Schließen
Schließen
Ihr Netzwerk von morgen
Ihr Netzwerk von morgen
Planen Sie Ihren Weg zu einem schnelleren, sichereren und widerstandsfähigeren Netzwerk, das auf die von Ihnen unterstützten Anwendungen und Benutzer zugeschnitten ist.
          Erleben Sie Netskope
          Get Hands-on With the Netskope Platform
          Here's your chance to experience the Netskope One single-cloud platform first-hand. Sign up for self-paced, hands-on labs, join us for monthly live product demos, take a free test drive of Netskope Private Access, or join us for a live, instructor-led workshops.
            Ein führendes Unternehmen im Bereich SSE. Jetzt ein führender Anbieter von SASE.
            Ein führendes Unternehmen im Bereich SSE. Jetzt ein führender Anbieter von SASE.
            Netskope debütiert als Leader im Gartner ® Magic Quadrant ™ für Single-Vendor SASE
              Generative KI für Dummies sichern
              Generative KI für Dummies sichern
              Learn how your organization can balance the innovative potential of generative AI with robust data security practices.
                Modern data loss prevention (DLP) for Dummies eBook
                Moderne Data Loss Prevention (DLP) für Dummies
                Get tips and tricks for transitioning to a cloud-delivered DLP.
                  Modernes SD-WAN für SASE Dummies-Buch
                  Modern SD-WAN for SASE Dummies
                  Hören Sie auf, mit Ihrer Netzwerkarchitektur Schritt zu halten
                    Verstehen, wo die Risiken liegen
                    Advanced Analytics transforms the way security operations teams apply data-driven insights to implement better policies. With Advanced Analytics, you can identify trends, zero in on areas of concern and use the data to take action.
                        Die 6 überzeugendsten Anwendungsfälle für den vollständigen Ersatz älterer VPNs
                        Die 6 überzeugendsten Anwendungsfälle für den vollständigen Ersatz älterer VPNs
                        Netskope One Private Access is the only solution that allows you to retire your VPN for good.
                          Colgate-Palmolive schützt sein "geistiges Eigentum" mit intelligentem und anpassungsfähigem Datenschutz
                          Colgate-Palmolive schützt sein "geistiges Eigentum" mit intelligentem und anpassungsfähigem Datenschutz
                            Netskope GovCloud
                            Netskope erhält die FedRAMP High Authorization
                            Wählen Sie Netskope GovCloud, um die Transformation Ihrer Agentur zu beschleunigen.
                              Let's Do Great Things Together
                              Die partnerorientierte Markteinführungsstrategie von Netskope ermöglicht es unseren Partnern, ihr Wachstum und ihre Rentabilität zu maximieren und gleichzeitig die Unternehmenssicherheit an neue Anforderungen anzupassen.
                                Netskope solutions
                                Netskope Cloud Exchange
                                Netskope Cloud Exchange (CE) provides customers with powerful integration tools to leverage investments across their security posture.
                                  Technischer Support von Netskope
                                  Technischer Support von Netskope
                                  Überall auf der Welt sorgen unsere qualifizierten Support-Ingenieure mit verschiedensten Erfahrungen in den Bereichen Cloud-Sicherheit, Netzwerke, Virtualisierung, Content Delivery und Software-Entwicklung für zeitnahen und qualitativ hochwertigen technischen Support.
                                    Netskope-Video
                                    Netskope-Schulung
                                    Netskope-Schulungen helfen Ihnen, ein Experte für Cloud-Sicherheit zu werden. Wir sind hier, um Ihnen zu helfen, Ihre digitale Transformation abzusichern und das Beste aus Ihrer Cloud, dem Web und Ihren privaten Anwendungen zu machen.

                                      Kill Chain für Cyber-Sicherheit

                                      Die Cybersecurity-Kill-Chain ist ein Modell zur Identifizierung und Beschreibung der Phasen eines Cyberangriffs, von der ersten Aufklärung bis zur Datenexfiltration. Es unterstützt Unternehmen dabei, gegnerische Aktionen in jeder Phase zu verstehen und zu erkennen, sodass sie wirksame Abwehrmaßnahmen ergreifen und Angriffe abschwächen können.
                                      Netskope solutions
                                      7 min read

                                      Was ist eine Cybersecurity-Kill-Chain? Link Link

                                      Das Cybersecurity-Kill-Chain-Modell erklärt die typische Vorgehensweise von Hackern bei einem erfolgreichen Cyberangriff. Das Rahmenmodell wurde von Lockheed Martin entwickelt. Es wurde aus militärischen Angriffsmodellen abgeleitet und auf die digitale Welt übertragen, um Teams dabei zu helfen, anhaltende Cyberbedrohungen zu verstehen, zu erkennen und zu verhindern. Obwohl nicht alle Cyberangriffe alle sieben Phasen des Cybersecurity-Kill-Chain-Modells nutzen, befolgen die meisten Angriffe die meisten davon, oft von Phase 2 bis Phase 6.

                                      Definition der Cybersecurity-Kill-Chain

                                       

                                      Aus welchen Phasen besteht die Cybersecurity-Kill-Chain? Link Link

                                      Modellschritte der Cyber-Killkette

                                      Es gibt mehrere andere Cyber-Kill-Chain-Modelle, die von anderen Unternehmen entwickelt wurden, aber der Einfachheit halber bleiben wir beim Lockheed-Martin-Modell, dem bekanntesten Rahmenmodell der Branche. Hier erklären wir Ihnen die einzelnen Phasen und bieten kurze Lösungen für jede von ihnen, damit Sie das Verfahren von Hackern bei einem Angriff auf ein Ziel besser verstehen können.

                                       

                                      Phase 1: Erkundung (Reconnaissance)

                                      Wie jede andere Art von traditioneller Kriegsführung beginnen die erfolgreichsten Cyberangriffe mit der Sammlung einer Menge von Informationen. Die Erkundung ist die erste Phase in der Cybersecurity-Kill-Chain. Hier kommen viele verschiedene Techniken, Tools und häufig verwendete Funktionen zum Surfen im Internet zum Einsatz, darunter:

                                      • Suchmaschinen
                                      • Web-Archive
                                      • Public-Cloud-Dienste
                                      • Domainnamen-Registrierungen
                                      • WHOIS-Befehl
                                      • Paket-Sniffer (Wireshark, tcpdump, WinDump usw.)
                                      • Netzwerkabbildung (nmap)
                                      • DIG-Befehl
                                      • Pingen
                                      • Portscanner (Zenmap, TCP-Portscanner usw.)

                                      Es gibt eine Vielzahl von Tools und Techniken, mit denen Hacker Informationen über ihre Ziele sammeln und verschiedene Datenbits offenlegen. Diese Datenbits können dann verwendet werden, um Türen zu Ihren Anwendungen, Netzwerken und Datenbanken zu finden, die zunehmend cloudbasiert sind. Es ist wichtig, dass Sie Ihre vertraulichen Daten mit cloudbasierten SASE-Sicherheitsmaßnahmen, Verschlüsselung und sicheren Websites schützen, um zu verhindern, dass Angreifer beim Browsen in Ihren öffentlich zugänglichen Assets, wie zum Beispiel in Apps und Cloud-Diensten, über kompromittierende Informationen stolpern.

                                       

                                      Phase 2: Bewaffnung (Weaponize)

                                      Sobald ein Angreifer genug Informationen über sein Ziel gesammelt hat, wählt er einen oder mehrere Angriffsvektoren aus, um in Ihre Umgebung einzudringen. Ein Angriffsvektor ist ein Mittel, über das sich Hacker unbefugten Zugriff auf Ihre Systeme und Informationen verschaffen. Angriffsvektoren reichen von einfach bis hochgradig technisch, aber bedenken Sie, dass Hacker bei der Auswahl Ihrer Ziele meist die Kosten gegen den ROI abwägen.

                                      Angreifer berücksichtigen dabei alles von der Rechenleistung bis zur Amortisierungszeit. Der typische Hacker folgt wie Wasser dem Weg des geringsten Widerstands, weshalb es so wichtig ist, alle möglichen Eingangsstellen entlang der Angriffsfläche zu berücksichtigen (alle Punkte, an denen Sie anfällig sind) und Ihre Sicherheit entsprechend zu erhöhen.

                                      Zu den häufigsten Angriffsvektoren gehören:

                                      • Schwache oder gestohlene Zugangsdaten
                                      • Fernzugriffsdienste (RDP, SSH, VPNs)
                                      • Unachtsame Mitarbeiter
                                      • Insiderangriffe
                                      • Schlechte oder keine Verschlüsselung
                                      • Fehlkonfiguration des Systems
                                      • Vertrauensbeziehungen zwischen Geräten/Systemen
                                      • Phishing (Social Engineering)
                                      • Denial-of-Service-Angriffe
                                      • Man-in-the-Middle-Angriffe (MITM)
                                      • Trojaner
                                      • SQL-Injection-Angriffe
                                      • Und viele andere

                                      Denken Sie daran: Ein Hacker braucht nur einen Angriffsvektor, um erfolgreich zu sein. Deshalb ist Ihre Sicherheit nur so stark wie ihre schwächste Stelle und es liegt an Ihnen, herauszufinden, wo sich diese potenziellen Angriffsvektoren befinden. Ransomware-Angriffe nutzen weiterhin Fernzugriffsdienste aus, um Zugang zu erhalten, Seitwärtsbewegungen durchzuführen und sensible Daten für die Exfiltration zu erkennen – all das bevor die Daten verschlüsselt und Lösegeldforderungen gestellt werden.

                                      Hat es ein Angreifer erst einmal hinein geschafft, besteht sein nächster Schritt in der Regel darin, verschiedene Möglichkeiten zu finden, sich seitwärts durch Ihr Netzwerk oder Ihre Cloud-Ressourcen zu bewegen, seine Zugriffsrechte auszuweiten, um an die wertvollsten Informationen zu kommen, und dabei so lange wie möglich unentdeckt zu bleiben. Um dieses Verhalten zu verhindern, müssen Zero-Trust-Prinzipien eingeführt werden, die bei der Anwendung auf die Sicherheits- und Netzwerkarchitektur eine erneute Bestätigung der Identität erfordern, wenn Benutzer innerhalb von Netzwerken oder Anwendungen von einem Bereich in einen anderen wechseln.


                                      Berichte: Netskope Threat Labs-Berichte


                                       

                                      Phase 3: Durchführung des Angriffs (Delivery)

                                      Nachdem ein Hacker nun Zugriff auf Ihre Systeme erhalten hat, hat er die Freiheit, die Schadsoftware seiner Wahl (Malware, Ransomware, Spyware usw.) in die Systeme einzuschleusen. Sie richten Programme für alle Arten von Angriffen ein, die sofort, zeitverzögert oder durch eine bestimmte Aktion ausgelöst (Logikbombe) erfolgen können. Manchmal sind diese Angriffe eine einmalige Sache und manchmal stellen Hacker eine Remote-Verbindung zu Ihrem Netzwerk her, die ständig überwacht und gesteuert wird.

                                      Malware-Erkennung mit Next Gen SWGs, die den Web- und Cloud-Datenverkehr entschlüsseln und überprüfen, ist eine Schlüsselkomponente, um die Übertragung dieser Art von Schadsoftware zu verhindern. Angriffe werden immer häufiger über die Cloud übertragen: 68 % der Malware über die Cloud statt über das Web eingeschleust. Inline-Bedrohungsscandienste für Web- und Cloud-Datenverkehr sowie die Berücksichtigung des Status aller Endgeräte sind entscheidend, um sicherzustellen, dass Ihr Unternehmen nicht mit bösartiger Software infiziert wird.

                                       

                                      Phase 4: Aufspüren von Sicherheitslücken (Exploit)

                                      Sobald die vorgesehene Schadsoftware eingeschleust ist, beginnt die Ausnutzung eines Systems, je nach der Art des Angriffs. Wie bereits erwähnt, erfolgen einige Angriffe zeitverzögert und andere hängen von einer bestimmten Aktion des Ziels ab, was als Logikbombe bezeichnet wird. Diese Programme enthalten manchmal Verschleierungsfunktionen, die ihre Aktivität und Herkunft verbergen und so eine Entdeckung verhindern.

                                      Sobald das ausführbare Programm ausgelöst wurde, kann der Hacker den Angriff wie geplant starten, was uns zu den nächsten Phasen führt und verschiedene Arten von Ausnutzungen umfasst.

                                       

                                      Phase 5: Installation (Install)

                                      Wenn ein Hacker die Gelegenheit für zukünftige Angriffe sieht, besteht sein nächster Schritt darin, eine Backdoor für den konstanten Zugriff auf die Systeme des Ziels zu installieren. Dadurch kann er im Netzwerk des Ziels ein- und ausgehen, und zwar ohne das Risiko, beim Wiedereintritt über andere Angriffsvektoren entdeckt zu werden. Solche Backdoors können durch Rootkits und schwache Zugangsdaten eingerichtet werden, und solange ihr Verhalten vor einem Sicherheitsteam keine Warnsignale abgibt (wie ungewöhnliche Anmeldezeiten oder große Datenbewegungen), kann dieses Eindringen schwer zu erkennen sein. Die SASE-Architektur kombiniert zahlreiche Sicherheitsvorkehrungen, um umfangreiche Metadaten über Benutzer, Geräte, Anwendungen, Daten, Aktivitäten und andere Attribute zu erfassen und so Untersuchen zu unterstützen und Anomalien zu erkennen.

                                       

                                      Phase 6: Fernsteuerung (Callback)

                                      Nachdem die Programme und Backdoors installiert sind, übernimmt der Angreifer die Kontrolle über die Systeme und führt den geplanten Angriff aus. Alle hier durchgeführten Aktionen dienen ausschließlich der Aufrechterhaltung der Kontrolle über die Situation in Bezug auf das Ziel. Diese Aktionen können in der Zukunft eine Vielzahl von Formen annehmen, zum Beispiel das Einschleusen von Ransomware, Spyware oder anderen Mittel zum Exfiltrieren von Daten.

                                      Wenn Sie erst einmal von einem Eindringling und einer Exfiltration erfahren, ist es leider meist zu spät – Hacker haben die Kontrolle über Ihr System übernommen. Deshalb ist es wichtig, über Sicherheitsmaßnahmen zu verfügen, die die Datenbewegungen auf verdächtige Aktivitäten überwachen und bewerten. Ein Computer erkennt und verhindert bösartiges Verhalten weitaus schneller als jeder Netzwerkadministrator.


                                      Weißbuch: Datenschutz durch maschinelles Lernen


                                       

                                      Phase 7: Zielerreichung (Persist)

                                      All das hat hierzu geführt. Dies ist die Phase der kontinuierlichen Ausführung, in der ein Angreifer gegen sein Ziel vorgeht und dessen Daten gegen Lösegeld verschlüsselt, die Daten exfiltriert, um Gewinn aus ihnen zu schlagen, das Netzwerk über einen Denial-of-Service-Angriff zum Erliegen bringt oder das Systemverhalten auf andere Öffnungen über Spyware überwachen kann, um nur einige mögliche Ergebnisse zu nennen. In dieser letzten Phase der Kill Chain betreiben Angreifer häufig auch Spionage und Überwachung, während sie sich zurückhalten und ihre Aktivitäten fortsetzen.

                                      Hier ist die Überwachung der Datenbewegungen in Echtzeit und die Erkennung verdächtigen Verhaltens von entscheidender Bedeutung, weil Angreifer so schnell wie möglich handeln, um ihre Ziele zu erreichen. Sie haben nie genug Zeit, um auf jede mögliche Anomalie innerhalb einer großen Unternehmensstruktur zu reagieren, also muss Ihre Rolle in der Prävention proaktiv statt reaktiv sein.

                                      Umsetzen der Phasen der Cybersecurity-Kill-Chain in der Praxis Link Link

                                      Sie sollten jetzt ein rudimentäres Verständnis der üblichen Kill-Chain-Phasen haben, mit denen Ihr Unternehmen konfrontiert ist. Es liegt an Ihnen, die Lücken in Ihrer Sicherheitsstrategie zu schließen. Obwohl diese Phasen ursprünglich mit Blick auf die traditionelle, perimeterbasierte Sicherheit entwickelt wurden, werden viele davon auch von Insiderangreifern verwendet. Hier kommen Techniken wie Rechteausweitung, Schulter-Surfen, SQL-Injections und viele andere zum Einsatz.

                                      Es gibt alle möglichen Gründe für Angriffe, etwa finanzielle und politische – aber auch nur zum Spaß und zur Anerkennung. Wenn Sie verstehen, welche Motivationen ein Angreifer haben könnte, der Ihr Unternehmen ins Visier nimmt, können Sie Maßnahmen gegen potenzielle Angriffsvektoren planen.

                                      Bei der Entwicklung Ihrer Verteidigungsstrategien ist es wichtig, alle möglichen Schwachstellen zu berücksichtigen, von Ihrem Netzwerk bis zur Cloud. Die gute Nachricht ist, dass Netskope ideal positioniert ist, um alle Arten von Insider- und Outsider-Bedrohungen für Ihre Benutzer, Anwendungen, Daten und Ihre Cloud-Infrastruktur zu bekämpfen. Erfahren Sie mehr darüber, wie Netskope Ihnen helfen kann, Datenverlust zu verhindern und anomale Bewegungen von Cloud-Daten zu überwachen.