Angriffsvektoren sind die Wege, über die ein Angreifer sensible Daten ausspähen oder ein Unternehmen kompromittieren kann.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Ransomware
Man-in-the-Middle-Angriff
Sicherheit von Webanwendungen?
Was ist ein Pufferüberlauf?
Zero-Day-Exploit
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Ein Angriffsvektor oder Bedrohungsvektor ist eine Möglichkeit für Angreifer, in ein Netzwerk oder System einzudringen. Zu den gängigen Angriffsvektoren gehören Social-Engineering-Angriffe, der Diebstahl von Zugangsdaten, die Ausnutzung von Sicherheitslücken und ein unzureichender Schutz vor Insider-Bedrohungen. Ein wichtiger Teil der Informationssicherheit besteht darin, Angriffsvektoren so weit wie möglich zu schließen.
Nehmen wir an, ein Sicherheitsunternehmen wird mit der Bewachung eines seltenen Gemäldes in einem Museum betraut. Ein Dieb könnte das Museum auf verschiedene Weise betreten und verlassen – durch die Vordertüren, Hintertüren, Aufzüge und Fenster. Ein Dieb könnte auch auf andere Weise in das Museum eindringen, vielleicht indem er sich als ein Mitarbeiter des Museums ausgibt. Alle diese Methoden stellen Angriffsvektoren dar, und das Sicherheitsunternehmen kann versuchen, sie auszuschalten, indem es Sicherheitskräfte an allen Türen postiert, Schlösser an den Fenstern anbringt und die Mitarbeiter des Museums regelmäßig auf ihre Identität hin überprüft.
Auch bei digitalen Systemen gibt es Bereiche, die Angreifer als Einfallstore nutzen können. Angesichts der Komplexität moderner Computersysteme und Anwendungsumgebungen lassen sich in der Regel nicht alle Angriffsvektoren ausschalten. Aber starke Sicherheitspraktiken und Schutzmaßnahmen können die meisten Angriffsvektoren eliminieren, so dass Angreifer sie viel schwerer finden und ausnutzen können.
Phishing: Beim Phishing werden Daten gestohlen (z. B. das Passwort eines Nutzers), mit denen ein Angreifer in ein Netzwerk eindringen kann. Die Angreifer verschaffen sich Zugang zu diesen Daten, indem sie das Opfer dazu bringen, sie zu enthüllen. Phishing ist nach wie vor einer der am häufigsten genutzten Angriffsvektoren – viele Ransomware-Angriffe beginnen zum Beispiel mit einer Phishing-Kampagne gegen das Opferunternehmen.
E-Mail-Anhänge: Zu den häufigsten Angriffsvektoren gehören E-Mail-Anhänge mit böswilligem Schadcode, der ausgeführt wird, nachdem ein Nutzer die Datei geöffnet hat. In den letzten Jahren haben mehrere große Ransomware-Angriffe diesen Bedrohungsvektor genutzt, darunter auch Ryuk-Angriffe.
Kontoübernahme: Angreifer können das Konto eines legitimen Nutzers mit verschiedenen Methoden übernehmen. Sie können die Anmeldedaten eines Nutzers (Benutzername und Kennwort) durch einen Phishing-Angriff, einen Brute-Force-Angriff oder den Kauf auf dem Schwarzmarkt erlangen. Angreifer können auch versuchen, ein Session-Cookie abzufangen und zu verwenden, um sich als Nutzer einer Webanwendung auszugeben.
Fehlende Verschlüsselung: Unverschlüsselte Daten können von jedem eingesehen werden, der Zugang zu ihnen hat. Sie können bei der Übertragung zwischen Netzwerken abgefangen werden, wie bei einem On-Path-Angriff, oder einfach ungewollt von einem Mittelsmann auf dem Netzwerkpfad eingesehen werden.
Insider-Bedrohungen: Eine Insider-Bedrohung liegt vor, wenn ein bekannter und vertrauenswürdiger Nutzer auf vertrauliche Daten zugreift und diese weitergibt oder einem Angreifer den Zugriff auf diese Daten ermöglicht. Solche Vorkommnisse können entweder absichtlich oder versehentlich seitens des Nutzers geschehen. Externe Angreifer können versuchen, Insider-Bedrohungen zu schaffen, indem sie Insider direkt ansprechen und sie bitten, bestechen, austricksen oder bedrohen. Manchmal handeln böswillige Insider aus eigenem Antrieb, aus Unzufriedenheit mit ihrer Organisation oder aus anderen Gründen.
Ausnutzen von Sicherheitslücken: Eine Sicherheitslücke ist ein Fehler in der Software oder Hardware – stellen Sie sich das wie ein Schloss vor, das nicht richtig funktioniert und einem Dieb, der weiß, wo sich das defekte Schloss befindet, den Zugang zu einem gesicherten Gebäude ermöglicht. Wenn ein Angreifer eine Sicherheitslücke erfolgreich ausnutzt, um in ein System einzudringen, wird dies als „Ausnutzung“ der Sicherheitslücke bezeichnet. Die meisten Sicherheitslücken können durch die Anwendung der Updates des Software- oder Hardwareherstellers behoben werden. Bei einigen Sicherheitslücken handelt es sich jedoch um „Zero-Day-Sicherheitslücke“ – unbekannte Sicherheitslücken, für die es keine bekannte Lösung gibt.
Browserbasierte Angriffe: Um Webseiten anzuzeigen, laden Internetbrowser Code, den sie von entfernten Servern erhalten, und führen ihn aus. Angreifer können böswilligen Schadcode in eine Website einschleusen oder Nutzer auf eine gefälschte Website leiten und den Browser dazu verleiten, Code auszuführen, der Malware herunterlädt oder die Geräte der Nutzer auf andere Weise kompromittiert. Beim Cloud Computing greifen Mitarbeiter oft allein über ihren Internetbrowser auf Daten und Anwendungen zu, so dass dieser Bedrohungsvektor besonders problematisch ist.
Kompromittierung von Anwendungen: Anstatt es direkt auf die Konten der Nutzer anzulegen, könnte ein Angreifer versuchen, eine vertrauenswürdige Anwendung eines Drittanbieters mit Malware zu infizieren. Oder er könnte eine gefälschte, böswillige Anwendung erstellen, die Nutzer unwissentlich herunterladen und installieren (ein häufiger Angriffsvektor für Mobilgeräte).
Offene Ports: Ein Port ist ein virtuelles Eingangstor zu einem Gerät. Ports helfen Computern und Servern, den Netzwerk-Traffic einer bestimmten Anwendung oder einem Prozess zuzuordnen. Nicht genutzte Ports sollten geschlossen werden. Angreifer können speziell gestaltete Nachrichten an offene Ports senden, um zu versuchen, das System zu kompromittieren, so wie ein Autodieb versuchen könnte, Türen zu öffnen, um zu sehen, ob sie unverschlossen sind.
Sie können Angriffsvektoren nicht gänzlich ausschalten. Aber diese Ansätze können helfen, sowohl interne als auch externe Angriffe anzuhalten.
Eine Angriffsfläche ist die Kombination aller Angriffsvektoren, die einem Angreifer zur Verfügung stehen. Je mehr Angriffsvektoren ein Unternehmen hat, desto größer ist die Angriffsfläche. Umgekehrt kann ein Unternehmen seine Angriffsfläche verringern, indem es Angriffsvektoren wo immer möglich eliminiert.
Stellen Sie sich einen Angreifer wie einen Offensivspieler im Fußball vor und die Angriffsfläche wie das Tor. Ohne einen Torwart bietet die Vorderseite des Tores eine ziemlich große Fläche, durch die der Spieler den Ball schießen kann. Der Torwart verkleinert jedoch den Bereich, der dem Angreifer zur Verfügung steht, indem er sich an strategischen Stellen positioniert, und die anderen Spieler können das Gleiche tun, indem sie das Tor verteidigen.
In ähnlicher Weise haben alle Unternehmen ein „Tor“, auf das externe Angreifer zielen: die Angriffsfläche und die sensiblen Daten dahinter. Aber Sicherheitsprodukte und -praktiken sind wie der Torwart und die Verteidiger, die die Angreifer davon abhalten, diese Angriffsvektoren zu nutzen.
Um herauszufinden, wie Cloudflare dabei hilft, Angriffsvektoren zu eliminieren, lesen Sie mehr über die SASE-Plattform von Cloudflare, Cloudflare One.