Der Blätterkatalog benötigt Javascript.
Bitte aktivieren Sie Javascript in Ihren Browser-Einstellungen.
The Blätterkatalog requires Javascript.
Please activate Javascript in your browser settings.
Se c u r i t y 16 | w w w c o m p u t e r - a u t o m a t i o n d e · 10 -24 Die Known-Unknown-Matrix von Will Stefan Roth Die vernetzte Welt birgt zahlreiche Cybersicherheitsbedrohungen – von gewöhnlicher Malware bis hin zu komplexen gezielten Angriffen Um sich effektiv zu schützen und die Risiken zu minimieren muss man die Bedrohungen verstehen Ein hilfreiches aber noch viel zu selten genutztes Werkzeug ist die sogenannte ‚Known-Unknown-Matrix‘ Die Known-Unknown-Matrix ist ein ursprünglich aus der strategischen Unternehmensplanung stammende Tool und dient der Risikobewertung Es kategorisiert Herausforderungen anhand ihres Bekanntheitsgrades Auch im Bereich der OTund IoT-Cybersicherheit lässt sich diese Matrix anwenden um Bedrohungen zu identifizieren und passende Gegenmaßnahmen zu entwickeln Die Matrix unterteilt Bedrohungen in vier Kategorien Known-Known Hierunter fallen Bedrohungen über die die Cybersecurity-Teams umfassende Informationen besitzen sollten Die Experten kennen die Funktionsweise dieser Bedrohungen ihre Auswirkungen und wie man sie bekämpft Ein Beispiel ist der Conficker-Wurm Dieser Wurm der 2008 erstmals auftauchte infizierte schnell Millionen von Windows-Computern weltweit Conficker nutzt Schwachstellen im Windows-Betriebssystem aus um sich zu verbreiten und Kontrolle über infizierte Systeme zu erlangen Die Auswirkungen reichen von Datendiebstahl bis hin zur Störung von Betriebsabläufen Dank seiner hohen Bekanntheit existieren effektive Gegenmaßnahmen wie regelmäßige Sicherheitsupdates und der Einsatz von Antivirensoftware Known-Unknown In diesem Szenario wissen die Experten dass diese Bedrohungen existieren jedoch sind ihre genauen Auswirkungen unbekannt Sie hängen von der spezifischen Infrastruktur und Architektur des Zielsystems ab Der BlackEnergy-Angriff ist ein Beispiel für diese Kategorie Im Dezember 2015 wurde ein Stromnetz in der Westukraine von der russischen Hackergruppe Sandworm attackiert Dabei wurde der Zugang zu Anmeldeinformationen ausgenutzt was direkte Auswirkungen auf die OT ICS-Systeme hatte Der Angriff ließ rund 225 000 Einwohner bis zu sechs Stunden lang ohne Strom zurück Die Reaktion auf BlackEnergy erforderte umfangreiche verteilte Abwehrund Personalstunden da die genauen Auswirkungen im Vorfeld nicht abschätzbar waren Hilfreich ist in einem solchen Bereich das Sammeln von Bedrohungsinformationen über die TTPs Tactics Techniques and Procedures die von potenziellen Angreifern in OT IoT-Umgebungen verwendet werden Denn je mehr dieser Informationen vorliegen desto besser können die Unternehmen mit ihrer Verteidigung einen Schritt voraus sein TTPs werden in der Cybersicherheit verwendet um die Muster von Aktivitäten oder Methoden zu beschreiben die von Bedrohungsakteuren bei Angriffen eingesetzt werden Taktiken sind die übergeordneten strategischen Ziele Techniken sind die spezifischen Methoden die verwendet werden und Prozeduren sind die Schritte oder Abläufe die befolgt werden um diese Ziele zu erreichen Durch die Analyse von TTPs gewinnen Sicherheitsexperten wertvolle Einblicke in das Verhalten und die Methoden der Angreifer Allerdings reichen statische Open-Source-Referenztools wie das ICS Advisory Project und MITRE ATT CK für ICS nicht aus um ähnliche Angriffe zu erkennen Die vier Quadraten der Known-Unknown-Matrix Bil d Noz om i