>_AYSOLI SECURITY HUB
THREAT AREA

Exchange Online Security

E-Mail ist nach wie vor der Angriffsvektor Nummer eins. Ein lückenlos gesicherter Exchange Online Tenant ist die wichtigste Verteidigungslinie gegen Ransomware, Spearphishing und Business Email Compromise (BEC).

Deine Strategie

Implementiere eine mehrschichtige E-Mail-Verteidigung (Defense-in-Depth). Nutze strikte E-Mail-Authentifizierung (DMARC), um deine eigene Reputation zu schützen, und erweiterte Threat Protection (Safe Links/Attachments), um eingehende Bedrohungen zu neutralisieren.

Best Practices

  • Authentifizierung: Erzwinge DMARC mit 'p=reject' und deaktiviere Legacy-Protokolle.
  • Transparenz: Nutze Transportregeln, um externe E-Mails deutlich zu kennzeichnen.
  • Berechtigungen: Überwache Postfach-Delegationen und Vollzugriffe kontinuierlich auf Anomalien.

STRIDE-LM Design-Risiken

SpoofingS-EXO-01

Business Email Compromise (BEC)

Übernahme von Postfächern zur Durchführung von Betrug (z.B. CEO-Fraud).

SpoofingS-EXO-02

Legacy Auth Exploitation

Nutzung veralteter Protokolle (POP3, IMAP) zur Umgehung von MFA.

RepudiationR-01

Audit Log Manipulation

Löschen oder Verändern von Spuren einer Aktion.

Information DisclosureI-M365-01

Exfiltration via Inbox Rules

Automatisierte Weiterleitung von E-Mails an externe Adressen.

Denial of ServiceD-01

Resource Exhaustion

Überlastung von Systemen durch massenhafte Anfragen oder Ressourcen-Hogging.

Elevation of PrivilegeE-01

Privilege Escalation

Erlangung von Rechten, die über das vorgesehene Mass hinausgehen.

Lateral MovementL-01

Lateral Movement

Zugriff auf weitere interne Systeme nach erstem Login.

Monitoring GapsM-01

Insufficient Logging

Fehlende oder unzureichende Aufzeichnung von sicherheitsrelevanten Ereignissen.

MITRE ATT&CK® Techniken

Initial Access
T1566

Phishing

ATT&CK

Zustellung schädlicher Inhalte über elektronische Kommunikation.

Mitigiert durch
Anti-Phishing & Anti-Spam PoliciesGrundschutzNiedrig
CIS: 9.2NIST: PR.PT-4
Mailflow Rules (Transport Rules)GrundschutzNiedrig
CIS: 9.3NIST: PR.DS-2
Email Authentication (SPF, DKIM, DMARC)GrundschutzMittel
CIS: 9.1NIST: PR.DS-2
ATP Safe Links & AttachmentsGrundschutzNiedrig
CIS: 9.2NIST: PR.IP-1
FIDO2 EnforcementGrundschutzMittel
CIS: 6.5NIST: PR.AC-7OWASP: A07:2021
Conditional Access PoliciesGrundschutzMittel
CIS: 6.1NIST: PR.AC-7OWASP: API2
Output Content FilteringGrundschutzNiedrig
NIST: AI-1.2OWASP: LLM02
T1566-001

Spearphishing Attachment

ATT&CK

Zustellung schädlicher Dateianhänge an spezifische Ziele.

Mitigiert durch
Anti-Phishing & Anti-Spam PoliciesGrundschutzNiedrig
CIS: 9.2NIST: PR.PT-4
Email Authentication (SPF, DKIM, DMARC)GrundschutzMittel
CIS: 9.1NIST: PR.DS-2
T1566-002

Spearphishing Link

ATT&CK

Zustellung bösartiger Links zur Erlangung von Zugangsdaten.

Mitigiert durch
Anti-Phishing & Anti-Spam PoliciesGrundschutzNiedrig
CIS: 9.2NIST: PR.PT-4
T1566-003

Spearphishing via Service

ATT&CK

Phishing über vertrauenswürdige Cloud-Dienste (Teams, LinkedIn).

Mitigiert durch
Anti-Phishing & Anti-Spam PoliciesGrundschutzNiedrig
CIS: 9.2NIST: PR.PT-4
T1078

Valid Accounts

ATT&CK

Ausnutzung bestehender Anmeldedaten für den Zugriff.

Mitigiert durch
Email Authentication (SPF, DKIM, DMARC)GrundschutzMittel
CIS: 9.1NIST: PR.DS-2
Modern Auth EnforcementGrundschutzNiedrig
CIS: 6.1NIST: PR.AC-1
FIDO2 EnforcementGrundschutzMittel
CIS: 6.5NIST: PR.AC-7OWASP: A07:2021
Unified Audit Log (UAL)GrundschutzNiedrig
CIS: 8.2NIST: PR.PT-1
Conditional Access PoliciesGrundschutzMittel
CIS: 6.1NIST: PR.AC-7OWASP: API2
Execution
T1137

Office Application Startup

ATT&CK

Ausnutzung von Office-Startvorgängen zur Codeausführung.

Mitigiert durch
Mailbox Delegation MonitoringErweiterter SchutzNiedrig
CIS: 6.2NIST: DE.AE-2
Restricted App ConsentGrundschutzNiedrig
CIS: 16.1NIST: PR.AC-1
Unified Audit Log (UAL)GrundschutzNiedrig
CIS: 8.2NIST: PR.PT-1
Persistence
T1098

Account Manipulation

ATT&CK

Ändern von Berechtigungen oder Erstellen neuer Konten.

Mitigiert durch
Mailbox Delegation MonitoringErweiterter SchutzNiedrig
CIS: 6.2NIST: DE.AE-2
Restricted App ConsentGrundschutzNiedrig
CIS: 16.1NIST: PR.AC-1
Unified Audit Log (UAL)GrundschutzNiedrig
CIS: 8.2NIST: PR.PT-1
Credential Access
T1557

Adversary-in-the-Middle

ATT&CK

Abfangen von Kommunikation zwischen zwei Parteien.

Mitigiert durch
Privileged Access Workstation (PAW)Erweiterter SchutzHoch
CIS: 6.4NIST: PR.AC-3
T1539

Steal Web Session Cookie

ATT&CK

Abgreifen von aktiven Session-Tokens zur Umgehung der Authentifizierung.

Mitigiert durch
Modern Auth EnforcementGrundschutzNiedrig
CIS: 6.1NIST: PR.AC-1
FIDO2 EnforcementGrundschutzMittel
CIS: 6.5NIST: PR.AC-7OWASP: A07:2021
Conditional Access PoliciesGrundschutzMittel
CIS: 6.1NIST: PR.AC-7OWASP: API2
T1552

Credentials from Password Stores

ATT&CK

Auslesen von Passwörtern aus Web-Browsern oder Passwort-Managern.

Mitigiert durch
Output Content FilteringGrundschutzNiedrig
NIST: AI-1.2OWASP: LLM02
Collection
T1114-003

Email Forwarding Rule

ATT&CK

Automatisierte Exfiltration durch Posteingangsregeln.

Mitigiert durch
Mailflow Rules (Transport Rules)GrundschutzNiedrig
CIS: 9.3NIST: PR.DS-2
Mailbox Delegation MonitoringErweiterter SchutzNiedrig
CIS: 6.2NIST: DE.AE-2
Unified Audit Log (UAL)GrundschutzNiedrig
CIS: 8.2NIST: PR.PT-1
T1114-002

Remote Email Collection

ATT&CK

Abgreifen von E-Mails direkt vom Server.

Mitigiert durch
Mailflow Rules (Transport Rules)GrundschutzNiedrig
CIS: 9.3NIST: PR.DS-2

Dein Szenario ist komplexer?

Die AYSOLI Experten unterstützen dich bei der Umsetzung deiner spezifischen Sicherheitsanforderungen.

Kostenloses Erstgespräch