Certified Security Operations Center GmbH

Active Directory

Active Directory bezeichnet den von Microsoft eingeführten Verzeichnisdienst zur Verwaltung von Windows-Systemen, der seit der Einführung von Windows 2000 genutzt wird. Dort werden Informationen zu Geräten im Netzwerk und deren Einstellungen hierarchisch aufgebaut verwaltet und können zentral geändert werden. Diese zentrale Verwaltung wird auf einem Windows-Server durchgeführt, der nach der Installation von Active Directory manuell als Domänen-Controller deklariert wurde.

Active Response

Active Response beschreibt das Analysieren von Informationen und Ereignissen in einem System und die Reaktion auf verdächtige Aktivitäten in Echtzeit. Wird dabei beispielsweise eine verdächtige IP-Adresse identifiziert, wird diese umgehend blockiert, um Zugriff auf den Server von dieser IP-Adresse aus zu verhindern. Dieses proaktive Vorgehen ermöglicht es, zeitnah auf Bedrohungen zu reagieren und so potenzielle Schäden zu minimieren.

APT-Angreifer (Advanced Persistent Threat)

Ein Advances-Persistant-Threat, auf Deutsch fortgeschrittene und andauernde Bedrohung, bezeichnet eine Angriffsform, die sich durch besonders komplexe und zielgerichtete Methoden auszeichnet. Im Gegensatz zu einem herkömmlichen Cyberangriff, bei dem meist eine einzige Angriffsart gewählt wird und eine große Zahl an potenziellen und oft zufälligen Opfern bedroht ist, haben es APT-Angreifer gezielt auf Kritische Infrastrukturen, namhafte Großunternehmen und deren Zulieferer sowie vertrauliche Daten von Behörden abgesehen. Diese werden zwecks Spionage oder Sabotage über einen längeren Zeitraum hinweg und mithilfe diverser Angriffsformen bedroht. Mitunter dienen die angegriffenen Unternehmen auch ausschließlich als Multiplikator, um von deren Systeme aus an „größere Fische“ heranzukommen.

ARP-Spoofing

ARP-Spoofing, oder auch ARP Request Poisoning, bezeichnet eine Art des Man-in-the-Middle-Angriffs, der innerhalb eines lokalen Netzwerks erfolgt. Angreifer senden dabei gefälschte ARP-Pakete, welche die ARP-Tabellen so manipulieren, dass ein Abhören oder Abfangen des Datenverkehrs möglich ist.

Backdoor

Als Backdoor bezeichnet man einen gewollt oder ungewollt implementierten alternativen Zugang, also eine Hintertür, zu einer Hard- oder Software. Ein Backdoor erlaubt das Umgehen von Sicherheitsmechanismen, die das System vor unerlaubtem Zugriff schützen sollen. Oft werden Backdoors unbemerkt von einem Trojaner installiert, so dass Angreifer das Zielsystem unbemerkt durch die Hintertür betreten und ausspionieren können. Aber auch manche Hersteller nutzen sie beispielsweise, um Zugriff auf ein Gerät für Reparaturzwecke zu bekommen oder um verlorene Passwörter zurückzusetzen.

CVE

CVE ist die Kurzform des amerikanischen Standards „Common Vulnerabilities and Exposures“, der das Ziel verfolgt, Schwachstellen und Sicherheitsrisiken von IT-Systemen eindeutig zu benennen und öffentlich zugänglich aufzulisten. Dabei wird zwischen Sicherheitslücken, Schwachstellen und Exposures unterschieden. Hersteller und Netzwerk-Administratoren sollen so einen möglichst schnellen und aktuellen Zugriff auf Informationen zu Sicherheitsrisiken bekommen und sich eindeutiger darüber austauschen können, da Mehrfachbenennung derselben Gefahren durch verschiedene Unternehmen und Institutionen vermieden wird.

Exploit

Ein Exploit ist ein ausführbarer Programmcode, der Cyberkriminellen als Angriffswerkzeug dient und es ihnen ermöglicht, Schwachstellen im Zielsystem aufzudecken und diese als Einfallstor zu nutzen. Vielversprechend ist vor allem das „Zero-Day Exploit“, das explizit Schwachstellen ausnutzt, für die noch kein Sicherheitsupdate verfügbar ist. Auf legale Weise kann ein Exploit jedoch auch dem Schutz eines Systems dienen, wenn mit seiner Hilfe Sicherheitslücken dokumentiert und beseitigt oder das System auf bereits bekannte Schwachstellen geprüft wird.

False Positive

Der Begriff False Positive beschreibt eine fehlerhafte Vorhersage, bei der eine positive Reaktion angezeigt wird, obwohl das getestete Ereignis tatsächlich negativ war. Ein False Positive liegt beispielsweise vor, wenn eine legitime E-Mail als Spam einstuft wird und dadurch wichtige Informationen übersehen werden oder verloren gehen, oder wenn ein SzA ein Ereignis als möglichen Angriff meldet, der keiner ist. Aus diesem Grund ist die manuelle Prüfung durch einen menschlichen Experten von hoher Bedeutung für die endgültige Einstufung eines Ereignisses.

FIN Flood

FIN Flooding ist eine Angriffsmethode, die darauf abzielt, das Zielsystem zu überlasten und so ein Eindringen durch den Angreifer zu erleichtern. Der Angreifer sendet dabei FIN-Pakete an einen Computer oder Netzwerk, wodurch er in kurzen Abständen viele Verbindungen zu diesem öffnen und sofort wieder schließen kann. Die Ressourcen des Zielsystems werden so für die Verwaltung dieser Verbindungen benötigt. Das Resultat ist oftmals eine Überlastung und eine Störung der ordnungsgemäßen Funktion.

Hashes

Ein Hash ist eine Methode in der Informationstechnik, mit deren Hilfe eine beliebig große Datenmenge in eine kurze kryptografische Einheit verwandelt werden kann. Dabei wird jedem Datensatz ein eindeutiger Hash-Wert zugewiesen, eine minimale Änderung an den Ausgangsdaten würde in einen gänzlich neuen Hash-Wert übersetzt werden. Dadurch lässt sich mithilfe von Hashes die Integrität von Daten prüfen. Zudem ist der Hash eine Einbahnstraße, das heißt aus dem Hash-Wert lassen sich die ursprünglichen Daten nicht rekonstruieren, was insbesondere für die Passwortsicherheit von Bedeutung ist.

HSTS

Die Abkürzung HSTS steht für „HTTP Strict Transport Security“ und bezeichnet einen Sicherheitsmechanismus, der einen Browser darüber informiert, dass eine Webseite ausschließlich über eine sichere HTTPS-Verbindung geöffnet werden soll. Auf diese Weise werden Webseiten von Beginn der Verbindung an mit einer HTTPS-Verschlüsselung geöffnet, anstatt eine Weiterleitung einer ungesicherten auf die sichere Verbindung vorzuschalten, was einem Man-in-the-Middle-Angriff während der Weiterleitung vorbeugt.

Intrusion Detection Systems (IDS) & Intrusion Prevention Systems (IPS)

IDS und IPS sind Sicherheitsmechanismen, die verdächtige Aktivitäten erkennen können und jeweils unterschiedlich auf diese reagieren. Das Intrusion DETECTION System (IDS) überwacht Netzwerkaktivitäten und meldet verdächtige Ereignisse, damit entsprechende Maßnahmen ergriffen werden können. Das Intrusion PREVENTION System (IPS) dagegen erkennt eine Bedrohung nicht nur, sondern leitet auch selber aktiv Gegenmaßnahmen ein. Beide Mechanismen dienen also der Abwehr von Cyberangriffen, dabei hat das IDS eine berichtende Funktion, das IPS eine aktiv eingreifende.

Public Key Pinning Extension for HTTP (HPKP)

HTTP Public Key Pinning, kurz HPKP, schränkt die Auswahl an Zertifikaten ein, die für den Zugriff auf eine Domain benötigt werden. Dabei wird mithilfe des HTTP Header Public-Key-Pins eine Liste mit temporär gültigen Zertifikaten definiert. Der Webbrowser speichert diese Liste und verifiziert künftig das Zertifikat eines Nutzers bei jedem Zugriff. Auf diese Weise dient HPKP der Absicherung eines HTTPS-Protokolls gegen Man-in-the-Middle-Angriffe mit gefälschten Zertifikaten.

Spyware as a Service

Der Begriff bezieht sich auf eine Art der beauftragten Spionage mittels Spyware, die legal oder illegal erfolgen kann. Beispielsweise kann ein Unternehmen die Dienstleistung in Anspruch nehmen, um Lücken im eigenen System aufzudecken. Ebenso können Hacker, die Spyware-as-a-Service anbieten, im Auftrag Firmenkonten hacken, um für den Auftraggeber Daten und Informationen zu stehlen, die dieser anschließend für persönliche oder kriminelle Zwecke nutzen kann.

SQL

SQL (Structured Query Language), oder auf Deutsch „strukturierte Abfragesprache“, ist die Sprache zur Verwaltung von Datenbanken. Mit SQL werden Daten in einer Datenbank abgefragt, aktualisiert, verändert und gelöscht. SQL steht im Hintergrund vieler Anwendungen, z. B. von kleinen Webseiten, großen Projekten, bis hin zu vielen Social Media Plattformen. SQL wird verwendet, um riesige Mengen an Daten effizient zu verwalten sowie Daten zugänglich und strukturiert zu halten. Damit wird sichergestellt, dass die Anwender Webseiten reibungslos nutzen können. SQL hilft, die Daten zugänglich und strukturiert zu halten.

SSL (Secure Socket Layer)

Die SSL-Verschlüsselung ist eine grundlegende Maßnahme zum Schutz sensibler Informationen bei der Kommunikation eines Webbrowsers mit einem Server. Sichtbar ist sie durch ein Schlosssymbol in der Adresszeile des Browsers sowie ein „https“ zu Beginn einer URL. Stellt ein Benutzer eine Verbindung zu solch einer verschlüsselten Website her, wird die Identität des Servers überprüft und der Datenverkehr zwischen dem Browser des Benutzers und dem angesteuerten Server wird verschlüsselt. Auf diese Weise können vertrauliche Informationen wie Passwörter, Kreditkartennummern und persönliche Daten nicht von Dritten abgefangen oder manipuliert werden.

Use Case

Ein Use Case, oder auf Deutsch Anwendungsfall, dokumentiert die sichtbare Aktion zwischen einem System und einem Nutzer (Akteur), der mit dem System ein definiertes Ziel erreichen möchte. Der Use Case beinhaltet dabei alle Aktionen, die nötig sind, um ein bestimmtes Ziel zu erreichen. In der Regel kann ein System mehrere Use Cases ausführen, welche im Vorfeld klar definiert sein sollten, um dem Nutzer bestmöglich ans Ziel zu bringen. Bei der Projektarbeit sind Use Cases daher unabdingbar, da sie einen Überblick über alle möglichen Szenarien schaffen und die einzelnen Schritte definieren.

WLAN-Sniffing

Der Begriff Sniffing bezeichnet im Allgemeinen das Ausspionieren von Online-Datenverkehr in Echtzeit. WLAN-Sniffings stellt dabei eine spezielle Sniffing-Variante dar, bei der ein Sniffing-Programm explizit WLAN-Netze in der näheren Umgebung aufspürt und diese abhört. Auch das Abfangen von Informationen ist so möglich, so dass WLAN-Sniffing eine für Angreifer recht unkomplizierte Form des Datendiebstahls darstellt.

error: