Die Identifizierung von Cyberbedrohungen ist zunehmend schwieriger geworden, da Organisationen ihren Cloudfußabdruck erweitert haben, mehr Geräte mit dem Internet verbunden haben und zu einem hybriden Arbeitsplatz übergegangen sind. Böswillige nutzen diese erweiterte Oberfläche und die Fragmentierung der Sicherheitstools mit den folgenden Taktiken aus:
- Phishingkampagnen. Eine der häufigsten Methoden, mit denen böswillige Akteure ein Unternehmen infiltrieren, ist das Versenden von E-Mails, die Mitarbeiter dazu verleiten, bösartigen Code herunterzuladen oder ihre Anmeldeinformationen weiterzugeben.
- Schadsoftware. Viele Cyberangreifer setzen Software ein, die darauf abzielt, Computer und Systeme zu beschädigen oder sensible Informationen zu sammeln.
- Ransomware. Bei dieser Art von Schadsoftware nehmen Ransomwareangreifer wichtige Systeme und Daten als Geiseln und drohen, private Daten freizugeben oder Cloudressourcen zu stehlen, um Bitcoin zu schürfen, bis ein Lösegeld gezahlt wird. In letzter Zeit ist von Menschenhand betriebene Ransomware, bei der sich eine Gruppe von Cyberangreifern Zugang zum gesamten Netzwerk einer Organisation verschafft, zu einem immer größeren Problem für Sicherheitsteams geworden.
- DDoS-Angriffe (Distributed Denial-of-Service). Mithilfe einer Reihe von Bots unterbrechen böswillige Akteure eine Website oder einen Dienst, indem sie mit Datenverkehr überflutet werden.
- Insiderbedrohung. Nicht alle Cyberbedrohungen stammen von außerhalb einer Organisation. Es besteht auch das Risiko, dass vertrauenswürdige Personen mit Zugang zu sensiblen Daten die Organisation versehentlich oder böswillig schädigen.
- Identitätsbasierte Angriffe. Die meisten Sicherheitsverletzungen betreffen kompromittierte Identitäten, d. h. Cyberangreifer stehlen oder erraten Anmeldeinformationen und nutzen sie, um sich Zugang zu den Systemen und Daten einer Organisation zu verschaffen.
- Internet der Dinge (IoT)-Angriffe. IoT-Geräte sind ebenfalls anfällig für Cyberangriffe, insbesondere ältere Geräte, die nicht über die eingebauten Steuerelemente verfügen, die moderne Geräte haben.
- Angriffe auf die Lieferkette. Es kommt vor, dass ein bösartiger Akteur eine Organisation angreift, indem er Software oder Hardware manipuliert, die von einem Drittanbieter bereitgestellt wird.
- Codeeinschleusung. Indem sie Schwachstellen im Umgang mit externen Daten im Quellcode ausnutzen, injizieren Cyberkriminelle bösartigen Code in eine Anwendung.
Erkennung von Bedrohungen Um den zunehmenden Cybersecurity-Angriffen einen Schritt voraus zu sein, verwenden Organisationen Bedrohungsmodelle, um Sicherheitsanforderungen zu definieren, Schwachstellen und Risiken zu identifizieren und Prioritäten für die Behebung zu setzen. Anhand hypothetischer Szenarien versucht das SOC, sich in die Gedankenwelt von Cyberkriminellen hineinzuversetzen, um die Fähigkeit der Organisation zu verbessern, Sicherheitsvorfälle zu verhindern oder zu entschärfen. Das MITRE ATTCK&CK®/Framework ist ein nützliches Modell für das Verständnis gängiger Cyberangriffstechniken und -taktiken.
Eine mehrschichtige Verteidigung erfordert Tools, die eine kontinuierliche Echtzeitüberwachung der Umgebung ermöglichen und potenzielle Sicherheitsprobleme aufdecken. Außerdem müssen sich die Lösungen überschneiden, so dass im Falle einer Beeinträchtigung einer Erkennungsmethode eine zweite das Problem erkennt und das Sicherheitsteam benachrichtigt. Lösungen zur Erkennung von Cyberbedrohungen verwenden eine Reihe von Methoden, um Bedrohungen zu identifizieren, darunter:
- Signaturbasierte Erkennung. Viele Sicherheitslösungen scannen Software und Datenverkehr, um eindeutige Signaturen zu identifizieren, die mit einer bestimmten Art von Schadsoftware in Verbindung gebracht werden.
- Verhaltensbasierte Erkennung. Um neue und aufkommende Cyberbedrohungen zu erkennen, suchen Sicherheitslösungen auch nach Aktionen und Verhaltensweisen, die bei Cyberangriffen üblich sind.
- Anomaliebasierte Erkennung. KI und Analysen helfen den Teams, das typische Verhalten von Benutzern, Geräten und Software zu verstehen, so dass sie Ungewöhnliches erkennen können, das auf eine Cyberbedrohung hinweisen könnte.
Auch wenn Software entscheidend ist, spielen Menschen eine ebenso wichtige Rolle bei der Erkennung von Cyberbedrohungen. Neben der Bearbeitung und Untersuchung von systemgenerierten Warnmeldungen setzen Analysten Techniken zur Suche nach Cyberbedrohungen ein, um proaktiv nach
Anzeichen für eine Gefährdung zu suchen, oder sie suchen nach Taktiken, Techniken und Verfahren, die auf eine potenzielle Bedrohung hindeuten. Diese Ansätze helfen dem SOC, ausgeklügelte, schwer zu entdeckende Angriffe schnell aufzudecken und zu stoppen.
Microsoft Security folgen