Mixed Flashcards
1
Q
Wie lauten die Schutzziele des CIA Prinzips?
A
Vertraulichkeit (Confidentiality)
Integrität (Integrity)
Verfügbarkeit (Availability)
2
Q
Wie lauten die Schichten des OSI - Referenzmodell?
A
- Application (Network process to app / DNS, www/HTTP, Email)
- Presentation (Data representation and encryption)
- Session (Interhost communication TCP, SIP etc.)
- Transport (End-to-end connections)
- Network (IP, ARP,IPsec)
- Data Link (Physical adressing)
- Phyiscal (Media, signal, binary transmission)
3
Q
Was ist das 3 Zone Concept der Security Architecture?
A
4
Q
Was ist die WAF?
A
WAF - Web Application Firewall
- wer kommt von extern und darf jener von extern auf meine Applikation zugreifen
- Hinter WAF liegen Public Services DMZ
- Bsp. Zugriff auf Adidas Online Store aus seltsamer IP-Range
5
Q
Was bedeutet DDoS ?
A
- Distributed Denial of Service
- Zahlreiche Anfragen über Webbrowser bis Website offline geht
6
Q
Was macht ein Web Proxy?
A
- Zugriffseinschränkung bestimmter Inet Seiten
- Leitet Anfragen vom Client an Server ohne direkte Verbindung
- Caching - Proxy Server speichert oft genutzte Daten zwischen
- Anonymisierung - Eigene IP ist nicht sichtbar bei Nutzung eines PS
7
Q
Was ist DMZ ?
A
- Demilitarized zone
- Netzwerk, was sich zwischen internes und externes Netzwerk setzt
- Pufferzone, die die Netze durch strenge Kommunikationsregeln und Firewalls voneinander trennt
- In DMZ ? Mail/Web/Authentication Server
- nur DMZ von außen erreichbar, interne Ressourcen von außen nicht erreichbar
8
Q
Was ist Schatten IT ?
A
- Systeme, Apps oder Clouddienste, die ohne Wissen und Zustimmung der IT Abteilung von MAs eines UN genutzt werden
Risiken:
- Rufschädigung
- Kein Überblick über genutzte Lizenzen
- DSGVO Verstöße durch genutzte Software
- Doppelte Anschaffungen
- Nutzung von nicht sicherheits-konformen Apps (Entry Point für Angriffe)
9
Q
Was ist SIEM ?
A
- Security Incident Event Monitoring
- Software sammelt und aggregiert Logdaten eines UN von Apps bis Firewalls / Virenschutz
- Kategorisierung / Analyse von Vorfällen
- teilweise AI Einsatz, um Anomalien aufzuspüren
- Unterstützung für SOC (Security Operation Center)
10
Q
Was ist APT Detection ?
A
- Advanced Persistent Threat
- Können von Hacker-Gruppen stammen (professionell, da viel Zeit und Ressourcen benötigt werden)
- Informationsdiebstahl über langen Zeitraum in UN
- Ausnutzung von bspw. Spear Fishing, Social Engineering Techniken, SQL Injection, DDoS attack zur Ablenkung
- Zugang → Etabilieren → Zugang ausbauen →Angriff → Daten extrahieren → Wiederholen
Detection Methoden:
- Traffic Monitoring (bspw. mit WAF)
- Application and domain whitelisting
- Access control
11
Q
Was ist CASB ?
A
- CASB (Cloud Access Security Broker)
- Service oder Anwendung zwischen User und Cloud zur Überwachung und Protokollierung der Kommunikation
- Schaffung von Authentifizierungsmöglichkeiten und Zugangsvoraussetzungen zum Abfang von Attacken
- Möglich als zentrales Gateway (kann bei hohem Datenfluss Performance beeinflussen)
- Möglich als APÌ - Anwendung
12
Q
Was ist EPP ?
A
- Endpoint Protection Plattform
- Einsatz bei Smartphones, Laptops, kleinen Servern, PCs, Tablets
- Schutz vor Malware, Trojanern, Ransomware
- Verhinderung von Interprozesskommunikation (Overflows, Speichernutzung)
- Firewalling, Data Loss Prevention (DLP), URL Filter, Data Encryption, Sandboxing
- Agent wird auf Endgerät installiert und setzt Security Policies um
- Agenten erhalten Meldungen über Angriffe und melden regelmäßig Status
13
Q
Wie ist moderne Enterprise Sicherheits Architektur aufgebaut?
A
14
Q
Was ist High available DNS DHCP ?
A
-
DHCP = Informationsverteilung zwischen Clients in einem Netzwerk (Dynamic Host Configuration Protocol)
- Dynamisches Zuweisen von IP-Adressen
- Festlegung und Überprüfung von IP-Adressen
- Übermittlung von Informationen an Clients:
- Subnetzmaske, Nameserver, Domainname, Gateways
-
DNS = Sicherstellung des Findens von Client und Servern über Namen (Domain Name System)
- Verwaltung von Namensräumen in Netzwerken wie Telefonbuch
- Zuordnung von Namen zu passender IP-Adresse
- Verbund von tausenden Servern, die zusammenarbeiten und Informationen austauschen
- Internes Netz: DNS kennen Geräte der internen Domain und zugehörigen Namen
15
Q
Was ist VPN ?
Site to Site
Remote Access
A
Remote Access VPN = Remote Zugriff eines Endgerätes auf ein Netzwerk
Site-to-Site VPN = Verbindung mehrerer Netzwerke miteinander
- Verbindung separater Bürozweigstellen miteinander
- Konfiguration auf Routern der verbundenen Netzwerke
- Router übernehmen Routing, Verschlüsselung (VPN Tunnel)
- Umsetzung der VPN über IPSec () oder SSL (Secure Sockets Layer)
16
Q
Wofür steht SASE?
A
- (Secure Access and Service Edge (Framework))
- Idee über ein Cloud Management für Netzwerk und Security Dienste, welches alle Sicherheitsleistungen in einem Dienstleister bündelt
- Dienstleister stellt modular aufgebautes Portfolio mit einheitlicher User-Schnittstelle zur Verfügung, aus dem Kunden die gewünschte Dienstleistung selbst zusammenstellen
- User nutzen PoP (Point of Presence), die weltweit verteilt sind als Schnittstelle für latenzarmen Zugriff
17
Q
Aus welchen drei Teilbereichen gliedert sich die UTM (Unified Threat Management) Infrastructure Security?
A
- Firewalls
- Proxy
- Email Security
- Jeweils geteilt in basics, advanced und WAF
18
Q
Was ist SIEM?
A
- Security Incident and Event Management
- Verteilte Event Logs
- Automatisierte Log Verwaltung und Darstellung
- Runbooks, was soll mit den Log Daten gemacht werden, wonach sollen sie angeordnet werden
- Kann bspw. aus 5. Mio. Logs = 50.000 Incidents erstellen nach jeweils benötigten Kriterien
19
Q
Was heißt signaturbasiert?
A
20
Q
Was ist EDR - Endpoint Detection and Response?
A
- Komponenten:
- Sammelt und wertet Telemetrire Daten aus
- Echtzeit Auswertung (Automated Detection / Seamless Adoption / MITRE ATTACK for Mobile
21
Q
Was ist der Hintergrund der Trendaussage “Der Endpoint ist der neue Perimeter”?
A
Standard damals = Rechenr im Büro
Standard heute:
- Mobile Devices
- Remote / Mobile User
- Laptops im Home-Office / Handys, die über VPN Zugang an Firmennetzwerk angeschlossen werden
- Dadurch Architekturwandel
- Cloud-Nutzung (Azure, AWS, Google)
- Diverse, separate Lösungen erforderlich → jeder Endpoint ist einzeln abzusichern
*
22
Q
Was ist der Hintergrund der Trendaussage “Der Endpoint ist der neue Perimeter”?
A
Standard damals = Rechenr im Büro
Standard heute:
- Mobile Devices
- Remote / Mobile User
- Laptops im Home-Office / Handys, die über VPN Zugang an Firmennetzwerk angeschlossen werden
- Dadurch Architekturwandel
- Zero Trust - Zonen Architektur (keinem vertrauen - keine Möglichkeit zur Verifizierung außerhalb meiner Kapsel)
- Akteure kennen sich untereinander nicht mehr (Authentifizierungsproblem)
- Cloud-Nutzung (Azure, AWS, Google)
- Diverse, separate Lösungen erforderlich → jeder Endpoint ist einzeln abzusichern
*
23
Q
Was bedeutet “Zero Trust” ?
A
- Jeder User wird wie Unbekannter betrachtet
- Authentifizierung über mehrere Mechanismen - MFA (Multifaktor Authentifizierung)
- Conditional Access: Lokation, Gerät, User Role Prüfung
24
Q
Woraus besteht das SOC (Security Operation Center) ?
A
SOC kennt Bedrohungen, Angriffe und die eigene Angriffsfläche
- Meist Abteilung, kann auch externe Berater einschließen
- Analysten kennen eigene Angriffsfläche (wo sind Schwachstellen, Schutzbedarf)
- Analysten kennen allgemeine Bedrohungen
- Monitoring der gesamten Sicherheitsinfrastruktur
- bspw. Möglichkeit zur Ausgliederung des HR-Bereichs in isolierte Netzstruktur / Email Sandbox (Vortäuschung der zu testenden Links und Anhängen, dass sie zugestellt wurden und sich auf dem Client befinden - Detonation der Dateien wird dann ausgewertet)
25
Wie ist das SOC strukturiert?
1. Intelligence - TI-Feed Selection / TIP
2. Security Monitoring / Triage - SIEM, NAD, Consulting
3. Incident Management - Case Management, Security Orchestration, Automation and Response (SOAR)
4. Security Awareness Picture - SOC KPIs, CDM for SOC
5. Risk Based Protection - End2End Devices / Risikokonzept für Firma entwerfen
26
Was sind Managed Security Services?
* Externer Einkauf aus verschiedenen Sicherheitslevels durch Dienstleister
* Geräteabsicherung
* Inzidenzen werden durch DL bearbeitet
* Aufteilung in Technical Security, Strategic Security und Managed Services
27
Was ist ein MPLS Ring?
* Standorte Verbindung einzelner Unternehmensstandorte
*
28
Wie kann die folgende Architektur sicherheitstechnisch verbessert werden?
* Enterprise UTM - Allzwecklösung auf einer Oberfläche inkludiert Proxy, Email, Firewalls
* Austausch von UTM in separate Lösungen
* Zweistufige Firewall zwischen Cloud und Headquarter
* Proxy an zweite Firewall
* External Services an zweite Firewall
* Email Security an zweite Firewall
* Verschlüsselung an zweite Firewall
* Sandbox an Firewalls
* Router einzelner Branches mit Firewalls ersetzt in Ringstruktur
* Einzelne Branches als interne Zonen
29
Was sind internal und external Access Zones?
30
Wie läuft eine Lockheed Martin Cyber Kill Chain Attacke ab?
1. Reconnaissance (Harvesting email adresses, conference infos)
2. Weaponization (Coupling exploit with backdoor into deliverable payload)
3. Delivery (deliver weaponized bundle to the victim wie mail, usb, web)
4. Exploitation (exploiting vulnerability to execute code on victims system)
5. Installation (Installing malware on the asset)
6. Command & Control (Command channel for remote manipulation of victim)
7. Actions on Objectives (with “hands on keyboard” access, intruder accomplishes their original goals)
31
Wie ist die Defense Chain der MartinLockheedCyberKillChain?
32
Was ist der Hintergrund der Trendaussage “Der Endpoint ist der neue Perimeter”?
Standard damals = Rechenr im Büro
Standard heute:
* Mobile Devices
* Remote / Mobile User
* Laptops im Home-Office / Handys, die über VPN Zugang an Firmennetzwerk angeschlossen werden
* Dadurch Architekturwandel
* Cloud-Nutzung (Azure, AWS, Google)
* Diverse, separate Lösungen erforderlich → jeder Endpoint ist einzeln abzusichern
*
33
Was ist Schatten IT ?
