Kapitel 8: „Cyber-Sicherheit Frühwarn- und Lagebildsysteme“ - Prof. Dr. Norbert Pohlmann
Kapitel 8: „Cyber-Sicherheit Frühwarn- und Lagebildsysteme“ | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Übungsaufgabe 1 Wozu werden Advanced Evasion Techniques (AETs) verwendet?
AET sind Technologien zum Umgehen der Erkennung von Angriffen. Übungsaufgabe 2 Welches Sicherheitsproblem kann bei dem Analysekonzept „Erkennen von bekannten sicherheitsrelevanten Aktionen“ auftreten?
Zwischen neu gefundenen Angriffsaktionen und der Erstellung, Verteilung und Nutzung neuer Signaturen, werden die neuen Angriffe mit Hilfe dieses Analysekonzepts nicht erkannt. Übungsaufgabe 3 Welchen Vorteil hat das Analysekonzept „Erkennen von Anomalien“?
Mit dem Analysekonzept „Erkennen von Anomalien“ können auch neue Angriffe erkannt werden. Dieses Konzept basiert auf der Annahme, dass Sicherheitsverletzungen, wie Angriffe anhand gravierender Verhaltensabweichungen erkannt werden können. Übungsaufgabe 4 Was ist der grundlegende Unterschied zwischen den Daten, die ein Log-Daten Sensor liefert, im Gegensatz zu einem Netzwerk Sensor?
Log-Daten Sensoren zeigen auch Ergebnisse der Angriffe an. Z.B. nach einer Vielzahl von „Login-Fehlgeschlagen“ hat der Angreifer sich erfolgreich eingeloggt. Übungsaufgabe 5 Bewerten Sie die folgenden Situationen in einem Netzwerk. Welche Sensoren hätten geholfen, um diese Situationen zu erkennen/zu verstehen. Fall 1: Ein Angreifer baut tausende Verbindungen zu Ihrem Web Server auf und versucht das Passwort eines Accounts Ihres Mitarbeiters zu erraten.
Netzwerk-Sensor: Erkennen des erhöhten Zugriffs auf den Web Server. Fall 2: Auf einem IT-System in einem Unternehmen wurde Schadsoftware gefunden. Sie sollen den Netzwerkverkehr der Schadsoftware im Detail analysieren. Welcher der vorgestellten Sensoren eignet sich hier am besten?
Wireshark-Sensor. Übungsaufgabe 6 Welche beiden besonderen Herausforderungen hat ein Sensor bezüglich der Output-Daten?
1. Die Output-Daten sollen möglichst alle wichtigen sicherheitsrelevanten Informationen erhalten. Übungsaufgabe 7 Betrachten Sie die folgenden Situationen. Warum können Frühwarnsysteme diese Probleme nicht lösen? Fall 1: Einem Mitarbeiter im Unternehmen wurde das Passwort gestohlen. Der Angreifer loggt sich mit dem gestohlenen Passwort in das E-Mail Konto ein und stiehlt alle Mails des Mitarbeiters.
Einmaliger „normaler“ Zugriff. Fall 2: Ein Angreifer hinterlegt einen manipulierten USB-Stick in der Lobby eines Unternehmens. Die Mitarbeiterin an dem Empfang findet den USB-Stick und schließt diesen an ihrem IT-System an, um zu prüfen, was auf dem USB-Stick gespeichert ist. Dabei wird Ihr IT-System von einer Malware infiziert.
Infektion nicht über das Netzwerk. Das Frühwarnsystem kann nicht davor warnen. Übungsaufgabe 8 Bitte kreuzen Sie die folgenden Aspekte an.
Diese Tabele ist auf Ihrem Gerät nicht anzeigbar.
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||