Trace Id is missing

Expertenprofil: Dustin Duran

Teilen
Eine Person, die vor einem Hintergrund in Blau und Weiß steht

So denken Sie wie ein Bedrohungsakteur

Mein Team kennt die Geschichte des  End-to-End-Angriffs . Wir verbinden die Punkte zwischen den einzelnen Phasen der Kill Chain eines Angriffs, um auf einen Blick die Grundursache eines Angriffs besser zu verstehen, noch während er geschieht.

Zudem kopieren wir die Techniken und die Denkweise der Angreifenden.

Bei Angriffen geht es um die Ziele und Abfolgen von Aktivitäten. Unterschiedliche Techniken werden zu sogenannten Kill Chains verknüpft, und Angreifende nutzen den für sie einträglichsten Pfad. Dies ist kein linearer Prozess. Wir nennen es „in Graphen denken“.

Bei der Verteidigung müssen wir diese Denkweise übernehmen. Wir können uns nicht darauf beschränken, in Listen zu denken, wenn wir während eines Angriffs versuchen, das ganz Puzzle zusammenzusetzen. Wir müssen auf einen Blick wissen, wo Angreifende Zugriff erhalten haben, wie sie sich bewegen, und was sie beabsichtigen.

Bei der Verteidigung werden böswillige Aktivitäten genauer identifiziert, wenn die Abfolge dieser Aktivitäten verstanden wird, statt einzelne Techniken isoliert zu betrachten.

Ein gutes Beispiel ist unsere Analyse einer aktuellen Serie von Finanzbetrugsangriffen. Wir haben beobachtet, dass die Angreifenden ein Reverseproxy-Setup eingesetzt haben, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen. Wir haben die MFA-Umgehungssignale bemerkt und die Kommunikation zu anderen Instanzen verfolgt, wo die neue Technik aufgetreten ist. Durch unsere Fähigkeit, diese Punkte zu verbinden, haben wir Erfahrung beim Credential Harvesting gesammelt und konnten daher in einer früheren Phase des Angriffs reagieren. Wir konnten also unser Verteidigung verbessern.

Wenn ich gefragt werde, was zum besseren Schutz einer Organisation unternommen werden kann, sage ich immer dasselbe: Der konsistente MFA-Einsatz ist kritisch. Dies ist eine unserer wichtigsten Empfehlungen. Eines der wichtigsten Dinge, die Unternehmen für eine bessere Verteidigung tun können, ist eine kennwortlose Umgebung zu implementieren. Damit werden alle neuen Angriffstechniken verhindert. Der richtige Einsatz von MFA macht den Angreifenden das Leben schwerer. Und falls sie Zugriff auf eine Identität oder Ihre Organisation erhalten, ist es viel komplizierter, einen Angriff zu starten.

Unterstützen Sie die Verteidigung

In den folgenden Microsoft-Ressourcen erfahren Sie mehr über Kill Chains, Kompromittierung von Business-E-Mails und die moderne Angriffsfläche.

Verwandte Artikel

Beschaffenheit einer externen Angriffsfläche

Die Welt der Cybersicherheit wird immer komplexer, da Organisationen auf die Cloud umsteigen und dezentralisiert arbeiten. Heute erstreckt sich die externe Angriffsfläche über mehrere Clouds, komplexe digitale Lieferketten und massive Ökosysteme Dritter.
Mehr erfahren

Cyber Signals Issue 4: Neue Taktiken verursachen einen Anstieg bei der Kompromittierung von Business-E-Mails

Die Kompromittierung von Geschäfts-E-Mails (Business Email Compromise, BEC) ist auf dem Vormarsch, da Cyberkriminelle die Quelle ihrer Angriffe verschleiern können, um noch heimtückischer vorzugehen. Erfahren Sie mehr über Cyberkriminalität als Service (CaaS) und wie Sie Ihr Unternehmen schützen können.
Mehr erfahren

Cyber Signals Issue 1: Identität ist das „Schlachtfeld“ unserer Zeit

Identität ist das „Schlachtfeld“ unserer Zeit. Gewinnen Sie Einblicke in die sich entwickelnden Cyberbedrohungen und erfahren Sie, welche Maßnahmen Sie ergreifen können, um Ihr Unternehmen besser zu schützen.
Mehr erfahren

Microsoft Security folgen