In Teil 9 unserer Blogreihe zum MITRE ATT&CK Framework geht es um die Phase Discovery (Erkundung). In dieser Phase sammeln Angreifer gezielt Informationen über das Zielsystem, um Netzwerkstrukturen, Systeme und Sicherheitsvorkehrungen zu identifizieren und ihre nächsten Schritte zu planen.

Mehr Informationen finden Sie im Übersichtsbeitrag und im MITRE ATT&CK Framework.

Beispiele für Discovery

1. Netzwerkscans: Angreifer führen Netzwerkscans durch, um eine Übersicht über verfügbare Geräte und Dienste zu erhalten.
2. Verzeichnislisten: Durchsuchen von Dateisystemen und Netzlaufwerken, um wichtige Daten oder Schwachstellen zu finden.
3. Sicherheitskonfigurationen identifizieren: Informationen über installierte Sicherheitssoftware oder Firewalls werden gesammelt, um diese zu umgehen.

Bedeutung und Ablauf der Discovery-Phase

In dieser Phase versuchen Angreifer, das Netzwerk wie ein IT-Administrator zu verstehen, um weitere Ziele zu identifizieren und Schwachstellen auszunutzen. Dabei bleiben sie in einem non-destruktiven Teil des Angriffs – das bedeutet, dass sie noch keine sichtbaren Schäden verursachen, sondern lediglich Informationen sammeln.

Die Discovery-Phase kann mehrere Stunden oder Tage dauern und stellt oft einen entscheidenden Wendepunkt dar, da die gesammelten Informationen über Netzwerkstrukturen und Sicherheitsmechanismen den gesamten weiteren Verlauf des Angriffs bestimmen.

Da Angreifer jetzt gezielt nach weiteren Zielsystemen suchen, um tiefer in das Netzwerk einzudringen, wird etwa 20-40% der gesamten Angriffszeit in diese Phase investiert.

Verteidigungsmaßnahmen

• Netzwerksegmentierung mit Firewalls: Eine effektive Segmentierung ist nur in Kombination mit einer Firewall sinnvoll, die den Datenverkehr überwacht und filtert. So wird verhindert, dass Angreifer sich unbemerkt durch das gesamte Netzwerk bewegen können.
• Deaktivierung ungenutzter Dienste: Unnötige Dienste oder Ports sollten abgeschaltet werden, um potenzielle Angriffsflächen zu minimieren.
• XDR-Lösungen: XDR erkennt verdächtige Aktivitäten wie systematisches Scannen oder unerwarteten Zugriff auf Verzeichnisse.

Fazit

Die Discovery-Phase ermöglicht es Angreifern, alle notwendigen Informationen zu sammeln, um den nächsten Schritt im Angriff vorzubereiten. Sie verbleiben dabei im nicht-destruktiven Teil des Angriffs. Wird diese Phase erkannt, kann der Angriff noch rechtzeitig gestoppt werden.

Im nächsten Beitrag unserer Blogreihe widmen wir uns der Phase Lateral Movement, in der Angreifer versuchen, sich innerhalb des Netzwerks weiter auszubreiten.

Möchten Sie sicherstellen, dass Angreifer in der Discovery-Phase erkannt und gestoppt werden? Kontaktieren Sie uns für eine Analyse und Optimierung Ihrer Sicherheitsstrategie.

Rufen Sie uns unter 06103 9707-500 an oder schreiben Sie uns eine E-Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein..