Certified Security Operations Center GmbH

Active Directory

Active Directory bezeichnet den von Microsoft eingeführten Verzeichnisdienst zur Verwaltung von Windows-Systemen, der seit der Einführung von Windows 2000 genutzt wird. Dort werden Informationen zu Geräten im Netzwerk und deren Einstellungen hierarchisch aufgebaut verwaltet und können zentral geändert werden. Diese zentrale Verwaltung wird auf einem Windows-Server durchgeführt, der nach der Installation von Active Directory manuell als Domänen-Controller deklariert wurde.

Active Response

Active Response beschreibt das Analysieren von Informationen und Ereignissen in einem System und die Reaktion auf verdächtige Aktivitäten in Echtzeit. Wird dabei beispielsweise eine verdächtige IP-Adresse identifiziert, wird diese umgehend blockiert, um Zugriff auf den Server von dieser IP-Adresse aus zu verhindern. Dieses proaktive Vorgehen ermöglicht es, zeitnah auf Bedrohungen zu reagieren und so potenzielle Schäden zu minimieren.

APT-Angreifer (Advanced Persistent Threat)

Ein Advances-Persistant-Threat, auf Deutsch fortgeschrittene und andauernde Bedrohung, bezeichnet eine Angriffsform, die sich durch besonders komplexe und zielgerichtete Methoden auszeichnet. Im Gegensatz zu einem herkömmlichen Cyberangriff, bei dem meist eine einzige Angriffsart gewählt wird und eine große Zahl an potenziellen und oft zufälligen Opfern bedroht ist, haben es APT-Angreifer gezielt auf Kritische Infrastrukturen, namhafte Großunternehmen und deren Zulieferer sowie vertrauliche Daten von Behörden abgesehen. Diese werden zwecks Spionage oder Sabotage über einen längeren Zeitraum hinweg und mithilfe diverser Angriffsformen bedroht. Mitunter dienen die angegriffenen Unternehmen auch ausschließlich als Multiplikator, um von deren Systeme aus an „größere Fische“ heranzukommen.

ARP-Spoofing

ARP-Spoofing, oder auch ARP Request Poisoning, bezeichnet eine Art des Man-in-the-Middle-Angriffs, der innerhalb eines lokalen Netzwerks erfolgt. Angreifer senden dabei gefälschte ARP-Pakete, welche die ARP-Tabellen so manipulieren, dass ein Abhören oder Abfangen des Datenverkehrs möglich ist.

Backdoor

Als Backdoor bezeichnet man einen gewollt oder ungewollt implementierten alternativen Zugang, also eine Hintertür, zu einer Hard- oder Software. Ein Backdoor erlaubt das Umgehen von Sicherheitsmechanismen, die das System vor unerlaubtem Zugriff schützen sollen. Oft werden Backdoors unbemerkt von einem Trojaner installiert, so dass Angreifer das Zielsystem unbemerkt durch die Hintertür betreten und ausspionieren können. Aber auch manche Hersteller nutzen sie beispielsweise, um Zugriff auf ein Gerät für Reparaturzwecke zu bekommen oder um verlorene Passwörter zurückzusetzen.

CVE

CVE ist die Kurzform des amerikanischen Standards „Common Vulnerabilities and Exposures“, der das Ziel verfolgt, Schwachstellen und Sicherheitsrisiken von IT-Systemen eindeutig zu benennen und öffentlich zugänglich aufzulisten. Dabei wird zwischen Sicherheitslücken, Schwachstellen und Exposures unterschieden. Hersteller und Netzwerk-Administratoren sollen so einen möglichst schnellen und aktuellen Zugriff auf Informationen zu Sicherheitsrisiken bekommen und sich eindeutiger darüber austauschen können, da Mehrfachbenennung derselben Gefahren durch verschiedene Unternehmen und Institutionen vermieden wird.

Exploit

Ein Exploit ist ein ausführbarer Programmcode, der Cyberkriminellen als Angriffswerkzeug dient und es ihnen ermöglicht, Schwachstellen im Zielsystem aufzudecken und diese als Einfallstor zu nutzen. Vielversprechend ist vor allem das „Zero-Day Exploit“, das explizit Schwachstellen ausnutzt, für die noch kein Sicherheitsupdate verfügbar ist. Auf legale Weise kann ein Exploit jedoch auch dem Schutz eines Systems dienen, wenn mit seiner Hilfe Sicherheitslücken dokumentiert und beseitigt oder das System auf bereits bekannte Schwachstellen geprüft wird.

False Positive

Der Begriff False Positive beschreibt eine fehlerhafte Vorhersage, bei der eine positive Reaktion angezeigt wird, obwohl das getestete Ereignis tatsächlich negativ war. Ein False Positive liegt beispielsweise vor, wenn eine legitime E-Mail als Spam einstuft wird und dadurch wichtige Informationen übersehen werden oder verloren gehen, oder wenn ein SzA ein Ereignis als möglichen Angriff meldet, der keiner ist. Aus diesem Grund ist die manuelle Prüfung durch einen menschlichen Experten von hoher Bedeutung für die endgültige Einstufung eines Ereignisses.

FIN Flood

FIN Flooding ist eine Angriffsmethode, die darauf abzielt, das Zielsystem zu überlasten und so ein Eindringen durch den Angreifer zu erleichtern. Der Angreifer sendet dabei FIN-Pakete an einen Computer oder Netzwerk, wodurch er in kurzen Abständen viele Verbindungen zu diesem öffnen und sofort wieder schließen kann. Die Ressourcen des Zielsystems werden so für die Verwaltung dieser Verbindungen benötigt. Das Resultat ist oftmals eine Überlastung und eine Störung der ordnungsgemäßen Funktion.

Hashes

Ein Hash ist eine Methode in der Informationstechnik, mit deren Hilfe eine beliebig große Datenmenge in eine kurze kryptografische Einheit verwandelt werden kann. Dabei wird jedem Datensatz ein eindeutiger Hash-Wert zugewiesen, eine minimale Änderung an den Ausgangsdaten würde in einen gänzlich neuen Hash-Wert übersetzt werden. Dadurch lässt sich mithilfe von Hashes die Integrität von Daten prüfen. Zudem ist der Hash eine Einbahnstraße, das heißt aus dem Hash-Wert lassen sich die ursprünglichen Daten nicht rekonstruieren, was insbesondere für die Passwortsicherheit von Bedeutung ist.

Honeypot

Ein Honeypot ist eine Sicherheitsmaßnahme, bei der ein absichtlich verwundbares System oder Netzwerk eingerichtet wird, um Angreifer anzulocken und deren Aktivitäten zu überwachen. Er dient dazu, Informationen über Angriffsmethoden zu sammeln und die Sicherheitsstrategien zu verbessern. Ein Honeypot kann sowohl physisch als auch virtuell sein und unterschiedliche Dienste oder Betriebssysteme simulieren, abhängig von der Art der Angreifer, die er anlocken soll. Die Hauptziele eines Honeypots sind die Überwachung und Analyse von Angriffen, die Ablenkung von echten Systemen sowie die Forschung und Weiterentwicklung von Sicherheitslösungen.

HSTS

Die Abkürzung HSTS steht für „HTTP Strict Transport Security“ und bezeichnet einen Sicherheitsmechanismus, der einen Browser darüber informiert, dass eine Webseite ausschließlich über eine sichere HTTPS-Verbindung geöffnet werden soll. Auf diese Weise werden Webseiten von Beginn der Verbindung an mit einer HTTPS-Verschlüsselung geöffnet, anstatt eine Weiterleitung einer ungesicherten auf die sichere Verbindung vorzuschalten, was einem Man-in-the-Middle-Angriff während der Weiterleitung vorbeugt.

Incident Management

Das Incident Management ist ein Prozess, mit dem Unternehmen auf unerwartete Ereignisse oder Störungen in ihren IT- oder OT-Systemen reagieren. Das Ziel ist es, Vorfälle schnell zu identifizieren, zu analysieren und zu beheben, um den normalen Betrieb wiederherzustellen und negative Auswirkungen auf das Tagesgeschäft zu minimieren. Ein Security Operations Center kann eine entscheidende Rolle beim Incident Management spielen, denn sobald ein Vorfall erkannt wird, initiiert das SOC sofortige Maßnahmen zur Untersuchung und Eindämmung der Bedrohung, sodass Vorfälle schnell und effizient behandelt werden, bevor sie größeren Schaden anrichten können.

Intrusion Detection Systems (IDS) & Intrusion Prevention Systems (IPS)

IDS und IPS sind Sicherheitsmechanismen, die verdächtige Aktivitäten erkennen können und jeweils unterschiedlich auf diese reagieren. Das Intrusion DETECTION System (IDS) überwacht Netzwerkaktivitäten und meldet verdächtige Ereignisse, damit entsprechende Maßnahmen ergriffen werden können. Das Intrusion PREVENTION System (IPS) dagegen erkennt eine Bedrohung nicht nur, sondern leitet auch selber aktiv Gegenmaßnahmen ein. Beide Mechanismen dienen also der Abwehr von Cyberangriffen, dabei hat das IDS eine berichtende Funktion, das IPS eine aktiv eingreifende.

Phishing

Phishing ist eine Form des Cyberbetrugs, bei der Angreifer versuchen, an sensible Informationen wie Passwörter, Kreditkartennummern oder Identifikationsnummern zu gelangen, indem sie sich als vertrauenswürdige Institution oder Person ausgeben. Dies geschieht häufig über gefälschte E-Mails, Websites oder Nachrichten, die legitime Quellen nachahmen, um die Opfer zur Preisgabe ihrer Daten zu bewegen. Um solche Angriffe zu erkennen, sollte man die Absenderadressen überprüfen, bei dringenden Handlungsaufforderungen misstrauisch sein, auf Rechtschreibfehler achten und Links vor dem Anklicken sorgfältig prüfen.

Public Key Pinning Extension for HTTP (HPKP)

HTTP Public Key Pinning, kurz HPKP, schränkt die Auswahl an Zertifikaten ein, die für den Zugriff auf eine Domain benötigt werden. Dabei wird mithilfe des HTTP Header Public-Key-Pins eine Liste mit temporär gültigen Zertifikaten definiert. Der Webbrowser speichert diese Liste und verifiziert künftig das Zertifikat eines Nutzers bei jedem Zugriff. Auf diese Weise dient HPKP der Absicherung eines HTTPS-Protokolls gegen Man-in-the-Middle-Angriffe mit gefälschten Zertifikaten.

Sandboxing

Sandboxing ist eine Sicherheitsmethode, bei der Anwendungen oder Prozesse in einer isolierten Umgebung ausgeführt werden. Die Sandbox dient als kontrollierte Testumgebung, die verhindert, dass potenziell schädliche Software das Hauptsystem oder andere Anwendungen beeinträchtigt. Durch die Isolation wird das Risiko minimiert, dass Malware oder andere schädliche Aktivitäten das System kompromittieren. Das Sandboxing bietet eine essenzielle Schutzschicht, indem es eine sichere Ausführungsumgebung für potenziell riskante Software bereitstellt. Diese Methode ermöglicht es, verdächtige Dateien oder Programme sicher zu analysieren, zu testen während zugleich die Integrität und Sicherheit des gesamten Systems erhalten bleibt.

Spyware as a Service

Der Begriff bezieht sich auf eine Art der beauftragten Spionage mittels Spyware, die legal oder illegal erfolgen kann. Beispielsweise kann ein Unternehmen die Dienstleistung in Anspruch nehmen, um Lücken im eigenen System aufzudecken. Ebenso können Hacker, die Spyware-as-a-Service anbieten, im Auftrag Firmenkonten hacken, um für den Auftraggeber Daten und Informationen zu stehlen, die dieser anschließend für persönliche oder kriminelle Zwecke nutzen kann.

SQL

SQL (Structured Query Language), oder auf Deutsch „strukturierte Abfragesprache“, ist die Sprache zur Verwaltung von Datenbanken. Mit SQL werden Daten in einer Datenbank abgefragt, aktualisiert, verändert und gelöscht. SQL steht im Hintergrund vieler Anwendungen, z. B. von kleinen Webseiten, großen Projekten, bis hin zu vielen Social Media Plattformen. SQL wird verwendet, um riesige Mengen an Daten effizient zu verwalten sowie Daten zugänglich und strukturiert zu halten. Damit wird sichergestellt, dass die Anwender Webseiten reibungslos nutzen können. SQL hilft, die Daten zugänglich und strukturiert zu halten.

SQL Injection

Die SQL Injection (kurz SQLi) ist die Ausnutzung von Sicherheitslücken in Webanwendungen, bei der Angreifer einen schädlichen SQL- Code in Formulare oder URLs einschleusen. Dadurch können sie widerrechtlich auf Datenbanken zugreifen, Daten manipulieren oder löschen. Dafür werden Schwachstellen in der Eingabeverarbeitung ausgenutzt und bösartiger Code kann direkt in die Datenbankabfragen eingefügt werden. SQL-Injection-Schwachstellen sind eine der ältesten und einer weitverbreitetsten Arten von Cyberangriffen. 

SSL (Secure Socket Layer)

Die SSL-Verschlüsselung ist eine grundlegende Maßnahme zum Schutz sensibler Informationen bei der Kommunikation eines Webbrowsers mit einem Server. Sichtbar ist sie durch ein Schlosssymbol in der Adresszeile des Browsers sowie ein „https“ zu Beginn einer URL. Stellt ein Benutzer eine Verbindung zu solch einer verschlüsselten Website her, wird die Identität des Servers überprüft und der Datenverkehr zwischen dem Browser des Benutzers und dem angesteuerten Server wird verschlüsselt. Auf diese Weise können vertrauliche Informationen wie Passwörter, Kreditkartennummern und persönliche Daten nicht von Dritten abgefangen oder manipuliert werden.

Threat Hunting

Threat Hunting ist eine proaktive Sicherheitspraxis, bei der Security Teams aktiv nach Anzeichen von Bedrohungen suchen, die möglicherweise in Netzwerken vorhanden sind. Statt auf Alarme zu warten, durchsuchen sie aktiv nach Hinweisen auf potenzielle Angriffe, um diese frühzeitig zu erkennen und darauf zu reagieren.

Use Case

Ein Use Case, oder auf Deutsch Anwendungsfall, dokumentiert die sichtbare Aktion zwischen einem System und einem Nutzer (Akteur), der mit dem System ein definiertes Ziel erreichen möchte. Der Use Case beinhaltet dabei alle Aktionen, die nötig sind, um ein bestimmtes Ziel zu erreichen. In der Regel kann ein System mehrere Use Cases ausführen, welche im Vorfeld klar definiert sein sollten, um dem Nutzer bestmöglich ans Ziel zu bringen. Bei der Projektarbeit sind Use Cases daher unabdingbar, da sie einen Überblick über alle möglichen Szenarien schaffen und die einzelnen Schritte definieren.

WLAN-Sniffing

Der Begriff Sniffing bezeichnet im Allgemeinen das Ausspionieren von Online-Datenverkehr in Echtzeit. WLAN-Sniffings stellt dabei eine spezielle Sniffing-Variante dar, bei der ein Sniffing-Programm explizit WLAN-Netze in der näheren Umgebung aufspürt und diese abhört. Auch das Abfangen von Informationen ist so möglich, so dass WLAN-Sniffing eine für Angreifer recht unkomplizierte Form des Datendiebstahls darstellt.

error: