39679050
| Question | Answer |
| Defense in Depth | ist ein Ansatz zur Cybersicherheit, bei dem eine Reihe von Verteidigungsmechanismen nacheinander aufgebaut werden, um wertvolle Daten und Informationen zu schützen Schichten von Maßnahmen können die Wahrscheinlichkeit eines Angriffserfolgs / Single Point of Failure verringern |
| Kritische Informationswerte sind auf verschiedenen Ebenen bedroht | durch Benutzer während Nutzung durch Software, die Daten verarbeitet durch Hardware, auf der sie gespeichert sind durch Umgebung, in der sie sich befinden bei Übertragung über die Netzwerkinfrastruktur |
| Bedrohungen kritischer Informationswerte | |
| Schwachstellen kritischer Informationswerte | |
| Prädiktive Maßnahmen | den aktuellen Stand in Bezug auf die Informationssicherheit verstehen |
| Vorbeugende Maßnahmen | Schutz vor potenziellen Bedrohungen (auf technischer, organisatorischer oder Prozessebene) |
| Erkennende Maßnahmen | wenn Vorfälle passieren, diese schnell erkennen |
| Reaktive Maßnahmen | schließen an die Erkennung an und helfen, Vorfälle zu analysieren, schadensminimierend zu reagieren und die Systeme wiederherzustellen |
| Zugriffskontrolle | schränkt Zugriff auf Informationswerte auf autorisierte Personen oder Systeme ein Allg. Use Cases: Windows/Websites einloggen Nicht jeder Informationswert (Funktion, Daten) von beliebigen Personen/Systemen zu nutzen (nur autorisierte Personen/Systeme sollen Zugriff haben; es kann verschiedene Berechtigungsebenen geben) Use Cases IoT: Auto -Schlüssel zum Starten, Produktion - Steuerung Typ. Abwehrmaßnahmen: Passwörter, Chipkarten, Benutzerberechtigungen Typ. Angriffe: Passwort knacken, Diebstahl, Netzwerk-Sniffing auch genannt: Identitäts- und Zugriffsmanagement (IAM) |
| Subjekt (subject) | aktiver (handelnder) Teil, der Zugriff auf ein Objekt oder die Daten in einem Objekt verlangt |
| Objekt (object) | passiver Teil, auf den zugegriffen wird oder der Ziel einer Handlung ist |
| Zugriff (access) | Fähigkeit eines Subjekts, etwas zu tun (z.B. Lesen, Schreiben). Auch Fluss der Informationen zwischen Subjekt und Objekt. |
| Zugriffskontrolle (access control) | Prozess der Vermittlung des Zugriffs von Subjekten auf bestimmte Objekte. |
| Sicherheitsrichtlinien (security policy) | Regelt, welcher Zugriff von Subjekten auf Objekte erlaubt ist. |
| Drei Schritte der Zugriffskontrolle | 1. Identifizierung (Welche Identität wird beansprucht?) 2. Authentifizierung (Kann die Identität verifiziert werden?) 3. Autorisierung (Was darf dieses Subjekt?) |
| 1. Identifizierung | Subjekt liefert Informationen über eine behauptete Identität Kontrollinstanz kann zwischen verschiedenen IDs unterscheiden (Nutzername, Kontonummer...) Ergebnis: Zugriffskontrollinstanz weiß, welche Identität das Subjekt behauptet zu haben |
| 2. Authentifizierung | Verifiziert ID eines Subjekts Authentisierung: Subjekt authentisiert sich selbst Authentifizierung: Kontrollinstanz authentifiziert Subjekt |
| 3. Autorisierung | Zugriffskontrollinstanz hat Subjekt bereits authentifiziert auf welche Objekte wie zugegriffen werden darf (z.B. nur lesend) basiert auf Regeln der jeweiligen Organisation, die in einer Sicherheitsrichtlinie dokumentiert sein sollten kann auf verschiedene Weise implementiert werden (=> Zugriffskontrollmodelle) |
| Authentifizierung | Subjekt muss seine Identität beweisen Verschiedene Methoden: Wissen (something you know => Menschen), z.B. Passwort Besitz (something you have => Menschen oder Systeme), z.B. Schlüssel Inhärent (something you are => Menschen), Biometrie Standort (somewhere you are => Menschen oder Systeme), physikalischer oder logischer Standort |
| Wissensbasierte Authentifizierung | Faktor, der nur dem Benutzer bekannt sein sollte am weitesten verbreitete Methode zur Authentifizierung gilt nicht als sicher (viele Werkzeuge um Passwörter anzugreifen, keine notwendige Disziplin für ein akzeptables Sicherheitsniveau) |
| Passwortangriffe & Gegenmaßnahmen | Social Engineering (Phishing, Shoulder Surfing...) - Awareness-Schulung, Sicherheitsrichtlinien Stehlen von Passwörtern (unsicher gespeichert, Abfangen...) - Verschlüsselung, Training, Sicherheitsrichtlinien Passwort knacken (Brute-Force-/Wörterbuch-angriff) - Sperre/Verzögere nach n Fehlversuchen, Salting, Peppering |
| Password Cracking | erlaubt es Passwörter aus Daten zu erlangen, die Rechner-Systeme gespeichert oder übertragen haben Grund: Wiederherstellung, unautorisierten Zugriff erhalten, schwache Passwörter identifizieren, Beweise sicherstellen Ansätze: Direkte Angriffe, Berechnung im Voraus |
| Direkte Angriffe - Raten | Hilfreich: Kenntnis Benutzerumfeld (=> Social Engineering) besonders dann effektiv, wenn System "Self-Service" zum Zurücksetzen des Passworts bietet |
| Dictionary Attacks | Testen einer bestimmten Menge von Passwörtern Wörterbuch als vorgefertigte Liste von bekannten Worten häufig erfolgreich, weil viele Benutzer kurze Passwörter wählen oder (in leicht veränderter Form) in Wörterbüchern stehen |
| Brute Force Attacks | nutzen Rechen-Power systematische Suche nach Passwort: Online Attack: schwierig (Logging -> Sperrung/Verzögerung) Offline Attack: am besten liegt Hash-Wert des Passworts vor -> hashen möglicher Passwörter und Vergleich mit vorhandenem Hash) Immer erfolgreich ABER: kann lange dauern |
| John the Ripper | kostenlose SW zum Knacken von Passwörtern unterstützt Wörterbuch-Angriff (nimmt Textstrings aus einer Wortliste und testet diese) und Brute-Force (verwendet Zeichenhäufigkeitstabellen) |
| Passwort-Topologie | die häufigsten Topologien bestehen aus u = Großbuchstabe, l = Kleinbuchstabe & d = Ziffer) |
| Passwort Angriffe - Beispiele | Phishing (Fälschungen von Websites ähneln Original stark; häufige Unterschiede: URL falsch, fehlende Verschlüsselung) Keylogger (schreibt Tastatureingaben mit) |
| Regeln für sichere Passwörter | Kombination verschiedener Zeichen angemessene Lebensdauer (Empfehlung: nur bei Verdacht auf Gefährdung ändern) nicht wiederverwenden niemals teilen |
| Serverseitige Passwortverifizierung | ist Kombination aus Benutzername und Passwort gültig? Umsetzung 1 (unsicher): Klartext von Benutzername & Passwort in der DB (Kompromittierung führt zum Diebstahl aller Konten) Umsetzung 2 (auch nicht sicher): gehashte Passwörter in DB (Knacken mit vorberechneten Tabellen) Umsetzung 3 (besser): Passwort + Salt hashen Umsetzung 4 (Stand der Technik): Geheimen Schlüssel (außerhalb DB) hinzufügen (Peppering) |
| Vorberechnete Tabellen | Einfache Form: vorherige Berechnung der Hash-Werte des Wörterbuchs bei Brute-Force steigt Menge der Paare von Hash-Wert & Passwort -> Kompromiss zwischen Speicherplatz und Angriffszeit notwendig (Time-Memory-Tradeoff) |
| Reduktionsfunktion | bildet Hashes wieder (pseudo-)zufällig auf Passwörter ab |
| Hash-Kette | k-fache abwechselnde Anwendung von Hash-Funktion H und Reduktionsfunktion R nur erstes und letztes Passwort wird gespeichert ggb. Hash-Wert: abwechselnde Anwendung von R & H -> Endwert gefunden? Passwort liegt vor dem ggb. Hash-Wert in der Kette -> Endwert nicht gefunden? Passwort nicht in Tabelle |
| Rainbow Table | Vermeidung von überlappenden Ketten durch unterschiedliche Reduktionsfunktionen Suche nach Passwort muss dies berücksichtigen |
| Schwaches Passwort-Hashing | Passwort-Hashing schlecht gewählt oder implementiert => System angreifbar Bsp.: LM Hash (Passwort wird gehasht und dann in zwei Gruppen aufgeteilt) |
| Weitere passwortbezogene Sicherheitsprobleme | Anmeldefunktionen und deren Fehlermeldungen sollten keine Hinweise geben, die Angreifern helfen (z.B. "falscher Benutzer oder Passwort" statt "falscher Benutzer"/"falsches Passwort" / "wenn Adresse gültig, wird Reset-Link gesendet") Prozesse und Regeln für Funktionen "Passwort vergessen" oder "Passwort zurücksetzen" (sicherer Kanal) |
| Wissensbasierte Passwörter | Geheimnis, das auf einer benutzerbekannten Tatsache beruht (z.B. Geburtsname der Mutter) oft zusätzlicher Mechanismus beim telefonischen Helpdesk-Support |
| Einmal-Passwörter | wird nur einmal zur Authentifizierung verwendet Benutzer & Server kennen dasselbe Einmal-Passwort Verschiedene Möglichkeiten der Verteilung (z.B. TAN im Online Banking) kombiniert "Wissen" und "Besitz" |
| Biometrische Authentifizierung | verifiziert Identität basierend auf (fast) unveränderlichen und einzigartigen physiologischen Merkmalen (z.B. Fingerabdruck) Erstmessung & Speicherung eines Referenztemplate präsentierte Merkmale extrahieren, Template berechnen und mit Referenztemplate vergleichen (stimmt selten exakt) |
| Falsche Rückweisungsrate (FRR) | Prozentsatz der autorisierten Benutzer, die vom System zurückgewiesen werden |
| Falsche Akzeptanzrate (FAR) | Prozentsatz der nicht autorisierten Benutzer, die vom System akzeptiert werden |
| FAR vs. FRR | Beeinflusst durch (konfigurierbare) Systemempfindlichkeit (Entscheidungsschwellwerte) |
| Besitzbasierte Authentifizierung | Identitätsnachweis durch Präsentation eines eindeutigen Gegenstands (physisch oder virtuell) z.B. Ausweis, Krypto-Schlüssel Gegenstand braucht besonderen Schutz |
| Sicherheits-Token | Hardware-Komponente als Teil einer Authentifizierungslösung (speichert digitalen Schlüssel oder generiert Einmal-Passwort) Beispiel: Smartcard meistens geschützt durch einen zweiten Faktor (z.B. Pin, Biometrie) |
| Besitz eines Geheimnisses | System muss beweisen, dass es im Besitz eines Geheimnisses ist (Challenge / Response) im Gerät gespeichert |
| Multi-Faktor-Authentifizierung | um die Sicherheit zu erhöhen, können mehrere Faktoren kombiniert werden |
| Modelle Zugriffskontrolle | oft unterschätzt Wer darf auf was in welcher Weise zugreifen? z.B. DAC, MAC, RBAC, ABAC |
| Discretionary Access Control (DAC) | benutzerbestimmbare Zugriffskontrolle Systembenutzer bestimmen, welche Benutzer Zugriff auf Objekte unter ihrer Kontrolle bekommen häufig in Form von Zugriffskontroll-Listen (Access Control Lists) einfach & flexibel ABER: verlässt sich auf den richtigen Umgang von Zugriffsrechten durch Objektbesitzer & denjenigen, denen Zugriff gewährt wurde |
| Mandatory Access Control (MAC) | systembestimmte Zugriffskontrolle Kontrollregeln von einer zentralen Einheit (Berechtigungen nur durch Admins änderbar) typischerweise in Kategorien eingeteilt (ggf. +"Need to know") Klassifizierung des Objekts (Bsp.: Vertraulich - Eingeschränkt - Intern - Öffentlich) |
| Prinzip des geringsten Privilegs | einem Subjekt werden nur die Privilegien gewährt, die es für die Erfüllung seiner Aufgabe benötigt wenn Subjekt Zugriffsrechte nicht mehr benötigt, sollten diese wieder entzogen werden |
| Role-Based Access Control (RBAC) | rollenbasierte Zugriffskontrolle Benutzer werden in Rollen eingeteilt Zugriffsrechte werden an Rollen vergeben, nicht an einzelne Benutzer |
| Umgebung & Berechtigung | um Zugriffsentscheidungen weiter zu verfeinern, können Umweltattribute berücksichtigt werden (physischer/logischer Standort, Zeitfenster, Bedrohungsstufe) |
| Attribute-Based Access Control (ABAC) | attributbasierte Zugriffskontrolle fügt Attribute von Subjekten, Objekten, Umgebungsbedingungen dem Entscheidungsprozess hinzu |
| Berechtigungsangriff | direkte Objektreferenz (z.B. account-Parameter) Zugriff auf Funktionen (z.B. Modifizierung der Rolle in URL) |
| Spoofing | Ausgeben als eine andere Person durch verfälschte Daten, um sich einen unrechtmäßigen Vorteil zu verschaffen |
| IP-Spoofing | Senden von Paketen mit gefälschter Quell-IP-Adresse funktioniert nur in eine Richtung (Antworten an Besitzer der gefälschten IP) Wie fälscht man eine IP-Adresse? z.B. Tools wie Nmap |
| MAC-Spoofing | MAC-Adresse einer Netzwerkkarte ändern Änderung auf Betriebssystemebene (ursprüngliche MAC kann nicht geändert werden, da in HW) |
| DNS-Spoofing | Fälschung von DNS-Antworten Zuordnung zwischen Hostnamen und zugehöriger IP-Adresse fälschen z.B. Umleitung auf gefälschte Website |
| DNS-Spoofing - Cache Poisoning | Angreifer muss schneller eine passende DNS-Antwort(IP-Adresse & Port des DNS-Servers & des Hosts, Referenznr der Anfrage (16-Bit), aufzulösender Hostname) senden als eigentlicher DNS-Server Angreifer schleust gefälschte Informationen in den Cache eines DNS-Servers (mehr Anfragen werden auf Fälschung umgeleitet) |
Want to create your own Flashcards for free with GoConqr? Learn more.