Bedrohungsmodellierung Praxis Flashcards
Welche Angreifertypen gibt es und welche Gefahr geht von ihnen aus?
- Skript-Kiddies => geringe Gefahr, geringe Ressourcen
- Hacktivists => mittlere Gefahr, mittlere Ressourcen
- eCrime => hohe Gefahr, viele Ressourcen
- Nation State Actors => hohe Gefahr, viele Ressourcen
Welche Themenbereiche der IT-Security gibt es?
- IT Governance, Risk & Compliance
- Industrial Security
- Cloud Security
- IoT Security
- Cyber Defense
- Identity & Access Management
- Infrastructure Security
- Workplace Security
Was sind die sieben Schichten des OSI-Referenzmodells und welche Arten von Angriffen lassen sich ihnen jeweils zuordnen?
- Physical Layer/Binary Transmission => Sniffing
- Data Link Layer/Physical Addressing => MAC Spoofing
- Network Layer/Path Determination and Logical Addressing => Man-In-the-Middle-Attacken, IP Sniffing
- Transport Layer => DoS/dDoS Attacken, Port Sniffing
- Session Layer/Interhost Communication => Hijacking, FTP Sniffing
- Presentation Layer => Phishing
- Application Layer => Exploits, Passwort Sniffing
Welches sind die drei Zonen des drei Zonen Konzepts?
- External Access Zone: user-facing App und Web Services
- Internal Zone: Intranet, WAN, interne Netzwerke
- Internal Access Zone: Admin DMZ, DB DMZ, Backend DMZ
Wie lässt sich die External Access Zone schützen?
Mit Hilfe einer Web Application Firewall / WAF, die hinter der Perimeter Firewall geschaltet ist => für jede App einzeln festzulegen
Wie lässt sich die Internal Zone schützen?
- Mit Hilfe eines Web-Proxys, der sich hinter der internen Firewall befindet
- Mit Hilfe von APT Detection, die bekannte Angreifer identifiziert
- Mit Hilfe von SIEM, das die Events in der Internal Zone überwacht
Wie lässt sich die Internal Access Zone schützen?
- Email-Sandboxes und Antivirus
- Zentralisiertes Log-Management
- Vulnerability Management
Was sind die Bestandteile eines UTM und wann kommt es zum Einsatz?
UTM steht für Unified Thread Management.
Es kommt vor allem in kleinen Firmen zum Einsatz, die sich keine individuellen Security-Lösungen leisten können oder wollen.
Es besteht aus Firewalls, Proxies und E-Mail-Security
Was sind nach NIST die kennzeichnenden Merkmale von Cloud Computing?
- Ressourcen: Provisionierung von Ressourcen
- Pooling: Globale Ausbreitung der Cloud Speicher, Fehlende Visibilität
- Universaler Netzwerkzugriff: PC, Tablet, mobiles Endgerät
- Pay as you go: Spontane Up- & Downgrades im Pay Plan möglich
- Elastizität: Kurze Vertragslaufzeiten, Bereitstellung und Wiederfreigabe von Ressourcen
Was kennzeichnet das SIEM (Security Incident and Event Management)?
- Zentralisiert verteilte Event Logs von Firewalls, Proxy, Cloud, Endpoint, E-Mail und Sandbox
- Chronologische Auflistung aller eingepflegten Logs
- Verwendung von Use Cases, um allgemeine oder systemspezifische Angriffsmuster abzubilden
Vorteile:
- Angriffe können schneller identifiziert werden und ihre Schwere eingeschätzt werden
- Weniger Verwaltungsaufwand von Logs
- Aufbau einer Wissensdatenbank, um sich zukünftig besser zu schützen
Was bedeutet der Satz “Der Endpoint ist der neue Perimeter”?
Was bedeutet Zero Trust und in welchem Kontext steht es zur Cloud?
Da eine Cloud aus vielschichtigen, verteilten Systemen besteht, auf die ebenfalls nicht mehr von einem zentralen Rechnernetzwerk, sondern von verteilten Endpoints zugegriffen wird, ist es nicht mehr möglich, einzelne Anfragen aufgrund ihrer Herkunft als sicher einzustufen.
Zero Trust bezeichnet in dem Kontext die Annahme, dass kein Endpoint grundsätzlich als vertrauenswürdig gilt, bis sich dieser möglichst sicher identifiziert.
Was ist die Aufgabe eines Security Operation Center (SOC)?
- Bestimmt die Ausrichtung der Schutzmaßnahmen
- Ermittelt Schutzbedarf als Überlappung von Angriffstypen und eigener Angriffsfläche
- Erkennt ungeschützte Bereiche
- Strukturiert eingehende Daten aus verschiedenen Bereichen und bereitet sie auf, um Wissen zu generieren
Was ist ein Managed Security Service und wo findet ein solches Modell Anwendung?
Was ist die Cyber Kill Chain?
Ein sequenzielles und oberflächliches Modell der Angriffskette bei einer Cyberattacke. Sie beschreibt die einzelnen Schritte eher aus Verteidigersicht und gibt Hinweise zu Schutzmöglichkeiten und Präventionsmaßnahmen für jeden einzelnen Schritt.
Ein Angreifer muss dabei alle Schritte durchlaufen, um einen erfolgreichen Angriff zu erreichen, der Verteidiger ist dagegen bereits erfolgreich, wenn er den Angriff während einem der Schritte unterbinden kann.
