Prof. Dr. Norbert Pohlmann Home mobile
slider

Kapitel 8
„Cyber-Sicherheit Frühwarn- und Lagebildsysteme“


Übungsaufgabe 1

Wozu werden Advanced Evasion Techniques (AETs) verwendet?

Lösung:

AET sind Technologien zum Umgehen der Erkennung von Angriffen.

Übungsaufgabe 2

Welches Sicherheitsproblem kann bei dem Analysekonzept „Erkennen von bekannten sicherheitsrelevanten Aktionen“ auftreten?

Lösung:

Zwischen neu gefundenen Angriffsaktionen und der Erstellung, Verteilung und Nutzung neuer Signaturen, werden die neuen Angriffe mit Hilfe dieses Analysekonzepts nicht erkannt.

Übungsaufgabe 3

Welchen Vorteil hat das Analysekonzept „Erkennen von Anomalien“?

Lösung:

Mit dem Analysekonzept „Erkennen von Anomalien“ können auch neue Angriffe erkannt werden. Dieses Konzept basiert auf der Annahme, dass Sicherheitsverletzungen, wie Angriffe anhand gravierender Verhaltensabweichungen erkannt werden können.

Übungsaufgabe 4

Was ist der grundlegende Unterschied zwischen den Daten, die ein Log-Daten Sensor liefert, im Gegensatz zu einem Netzwerk Sensor?

Lösung:

Log-Daten Sensoren zeigen auch Ergebnisse der Angriffe an. Z.B. nach einer Vielzahl von „Login-Fehlgeschlagen“ hat der Angreifer sich erfolgreich eingeloggt.
Der Netzwerksensor zeigt an, dass ein Zugriff stattgefunden hat, aber es ist nicht ersichtlich, ob der letzte Versuch erfolgreich war, oder der Angreifer nur aufgegeben hat.

Übungsaufgabe 5

Bewerten Sie die folgenden Situationen in einem Netzwerk. Welche Sensoren hätten geholfen, um diese Situationen zu erkennen/zu verstehen.

Fall 1:

Ein Angreifer baut tausende Verbindungen zu Ihrem Web Server auf und versucht das Passwort eines Accounts Ihres Mitarbeiters zu erraten.

Lösung:

Netzwerk-Sensor: Erkennen des erhöhten Zugriffs auf den Web Server.
Log-Daten-Sensor: Erkennen, ob der Angriff erfolgreich war.

Fall 2:

Auf einem IT-System in einem Unternehmen wurde Schadsoftware gefunden. Sie sollen den Netzwerkverkehr der Schadsoftware im Detail analysieren. Welcher der vorgestellten Sensoren eignet sich hier am besten?

Lösung:

Wireshark-Sensor.

Übungsaufgabe 6

Welche beiden besonderen Herausforderungen hat ein Sensor bezüglich der Output-Daten?

Lösung:

1. Die Output-Daten sollen möglichst alle wichtigen sicherheitsrelevanten Informationen erhalten.
2. Die Output-Daten sollen möglichst wenig Speicherplatz benötigen, damit sie langfristig gesichert werden können.

Übungsaufgabe 7

Betrachten Sie die folgenden Situationen. Warum können Frühwarnsysteme diese Probleme nicht lösen?

Fall 1:

Einem Mitarbeiter im Unternehmen wurde das Passwort gestohlen. Der Angreifer loggt sich mit dem gestohlenen Passwort in das E-Mail Konto ein und stiehlt alle Mails des Mitarbeiters.

Lösung:

Einmaliger „normaler“ Zugriff.

Fall 2:

Ein Angreifer hinterlegt einen manipulierten USB-Stick in der Lobby eines Unternehmens. Die Mitarbeiterin an dem Empfang findet den USB-Stick und schließt diesen an ihrem IT-System an, um zu prüfen, was auf dem USB-Stick gespeichert ist. Dabei wird Ihr IT-System von einer Malware infiziert.

Lösung:

Infektion nicht über das Netzwerk. Das Frühwarnsystem kann nicht davor warnen.

Übungsaufgabe 8

Bitte kreuzen Sie die folgenden Aspekte an.

  Cyber-Sicherheitsmechanismen
Cyber-Sicherheit Frühwarnsystem
Gewährleistung von Cyber-Sicherheitsbedürfnissen Vertraulichkeit
Authentifikation
Authentizität
Integrität
Verbindlichkeit
Verfügbarkeit
Anonymisierung / Pseudomisierung
Cyber-Sicherheitsstrategien Vermeiden von Angriffen
Entgegenwirken von Angriffen
Erkennen von Angriffen

Lösung:

  Cyber-Sicherheitsmechanismen
Cyber-Sicherheit Frühwarnsystem
Gewährleistung von Cyber-Sicherheitsbedürfnissen Vertraulichkeit
Authentifikation
Authentizität
Integrität
Verbindlichkeit
Verfügbarkeit
Anonymisierung / Pseudomisierung
Cyber-Sicherheitsstrategien Vermeiden von Angriffen
Entgegenwirken von Angriffen
Erkennen von Angriffen X

Kapitel 8
„Cyber-Sicherheit Frühwarn- und Lagebildsysteme“mobile


Übungsaufgabe 1

Wozu werden Advanced Evasion Techniques (AETs) verwendet?

Lösung:

AET sind Technologien zum Umgehen der Erkennung von Angriffen.

Übungsaufgabe 2

Welches Sicherheitsproblem kann bei dem Analysekonzept „Erkennen von bekannten sicherheitsrelevanten Aktionen“ auftreten?

Lösung:

Zwischen neu gefundenen Angriffsaktionen und der Erstellung, Verteilung und Nutzung neuer Signaturen, werden die neuen Angriffe mit Hilfe dieses Analysekonzepts nicht erkannt.

Übungsaufgabe 3

Welchen Vorteil hat das Analysekonzept „Erkennen von Anomalien“?

Lösung:

Mit dem Analysekonzept „Erkennen von Anomalien“ können auch neue Angriffe erkannt werden. Dieses Konzept basiert auf der Annahme, dass Sicherheitsverletzungen, wie Angriffe anhand gravierender Verhaltensabweichungen erkannt werden können.

Übungsaufgabe 4

Was ist der grundlegende Unterschied zwischen den Daten, die ein Log-Daten Sensor liefert, im Gegensatz zu einem Netzwerk Sensor?

Lösung:

Log-Daten Sensoren zeigen auch Ergebnisse der Angriffe an. Z.B. nach einer Vielzahl von „Login-Fehlgeschlagen“ hat der Angreifer sich erfolgreich eingeloggt.
Der Netzwerksensor zeigt an, dass ein Zugriff stattgefunden hat, aber es ist nicht ersichtlich, ob der letzte Versuch erfolgreich war, oder der Angreifer nur aufgegeben hat.

Übungsaufgabe 5

Bewerten Sie die folgenden Situationen in einem Netzwerk. Welche Sensoren hätten geholfen, um diese Situationen zu erkennen/zu verstehen.

Fall 1:

Ein Angreifer baut tausende Verbindungen zu Ihrem Web Server auf und versucht das Passwort eines Accounts Ihres Mitarbeiters zu erraten.

Lösung:

Netzwerk-Sensor: Erkennen des erhöhten Zugriffs auf den Web Server.
Log-Daten-Sensor: Erkennen, ob der Angriff erfolgreich war.

Fall 2:

Auf einem IT-System in einem Unternehmen wurde Schadsoftware gefunden. Sie sollen den Netzwerkverkehr der Schadsoftware im Detail analysieren. Welcher der vorgestellten Sensoren eignet sich hier am besten?

Lösung:

Wireshark-Sensor.

Übungsaufgabe 6

Welche beiden besonderen Herausforderungen hat ein Sensor bezüglich der Output-Daten?

Lösung:

1. Die Output-Daten sollen möglichst alle wichtigen sicherheitsrelevanten Informationen erhalten.
2. Die Output-Daten sollen möglichst wenig Speicherplatz benötigen, damit sie langfristig gesichert werden können.

Übungsaufgabe 7

Betrachten Sie die folgenden Situationen. Warum können Frühwarnsysteme diese Probleme nicht lösen?

Fall 1:

Einem Mitarbeiter im Unternehmen wurde das Passwort gestohlen. Der Angreifer loggt sich mit dem gestohlenen Passwort in das E-Mail Konto ein und stiehlt alle Mails des Mitarbeiters.

Lösung:

Einmaliger „normaler“ Zugriff.

Fall 2:

Ein Angreifer hinterlegt einen manipulierten USB-Stick in der Lobby eines Unternehmens. Die Mitarbeiterin an dem Empfang findet den USB-Stick und schließt diesen an ihrem IT-System an, um zu prüfen, was auf dem USB-Stick gespeichert ist. Dabei wird Ihr IT-System von einer Malware infiziert.

Lösung:

Infektion nicht über das Netzwerk. Das Frühwarnsystem kann nicht davor warnen.

Übungsaufgabe 8

Bitte kreuzen Sie die folgenden Aspekte an.

  Cyber-Sicherheitsmechanismen
Cyber-Sicherheit Frühwarnsystem
Gewährleistung von Cyber-Sicherheitsbedürfnissen Vertraulichkeit
Authentifikation
Authentizität
Integrität
Verbindlichkeit
Verfügbarkeit
Anonymisierung / Pseudomisierung
Cyber-Sicherheitsstrategien Vermeiden von Angriffen
Entgegenwirken von Angriffen
Erkennen von Angriffen

Lösung:

  Cyber-Sicherheitsmechanismen
Cyber-Sicherheit Frühwarnsystem
Gewährleistung von Cyber-Sicherheitsbedürfnissen Vertraulichkeit
Authentifikation
Authentizität
Integrität
Verbindlichkeit
Verfügbarkeit
Anonymisierung / Pseudomisierung
Cyber-Sicherheitsstrategien Vermeiden von Angriffen
Entgegenwirken von Angriffen
Erkennen von Angriffen X

500x500