In unserer heutigen Welt, in der Digitalisierung, Automatisierung, Technologieeinsatz, softwaredefinierte Prozesse (SDN, SDR usw. und SDx im Allgemeinen), die Entwicklung neuer Anwendungen/Apps/APIs, der zunehmende Einsatz von Cloud Computing und die wachsende Verbreitung von IoT-Geräten immer schneller voranschreiten, beobachten wir, dass Code häufig unzureichende, veraltete oder gar keine Cybersicherheitsmaßnahmen aufweist. Die Folge ist eine wachsende Anzahl von Schwachstellen, die es Cyberkriminellen erleichtern, IT/OT-Systeme jeglicher Art auszunutzen. Besorgniserregend ist, dass dieser Trend unaufhaltsam ist. Zu den Bereichen, in denen die Bedrohung zunimmt, gehören Webanwendungen, mobile Apps/APIs, Cloud-Dienste, Biometrie, IoT-Umgebungen, Datenbanken und Anwendungszentren, Blockchain-Infrastrukturen, Touch-/Benutzeroberflächen, APIs, CAD, CRM, HR-ERP, unternehmenskritische Server wie DNS- und Webserver, kritische IT/OT-Anwendungen und industrielle Automatisierungssysteme (OT/ICS/SCADA/CPS). Cybersicherheit ist längst keine Option mehr, sondern eine absolute Notwendigkeit, um Cyberangriffe zu minimieren oder zu verhindern. Das DAIM (Defense and Intelligence Agency) ist darauf ausgelegt, proaktiv vor allen Arten von offensiven Cyberangriffen zu schützen und diese abzuwehren (einschließlich solcher, die versuchen, Systeme zu stören, zu deaktivieren, zu zerstören, zu manipulieren, zu beschädigen, zu erpressen, auszuspionieren, einzuschüchtern, Desinformation zu verbreiten, Systeme zu kapern usw.) und bietet maximale Vorsorge. Das DAIM fügt sich nahtlos in jede Umgebung ein, um seine Präsenz vollständig zu verbergen und sich selbst zu schützen. Es ist darauf vorbereitet, Operationen durchzuführen, um alle Arten von stillen, inkognito und getarnten Angriffsmodi zu deaktivieren/blockieren/abzubrechen, Zero-Day-Exploits und Tracker als Anti-Tracking-Maßnahme zu unterbinden, Spionage, Datenexfiltration, DoS/DDoS-Angriffe, schädliches Verhalten, schädliche Downloads und Installationen, heimtückische Verschlüsselung und Datenlöschung usw. zu verhindern.


daim-maid-figure-1bSCHWÄCHEN, VERHALTENSWEISEN UND BESONDERHEITEN, DIE CYBERANGRIFFE BEgünstigen.
Schwachstellen sind in der Tat Schwächen, Defekte, Fehler, Sicherheitslücken, Bugs, Störungen, Anomalien, Ausfälle, Fehler, Code-Brüche, Mängel, nicht verifizierte Vertrauensstellungen, fehlende sichere Updates, Irrtümer, mangelnde DevSecOps-Praktiken, Probleme, Versäumnisse, VM-zu-VM-Lecks usw. in Assets, Hardware, Firmware, Software, Personal, Protokollen, Plänen, Strategien, Gesetzen, Ansätzen, Techniken usw. Dynamische Schwachstellen sind Netzwerkkonfigurationsfehler, sowohl bekannte als auch Zero-Day-Schwachstellen. Schwachstellen können überall auftreten und identifiziert werden (an Land, auf See, in der Luft, im Weltraum und im Cyberspace).

(1) Auf Dateisystemebene. Verwendung unsicherer temporärer Dateien, Pufferüberlauf, TOCTOU-Schwachstellen („Race Condition“), Manipulation des anfälligen Pfads.

(2) Auf der Ebene der Daten-/Metadateneingabe. Verwendung kontaminierter, infizierter Daten, bösartige Eingaben auf Basis von Office-Dokumenten mit bösartigen Makros, Verwendung von Phishing-E-Mails, Verwendung kontaminierter Anwendungen/Apps, Verwendung von Clickjacking, Verwendung von Man-in-the-Middle-Angriffen, Verwendung von Anfragen usw.

(3) Auf Netzwerkebene. Falsche Reihenfolge der Netzwerkverbindungsvorgänge. Fehlende Verschlüsselung (mit mehreren Verschlüsselungsebenen) oder Authentifizierung (mit digitalen Signaturen, Hash-Funktionen, PUF usw.) für die Datenübertragung und -speicherung. Verwendung kontaminierter Daten/Metadaten. Verwendung kompromittierter Router/Gateways.

(4) Auf HSM-Ebene (Hardware-Sicherheitsmodul). Verwendung anfälliger PRNGs (Pseudozufallszahlengeneratoren), z. B. zur Generierung von Sequenznummern usw. Verwendung deterministischer Zufallsausgaben mit einem konstanten Startwert. Verwendung eines sensiblen Heap-Speichers, der vor der Freigabe nicht vollständig bereinigt wird.

(5) Auf Ebene von Drittanbietersoftware. Verwendung kontaminierter Daten/Metadaten/Code/Firmware. Ausführung einer Binärdatei/eines Bibliotheks-Ladevorgangs von einem relativen Pfad, der von einem Cyberangreifer/einer Schadsoftware kontrolliert werden kann. Verwendung von Anwendungen und APIs mit Sicherheitslücken, die die Übernahme der Kontrolle über das System, auf dem sie sich befinden, ermöglichen, sowie infizierte Anwendungen/APIs.

(6) Auf Sensorebene. Verwendung verunreinigter Daten/Metadaten. Die Verunreinigung von Sensordaten in vernetzten/autonomen Fahrzeugen kann zu sogenannten „Ghosting“-Phänomenen führen, bei denen nicht vorhandene Hindernisse „gesehen“ oder vorhandene Hindernisse „nicht gesehen“ werden, was zu Tragödien/Unfällen führen kann.

(7) Auf Softwareebene. Dies bezieht sich auf Code mit Pufferüberlauf-Schwachstellen. Es gibt vier Arten von Pufferüberläufen: Stack-Überläufe, Heap-Überläufe, Integer-Überläufe und Formatstring-Überläufe, die Überläufe auf der Ebene von Speicherstrukturen verursachen. Beispiele: `strcpy(dest_little_buffer, scr_big_input_buffer);` Ein weiteres Beispiel, das von der Morris-Wurm-Malware verwendet wird, ist: `gets(buffer);`

(8) Auf der Ebene KI-basierter Systeme. Trainieren und injizieren Sie Lerninformationen mit verfälschten Daten und Desinformationen, um Verwirrung zu stiften.

(9) Bezüglich Mängel in der Kryptographie (symmetrische/asymmetrische Verschlüsselungsmechanismen, digitale Signaturen, Hashing, PRNG, ZK, OT, SPMC, Secret Sharing usw.): Übertragung sensibler Informationen im Klartext (fehlende Verschlüsselung sensibler Daten oder Verwendung leicht zu knackender Verschlüsselungsalgorithmen), Verwendung von HTTP anstelle von HTTPS, Verwendung bereits kompromittierter oder gefährdeter kryptographischer Algorithmen wie MD5. Verwendung unzureichender/angreifbarer Algorithmen, Verwendung schwacher kryptographischer Schlüssel mit wenigen Bits. Verwendung anfälliger kryptographischer Schlüsselverwaltung, z. B. Arbeiten im Klartext und an unsicheren Standorten, Verwendung unsicherer Cloud-Dienste usw. Im Post-Quantenzeitalter sollten Post-Quanten- und/oder mehrschichtige Verschlüsselung mit unterschiedlichen, sehr robusten Algorithmen und extrem langen Schlüsseln verwendet werden.

daim-maid-figure-3(10) Auf Blockchain-Ebene und in all ihren Derivaten weist die Blockchain-Technologie zahlreiche Sicherheitslücken auf und findet zunehmend Anwendung: Sie wird in Kryptowährungen wie Bitcoin/BTC, Ethereum, Terra/Luna usw., in Smart Contracts, bei der Erstellung von NFTs (Non-Fungible Tokens), bei Zahlungen im Metaverse und in immersiven Umgebungen, in digitalen Inhalten mit Wow-Effekt (die den Kunden durch die Vergabe von Kryptowährungen und Anteilen überraschen, faszinieren und begeistern, um ein besonderes Erlebnis zu schaffen und den Kunden zu beeinflussen), im Identitätsmanagement usw. eingesetzt.

(11) Auf Hardwareebene. Wir sind zunehmend von anderen Ländern bei Chips abhängig, und bösartige Funktionen können in die Lieferkette integriert werden, unentdeckt bleiben und darauf warten, aus der Ferne aktiviert zu werden. (12) Auf der Ebene der Zugriffskontrolle. Und alle ihre Komponenten: Identifizierung, Authentifizierung, Autorisierung, Identitäts- und Kontoverwaltung usw.

(13) Auf der Ebene unzureichender Authentifizierung. Aufgrund von Problemen wie der Umgehung der Authentifizierung, der Nichtverwendung gegenseitiger Authentifizierung, der Nichtverwendung von MFA in SSO, dem Verlust der Authentifizierung für kritische Funktionen, dem Zugriff auf den Kanal durch Nicht-Endpunkt-Angreifer (MITM), der gefährlichen Verwendung von Biometrie usw.

(14) Unzureichende Eingabevalidierung. Aufgrund von Pufferüberlauf, fehlender Bereichsprüfung, Cross-Site-Scripting (CSS), Pfadmanipulation und Befehlsinjektion (SQL-Injection, Datenbankinjektion usw.). (15) Mangelhaftes Anmeldeinformationsmanagement. Aufgrund der Verwendung fest codierter Anmeldeinformationen und unzureichenden Schutzes dieser Anmeldeinformationen (Speicherung von Passwörtern im Klartext, ungeschützte Übertragung von Anmeldeinformationen bei der Interaktion mit Cloud-Diensten und anfällige Passwortmanager).

(16) Auf der Ebene von Indikatoren für mangelhafte Codequalität. Dazu gehören beispielsweise: die Verwendung von „NULL-Pointer-Dereferenzierung“, der Einsatz potenziell gefährlicher Funktionen, das Fehlen von DevSecOps und Code-Audits usw.

(17) Unzureichende Überprüfung der Authentifizierungsdaten. Dies umfasst das Herunterladen von Code ohne Integritätsprüfung, fehlende Unterstützung für Integritätsprüfungen, CSRF (Cross-Site Request Forgery) usw. (18) Mangelhafte Berechtigungen, Privilegien und Zugriffskontrollen. Dies umfasst das Ausführen mit unnötig hohen Berechtigungen, die Verwendung falscher Standardberechtigungen, unzureichende Zugriffskontrolle/Autorisierung usw.

 

(19) Auf der Ebene mangelhafter Software-Sicherheitskonfiguration und -wartung. Dies umfasst die Verwendung ungeeigneter Softwarekonfigurationen, die Nutzung von Sicherheitsfunktionen/-optionen, die während der Entwicklung nicht verwendet wurden, die Verwendung von Informationen aus Debug-Daten, mangelhaftes Patch-Management, die Verwendung veralteter Versionen von Drittanbieteranwendungen ohne in die IT/OT/CPS/ICS/IoT-Software integrierte Patches sowie die Verwendung kompilierter Routinen kompromittierter vertrauenswürdiger Entitäten bei der Erstellung von Anwendungen, Apps, APIs usw.

(20) Auf der Ebene vernetzter/autonomer Fahrzeuge (Pkw, Transporter, Lkw, Busse, Wohnmobile, Quads, Fahrzeugflotten, Panzer usw.). Schwachstellen in Code-Updates, Hardware/Code und Systemen, die einen unbefugten Fernzugriff auf den CAN-Bus (Controller Area Network) der Steuergeräte (Elektronische Steuergeräte; Steuergeräte für Airbag, Motor, Lenkung, Bremsen, Getriebe usw.) und des Notrufsystems ermöglichen (und dessen Funktionen manipulieren). Möglichkeit des unbefugten Fernzugriffs auf das schlüssellose Zugangssystem, wodurch das Entriegeln und Starten/Stoppen des Motors ermöglicht wird. Mängel in Fahrerassistenzsystemen (ADAS) und autonomen Fahrsystemen (ADS) für autonomes Ein- und Ausparken sowie unbefugtes Fahren (wodurch ferngesteuerte „Zombie“-Fahrzeuge entstehen können), die Fernsteuerung von Geschwindigkeit, Beschleunigung und Fahrverhalten ermöglichen. Beim Einparken mit aktiviertem ADAS in der Nähe einer Klippe könnte ein Cyberangriff dazu führen, dass das Fahrzeug in die Tiefe stürzt. Fehler im Infotainmentsystem (AM, FM, DAB/Digitalradio, USB, DVD, SDR usw.). Unbefugter Zugriff auf Anschlüsse wie USB und OBD-II (On-Board-Diagnose II). Manipulation des Reifendruckkontrollsystems (TPMS), die zu Fehlfunktionen führt. Fehler im Autopilot-Modus, die die illegale Aktivierung von Scheinwerfern, Bremsen, Lenkung usw. ermöglichen. Fernmanipulation, die die Deaktivierung des Wächtermodus ermöglicht, der verdächtige Bewegungen um das Fahrzeug herum erkennt und so Diebstahl erleichtert. Sicherheitslücken in Bluetooth, V2V, V2I, V2X, 4G, 5G, LoRaWAN, Sigfox, ZigBee, WLAN, GPS, Satellitentelefonie usw. Fehler in Sensor-/Kamera-/Antennensystemen (Ultraschall, Radar, Sonar, LiDAR (Light Detection and Ranging), optische Systeme, Röntgen, Infrarot, Laser usw.). Schwachstellen in der elektromagnetischen Verträglichkeit ermöglichen es Angreifern, Störungen zu manipulieren. Diese Sicherheitslücken ermöglichen die Fernsteuerung aller Fahrzeugfunktionen, wie z. B. Starten, Fahren, Beschleunigen, Lenkradsperre, Auslösen der Airbags, Öffnen und Schließen von Fenstern und Türen sowie das Aktivieren der Heizung. Sie können außerdem den Kraftstoffstand oder die elektrische Ladung manipulieren, um einen Fahrzeugausfall herbeizuführen, den Standort überwachen und manipulieren sowie alle Fahrzeuginsassen visuell und akustisch überwachen usw.

daim-maid-figure-4Strategien, Verhaltensweisen, Techniken und Mechanismen bei Cyberangriffen.
Es besteht ein enger Zusammenhang zwischen Schwachstellen/Angriffsvektoren (wie Fehlern, Bugs usw.) und den Exploits, die diese ausnutzen, um Systeme anzugreifen, zu infizieren und zu kompromittieren. Beispielsweise nutzt die wurmartige Malware „Win32/Nimda.A@mm“ die „Web Server Folder Traversal“-Schwachstelle, um Microsoft IIS-Webserver (Internet Information Server) zu infizieren. Die „MIME Header“-Schwachstelle ermöglicht die Ausführung, sobald das Opfer eine infizierte E-Mail liest oder in der Vorschau anzeigt. Angriffsflächen sind Bereiche für Cyberangriffe; sie bestehen aus einer Vielzahl von Angriffsvektoren/Schwachstellen. Härtung bezeichnet die Techniken und Methoden, die die Angriffsflächen reduzieren oder in manchen Fällen sogar eliminieren.

Zu den Mechanismen und Techniken, die bei lokalen und entfernten Cyberangriffen eingesetzt werden, gehören:

(1) Missbrauch von Funktionalitäten. Zum Beispiel „syscall“.

(2) Spoofing. Es gibt verschiedene Arten: (i) „Content-Spoofing“ (durch Manipulation von Konfigurationsdatei-Suchpfaden; Fälschung der Datenquelle; Fälschung der Prüfsumme/CRC; Fälschung von UDDI/ebXML-Nachrichten). (ii) Identitäts-Spoofing (MITM (Man-in-the-Middle), Principal-Spoofing); Erstellung bösartiger Clients; Synthese von Peer-Entitäten für bösartige P2P-Kommunikation; Manipulation von Client-Server-Protokollen (z. B. durch Reflektionsangriffe auf ein Authentifizierungsprotokoll); XML-Routing-Detour-Angriffe; Angriffe externer Entitäten; Phishing (basierend auf Social Engineering wie Spear-Phishing, SMS-Phishing, Whale-Phishing, Mobile-Phishing oder Mob-Phishing usw.); ARP-Poisoning (Fälschung der Beziehung zwischen MAC-/L2- und IP-/L3-Adressen). DNS-Poisoning oder „Pharming“ (Verfälschung der Beziehung zwischen IP/L3-Adressen und URL/L5); Diebstahl von Web-Session-Cookies; Verwendung von Trackern zum Tracking.

(3) Ausnutzung von Authentifizierungslücken. Beispielsweise wird auf die Verwendung von Multi-Faktor-Authentifizierung (MFA) verzichtet, weil der Authentifizierungsmechanismus mangelhaft ist (z. B. Verwendung von Passwörtern mit geringer Entropie, fehlender Mechanismus zur Begrenzung der Wiederholungsversuche, biometrische Daten, die durch Sicherheitslücken in Apps und APIs leicht gefälscht werden können) usw.

(4) Ausnutzung von Autorisierungslücken. Das Ausnutzen eines Pfades und der Zugriff auf Funktionalitäten, die durch Autorisierungsframeworks/ACLs/Berechtigungslisten/Zugriffskontrollmatrizen nicht ausreichend eingeschränkt sind. Beispielsweise kann die Autorisierung aufgrund vorhandener Sicherheitslücken ausgenutzt werden.

(5) Versuch der Ressourcenerschöpfung. Beispielsweise durch Ausnutzung von Ressourcenerschöpfung, um einen Denial-of-Service-Angriff herbeizuführen. Ressourcenerschöpfung durch Flooding und unkontrollierte Ressourcenzuweisung. Ressourcenerschöpfung durch Informationslecks und/oder einen XML-Parser-Cyberangriff.

(6) Ausnutzen von Berechtigungen und Vertrauen. Zum Beispiel durch: (i) Rechteausweitung. Dies beinhaltet den direkten Zugriff auf ausführbare Dateien oder die Verwendung einer benutzerdefinierten Konfigurationsdatei zur Ausführung von Befehlen, die die Berechtigungen erhöhen. Für die „Persistenz“-Taktik wird die „New Service“-Technik verwendet usw. (ii) Übernahme eines Ausführungsthreads (durch Implementierung eines Rückrufs einer Systemroutine (z. B. AWT Queue) oder durch Abfangen einer Ausnahme/eines Signals aus einem privilegierten Block). (iii) Unterwanderung von Codesignatur-/Identitätsmechanismen, um Berechtigungen zu erlangen (durch Aufrufen von signiertem Code aus einer anderen Sprache in einer Sandbox-Umgebung, die dies zulässt, oder durch Verwendung der URL/Codebasis/des GAC (Quellcode), um die Sandbox von der Berechtigung zu überzeugen, oder durch Erlangen des Signaturschlüssels und des schädlichen Signaturcodes aus einer Produktionsumgebung). (iv) Angriffe auf Programme, die privilegierte Betriebssystemressourcen schreiben. Bei der „Ausnutzung des Clientvertrauens“ können wir Folgendes identifizieren: (i) MITM (Man-in-the-Middle). Die Cyber-Angreifer-Einheit positioniert sich zwischen Sender und Empfänger und gibt sich als beide aus. (ii) Erstellung eines bösartigen/manipulierten Clients. (iii) Manipulation von Client-Server-Protokollen (z. B. durch einen Reflektionsangriff auf ein Authentifizierungsprotokoll). (iv) Abfangen sensibler Client-Daten (durch Extrahieren von Daten, die in Client-Distributionen (Thick oder Thin) eingebettet sind) oder durch Extrahieren von Daten aus sensiblen Caches, die in Client-Distributionen (Thick oder Thin) eingebettet sind). (v) Entfernen wichtiger Client-Funktionen (Unterlaufen von Autorisierungsprüfungen (Programmsicherheit, „Cache-Filterung“) oder durch Entfernen von Filtern (Eingabe- und Ausgabefilter, „Datenmaskierung“) oder durch Entfernen/Kurzschließen der Logik („Purse“) durch Löschen/Mutieren von „Cash“ und „Decrements“).

daim-maid-figure-5(7) Injection-Angriffe. Beispielsweise das Einschleusen von Inhalten in die Steuerungsebene über die Datenebene (oder Injection). Es gibt verschiedene Methoden: „Blue Boxing“ (analoge In-Band-Schaltsignale); „Parameter-Injection“ (Einschleusen von Argumenten, einer vom Benutzer bereitgestellten Variable, die an Dateisystemaufrufe übergeben wird); Ressourcen-Injection. Es gibt verschiedene Arten von Injection: lokale/remote Code-Injection, Befehls-Injection, HTML-Injection, PHP-Code-Injection, PHP-Objekt-Injection, lokale/remote Shell-Befehls-Injection, SQL-Injection in Datenbanken, XML-Injection, Betriebssystem-Befehls-Injection, Skript-Injection, externe Entitäts-Injection usw.

(8) Cyberangriffe auf Datenstrukturen. Böswillige Handlungen werden auf der Ebene von Informationsstrukturen vorgenommen.

(9) Cyberangriffe, die Datenexfiltration/Datenlecks beinhalten. Diese ermöglichen Spionage, Informationsdiebstahl, Erpressung usw. DAIM integriert DLP-Technologie (Data Leak Prevention), um diese schädlichen Aktionen zu blockieren.

(10) Cyberangriffe zur Ressourcenmanipulation. Hierbei geht es um die Modifizierung von Komponenten.

(11) Cyberangriffe, die auf Protokollmanipulation beruhen. Dies umfasst böswillige Angriffe auf alle Arten von Client/Server-, P2P- usw. Protokollen.

(12) Cyberangriffe, die auf Zeit und Zustand abzielen. Dabei werden Zeit- und Zustandswerte illegal verändert.

(13) Cyberangriffe, die die Manipulation von Informationen/Daten/Metadaten beinhalten. Dies umfasst die unbefugte Veränderung von Informationen/Code.

(14) Cyberangriffe, die die Manipulation von Wahrheit/Informationen (oder Desinformation) beinhalten. Dies umfasst Verwirrung stiften, Realitätsveränderungen, Ablenkung, Verzerrung der Wahrheit, Spaltung, Panikmache, Beeinflussung von Wählerstimmen usw.

(15) Cyberangriffe auf den Informationsfluss. Beispiele hierfür sind das Versenden falscher Nachrichten, das unerlaubte Wiederholen von Nachrichten und das Verändern von Nachrichten während der Übertragung im Man-in-the-Middle-Stil.

(16) Cyberangriffe mit Systemmissbrauch. Hierbei wird Schadcode zum Zweck eines Cyberangriffs in das System eingeschleust.

(17) Cyberangriffe, die die Manipulation von Webseiten/Websites beinhalten. Dies umfasst die Veränderung von Inhalten (Text/Metadaten, Bilder, Audio, Video, Podcasts usw.), um Rufschädigung, Mobbing, Unternehmensschäden, Desinformation usw. zu verursachen, mithilfe synthetischer Medien und Deepfakes. Ebenfalls eingeschlossen ist das Einschleusen von Cyberangriffs-/Malware-Code zur massenhaften Verbreitung von Infektionen.

(18) Session-Hijacking-Cyberangriffe. Durch „Cookie-Diebstahl“ wird das Opfer dazu verleitet, Sitzungen in E-Mails, Online-Banking usw. standardmäßig geöffnet zu lassen.

(19) Denial-of-Service- (DoS) und Distributed-Denial-of-Service- (DDoS) Cyberangriffe. Ziel dieser Angriffe ist es, autorisierte Benutzer/Organisationen am Zugriff auf ihre Ressourcen zu hindern oder diesen vollständig zu verlangsamen. Dies geschieht durch Überlastung der Systemressourcen, Überflutung des Kommunikationskanals mit Datenmüll usw.

(20) Cyberangriffe, bei denen es um den unbefugten Zugriff auf Dienste, Anwendungen, Websites, Clouds usw. geht.

(21) Cyberangriffe auf die Internetinfrastruktur. Dies umfasst Cyberangriffe auf DNS, ARP, dynamische Routing-Protokolle in Routern wie BGP usw.

(22) Eindringen in Sicherheitsprozesse und -protokolle. Zum Beispiel durch Man-in-the-Middle-Angriffe. (23) Schwachstellen von Kryptografie. Dies umfasst Cyberangriffe auf schwache kryptografische Algorithmen (für Verschlüsselung, digitale Signaturen, Hashfunktionen wie MD5 usw.), kurze Verschlüsselungsschlüssel usw. sowie auf mangelhaftes Schlüsselmanagement. Cyberangriffe mithilfe von Quantencomputern usw.

(24) Cyberangriffe mittels Reverse Engineering (Dekompilieren und Erhalten des Quellprogramms durch Entschlüsseln der ausführbaren Datei), Social Engineering (Verleiten des Benutzers zu gefährlichen Handlungen, z. B. Ausführen eines Anhangs, Verwendung eines Spear-Phishing-Links/Anhangs/Buttons/Icons, Scannen eines infizierten QR-Codes, Besuch einer bösartigen Website, Aufladen des Mobiltelefons/PCs/Fahrzeugakkus an einer kontaminierten öffentlichen Ladestation usw.), Identitätsdiebstahl (fehlende Verschlüsselung und digitale Signatur, fehlende Verwendung von IAM usw.).

(25) Cyberangriffe mittels der Taktik des „ersten Zugriffs“. Hierbei wird entweder die Technik des „Spear-Phishing-Links“ oder die Technik der „Replikation über Wechseldatenträger“ (z. B. USB-Sticks) eingesetzt. (26) Cyberangriffe mittels der Taktik der Rechteausweitung. Hierbei wird die Technik des „neuen Dienstes“ eingesetzt.

(27) Cyberangriffe mittels der „C&C/Command and Control“-Taktik. Dabei wird die Technik des „häufig genutzten Ports“ angewendet.

(28) Cyberangriffe unter Anwendung der Taktik der „lateralen Bewegung“. Dabei wird die Technik der „Replikation mittels Wechseldatenträgern“ eingesetzt.

(29) Cyberangriffe unter Anwendung der „Persistenz“-Taktik. Zu den eingesetzten Techniken gehören „Null-Eskalation“, „Neuer Dienst“, „Speicherbeschädigung“, „Integer-Überlauf“, „Stack-basierter Pufferüberlauf“, „Head-basierter Pufferüberlauf“, „Lokale/Remote-Code-/Befehlsausführung“ usw.

daim-maid-figure-6Abschließende Überlegungen.
Das DAIM setzt proaktiv verteilte redundante KI, Strategien, Verhaltensweisen, Mechanismen, Operationen, TTPs (Taktiken, Techniken und Verfahren) usw. zur Verteidigung und zum Schutz bestehender Assets auf allen Ebenen gegen alle Arten von perversen/bösartigen Cyberangriffen (bekannte und unbekannte oder Zero-Day-Schwachstellen, getarnte, unterschwellige, versteckte, getarnte, anonymisierte usw.) ein, die von überall herkommen (Cloud-, Fog-, Edge-Computing-, IoT-Umgebungen und -Systeme, OT-Umgebungen (SCADA, CPS, ICS, SPS usw.), IT-Umgebungen (Datenbanken, ERP, CRM usw.), Umgebungen mit bösartiger KI, Botnetze, Deep- und Darknet, versteckte immersive Metaversen, P2P, C/S, Umgebungen mit Technologie mit Schwachstellen und Zero-Day-Cyberangriffen, mobile und Satellitenumgebungen (2G, 3G, 4G, 5G, 6G, LoRaWAN, WLAN bis Version 5G). DAIM nutzt multidimensionale Schutzmechanismen gegen Zero-Day- und bekannte Cyberangriffe, überwacht kontinuierlich aus allen Perspektiven, reagiert proaktiv und frühzeitig durch Blockierung, verwaltet verschachtelte Authentifizierung/Autorisierung, bietet sicheren Fernzugriff mit Zero-Day-Sicherheit, DMZ, VPN und Sandboxing, eliminiert/blockiert Angriffsflächen, wendet sicheres Konfigurations- und Patch-Management an, implementiert NGFW, DevSecOps, DLP, Anwendungs-/App-/API-Whitelisting und erstellt und generiert verteidigungsfähige Umgebungen mit Zero-Day-Sicherheit, Zero-Day-Sicherheit, bekannten Cyberangriffen und überwacht kontinuierlich alle Perspektiven, reagiert proaktiv durch Blockierung usw., verwaltet verschachtelte Authentifizierung/Autorisierung, implementiert sicheren Fernzugriff mit Zero-Day-Sicherheit, DMZ, VPN und Sandboxing, eliminiert/blockiert Angriffsflächen, wendet sicheres Konfigurations- und Patch-Management an, implementiert sicher NGFW, DevSecOps, DLP, Anwendungs-/App-/API-Whitelisting und erstellt und generiert verteidigungsfähige Umgebungen mit Zero-Day-Sicherheit, Zero-Day-Sicherheit, statischen und dynamischen Audits. Anonymisierung/Mimikry usw. Das Unternehmen Hornetsecurity weist in seinem Bedrohungsbericht darauf hin. Der Cybersecurity-Bericht 2021/2022 zeigt, dass 40 % aller eingehenden E-Mails ein erhebliches Einfallstor für Cyberangriffe darstellen; dabei werden Anhänge, QR-Codes, Links, Schaltflächen, manipulierte Symbole, Phishing/Social Engineering usw. verwendet.
LITERATUR:
- Areitio, J. „Information Security: Networks, Computing and Information Systems“. Cengage Learning-Paraninfo. 2022.
- Areitio, J. „Invisible Identification of Malicious Actions and Behaviors Integrated into Cyberattacks“. Conectrónica Magazine. Nr. 255. März-April 2023.
- Areitio, J. „Reprogramming of Offensive Cyberattacks by the DAIM/MIAD for Neutralization“. Conectrónica Magazine. Nr. 254. Februar 2023.
- Wittkop, J. „The Cybersecurity Playbook for Modern Enterprises: An Leitfaden
zur
Prävention

Autor: Prof. Dr. Javier Areitio Bertolín – Direktor der Forschungsgruppe Netzwerke und Systeme