. Der IT-Direktor möchte wissen, ob die Backups sauber sind.

Gehen Sie den ersten drei Aktionen in den ersten 30 Minuten durch. Seien Sie spezifisch: Was tun Sie, in welcher Reihenfolge und warum? Denken Sie an Enthaltung, Kommunikation und Erhaltung von Beweismitteln.

Erkenntnisse gezogen

Die Phase, die jeder überspringt

Nach der Behebung des unmittelbaren Krisenszenarios bestimmt die Phase der Erkenntnisgewinnung, ob sich die Organisation tatsächlich verbessert. Ein schuldloses Post-Mortem stellt die folgenden Fragen:

- Welche Angriffskette wurde zuerst genutzt?

- Wie lange war der Angreifer im System, bevor eine Erkennung erfolgte (Zeitdauer des Aufenthalts)?

- Welche Kontrollen sind gescheitert und warum?

- Welche Kontrollen haben funktioniert?

- Welche spezifischen und messbaren Änderungen werden zur Verhinderung einer Wiederholung getroffen?

Das Wort schuldlos ist wichtig. Wenn Menschen Angst vor Bestrafung haben, verbergen sie Fehler. Wenn sie Fehler verbergen, lernt die Organisation nie. Das Ziel ist, die Systeme zu verbessern, nicht die Individuen zu bestrafen.

Die durchschnittliche Aufenthaltsdauer von Ransomware-Angriffen ist in den letzten Jahren gesunken, aber bei anderen Angriffstypen bleiben Angreifer oft unentdeckt für Wochen oder Monate. Die Erkennungsgeschwindigkeit ist eine der wichtigsten Metriken in der Sicherheitsverwaltung.

Nachdem der Ransomware-Zwischenfall gelöst ist, stellt Ihre Untersuchung fest, dass der Angreifer vor drei Wochen über einen Phishing-E-Mail-Zugriff erlangt hat, dann aber drei Wochen lang ruhig das Netzwerk kartiert und die Ransomware vorbereitet, bevor er sie auslöst. Welche spezifischen, umsetzbaren Änderungen würden Sie empfehlen, um sowohl die Wahrscheinlichkeit des Erstzugriffs als auch die Verweildauer zu reduzieren?

Karrierepfade im Cybersecurity-Bereich

Wohin diese Kenntnisse gehen

Im Bereich der Cybersecurity besteht eine riesige Fachkräftelücke: Hunderttausende offener Positionen weltweit. Das Feld bietet mehrere Karrierepfade, die unterschiedliche Persönlichkeiten und Fähigkeiten benötigen:

SOC-Analyst: Die erste Linie. SOC-Analysten arbeiten in Schichten, um Warnungen zu überwachen, Einträge zu verwalten und Bedrohungen hochzustufen. Es ist der am häufigsten eingeschlagene Einstieg in den Cybersecurity-Bereich. Erwartet werden Schichtarbeit und viel Ermüdung durch Warnungen, aber es baut tiefgreifendes praktisches Wissen schnell auf.

Penetration Tester (Pentester): Sie erhalten bezahlt, um in Organisationen einzubrechen, wenn Ihnen das erlaubt wird. Sie finden Schwachstellen, bevor die Angreifer es tun. Erfordert tiefgreifende technische Fähigkeiten im Netzwerkbetrieb, Webanwendungen und Betriebssystemen. Kreative Problemlösung ist entscheidend.

Security Engineer: Entwirft und baut die Verteidigungsinfrastruktur: Firewalls, SIEM-Systeme, Identitätsplattformen, Verschlüsselungssysteme. Dies ist die Rolle des Erbauers. Es besteht eine starke Überschneidung mit DevOps und Cloud-Engineering.

Digitale Forensik und Incident-Response (DFIR): Die Ermittler. Wenn ein Datenverlust passiert, rekonstruieren DFIR-Professionals, was passiert ist, wie und wann. Dafür ist eine sorgfältige Aufmerksamkeit auf Details und eine Bequemlichkeit mit rechtlichen Verfahren und Beweisbewirtschaftung erforderlich.

Zertifizierungen

Zertifizierungen sind nicht erforderlich, aber sie öffnen Türen:

- CompTIA Security+: Branchenstandard-Zertifizierung für Einsteiger. Abdeckung grundlegender Sicherheitskonzepte. Ein guter Ausgangspunkt.

- OSCP (Offensive Security Certified Professional): Praxisorientierte Zertifizierung für Penetrationstests. Sie haben 24 Stunden Zeit, um in mehreren Maschinen in einem Labor einzubrechen. Hoch angesehen und wirklich schwierig.

- CISSP (Certified Information Systems Security Professional): Zertifizierung für Führungsebenen, die Sicherheitsstrategie, Risikomanagement und Governance abdeckt. Erforderliche fünf Jahre Erfahrung. Breit für Senioren- und Führungsrollen erforderlich.

Cybersecurity-Karrierepfade und Zertifizierungsleiter

Dein Sicherheitsdenken

Zusammenfassung

Du hast viel Grundes abgedeckt: das CIA-Triagram, Bedrohungsbegleiter & Angriffswegen, Netzwerksicherheit & Zero Trust, Anwendungssicherheit & Einfügungsangriffe, Reaktion auf Vorfälle von der Erkennung bis zu den Erkenntnissen, & Karrierepfaden, die all dies nutzen.

Das Kernprinzip der vertikulierten Verteidigung ist, dass keine einzelne Kontrolle ausreicht. Du schichtst Firewalls mit Segmentationen, Segmentationen mit Überwachungen, Überwachungen mit Reaktionen auf Vorfälle und all das mit ausgebildeten Personen, die wissen, was zu tun ist, wenn etwas schiefgeht.

Die Angreifer brauchen nur einen Riss. Verteidiger müssen sie alle abdecken. Das Ungleichgewicht ist, was diese Branche sowohl herausfordernd als auch wichtig macht.

Basierend auf allem, was du in dieser Lektion gelernt hast, welche Cybersecurity-Karrierebahn interessiert dich am meisten, und was ist eine spezifische Sache, die du in den nächsten 30 Tagen tun würdest, um Fähigkeiten in diese Richtung aufzubauen? Sei konkreter.