Diplomprüfung > V​ - THREAT MODELLING AND INTELLIGENCE > Flashcards

V​ - THREAT MODELLING AND INTELLIGENCE Flashcards

(10 cards)

Study These Flashcards
1
Q

V.1​ Benennen Sie die drei unterschiedlichen Levels von Threat Information, deren Unterschiede und zumindest ein Beispiel pro Level.

A

a. Tactical Intelligence
Tactical Intelligence ist technischer Natur und identifiziert einfache Indicators of Compromise (IoC). IoCs sind Dinge wie IP-Adressen, URLs, File Hashes oder bekannte malicious Domänen. Sie ist maschinenlesbar und kann mit Feeds oder API-Integration verarbeitet werden. Stakeholder = SOC-Team, Security Engineers

b. Operational Intelligence
Soll die Fragen nach dem „Wer“, „Wie“ und „Warum“ beantworten. (Deutsch: die “W-Fragen“)
Beinhält Kontext „um den Indicator herum“. Beispiele = TTPs, Capabilities, Actors
Stakeholder = Incident Responders, Red Teams

c. Strategic
Globale Betrachtung, “the whole picture”
Fokus auf Regionen, Branchen, … Threat Landscape
Stakeholder = Risk Manager, Compliance Manager

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

V.2​ Was bedeuten Tactic, Technique, Sub-Technique und Procedure im Mitre Attack Framework und nennen Sie jeweils ein Beispiel.

A

//Tactic
Eine “Tactic” im MITRE ATT&CK Framework bezieht sich auf das “Warum” einer Angreiferaktion, also das übergeordnete Ziel, das der Angreifer erreichen möchte. Es beschreibt die Phase des Angriffs und die strategischen Ziele, die der Angreifer verfolgt.

Tactic: Initial Access – Beschreibt die Taktiken, die darauf abzielen, Zugang zu einem Netzwerk zu erlangen. Ein Beispiel dafür ist das Spear-Phishing, bei dem gezielte E-Mails verwendet werden, um Benutzer dazu zu bringen, bösartige Anhänge zu öffnen oder Links zu bösartigen Websites zu folgen.

//Technique
Eine “Technique” beschreibt, wie ein Angreifer ein bestimmtes Tactic ausführt. Es sind die spezifischen Methoden oder Angriffswege, die ein Angreifer nutzt, um sein Ziel zu erreichen.

Technique: Phishing – Diese Technik fällt unter das Tactic “Initial Access”. Sie beinhaltet das Senden von täuschenden E-Mails, die darauf abzielen, das Opfer dazu zu bringen, sensible Informationen preiszugeben oder schädliche Software herunterzuladen.

//Sub-Technique
Sub-Techniken sind eine weitere Detaillierung der Techniken. Sie bieten eine spezifischere Beschreibung der Methoden, die Angreifer innerhalb einer Technik anwenden können.

Sub-Technique: Spear Phishing Link – Eine spezifischere Form des Phishing, das zur Technik “Phishing” gehört. Hierbei werden personalisierte E-Mails an spezifische Individuen oder Organisationen gesendet, mit dem Ziel, dass diese auf einen Link klicken, der zu einer bösartigen Website führt.

//Procedure
“Procedure” beschreibt die genaue Vorgehensweise, die ein Angreifer bei der Anwendung einer Technik oder Sub-Technik ausführt. Dies kann spezifische Software, Befehle oder Aktionen umfassen, die während eines Angriffs verwendet werden.
Verwendung eines bestimmten Exploit-Tools – Zum Beispiel könnte ein Angreifer das Exploit-Tool “EternalBlue” verwenden, um eine Schwachstelle in Windows-Systemen auszunutzen, die in der Technik “Exploitation of Public-Facing Application” untergebracht ist.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

V.3​ Benennen Sie den wesentlichen Unterschied zwischen dem Diamond Model und der sogenannten Kill Chain im Rahmen des Threat Modellings.

A

Diamond Model
Das Diamond Model of Intrusion Analysis konzentriert sich darauf, die Beziehung zwischen den vier Kernkomponenten eines Vorfalls zu analysieren: Angreifer (Adversary), Infrastruktur (Infrastructure), Fähigkeit (Capability) und Opfer (Victim). Es betrachtet diese vier Elemente als Eckpunkte eines Diamanten und untersucht die Interaktionen und Verbindungen zwischen ihnen. Ziel des Diamond Models ist es, ein tieferes Verständnis der Taktiken, Techniken und Prozesse zu entwickeln, die von Angreifern verwendet werden. Es ermöglicht Analysten, die Natur und die Dynamik eines Angriffs zu verstehen, indem es Beziehungen und Abhängigkeiten zwischen den beteiligten Elementen hervorhebt.
1 Diamond = 1 Event

Kill Chain
Die Kill Chain, entwickelt von Lockheed Martin, ist ein Modell, das den Prozess eines Cyberangriffs in sequentielle Schritte (Phasen) unterteilt, die ein Angreifer durchlaufen muss, um erfolgreich in ein Netzwerk einzudringen und sein Ziel zu erreichen.
Diese Phasen umfassen typischerweise Schritte wie Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command and Control (C2) und Aktionen auf Zielen. Das Modell dient dazu, Sicherheitsteams zu helfen, Angriffe zu erkennen und zu unterbrechen, indem spezifische Gegenmaßnahmen in jeder Phase der Kill Chain implementiert werden.

Hauptunterschied
Der Hauptunterschied zwischen beiden Modellen liegt also in ihrer Herangehensweise.
Das Diamond Model bietet ein breiteres, kontextbezogenes Rahmenwerk, das die Interaktionen zwischen Angreifer, Opfer und den eingesetzten Mitteln in den Vordergrund stellt. Es ist besonders nützlich für die tiefgreifende Analyse von Angriffsmustern und Bedrohungsakteuren.
Die Kill Chain hingegen ist ein prozessorientierter Ansatz, der darauf abzielt, jeden Schritt eines Angriffs zu identifizieren und zu stören. Dieses Modell ist praktisch für die Entwicklung spezifischer Abwehrstrategien gegen jede Phase eines Angriffs.

////
Szenario

Ein Angreifer verschickt eine präparierte PDF-Datei per E‑Mail, um einen Mitarbeiter eines Unternehmens zu infizieren. Nach dem Öffnen der Datei wird eine Malware installiert, die eine Verbindung zu einem Command‑and‑Control‑(C2)‑Server aufbaut und sensible Daten exfiltriert.

Analyse nach dem Diamond Model

Das Diamond Model betrachtet die Beziehungen zwischen vier zentralen Komponenten:

Adversary (Angreifer): z. B. die Hackergruppe „APT‑X“.
Capability (Fähigkeit/Werkzeug): ein PDF‑basierter Exploit und maßgeschneiderte Malware.
Infrastructure (Infrastruktur): C2‑Server in Osteuropa, genutzt zur Steuerung der Malware.
Victim (Opfer): ein IT‑Mitarbeiter bei „Beispiel GmbH“.

Das Modell analysiert, wie diese Komponenten zusammenhängen: APT‑X nutzt den PDF‑Exploit und die Malware, liefert sie per E‑Mail an das Opfer, die Malware verbindet sich mit der Infrastruktur und exfiltriert Daten. Nutzen: Verständnis der Angreiferlogik, Attribution, Erkennen von TTPs (Tactics, Techniques, Procedures) und Erkennung von Mustern.

Analyse nach der Kill Chain

Der Angriff wird phasenweise betrachtet:
1. Reconnaissance: Angreifer sammelt E‑Mail‑Adressen von Mitarbeitern der Beispiel GmbH.
2. Weaponization: Erstellung einer infizierten PDF‑Datei mit eingebettetem Exploit.
3. Delivery: Versand der Phishing‑E‑Mail mit der präparierten PDF.
4. Exploitation: Das Opfer öffnet die Datei — der Exploit wird ausgeführt.
5. Installation: Die Malware installiert sich auf dem System.
6. Command & Control: Die Malware kontaktiert den C2‑Server.
7. Actions on Objectives: Die Malware beginnt mit der Datenexfiltration.

Nutzen: Erkennung jeder Phase und gezieltes Unterbrechen (z. B. Blockieren der Phishing‑Mail in Phase 3, Erkennen des Exploits in Phase 4, Unterbrechen der C2‑Kommunikation in Phase 6).

Kurz zusammengefasst
• Diamond Model: zeigt wer was wie gegen wen einsetzt (beziehungs‑/akteurszentriert).
• Kill Chain: zeigt wann was passiert (phasenorientiert) und wo Verteidiger eingreifen können.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

V.4​ Welche unterschiedlichen Typen von Indicators of Compromise gibt es und was bedeutet Fragility und Specificity in Zusammenhang mit IoCs?

A

(Netzwerkbasierte, Hostbasierte, Dateibasierte und Verhaltensbaierte)

Host/Endpoint based: Indicators auf Endpoints (z.B. Clients, Server, Network Devices) und

Network based: Indicators sind in Datenstrom im Netzwerk (z.B. Network Traffic)

Fragility: Dies bezieht sich darauf, wie anfällig ein IoC gegenüber Änderungen ist. Ein fragiler IoC ist leicht zu umgehen oder zu verändern, was ihn weniger zuverlässig macht. Zum Beispiel könnte eine einfache Änderung der Malware-Codebasis dazu führen, dass der IoC nicht mehr erkennbar ist, wie das Ändern des Hash-Wertes einer Malware-Datei durch geringfügige Modifikationen.

Specifity: Die Spezifität eines IoC bezieht sich darauf, wie genau er tatsächliche Bedrohungen identifiziert, ohne falsch-positive Ergebnisse zu produzieren. Ein IoC mit hoher Spezifität wird genau die spezifischen Bedrohungen erkennen, für die er entworfen wurde, ohne legitime Aktivitäten fälschlicherweise als malicious zu markieren. Beispielsweise würde ein sehr spezifischer Datei-Hash genau die Dateiversion identifizieren, die bekanntermaßen malicious ist, ohne andere ähnliche, aber sichere Dateien einzubeziehen.

//// IOC’s Typen laut Cisco

Netzwerkbasierte IOCs
Netzwerk-IOCs signalisieren verdächtige Aktivitäten in einem Netzwerk, wie Domänen, IP-Adressen und URLs, die bekanntermaßen schädlich sind. Ungewöhnliches Datenverkehrsverhalten, wie z. B. eine Zunahme des Webdatenverkehrs auf einer bestimmten Website, kann ebenfalls auf eine Gefährdung des Netzwerks hinweisen. Network Monitoring-Tools wie Security Information and Event Management(SIEM)-Lösungen und IDS (Intrusion Detection Systems) dienen der Erkennung dieser Arten von IOCs.

Dateibasierte IOCs
Dateibasierte Indicators of Compromise lassen darauf schließen, dass schädliche Downloads oder Malware Systemdateien infiziert haben. In der Regel werden Sandboxing-Tools oder EDR-Software (Endpoint Detection and Response) eingesetzt, um Dateien auf bekannte schädliche Datei-Hashes, Pfade oder Dateinamen hin zu überprüfen.

Verhaltensbasierte IOCs
Verhaltensbasierte IOCs beruhen auf Abweichungen von normalen Aktivitäten und Mustern. Eine Ausweitung der Rechte, zahlreiche Anfragen für dieselbe Datei oder wiederholte fehlgeschlagene Anmeldeversuche sind beispielsweise Verhaltensweisen, die auf einen Systemangriff schließen lassen. UEBA-Lösungen (User and Entity Behaviour Analytics) ermöglichen das Monitoring der Kommunikationsmuster von Usern und Geräten im Hinblick auf verdächtiges Verhalten, das von einer festgelegten Norm abweicht.

Hostbasierte IOCs
Hostbasierte IOCs decken potenziell schädliche Aktivitäten auf einzelnen Computern, Systemen oder anderen Endpunkten auf. Dazu zählen unerwartete Änderungen der Systemeinstellungen, Änderungen der Systemberechtigungen oder verdächtige Prozesse auf einem Gerät. Für das Monitoring von Endpunkten im Hinblick auf Bedrohungen und das Management hostbasierter IOCs können EDR- oder XDR-Tools (Extended Detection and Response) eingesetzt werden.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

V.5​ Was ist die sogenannte Pyramid of Pain, wie ist diese zu verstehen und welche Ableitungen existieren daraus?

A

Die “Pyramid of Pain” ist ein Konzept in der Cybersecurity, das darauf abzielt, die Schwierigkeiten zu verdeutlichen, die Angreifer erleben, wenn Verteidigungsmaßnahmen gegen ihre Methoden eingesetzt werden. Dieses Modell wurde von David J. Bianco entwickelt und ist besonders nützlich, um die Effektivität von Sicherheitsmaßnahmen zu bewerten und zu verstehen, wie man die Kosten und den Aufwand für Angreifer erhöhen kann.
Die Pyramide besteht aus sechs Ebenen, die unterschiedliche Arten von Indicators of Compromise (IoCs) und Taktiken darstellen, geordnet nach der Schwierigkeit, mit der Angreifer sie ändern oder umgehen können:

  1. Hash-Werte: Die unterste Ebene der Pyramide. Hash-Werte sind einfach zu erzeugen und können leicht geändert werden, indem minimale Veränderungen an der bösartigen Datei vorgenommen werden.
  2. IP-Adressen: Etwas schwieriger zu ändern als Hash-Werte, da sie die Netzwerk-infrastruktur des Angreifers betreffen.
  3. Domainnamen: Diese sind aufwendiger zu wechseln als IP-Adressen, da sie oft in die Infrastruktur und Kampagnen der Angreifer integriert sind.
  4. Netzwerkartefakte: Dazu gehören bestimmte Muster im Netzwerkverkehr oder spezifische Daten, die bei der Kommunikation verwendet werden. Sie sind schwerer zu ändern, da sie oft tief in die Funktionsweise der Malware eingebettet sind.
  5. Tools: Die von Angreifern verwendeten Tools zu ändern erfordert mehr Aufwand und Ressourcen. Diese Ebene betrifft die Software und die Skripte, die bei Angriffen verwendet werden.
  6. Taktiken, Techniken und Verfahren (TTPs): Die oberste und komplexeste Ebene. Die Änderung von TTPs bedeutet eine grundlegende Änderung in der Vorgehensweise des Angreifers, was oft eine umfassende Überarbeitung ihrer Strategien erfordert.
    Ableitungen und Anwendungen

Die Pyramid of Pain hilft Sicherheitsteams zu verstehen, welche Arten von Gegenmaßnahmen für die Angreifer am problematischsten sind. Der Schlüssel liegt darin, sich auf höhere Ebenen der Pyramide zu konzentrieren, da diese den Angreifern die größten Anpassungskosten aufbürden. Dies kann zu effektiveren Sicherheitsstrategien führen, da Maßnahmen, die TTPs betreffen, wahrscheinlich längerfristig effektiv sind.
Die Fokussierung auf oberflächlichere Ebenen wie Hashes oder IP-Adressen oft nur kurzfristige Erfolge bringt und schneller von Angreifern umgangen werden kann.
In der Praxis bedeutet dies, dass Sicherheitsteams bestrebt sein sollten, Kontrollen und Erkennungsmechanismen zu implementieren, die so weit wie möglich oben in der Pyramide ansetzen. Dadurch wird es für Angreifer wesentlich schwieriger und kostspieliger, ihre Strategien anzupassen und effektiv zu bleiben.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

V.6​ Beschreiben Sie den Intelligence Lifecycle, Beschreibe kurz die Phasen und deren Inhalte und Ziele?

A

Struktur, die in der Cybersicherheit verwendet wird, um Informationen über potenzielle und aktuelle Bedrohungen systematisch zu sammeln, zu analysieren und anzuwenden, um die IT-Umgebung einer Organisation zu schützen.

  1. Planung und Ausrichtung
    In dieser Anfangsphase werden die Anforderungen und Ziele der Intelligence basierend auf den Vermögenswerten und der Sicherheitslage der Organisation definiert. Es ist wichtig zu bestimmen, welche Art von Informationen benötigt wird, wer sie benötigt und zu welchem Zweck.
  2. Sammlung
    In dieser Phase werden Daten aus verschiedenen Quellen gesammelt, die die Grundlage für die Threat Intelligence bilden. Zu den Quellen können öffentliche Informationen, interne Protokolle, Threat Feeds, Branchenberichte und mehr gehören. Ziel ist es, so viele relevante Daten wie möglich zu sammeln, die sich auf bekannte Bedrohungen, Schwachstellen und gegnerische Taktiken beziehen.
  3. Verarbeitung
    Die gesammelten Daten kommen oft in roher Form vor und müssen verarbeitet und in ein für die Analyse geeignetes Format umgewandelt werden. Dies kann Entschlüsselung, Übersetzung oder das Durchsuchen großer Datensätze umfassen, um relevante Informationen zu identifizieren.
  4. Analyse
    Dies ist der Kern des Zyklus, in dem die verarbeiteten Daten untersucht werden, um Schlussfolgerungen über potenzielle Bedrohungen zu ziehen. Die Analyse zielt darauf ab, Muster zu identifizieren, die Glaubwürdigkeit und Relevanz der Informationen zu bestimmen und handlungsrelevante Intelligence zu produzieren. Analysten können verschiedene Techniken verwenden, von einfacher Beobachtung bis hin zu komplexen Datenwissenschaftsmethoden, um die Implikationen der Daten zu verstehen.
  5. Verbreitung
    Die analysierte Intelligence wird dann in Berichte oder Briefings formatiert und mit den relevanten Stakeholdern geteilt, die daraufhin handeln müssen. Die Intelligence muss klar und rechtzeitig kommuniziert werden, um sicherzustellen, dass sie effektiv genutzt werden kann, um die Sicherheitslage der Organisation zu verbessern.
  6. Feedback
    Nach der Verbreitung der Intelligence ist das Feedback der Stakeholder zur Relevanz und Nützlichkeit entscheidend. Dieses Feedback wird verwendet, um die nachfolgenden Iterationen des Intelligence-Zyklus zu verfeinern und zu verbessern und die Genauigkeit und Relevanz der Intelligence-Produkte zu erhöhen.
  7. Evaluation
    Diese fortlaufende Phase bewertet den gesamten Prozess und die Ausgaben der Intelligence hinsichtlich ihrer Effektivität und Auswirkung auf die Sicherheitslage. Kontinuierliche Bewertungen helfen, Verbesserungsbereiche zu identifizieren.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

V.7​ Beschreiben Sie die wesentlichen Eigenschaften von STIX / TAXII und MISP sowie deren Einsatzgebiete.

A

STIX: standardisiertes XML-basiertes Sprachformat, entwickelt, um strukturierte Informationen über Bedrohungen zu kommunizieren. Ermöglicht detaillierte Bedrohungsinformationen in einem konsistenten und maschinenlesbaren Format zu beschreiben, einschließlich Cyberangriffsmethoden, Indikatoren, Schwachstellen sowie Gegenmaßnahmen.
STIX wird verwendet, um umfassende Bedrohungsdaten zwischen Organisationen, Sicherheitssoftware und -services auszutauschen.
Es hilft bei der Analyse und dem Management von Bedrohungsinformationen und kann in SIEM-Systemen (Security Information and Event Management), in der Incident-Response-Planung und in Threat Intelligence Platforms integriert werden.

TAXI: Protokoll zur Übertragung von Bedrohungsinformationen, das darauf ausgelegt ist, Informationen sicher und effizient zwischen Parteien zu teilen.
TAXII definiert eine API und ein Kommunikationsprotokoll, das es Systemen ermöglicht, STIX-Informationen automatisch auszutauschen.
TAXII wird meistens in Verbindung mit STIX genutzt, um automatisierte Informationsaustauschdienste für Cyber-Bedrohungsinformationen zwischen Vertrauenspartnern einzurichten.
Es ist besonders nützlich in Umgebungen, wo schneller Informationsaustausch über aktuelle
Sicherheitsbedrohungen erforderlich ist, wie bei nationalen CERTs (Computer Emergency Response Teams) oder in großen Unternehmen mit umfassenden Security Operations Centers (SOCs).

MISP: offene Softwareplattform und ein Framework, das für das Sammeln, Speichern und Disseminieren von Indicators of Compromise, finanziellen Betrugsindikatoren und anderen Bedrohungsinformationen genutzt wird.
MISP erlaubt das Zusammenarbeiten in Communities oder privaten Netzwerken und unterstützt das Teilen von Kontextinformationen über Bedrohungen und deren Attribute.
MISP wird häufig von Regierungen, privaten Organisationen und Forschungsinstituten genutzt, um Informationen über Sicherheitsvorfälle zu teilen und zu verwalten.
Es dient der Verbesserung der präventiven Maßnahmen gegen Cyber-Bedrohungen durch gemeinschaftliche Analyse und das Teilen von Kontext bezüglich der Bedrohungen.

Während sich STIX und TAXII auf die Standardisierung und den Austausch von Bedrohungsinformationen konzentrieren, bietet MISP eine Plattform für die kollaborative Sicherheitsarbeit und das Bedrohungsmanagement.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

V.8​ Was bedeuten Kontextinformationen für Bedrohungsinformationen - welchen Nutzen haben diese in der Operationalisierung von Bedrohungsinformationen – nennen Sie zumindest drei Beispiele dafür?

A

Kontextinformationen zu Bedrohungsinformationen sind entscheidend für das Verständnis und die effektive Reaktion auf Sicherheitsvorfälle. Zusätzliche Daten helfen Organisationen nicht nur, die Natur einer Bedrohung besser zu verstehen, sondern auch deren potenzielle Auswirkungen & die besten Maßnahmen zur Minderung oder Vermeidung der Bedrohung.

Beispiel 1: Kontextinformationen können Aufschluss darüber geben, auf welche Assets oder Bereiche innerhalb einer Organisation ein bestimmter Angriff abzielt. Dies ermöglicht es Sicherheitsteams, spezifische Schutzmaßnahmen zu ergreifen, um die wertvollsten oder gefährdetsten Teile ihrer Infrastruktur zu sichern. Z.B. Info, „Bestimmte Malware stiehlt Finanzdaten“ -> zusätzliche Sicherheitskontrollen/Überwachungstools in Finanzabteilung.

Beispiel 2: Durch Kontextinformationen, die Details über die verwendeten Taktiken, Techniken und Verfahren (TTPs) eines Angreifers enthalten, können Sicherheitsteams effektivere Abwehrstrategien entwickeln. Diese Informationen helfen dabei, die Handlungen eines Angreifers zu antizipieren und proaktiv Maßnahmen zu ergreifen, die den Erfolg eines Angriffs vereiteln können. Beispielsweise kann das Wissen, dass ein Angreifer häufig Phishing-Angriffe verwendet, dazu führen, dass gezielte Schulungen und verbesserte E-Mail-Filtertechnologien eingesetzt werden.

Beispiel 3: Kontextinformationen können wichtige Hinweise darauf geben, wie ein Sicherheitsvorfall gehandhabt werden sollte. Dies umfasst Informationen über die Schwere des Angriffs und die möglichen Konsequenzen eines Sicherheitsvorfalls. Mit diesem Wissen können Incident Response Teams ihre Ressourcen und Anstrengungen entsprechend priorisieren und anpassen. Zum Beispiel kann das Wissen, dass eine bestimmte Schwachstelle ausgenutzt wurde, die schnelle Anwendung eines spezifischen Patches oder eines Workarounds erfordern, um weiteren Schaden zu verhindern.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

V.9​ Was bedeutet “Estimative Language” in der Bedrohungsanalyse, welche Herausforderungen existieren hier für den Ersteller und den Konsumenten? Benennen Sie auch ein Beispiel dafür?

A

“Estimative Language” in der Bedrohungsanalyse bezieht sich auf die Verwendung von Sprache zur Beschreibung der Wahrscheinlichkeit und des Vertrauensgrades in die Analyse und Prognose von Sicherheitsbedrohungen. Diese Art der Kommunikation ist wichtig, weil sie hilft, Unsicherheiten in der Bewertung von Bedrohungen zu quantifizieren und zu kommunizieren. Estimative Language wird verwendet, um subjektive Einschätzungen von Analysten über zukünftige Ereignisse oder Zustände basierend auf verfügbaren Daten auszudrücken.

Herausforderungen für Ersteller: Präzision in der Sprache (die richtigen Worte zu wählen, die die Unsicherheit und das Vertrauensniveau korrekt widerspiegeln, ohne zu vage oder zu definitiv zu sein), Ausbalancieren von Vertraulichkeit und Klarheit (Oft müssen Ersteller sensible Informationen schützen, während sie gleichzeitig klare und nützliche Einsichten bieten), Erfahrung und Training (Korrektes Anwenden erfordert tiefes Verständnis und Erfahrung, sowie spezifisches Training in dieser Art der Kommunikation.)

Herausforderungen für Konsumenten: Interpretation (Nuancen deuten, besonders wenn man nicht mit der Methodik vertraut ist), Entscheidungsfindung (Nutzung kann Entscheidungen erschweren, wenn die Sprache nicht ausreichend klar ist.)

Beispiel: “Es ist wahrscheinlich, dass Cyber-Angreifer in den nächsten drei Monaten versuchen werden, in das Netzwerk einzudringen, basierend auf der erhöhten Aktivität, die wir in ähnlichen Organisationen beobachtet haben.”
„Wahrscheinlich“ gibt an, dass der Analyst einen gewissen Grad an Vertrauen in diese Vorhersage hat, aber es bleibt ein Raum für Unsicherheit. Diese Formulierung hilft Entscheidungsträgern, die Dringlichkeit und das potenzielle Risiko zu verstehen und entsprechende Sicherheitsmaßnahmen zu planen.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

V.10​ Was ist der Unterschied zwischen “Intrusion Set” und Threat Actor und nenne jeweils ein Beispiel? Welche Standards kommen in der Modellierung von Schwachstelleninformationen zum Einsatz?

A

Intrusion Set: Gruppe von bösartigen Aktivitäten, die oft durch ein gemeinsames Muster von Taktiken, Techniken und Verfahren (TTPs) gekennzeichnet sind. Diese werden von einer oder mehreren Bedrohungsakteuren durchgeführt und sind meist darauf ausgerichtet, spezifische Ziele zu erreichen. Ein Intrusion Set = Sammlung von Angriffskampagnen, die über einen bestimmten Zeitraum hinweg durchgeführt wurden & Merkmale oder Ziele teilen.

Beispiel: APT28 (auch bekannt als Fancy Bear) - Dieses Intrusion Set ist bekannt für Cyberspionage-Aktivitäten und wird mit staatlichen Interessen in Verbindung gebracht. APT28 verwendet eine Vielzahl von Malware und Techniken, um in Regierungs- und Militärnetzwerke einzudringen.

Threat Actor: Entität (eine Person, Gruppe oder Organisation), die hinter einer Sicherheitsbedrohung steht. Der Begriff umfasst eine breite Palette von Akteuren, einschließlich Cyberkriminellen, staatlich gesponserten Hackern und Insider-Bedrohungen. Threat Actors sind die eigentlichen Menschen oder Organisationen, die Angriffe initiieren und durchführen.

Beispiel: Lazarus Group - Eine nordkoreanische Hackergruppe, die für eine Vielzahl von Cyberattacken verantwortlich ist, darunter der berüchtigte WannaCry-Ransomware-Angriff. Diese Gruppe zielt auf finanziellen Gewinn und politische Destabilisierung ab.

Standards zur Modellierung:
- CVE – Common Vulnerabilities and Exposures (Verzeichnis, das Informationen zu bekannten Sicherheitsanfälligkeiten und Schwachstellen enthält. Jede Schwachstelle erhält eine eindeutige ID (CVE-ID), die eine konsistente und öffentlich verfügbare Methode zur Identifizierung von Schwachstellen bietet.)

  • CVSS – Common Vulnerability Scoring System - Standardisierte Methode zur Bewertung der Schwere von Sicherheitsschwachstellen. Der Score reicht von 0 bis 10 und hilft Organisationen, die Dringlichkeit und potenzielle Auswirkungen einer Schwachstelle zu bestimmen.
  • CWE – Common Weakness Enumeration - Liste von Software- und Hardware-Schwachstellen, die als „Common Weaknesses“ bekannt sind. Es handelt sich um ein kategorisiertes Verzeichnis von häufigen Sicherheitslücken, die in der Softwareentwicklung auftreten können.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
Diplomprüfung
flashcards
Decks in class (13)
# Cards
Brainscape helps you reach your goals faster, through stronger study habits.
© 2026 Bold Learning Solutions. Terms and Conditions