EINLEITUNG.
DAIM integriert eine Vielzahl von Technologien, die sich in einer Automatisierung mit hoher Proaktivität auf niedrigster Ebene manifestieren (Blockieren, Neutralisieren, Deaktivieren usw., bevor Anzeichen für schädliche Aktionen, Operationen oder Manöver erkennbar werden). Diese Automatisierung basiert auf Playbooks in verschiedenen Dimensionen (dynamisch gespeist durch Wissensdatenbanken, Informationen zu Schwachstellen und Exploits, Datenanalyse (mit Big Data und Datenanalyse), Informationen zu Cyberbedrohungen, TH (Threat Hunting), ZT (Zero Trust), ZK (Zero Knowledge) usw.). Kern von DAIM ist eine redundante, cyberresistente Umgebung künstlicher Intelligenz (KI), die alle ihre Ableitungen umfasst (Convolutional Neural Networks und Deep Neural Networks, NLP (Natural Language Processing), beschleunigtes maschinelles Lernen (Deep Learning, Nested Machine Learning), mehrschichtige Expertensysteme usw.). DAIM untersucht alle Ziele, einschließlich derjenigen, die aufgrund ihrer Verwundbarkeit am ehesten zuerst Opfer von Cyberangriffen werden. DAIM wirkt gegen alle Arten von böswilligen „Manövern“ (Versuche, sich seitlich zu bewegen, Aufklärung, Verschleierung, Löschung von Cyber-Beweismitteln, Spuren der Cyberforensik usw.) und böswilligen „Operationen“ (Versuche, auszuführen, zu lesen, zu schreiben, zu modifizieren, zu sammeln, zu übermitteln usw.).

Cybersicherheit-F2DAIM ist eine defensive Cyberwaffe, die entwickelt wurde, um alle Arten von schädlichen Operationen/Verhaltensweisen, die bei offensiven Cyberangriffen im Allgemeinen erforderlich sind, zu inaktivieren, zu neutralisieren, zu blockieren, zu deaktivieren, abzuschwächen usw. Offensive Cyberangriffe können von Crackern, Hackern, Malware-Cyberwaffen, Cyberkriminellen, Cyberfarmen und Netzwerken KI-basierter Roboteragenten ausgehen, die in der Lage sind, Cyberintrusionen, Cyberpenetrationen, offensive Cyberangriffe, Malware als offensive Cyberwaffe usw. zu generieren. Einige einfache Malware-basierte Cyberangriffe sind: „Zotob“, das einen Pufferüberlauf als Angriffsvektor nutzt, ein lokales Computergerät angreift, Informationen verfälscht und Malware als Wurm installiert; „debianadmin“, das eine Kernel-Schwachstelle als Angriffsvektor nutzt, das Betriebssystem angreift, Informationen verfälscht und einen Denial-of-Service-Angriff auslöst; „slammer“, das eine Fehlkonfiguration als Angriffsvektor nutzt, das Netzwerk angreift, Informationen aufdeckt und Malware/Würmer in Netzwerken installiert. „samy XSS“ nutzt „Design-Schwachstellen“ als Angriffsvektor und zielt auf den Benutzer ab, wodurch Informationen gestört und Webseiten kompromittiert werden; „yamanner“ nutzt „Social Engineering“ als Angriffsvektor und zielt auf Anwendungen (E-Mail-Server usw.) ab, wodurch Informationen offengelegt und Webseiten kompromittiert werden; usw.

Cybersicherheit-f3Verteidigungs- und Schutzmaßnahmen und -operationen des DAIM.
Das DAIM agiert dynamisch und führt unzählige Operationen zur Neutralisierung, Blockierung, Inaktivierung, Abschwächung, Deaktivierung usw. (unauffällig und kontinuierlich aktualisiert) gegen alle Arten von Angriffen durch Cyberattacken durch:
(1) Manöver zur Abfangung von Kommunikationen. Das DAIM blockiert alle Arten von Aufklärungs- und Scanversuchen des Perimeternetzwerks sowie das Ausspähen offener Netzwerke.
(2) Manöver zur Störung und Beeinträchtigung drahtloser Kommunikation (OTA und Satellit). Das DAIM blockiert alle Arten von Versuchen, die Verfügbarkeit drahtloser Kommunikation durch Störungen zu reduzieren oder zu verhindern, sowie alle Versuche zur Aufklärung und zum Scannen des Perimeternetzwerks und zum Ausspähen offener Netzwerke.
(3) Manöver/Operationen mit Beeinträchtigungs-/Störungseffekten durch Nutzung unautorisierter Ports/Protokolle/Dienste. Das DAIM blockiert alle Arten von böswilligen Versuchen, nicht autorisierte oder schwach konfigurierte, mit dem Internet verbundene Informations-/OT-Systeme auszunutzen.
(4) Manöver/Operationen mit Abfangen/Exfiltration und Störungs-/Beeinträchtigungseffekten durch Daten- und Datenverkehrsbewegungen über den Perimeter. Das DAIM blockiert alle Arten von böswilligen Versuchen, Command-and-Control-Kanäle (C&C) zu Malware, kompromittierten Komponenten oder Servern des Cyberangreifers einzurichten. Es neutralisiert außerdem alle Arten von böswilligen Versuchen, die Exfiltration von Daten/Informationen aus kompromittierten Informations-/OT-Systemen der Organisation zu ermöglichen. Das DAIM blockiert alle Arten von böswilligen Versuchen, die Offenlegung kritischer/sensibler Informationen durch autorisierte Benutzer zu bewirken. Das DAIM blockiert alle Arten von böswilligen Versuchen, durch die Offenlegung sensibler Informationen die Verfügbarkeit zu beeinträchtigen. Das DAIM blockiert alle böswilligen Versuche, sensible Informationen verdeckt vom internen Netzwerk an ein externes Ziel zu übertragen.
(5) Operationen mit Beeinträchtigungs- und Störungseffekten durch einfache DoS-Angriffe (Denial of Service). Das DAIM blockiert alle böswilligen Versuche, das Perimeternetzwerk zu scannen/aufklären.
(6) Operationen mit Beeinträchtigungen/Störungen durch DDoS-Angriffe (Distributed Denial of Service). Das DAIM blockiert alle böswilligen Versuche, das Perimeternetzwerk zu scannen/aufklären und Nachrichten an eine bestimmte Gruppe von Perimeternetzwerkadressen zu senden, um Dienste zu verweigern.
(7) Operationen mit Störungen/Beeinträchtigungen durch gezielte DDoS-Angriffe (Distributed Denial of Service). Das DAIM blockiert alle böswilligen Versuche, gezielte und dauerhafte Sniffer auf den Informations-/OT-Systemen und -Netzwerken der Organisation zu installieren und die vom Angreifer ausgewählten Dienste oder Funktionen zu beeinträchtigen oder zu verweigern.
(8) Manöveroperationen mit Beeinträchtigungen/Störungen durch physische Angriffe auf die Einrichtungen/Dienste der Organisation. Das DAIM blockiert alle böswilligen Versuche, auf die Einrichtungen/Dienste der Organisation einzuwirken.
(9) Manöveroperationen mit Störungen/Beeinträchtigungen durch physische Angriffe auf die Infrastruktur, die die Dienste der Organisation unterstützt. Das DAIM blockiert alle böswilligen Versuche, auf die Infrastruktur einzuwirken, die die Dienste/Einrichtungen der Organisation unterstützt.
Cybersicherheit-f4(10) Manöver mit Störungs-/Beeinträchtigungseffekten durch Cyber-physische Angriffe auf die Einrichtungen/Dienste der Organisation. Das DAIM blockiert alle böswilligen Versuche, Cyber-physische Angriffe auf die Dienste/Einrichtungen der Organisation durchzuführen.
(11) Operationen, die das Abfangen/Exfiltrieren von Daten durch Scavenging-Cyberangriffe (Durchsuchen von physischem und digitalem Datenmüll) in Cloud-Umgebungen (Cloud-/Fog-/Edge-Computing) beinhalten. Das DAIM blockiert alle böswilligen Versuche, C&C-Kanäle für Malware oder kompromittierte Komponenten einzurichten, sowie alle böswilligen Versuche, unvollständige oder unsichere Datenlöschung in mandantenfähigen virtualisierten Umgebungen auszunutzen oder die Isolation in mandantenfähigen virtualisierten Umgebungen (basierend auf virtuellen Maschinen/VMs, Containern/Docker usw.) zu verletzen.
(12) Operationen, die die unbefugte Nutzung durch Cyberangriffe zum Aufspüren von Passwörtern und zum Erzwingen von Anmeldeversuchen mittels Brute-Force-Angriffen beinhalten. Das DAIM blockiert alle böswilligen Versuche, heimlich einen Kommunikationskanal zum gesamten Unternehmen oder zu einem Zielsystem einzurichten oder zu nutzen. Es blockiert außerdem alle böswilligen Versuche, Befehle an ein Zielsystem zu übermitteln (z. B. Login).
(13) Operationen mit jeglichen Auswirkungen durch ungezieltete Zero-Day-Cyberangriffe. Das DAIM blockiert alle böswilligen Versuche von Cyberangriffen oder ungezielte Zero-Day-Cyberangriffe.
(14) Operationen mit Abfangwirkungen durch externes Session Hijacking. Das DAIM blockiert alle böswilligen Versuche, exponierte Netzwerke auszuspionieren.
(15) Operationen mit Abfangwirkungen durch internes Session Hijacking. Das DAIM blockiert alle böswilligen Versuche, exponierte Netzwerke auszuspionieren oder interne Aufklärung durch den Cyberangreifer oder Malware durchzuführen.
(16) Manöver/Operationen mit Beeinträchtigungen/Störungen, Beschädigungen/Modifikationen/Einfügungen durch externe MITM-Angriffe (Man-in-the-Middle) zur Manipulation des Netzwerkverkehrs. Das DAIM blockiert alle Arten von böswilligen Versuchen, externe Netzwerke (z. B. ISPs/Internet Service Provider), mit denen die Netzwerke der Organisation verbunden sind, abzufangen, sowie alle Arten von böswilligen Versuchen, den Netzwerkverkehr auf Basis des Abfangens zu analysieren und gefälschten, schädlichen Netzwerkverkehr einzuschleusen.
(17) Manöver/Operationen mit Beeinträchtigungen/Störungen, Beschädigungen/Modifikationen/Einfügungen durch interne Man-in-the-Middle-Angriffe (MITM) zur Manipulation des Netzwerkverkehrs. Das DAIM blockiert alle Arten von böswilligen Versuchen, den Netzwerkverkehr auf Basis des Abfangens zu analysieren und gefälschten, schädlichen Netzwerkverkehr einzuschleusen.
(18) Manöver/Operationen mit Abfang-/Exfiltrationseffekten durch Social Engineering von außen zur Informationsgewinnung. Das DAIM blockiert alle Arten von böswilligen Versuchen, Informationen über die Organisation durch Open-Source-Recherche (in sozialen Medien, Foren, im Darknet usw.) zu sammeln. Das DAIM blockiert alle Arten von böswilligen Versuchen, durch vorgetäuschte psychologische Manipulation Cyberangriffe gegen Schlüsselpersonal durchzuführen (Spear-Phishing, Whale-Phishing usw.).
(19) Manöver/Operationen mit Abfang-/Exfiltrationseffekten durch Social Engineering von innen heraus, um Informationen zu erlangen. Das DAIM blockiert alle Arten von böswilligen Versuchen, durch vorgetäuschte psychologische Manipulation Cyberangriffe gegen Schlüsselpersonal durchzuführen (Spear-Phishing, Whale-Phishing usw.).
(20) Manöver/Operationen mit Beschädigungs-/Modifikations-/Einfügungs- oder Exfiltrations-/Abfangeffekten durch gezielte Cyberangriffe, die die persönlichen Geräte von Schlüsselmitarbeitern kompromittieren. Das DAIM blockiert alle böswilligen Versuche, Informationen durch Open-Source-Discovery der Organisation zu sammeln. Es blockiert auch alle böswilligen Versuche, durch vorgetäuschte Spear-Phishing-Cyberangriffe oder die Erstellung gefälschter/irreführender Websites zu gelangen. Darüber hinaus blockiert es alle böswilligen Versuche, bekannte Schwachstellen in mobilen Systemen (Smartphones, Tablets, PCs, IoT-Geräte usw.) auszunutzen. Es blockiert außerdem alle böswilligen Versuche, extern genutzte IT/OT-Geräte oder -Systeme zu kompromittieren, die wieder in das Unternehmen eingeführt werden. Ebenso blockiert es alle böswilligen Versuche, die IT/OT-Betriebssysteme des Unternehmens zu kompromittieren, um Datenexfiltration zu ermöglichen. Schließlich blockiert es alle böswilligen Versuche, sensible Informationen auf extern genutzte IT/OT-Systeme oder -Geräte herunterzuladen, die wieder in das Unternehmen eingeführt werden.
(21) Operationen mit korrumpierenden/verändernden/einfügenden Auswirkungen durch gezielte Cyberangriffe auf die Lieferkette und Ausnutzung kritischer Hardware, Firmware oder Software. Das DAIM blockiert alle böswilligen Versuche, Informationen durch Open-Source-Discovery der Unternehmensinformationen zu sammeln. Es blockiert auch alle böswilligen Versuche, Scheinfirmen zu gründen und zu betreiben, um Schadsoftware in die Lieferkette einzuschleusen. Darüber hinaus blockiert es alle böswilligen Versuche, Systeme in einem anderen Unternehmen zu kompromittieren, um sich Zugang zur Lieferkette zu verschaffen. Es blockiert auch alle böswilligen Versuche, veränderte/gefälschte Hardware (z. B. Hardware-Trojaner) in die Lieferkette einzuschleusen.
Cybersicherheit-F5-1(22) Koordinierte Cyberkampagnen mit vielfältigen Auswirkungen mittels mehrstufiger Cyberangriffe (z. B. „Hopping“). Das DAIM blockiert alle Versuche, gezielte Schadsoftware in die Informations-/OT-Systeme und IT/OT-Systemkomponenten der Organisation einzuschleusen. Es blockiert außerdem alle Versuche, Schwachstellen in den internen IT/OT-Systemen der Organisation auszunutzen. (23)
Koordinierte Cyberkampagnen mit vielfältigen Auswirkungen, die interne und externe Cyberangriffe auf mehrere IT/OT-Systeme und bestehende Technologien kombinieren. Das DAIM blockiert alle Versuche, Schadsoftware in die Organisation einzuschleusen. (
24) Koordinierte Cyberkampagnen mit vielfältigen Auswirkungen, die mehrere Organisationen angreifen, um spezifische Informationen zu erlangen oder das gewünschte Ergebnis zu erzielen. Das DAIM blockiert alle Versuche, Systeme eines Partnerunternehmens oder extern genutzte und wieder in die Organisation eingeführte IT/OT-Systeme oder -Geräte zu kompromittieren. Es blockiert außerdem alle Versuche, Systeme anderer Organisationen zu kompromittieren, um sich Zugang zur Lieferkette zu verschaffen. Darüber hinaus blockiert es alle böswilligen Versuche, Kommunikationskanäle zur gesamten Organisation oder zu einem Zielsystem herzustellen oder zu nutzen. Ebenso blockiert es alle Arten von böswilligen Versuchen, gezielte Schadsoftware in die Komponenten des IT/OT-Informations-/Betriebssystems oder in das IT/OT-Informations-/Betriebssystem selbst einzuschleusen.
(25) Eine koordinierte Cyberkampagne mit allen Arten von Auswirkungen, die Cyberangriffe über die Systeme der Organisation von einer bestehenden Präsenz aus nutzt. Das DAIM blockiert alle Arten von böswilligen Versuchen, C&C-Kanäle zum Cyberangreifer, zur Schadsoftware oder zu kompromittierten Komponenten herzustellen. Ebenso blockiert es alle Arten von böswilligen Versuchen, die Isolation in Multi-Tenant-virtualisierten Umgebungen (mit VMs, Containern/Dockers usw.) zu verletzen. Ebenso blockiert es alle Arten von böswilligen Versuchen, Schwachstellen in den internen IT/OT-Systemen der Organisation auszunutzen.
(26) Eine koordinierte Cyberkampagne mit allen Arten von Auswirkungen, die kontinuierliche, adaptive und sich weiterentwickelnde Cyberangriffe auf Basis detaillierter Überwachung nutzt. Das DAIM blockiert alle Arten von böswilligen Cyberangriffen, Cyberpenetrationen und Cyberattacken.
(27) Eine koordinierte Cyberkampagne/Operation mit vielfältigen Auswirkungen durch Cyberangriffe mit externen (von außen), internen (von innen) und Lieferketten- (Lieferanten-) Angriffsvektoren. Das DAIM blockiert alle Arten von böswilligen Cyberangriffen, Cyberpenetrationen und Cyberattacken (z. B. Webangriffe wie „unerwünschte Push-Werbung von Websites“, „Einschleusen ungültiger Dienste und Gerätetreiber in die Registry“, „Einschleusen ungültiger Deinstallationsprogramme in die Registry“ usw.). Beispiele für Cyberangriffsvektoren sind: „Zugriff auf, Abfangen und Modifizieren von HTTP-Cookies“, „Erzwingen eines Integer-Überlaufs“, „Cyberangriffe mit gemeinsam genutzten Daten“, „Herbeiführen eines Pufferüberlaufs zur Deaktivierung der Eingabevalidierung“ und „SOAP-Array-Überlauf“.

Cybersicherheit-F5STRUKTURIERUNG OFFENSIVER CYBERANGRIFFE: IDENTIFIZIERUNG RELEVANTER ELEMENTE.
Offensive Cyberangriffe werden gemäß dem GB57-Modell anhand der folgenden Phasen und Muster spezifiziert: (1) Startpunkt. Basierend auf Social Engineering, Spear-Phishing in E-Mails (die infizierte Links, Schaltflächen, Symbole oder Anhänge enthalten können), CSS (Cross-Site-Scripting), Shellcode-Downloadern, Trojaner-Downloadern, Phishing-E-Mails, die auf kompromittierte Websites mit JavaScript weiterleiten, das den Webbrowser des Clients dazu veranlasst, einen iFrame zu laden, der schädliche Inhalte einblendet usw. (2) Ausnutzung. Basierend auf DNS-Poisoning/Pharming, Zombie-Attacken, Rechteausweitung und Aufrechterhaltung des Zugriffs/der Persistenz. (3) Nach der Ausnutzung. Basierend auf der Deaktivierung von Antivirenprogrammen, Command-and-Control-Systemen (C&C), nicht wiederherstellbaren Low-Level-Löschungen (oder Wipers), unautorisierter Datenerfassung, illegaler Datenmodifikation usw. werden offensive Cyberangriffe gemäß dem lZ64-Modell anhand der folgenden Phasen und Muster spezifiziert: (1) Benutzerpunkt: Ein Benutzer mit einem anfälligen Computer besucht eine kompromittierte Website/Seite, die einen unsichtbaren iFrame enthält. (2) Schadserverpunkt: Der in die Seite eingebettete iFrame lädt eine andere Seite. (3) Weiterleitungspunkt: Die Seite leitet auf eine andere Seite weiter, die einen Exploit enthält. (4) Exploit-Serverpunkt: Bei erfolgreichem Exploit wird Schadsoftware von einem anderen Server auf das Gerät des Opfers heruntergeladen. (5) Schadsoftware ausführen, Spuren verwischen und eine Hintertür einrichten. Zu den böswilligen Handlungen gehören das Erfassen von Zugangsdaten, geschützten Gesundheitsinformationen (Krankenversicherung, HIPAA), Bankkarteninhaberdaten und Kartennummern, personenbezogenen Daten (PII) usw. Das Verändern kritischer Daten, das Verweigern von Dienstleistungen usw. Das endgültige Löschen von Daten, wobei unsichtbare Spuren und Hintertüren hinterlassen werden, um zukünftig weitere Aktionen durchführen zu können.

Cybersicherheit-f6-1Abschließende Überlegungen.
Laut ESG (Enterprise Strategy Group) sind die Hauptrisiken der Cybersicherheit im Zusammenhang mit APIs: API-Schwachstellen (63 %), Datenverlust durch unsichere API-Nutzung (62 %), Einschleusung von Malware (50 %), unbefugte Nutzung oder Zugriff auf die APIs des Unternehmens (34 %), Verwendung nicht genehmigter APIs (34 %) und keine der genannten Optionen (3 %). Laut Dynatrace bieten Schwachstellenscanner lediglich eine statische Momentaufnahme und können nicht zwischen potenziellen Risiken und tatsächlichen Sicherheitslücken unterscheiden. Daher sind sie weitgehend ineffizient. Dies bedeutet, dass Schwachstellen in Produktionsumgebungen oft unentdeckt bleiben und von Cyberkriminellen ausgenutzt werden können. Immer mehr Unternehmen setzen zur Anwendungsentwicklung auf Cloud-native Architekturen, die auf Microservices, Containern (die Docker-Sicherheit sollte jeden Container isolieren, sodass er keine Entitäten (Dateien, Prozesse, Netzwerkschnittstellen usw.) anderer Container erkennt. Images und Code, die in einem Container ausgeführt werden, müssen cybersicher sein) und Kubernetes basieren. Das Softwaretestunternehmen Codecov wurde Opfer eines Cyberangriffs. Angreifer nutzten eine Schwachstelle bei der Erstellung eines Docker-Images aus, um Zugriff auf ein Tool zu erlangen und es zu manipulieren. Dadurch konnten sie sensible Informationen aus den CI-Umgebungen ihrer Nutzer (wie Anmeldeinformationen, Schlüssel und Token) an einen externen Server senden und 29.000 Kunden beeinträchtigen. Das DAIM (Digital Asset Information Management) ist autonom, selbstregulierend und cyberresilient. Es nutzt KI, TH (Through Trust), ZK (Zero Key), ID (Intelligent Identity) und IV (Intelligent Virtualization) zum Schutz, greift auf umfangreiche Wissensdatenbanken und Playbooks zurück und verwendet den ZT-Ansatz (Zero Trust), der auf dem Prinzip „Vertrauen ist keine Option, gründliche Überprüfung ist unerlässlich“ basiert.


Cybersicherheit-f6LITERATURVERZEICHNIS.
- Areitio, J. „Information Security: Networks, Computing and Information Systems“. Cengage Learning-Paraninfo. 2020.
- Areitio, J. „Duality of Advanced Intelligent Malware (Offensive and Defensive), Action Points and Transparent Expansion Operations“. Conectrónica Magazine. Nr. 245. Oktober 2021.
- Areitio, J. „Elements and Approaches for the Design and Synthesis of Advanced Defensive Intelligent Malware“. Conectrónica Magazine. Nr. 246. November 2021.
- Areitio, J. „Development of Advanced Defensive Intelligent Malware. Neutralization of Offensive Malware Actions“. Conectrónica Magazine. Nr. 247. Februar 2022.
- Areitio, J. „Automatic Actions of Advanced Defensive Intelligent Malware“. Conectrónica Magazine. Nr. 248. März 2022.
– Areitio, J. „Untersuchung der Dynamik der Blockierungsoperationen von DAIM/MIAD.“ Conectronic Magazine. Nr. 249. April 2022.
– Perlroth, N. „So wird mir das Ende der Welt erklärt: Das Wettrüsten im Bereich der Cyberwaffen.“ Bloomsbury Publishing. 2022.
– Wardle, P. „Die Kunst der Mac-Malware: Der Leitfaden zur Analyse bösartiger Software.“ Not Starch Press. 2022.
– Wittkop, J. „Das Cybersicherheits-Handbuch für moderne Unternehmen: Ein umfassender Leitfaden zur Verhinderung von Datenlecks und Cyberangriffen.“ Packt Publishing. 2022.
– Hettema, H. „Agile Sicherheitsoperationen: Entwicklung für Agilität in der Cyberabwehr, -erkennung und -reaktion.“ Packt Publishing. 2022.
– Stamp. M., Alazab, M. und Shalaginov, A. „Malware Analysis Using Artificial Intelligence and Deep Learning.“ Springer. 2021.
– Patton, HE „Navigating the Cybersecurity Career Path“. Wiley. 2021.
– Jenkinson, A. „Stuxnet to Sunburst: 20 Years of Digital Exploitation and Cyber ​​​​Wa

 

Autor: Prof. Dr. Javier Areitio Bertolín – Direktor der Forschungsgruppe Netzwerke und Systeme