Was ist ein Angriffsvektor?

Angriffsvektoren sind die Wege, über die ein Angreifer sensible Daten ausspähen oder ein Unternehmen kompromittieren kann.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Angriffsvektor definieren
  • Wichtigsten Angriffsvektoren auflisten
  • Angriffsvektor vs. Angriffsfläche vergleichen

Link zum Artikel kopieren

Was ist ein Angriffsvektor?

Ein Angriffsvektor oder Bedrohungsvektor ist eine Möglichkeit für Angreifer, in ein Netzwerk oder System einzudringen. Zu den gängigen Angriffsvektoren gehören Social-Engineering-Angriffe, der Diebstahl von Zugangsdaten, die Ausnutzung von Sicherheitslücken und ein unzureichender Schutz vor Insider-Bedrohungen. Ein wichtiger Teil der Informationssicherheit besteht darin, Angriffsvektoren so weit wie möglich zu schließen.

Nehmen wir an, ein Sicherheitsunternehmen wird mit der Bewachung eines seltenen Gemäldes in einem Museum betraut. Ein Dieb könnte das Museum auf verschiedene Weise betreten und verlassen – durch die Vordertüren, Hintertüren, Aufzüge und Fenster. Ein Dieb könnte auch auf andere Weise in das Museum eindringen, vielleicht indem er sich als ein Mitarbeiter des Museums ausgibt. Alle diese Methoden stellen Angriffsvektoren dar, und das Sicherheitsunternehmen kann versuchen, sie auszuschalten, indem es Sicherheitskräfte an allen Türen postiert, Schlösser an den Fenstern anbringt und die Mitarbeiter des Museums regelmäßig auf ihre Identität hin überprüft.

Auch bei digitalen Systemen gibt es Bereiche, die Angreifer als Einfallstore nutzen können. Angesichts der Komplexität moderner Computersysteme und Anwendungsumgebungen lassen sich in der Regel nicht alle Angriffsvektoren ausschalten. Aber starke Sicherheitspraktiken und Schutzmaßnahmen können die meisten Angriffsvektoren eliminieren, so dass Angreifer sie viel schwerer finden und ausnutzen können.

Was sind einige der häufigsten Angriffsvektoren?

Phishing: Beim Phishing werden Daten gestohlen (z. B. das Passwort eines Nutzers), mit denen ein Angreifer in ein Netzwerk eindringen kann. Die Angreifer verschaffen sich Zugang zu diesen Daten, indem sie das Opfer dazu bringen, sie zu enthüllen. Phishing ist nach wie vor einer der am häufigsten genutzten Angriffsvektoren – viele Ransomware-Angriffe beginnen zum Beispiel mit einer Phishing-Kampagne gegen das Opferunternehmen.

E-Mail-Anhänge: Zu den häufigsten Angriffsvektoren gehören E-Mail-Anhänge mit böswilligem Schadcode, der ausgeführt wird, nachdem ein Nutzer die Datei geöffnet hat. In den letzten Jahren haben mehrere große Ransomware-Angriffe diesen Bedrohungsvektor genutzt, darunter auch Ryuk-Angriffe.

Kontoübernahme: Angreifer können das Konto eines legitimen Nutzers mit verschiedenen Methoden übernehmen. Sie können die Anmeldedaten eines Nutzers (Benutzername und Kennwort) durch einen Phishing-Angriff, einen Brute-Force-Angriff oder den Kauf auf dem Schwarzmarkt erlangen. Angreifer können auch versuchen, ein Session-Cookie abzufangen und zu verwenden, um sich als Nutzer einer Webanwendung auszugeben.

Fehlende Verschlüsselung: Unverschlüsselte Daten können von jedem eingesehen werden, der Zugang zu ihnen hat. Sie können bei der Übertragung zwischen Netzwerken abgefangen werden, wie bei einem On-Path-Angriff, oder einfach ungewollt von einem Mittelsmann auf dem Netzwerkpfad eingesehen werden.

Insider-Bedrohungen: Eine Insider-Bedrohung liegt vor, wenn ein bekannter und vertrauenswürdiger Nutzer auf vertrauliche Daten zugreift und diese weitergibt oder einem Angreifer den Zugriff auf diese Daten ermöglicht. Solche Vorkommnisse können entweder absichtlich oder versehentlich seitens des Nutzers geschehen. Externe Angreifer können versuchen, Insider-Bedrohungen zu schaffen, indem sie Insider direkt ansprechen und sie bitten, bestechen, austricksen oder bedrohen. Manchmal handeln böswillige Insider aus eigenem Antrieb, aus Unzufriedenheit mit ihrer Organisation oder aus anderen Gründen.

Ausnutzen von Sicherheitslücken: Eine Sicherheitslücke ist ein Fehler in der Software oder Hardware – stellen Sie sich das wie ein Schloss vor, das nicht richtig funktioniert und einem Dieb, der weiß, wo sich das defekte Schloss befindet, den Zugang zu einem gesicherten Gebäude ermöglicht. Wenn ein Angreifer eine Sicherheitslücke erfolgreich ausnutzt, um in ein System einzudringen, wird dies als „Ausnutzung“ der Sicherheitslücke bezeichnet. Die meisten Sicherheitslücken können durch die Anwendung der Updates des Software- oder Hardwareherstellers behoben werden. Bei einigen Sicherheitslücken handelt es sich jedoch um „Zero-Day-Sicherheitslücke“ – unbekannte Sicherheitslücken, für die es keine bekannte Lösung gibt.

Browserbasierte Angriffe: Um Webseiten anzuzeigen, laden Internetbrowser Code, den sie von entfernten Servern erhalten, und führen ihn aus. Angreifer können böswilligen Schadcode in eine Website einschleusen oder Nutzer auf eine gefälschte Website leiten und den Browser dazu verleiten, Code auszuführen, der Malware herunterlädt oder die Geräte der Nutzer auf andere Weise kompromittiert. Beim Cloud Computing greifen Mitarbeiter oft allein über ihren Internetbrowser auf Daten und Anwendungen zu, so dass dieser Bedrohungsvektor besonders problematisch ist.

Kompromittierung von Anwendungen: Anstatt es direkt auf die Konten der Nutzer anzulegen, könnte ein Angreifer versuchen, eine vertrauenswürdige Anwendung eines Drittanbieters mit Malware zu infizieren. Oder er könnte eine gefälschte, böswillige Anwendung erstellen, die Nutzer unwissentlich herunterladen und installieren (ein häufiger Angriffsvektor für Mobilgeräte).

Offene Ports: Ein Port ist ein virtuelles Eingangstor zu einem Gerät. Ports helfen Computern und Servern, den Netzwerk-Traffic einer bestimmten Anwendung oder einem Prozess zuzuordnen. Nicht genutzte Ports sollten geschlossen werden. Angreifer können speziell gestaltete Nachrichten an offene Ports senden, um zu versuchen, das System zu kompromittieren, so wie ein Autodieb versuchen könnte, Türen zu öffnen, um zu sehen, ob sie unverschlossen sind.

Wie kann ein Unternehmen seine Angriffsvektoren absichern?

Sie können Angriffsvektoren nicht gänzlich ausschalten. Aber diese Ansätze können helfen, sowohl interne als auch externe Angriffe anzuhalten.

  • Gute Sicherheitspraktiken: Viele Angriffe gelingen aufgrund von Benutzerfehlern: Nutzer fallen auf Phishing-Angriffe herein, öffnen böswillige E-Mail-Anhänge oder gewähren einer nicht autorisierten Person Zugang. Die Schulung von Nutzern zur Vermeidung dieser Fehler kann einen großen Beitrag dazu leisten, mehrere wichtige Angriffsvektoren zu eliminieren.
  • Verschlüsselung: Die Verschlüsselung von Daten während der Übertragung verhindert, dass sie von Dritten eingesehen werden können.
  • Browserisolierung: Diese Technologie verlagert den Prozess des Ladens und Ausführens von nicht vertrauenswürdigem Code an einen Ort außerhalb des gesicherten Netzwerks eines Unternehmens. Browserisolierung kann sogar dazu beitragen, die Gefahr von Zero-Day-Angriffen zu beseitigen, zumindest im Browser.
  • Patches für Sicherheitslücken: Viele Angriffe erfolgen, weil ein Unternehmen eine Sicherheitslücke nicht gepatcht hat. Das Beheben von Sicherheitslücken und die regelmäßige Aktualisierung von Soft- und Hardware macht eine erfolgreiche Ausnutzung von Sicherheitslücken deutlich unwahrscheinlicher.
  • Secure Access Service Edge (SASE): Da die Abhängigkeit von der Cloud die Computermodelle von Unternehmen verändert hat, müssen viele Unternehmen auch ihre Netzwerk- und Sicherheitsmodelle ändern. Secure Access Service Edge (SASE) ist eine Methode zur Integration von Netzwerken und Sicherheit. SASE umfasst eine Reihe von Sicherheitsvorkehrungen, die die oben beschriebenen Angriffsvektoren ausschalten – erfahren Sie mehr über SASE.

Was ist eine Angriffsfläche?

Eine Angriffsfläche ist die Kombination aller Angriffsvektoren, die einem Angreifer zur Verfügung stehen. Je mehr Angriffsvektoren ein Unternehmen hat, desto größer ist die Angriffsfläche. Umgekehrt kann ein Unternehmen seine Angriffsfläche verringern, indem es Angriffsvektoren wo immer möglich eliminiert.

Stellen Sie sich einen Angreifer wie einen Offensivspieler im Fußball vor und die Angriffsfläche wie das Tor. Ohne einen Torwart bietet die Vorderseite des Tores eine ziemlich große Fläche, durch die der Spieler den Ball schießen kann. Der Torwart verkleinert jedoch den Bereich, der dem Angreifer zur Verfügung steht, indem er sich an strategischen Stellen positioniert, und die anderen Spieler können das Gleiche tun, indem sie das Tor verteidigen.

In ähnlicher Weise haben alle Unternehmen ein „Tor“, auf das externe Angreifer zielen: die Angriffsfläche und die sensiblen Daten dahinter. Aber Sicherheitsprodukte und -praktiken sind wie der Torwart und die Verteidiger, die die Angreifer davon abhalten, diese Angriffsvektoren zu nutzen.

Um herauszufinden, wie Cloudflare dabei hilft, Angriffsvektoren zu eliminieren, lesen Sie mehr über die SASE-Plattform von Cloudflare, Cloudflare One.