In Teil 11 unserer Blogreihe zum MITRE ATT&CK Framework geht es um die Collection-Phase (Datensammlung). Nachdem Angreifer Zugriff auf das Netzwerk erhalten haben und sich lateral bewegt haben, beginnen sie nun, gezielt wertvolle Daten zu sammeln, die sie für ihre Ziele benötigen. Diese Phase ist entscheidend, da es hier um das Erfassen sensibler Informationen geht, die später exfiltriert werden können.

Mehr Informationen finden Sie im Übersichtsbeitrag und im MITRE ATT&CK Framework.

Worum geht es in der Collection-Phase?

In der Collection-Phase sammeln Angreifer systematisch Daten, die für sie von großem Wert sind – von Geschäftsgeheimnissen über Finanzdaten bis hin zu Kundendaten. Diese Informationen werden für spätere Phasen des Angriffs zusammengeführt, wie etwa die Exfiltration.

Beispiele für Collection

1. Zugriff auf Datenbanken: Angreifer durchsuchen und extrahieren Daten aus wichtigen Datenbanken.
2. Kopieren großer Datenmengen: Durch den Zugriff auf Cloud-Speicher oder Netzlaufwerke sammeln sie vertrauliche Dokumente oder Dateien.
3. Systemprotokolle und Benutzerinformationen: Diese Informationen helfen Angreifern, das Verhalten der Benutzer zu analysieren und weitere Schwachstellen zu finden.

Zeitlicher Verlauf und Bedeutung der Collection-Phase

Die Collection-Phase kann Stunden bis Tage dauern, abhängig von der Menge der gesammelten Daten und der Netzwerkarchitektur. Sie stellt etwa 20-30% der gesamten Angriffszeit dar. Hier beginnt der Übergang zu den kritischen Phasen, in denen sensible Daten gefährdet sind, wenn keine angemessenen Sicherheitsmaßnahmen getroffen werden.

Verteidigungsmaßnahmen

• Datenverschlüsselung: Sensible Daten sollten verschlüsselt gespeichert werden, um es Angreifern zu erschweren, diese zu lesen.
• Zugriffskontrollen und Protokollierung: Nur autorisierte Benutzer und Systeme sollten auf wichtige Daten zugreifen können. Eine durchgehende Überwachung der Zugriffe hilft, ungewöhnliche Aktivitäten zu erkennen.
• XDR-Lösungen: XDR erkennt anormale Datentransfers oder unübliche Datenabfragen und kann dabei helfen, verdächtige Vorgänge zu stoppen.

Fazit

In der Collection-Phase sammeln Angreifer gezielt Daten, die später exfiltriert werden sollen. Ohne effektive Schutzmaßnahmen können große Mengen sensibler Informationen in die Hände von Angreifern fallen.

Im nächsten Beitrag unserer Blogreihe beschäftigen wir uns mit der Phase Command and Control, in der Angreifer die vollständige Kontrolle über kompromittierte Systeme erlangen.

Schützen Sie Ihre Daten, bevor es zu spät ist! Kontaktieren Sie uns, um Ihre Sicherheitsstrategie zu stärken und sicherzustellen, dass Angreifer keine Chance haben.

Lassen Sie uns ins Gespräch kommen: 06103 9707-500 oder schreiben Sie an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. – wir sichern Ihre Daten!