Netskope wurde im Gartner Magic Quadrant für Security Service Edge 2022 als führendes Unternehmen ausgezeichnet. Report abrufen.

  • Edge-Produkte von Security Service

    Schützen Sie sich vor fortgeschrittenen und cloudfähigen Bedrohungen und schützen Sie Daten über alle Vektoren hinweg.

  • Borderless SD-WAN

    Stellen Sie selbstbewusst sicheren, leistungsstarken Zugriff auf jeden Remote-Benutzer, jedes Gerät, jeden Standort und jede Cloud bereit.

  • Plattform

    Unübertroffene Transparenz und Daten- und Bedrohungsschutz in Echtzeit in der weltweit größten privaten Sicherheits-Cloud.

Netskope wurde 2022 zum Marktführer im Gartner Magic Quadrant™ for SSE Report ernannt

Report abrufen Netskope Produktübersicht
Netskope führend bei SSE in Gartner MQ 2022

Kurze Antwort von Gartner®: Wie wirkt sich die Übernahme von Infiot durch Netskope auf SD-WAN-, SASE- und SSE-Projekte aus?

Report abrufen
Schnelle Antwort: Wie wirkt sich die Übernahme von Infiot durch Netskope auf SD-WAN-, SASE- und SSE-Projekte aus?

Netskope bietet einen modernen Cloud-Security-Stack mit vereinheitlichten Funktionen für Daten- und Bedrohungsschutz sowie sicherem privaten Zugriff.

Erkunden Sie unsere Plattform
Städtische Metropole aus der Vogelperspektive

Steigen Sie auf marktführende Cloud-Security Service mit minimaler Latenz und hoher Zuverlässigkeit um.

Mehr Informationen
Beleuchtete Schnellstraße mit Serpentinen durch die Berge

Verhindern Sie Bedrohungen, die häufig anderen Sicherheitslösungen entgehen, mithilfe eines SSE-Frameworks mit single-pass Architektur

Mehr Informationen
Gewitter über einem Großstadtgebiet

Zero-Trust-Lösungen für SSE- und SASE-Deployments

Mehr Informationen
Bootsfahrt auf dem offenen Meer

Netskope ermöglicht einen sicheren, cloudintelligenten und schnellen Weg zur Einführung von Cloud-Diensten, Apps und Public-Cloud-Infrastrukturen.

Mehr Informationen
Windkraftanlagen entlang einer Klippe
  • Unsere Kunden

    Netskope bedient mehr als 2.000 Kunden weltweit, darunter mehr als 25 der Fortune 100-Unternehmen

  • Kundenlösungen

    Wir sind für Sie da, stehen Ihnen bei jedem Schritt zur Seite und sorgen für Ihren Erfolg mit Netskope.

  • Schulung und Zertifizierung

    Netskope-Schulungen helfen Ihnen ein Experte für Cloud-Sicherheit zu werden.

Wir helfen unseren Kunden, auf alles vorbereitet zu sein

Sehen Sie sich unsere Kunden an
Lächelnde Frau mit Brille schaut aus dem Fenster

Das talentierte und erfahrene Professional Services-Team von Netskope bietet einen präskriptiven Ansatz für Ihre erfolgreiche Implementierung.

Mehr Informationen
Netskope Professional Services

Mit Netskope-Schulungen können Sie Ihre digitale Transformation absichern und das Beste aus Ihrer Cloud, dem Web und Ihren privaten Anwendungen machen.

Mehr Informationen
Gruppe junger Berufstätiger bei der Arbeit
  • Ressourcen

    Erfahren Sie mehr darüber, wie Netskope Ihnen helfen kann, Ihre Reise in die Cloud zu sichern.

  • Blog

    Erfahren Sie, wie Netskope die Sicherheits- und Netzwerktransformation durch Security Service Edge (SSE) ermöglicht.

  • Veranstaltungen& Workshops

    Bleiben Sie den neuesten Sicherheitstrends immer einen Schritt voraus und tauschen Sie sich mit Gleichgesinnten aus

  • Security Defined

    Finden Sie alles was Sie wissen müssen in unserer Cybersicherheits-Enzyklopädie.

Security Visionaries Podcast

Episode 18: Fostering Relationships for Security Awareness

Podcast abspielen
Dunkelhäutiger Mann in einer Webkonferenz

Lesen Sie die neuesten Informationen darüber, wie Netskope die Zero Trust- und SASE-Reise durch Security Service Edge (SSE) -Funktionen ermöglichen kann.

Den Blog lesen
Sonnenaufgang und bewölkter Himmel

SASE-Week

Netskope hilft Ihnen dabei, Ihre Reise zu beginnen und herauszufinden, wo Sicherheit, Netzwerk und Zero Trust in die SASE-Welt passen.

Mehr Informationen
SASE-Week

Was ist Security Service Edge?

Entdecken Sie die Sicherheitselemente von SASE, die Zukunft des Netzwerks und der Security in der Cloud.

Mehr Informationen
Kreisverkehr mit vier Straßen
  • Unternehmen

    Wir helfen Ihnen, den Herausforderungen der Cloud-, Daten- und Netzwerksicherheit einen Schritt voraus zu sein.

  • Warum Netskope?

    Cloud-Transformation und hybrides Arbeiten haben die Art und Weise verändert, wie Sicherheit umgesetzt werden muss.

  • Unternehmensführung

    Unser Führungsteam ist fest entschlossen, alles zu tun, was nötig ist, damit unsere Kunden erfolgreich sind.

  • Partner

    Unsere Partnerschaften helfen Ihnen, Ihren Weg in die Cloud zu sichern.

Netskope ermöglicht das "neue" Arbeiten

Finde mehr heraus
Kurvige Straße durch ein Waldgebiet

Netskope definiert Cloud-, Daten- und Netzwerksicherheit neu, um Unternehmen dabei zu unterstützen, Zero-Trust-Prinzipien zum Schutz von Daten anzuwenden.

Mehr Informationen
Serpentinenstraße auf einer Klippe

Denker, Architekten, Träumer, Innovatoren. Gemeinsam liefern wir hochmoderne Cloud-Sicherheitslösungen, die unseren Kunden helfen, ihre Daten und Mitarbeiter zu schützen.

Lernen Sie unser Team kennen
Gruppe von Wanderern erklimmt einen verschneiten Berg

Die partnerorientierte Markteinführungsstrategie von Netskope ermöglicht es unseren Partnern, ihr Wachstum und ihre Rentabilität zu maximieren und gleichzeitig die Unternehmenssicherheit an neue Anforderungen anzupassen.

Mehr Informationen
Gruppe junger, lächelnder Berufstätiger mit unterschiedlicher Herkunft

Was ist eine Cybersecurity-Kill-Chain?

7 min read

Was ist eine Cybersecurity-Kill-Chain?

Das Cybersecurity-Kill-Chain-Modell erklärt die typische Vorgehensweise von Hackern bei einem erfolgreichen Cyberangriff. Das Rahmenmodell wurde von Lockheed Martin entwickelt. Es wurde aus militärischen Angriffsmodellen abgeleitet und auf die digitale Welt übertragen, um Teams dabei zu helfen, anhaltende Cyberbedrohungen zu verstehen, zu erkennen und zu verhindern. Obwohl nicht alle Cyberangriffe alle sieben Phasen des Cybersecurity-Kill-Chain-Modells nutzen, befolgen die meisten Angriffe die meisten davon, oft von Phase 2 bis Phase 6.

Definition der Cybersecurity-Kill-Chain

 

Aus welchen Phasen besteht die Cybersecurity-Kill-Chain?

Modellschritte der Cyber-Killkette

Es gibt mehrere andere Cyber-Kill-Chain-Modelle, die von anderen Unternehmen entwickelt wurden, aber der Einfachheit halber bleiben wir beim Lockheed-Martin-Modell, dem bekanntesten Rahmenmodell der Branche. Hier erklären wir Ihnen die einzelnen Phasen und bieten kurze Lösungen für jede von ihnen, damit Sie das Verfahren von Hackern bei einem Angriff auf ein Ziel besser verstehen können.

 

Phase 1: Erkundung (Reconnaissance)

Wie jede andere Art von traditioneller Kriegsführung beginnen die erfolgreichsten Cyberangriffe mit der Sammlung einer Menge von Informationen. Die Erkundung ist die erste Phase in der Cybersecurity-Kill-Chain. Hier kommen viele verschiedene Techniken, Tools und häufig verwendete Funktionen zum Surfen im Internet zum Einsatz, darunter:

  • Suchmaschinen
  • Web-Archive
  • Public-Cloud-Dienste
  • Domainnamen-Registrierungen
  • WHOIS-Befehl
  • Paket-Sniffer (Wireshark, tcpdump, WinDump usw.)
  • Netzwerkabbildung (nmap)
  • DIG-Befehl
  • Pingen
  • Portscanner (Zenmap, TCP-Portscanner usw.)

Es gibt eine Vielzahl von Tools und Techniken, mit denen Hacker Informationen über ihre Ziele sammeln und verschiedene Datenbits offenlegen. Diese Datenbits können dann verwendet werden, um Türen zu Ihren Anwendungen, Netzwerken und Datenbanken zu finden, die zunehmend cloudbasiert sind. Es ist wichtig, dass Sie Ihre vertraulichen Daten mit cloudbasierten SASE-Sicherheitsmaßnahmen, Verschlüsselung und sicheren Websites schützen, um zu verhindern, dass Angreifer beim Browsen in Ihren öffentlich zugänglichen Assets, wie zum Beispiel in Apps und Cloud-Diensten, über kompromittierende Informationen stolpern.

 

Phase 2: Bewaffnung (Weaponize)

Sobald ein Angreifer genug Informationen über sein Ziel gesammelt hat, wählt er einen oder mehrere Angriffsvektoren aus, um in Ihre Umgebung einzudringen. Ein Angriffsvektor ist ein Mittel, über das sich Hacker unbefugten Zugriff auf Ihre Systeme und Informationen verschaffen. Angriffsvektoren reichen von einfach bis hochgradig technisch, aber bedenken Sie, dass Hacker bei der Auswahl Ihrer Ziele meist die Kosten gegen den ROI abwägen.

Angreifer berücksichtigen dabei alles von der Rechenleistung bis zur Amortisierungszeit. Der typische Hacker folgt wie Wasser dem Weg des geringsten Widerstands, weshalb es so wichtig ist, alle möglichen Eingangsstellen entlang der Angriffsfläche zu berücksichtigen (alle Punkte, an denen Sie anfällig sind) und Ihre Sicherheit entsprechend zu erhöhen.

Zu den häufigsten Angriffsvektoren gehören:

  • Schwache oder gestohlene Zugangsdaten
  • Fernzugriffsdienste (RDP, SSH, VPNs)
  • Unachtsame Mitarbeiter
  • Insiderangriffe
  • Schlechte oder keine Verschlüsselung
  • Fehlkonfiguration des Systems
  • Vertrauensbeziehungen zwischen Geräten/Systemen
  • Phishing (Social Engineering)
  • Denial-of-Service-Angriffe
  • Man-in-the-Middle-Angriffe (MITM)
  • Trojaner
  • SQL-Injection-Angriffe
  • Und viele andere

Denken Sie daran: Ein Hacker braucht nur einen Angriffsvektor, um erfolgreich zu sein. Deshalb ist Ihre Sicherheit nur so stark wie ihre schwächste Stelle und es liegt an Ihnen, herauszufinden, wo sich diese potenziellen Angriffsvektoren befinden. Ransomware-Angriffe nutzen weiterhin Fernzugriffsdienste aus, um Zugang zu erhalten, Seitwärtsbewegungen durchzuführen und sensible Daten für die Exfiltration zu erkennen – all das bevor die Daten verschlüsselt und Lösegeldforderungen gestellt werden.

Hat es ein Angreifer erst einmal hinein geschafft, besteht sein nächster Schritt in der Regel darin, verschiedene Möglichkeiten zu finden, sich seitwärts durch Ihr Netzwerk oder Ihre Cloud-Ressourcen zu bewegen, seine Zugriffsrechte auszuweiten, um an die wertvollsten Informationen zu kommen, und dabei so lange wie möglich unentdeckt zu bleiben. Um dieses Verhalten zu verhindern, müssen Zero-Trust-Prinzipien eingeführt werden, die bei der Anwendung auf die Sicherheits- und Netzwerkarchitektur eine erneute Bestätigung der Identität erfordern, wenn Benutzer innerhalb von Netzwerken oder Anwendungen von einem Bereich in einen anderen wechseln.


Berichte: Netskope Threat Labs-Berichte


 

Phase 3: Durchführung des Angriffs (Delivery)

Nachdem ein Hacker nun Zugriff auf Ihre Systeme erhalten hat, hat er die Freiheit, die Schadsoftware seiner Wahl (Malware, Ransomware, Spyware usw.) in die Systeme einzuschleusen. Sie richten Programme für alle Arten von Angriffen ein, die sofort, zeitverzögert oder durch eine bestimmte Aktion ausgelöst (Logikbombe) erfolgen können. Manchmal sind diese Angriffe eine einmalige Sache und manchmal stellen Hacker eine Remote-Verbindung zu Ihrem Netzwerk her, die ständig überwacht und gesteuert wird.

Malware-Erkennung mit Next Gen SWGs, die den Web- und Cloud-Datenverkehr entschlüsseln und überprüfen, ist eine Schlüsselkomponente, um die Übertragung dieser Art von Schadsoftware zu verhindern. Angriffe werden immer häufiger über die Cloud übertragen: 68 % der Malware über die Cloud statt über das Web eingeschleust. Inline-Bedrohungsscandienste für Web- und Cloud-Datenverkehr sowie die Berücksichtigung des Status aller Endgeräte sind entscheidend, um sicherzustellen, dass Ihr Unternehmen nicht mit bösartiger Software infiziert wird.

 

Phase 4: Aufspüren von Sicherheitslücken (Exploit)

Sobald die vorgesehene Schadsoftware eingeschleust ist, beginnt die Ausnutzung eines Systems, je nach der Art des Angriffs. Wie bereits erwähnt, erfolgen einige Angriffe zeitverzögert und andere hängen von einer bestimmten Aktion des Ziels ab, was als Logikbombe bezeichnet wird. Diese Programme enthalten manchmal Verschleierungsfunktionen, die ihre Aktivität und Herkunft verbergen und so eine Entdeckung verhindern.

Sobald das ausführbare Programm ausgelöst wurde, kann der Hacker den Angriff wie geplant starten, was uns zu den nächsten Phasen führt und verschiedene Arten von Ausnutzungen umfasst.

 

Phase 5: Installation (Install)

Wenn ein Hacker die Gelegenheit für zukünftige Angriffe sieht, besteht sein nächster Schritt darin, eine Backdoor für den konstanten Zugriff auf die Systeme des Ziels zu installieren. Dadurch kann er im Netzwerk des Ziels ein- und ausgehen, und zwar ohne das Risiko, beim Wiedereintritt über andere Angriffsvektoren entdeckt zu werden. Solche Backdoors können durch Rootkits und schwache Zugangsdaten eingerichtet werden, und solange ihr Verhalten vor einem Sicherheitsteam keine Warnsignale abgibt (wie ungewöhnliche Anmeldezeiten oder große Datenbewegungen), kann dieses Eindringen schwer zu erkennen sein. Die SASE-Architektur kombiniert zahlreiche Sicherheitsvorkehrungen, um umfangreiche Metadaten über Benutzer, Geräte, Anwendungen, Daten, Aktivitäten und andere Attribute zu erfassen und so Untersuchen zu unterstützen und Anomalien zu erkennen.

 

Phase 6: Fernsteuerung (Callback)

Nachdem die Programme und Backdoors installiert sind, übernimmt der Angreifer die Kontrolle über die Systeme und führt den geplanten Angriff aus. Alle hier durchgeführten Aktionen dienen ausschließlich der Aufrechterhaltung der Kontrolle über die Situation in Bezug auf das Ziel. Diese Aktionen können in der Zukunft eine Vielzahl von Formen annehmen, zum Beispiel das Einschleusen von Ransomware, Spyware oder anderen Mittel zum Exfiltrieren von Daten.

Wenn Sie erst einmal von einem Eindringling und einer Exfiltration erfahren, ist es leider meist zu spät – Hacker haben die Kontrolle über Ihr System übernommen. Deshalb ist es wichtig, über Sicherheitsmaßnahmen zu verfügen, die die Datenbewegungen auf verdächtige Aktivitäten überwachen und bewerten. Ein Computer erkennt und verhindert bösartiges Verhalten weitaus schneller als jeder Netzwerkadministrator.


Weißbuch: Datenschutz durch maschinelles Lernen


 

Phase 7: Zielerreichung (Persist)

All das hat hierzu geführt. Dies ist die Phase der kontinuierlichen Ausführung, in der ein Angreifer gegen sein Ziel vorgeht und dessen Daten gegen Lösegeld verschlüsselt, die Daten exfiltriert, um Gewinn aus ihnen zu schlagen, das Netzwerk über einen Denial-of-Service-Angriff zum Erliegen bringt oder das Systemverhalten auf andere Öffnungen über Spyware überwachen kann, um nur einige mögliche Ergebnisse zu nennen. In dieser letzten Phase der Kill Chain betreiben Angreifer häufig auch Spionage und Überwachung, während sie sich zurückhalten und ihre Aktivitäten fortsetzen.

Hier ist die Überwachung der Datenbewegungen in Echtzeit und die Erkennung verdächtigen Verhaltens von entscheidender Bedeutung, weil Angreifer so schnell wie möglich handeln, um ihre Ziele zu erreichen. Sie haben nie genug Zeit, um auf jede mögliche Anomalie innerhalb einer großen Unternehmensstruktur zu reagieren, also muss Ihre Rolle in der Prävention proaktiv statt reaktiv sein.

Umsetzen der Phasen der Cybersecurity-Kill-Chain in der Praxis

Sie sollten jetzt ein rudimentäres Verständnis der üblichen Kill-Chain-Phasen haben, mit denen Ihr Unternehmen konfrontiert ist. Es liegt an Ihnen, die Lücken in Ihrer Sicherheitsstrategie zu schließen. Obwohl diese Phasen ursprünglich mit Blick auf die traditionelle, perimeterbasierte Sicherheit entwickelt wurden, werden viele davon auch von Insiderangreifern verwendet. Hier kommen Techniken wie Rechteausweitung, Schulter-Surfen, SQL-Injections und viele andere zum Einsatz.

Es gibt alle möglichen Gründe für Angriffe, etwa finanzielle und politische – aber auch nur zum Spaß und zur Anerkennung. Wenn Sie verstehen, welche Motivationen ein Angreifer haben könnte, der Ihr Unternehmen ins Visier nimmt, können Sie Maßnahmen gegen potenzielle Angriffsvektoren planen.

Bei der Entwicklung Ihrer Verteidigungsstrategien ist es wichtig, alle möglichen Schwachstellen zu berücksichtigen, von Ihrem Netzwerk bis zur Cloud. Die gute Nachricht ist, dass Netskope ideal positioniert ist, um alle Arten von Insider- und Outsider-Bedrohungen für Ihre Benutzer, Anwendungen, Daten und Ihre Cloud-Infrastruktur zu bekämpfen. Erfahren Sie mehr darüber, wie Netskope Ihnen helfen kann, Datenverlust zu verhindern und anomale Bewegungen von Cloud-Daten zu überwachen.

 

Subscribe to the
Threat Labs Report

Get the monthly Threat Lab Report as soon as it’s released.