>_AYSOLI SECURITY HUB
THREAT AREA

Hybrid Cloud Connectivity

Die Brücke zwischen deinem eigenen Rechenzentrum und der Cloud ist oft das Ziel von Lateral Movement Angriffen.

Deine Strategie

Vermeide klassische Site-to-Site VPNs ohne zusätzliche Prüfung. Setze auf Zero Trust Network Access (ZTNA), um den Zugriff auf spezifische Anwendungen zu begrenzen, statt das gesamte Netzwerk zu koppeln.

Best Practices

  • Verschlüsselung: Nutze mTLS für die Authentifizierung der Endpunkte.
  • Governance: Überwache den Datenfluss am Übergangspunkt mittels VPC Flow Logs.
  • Resilienz: Redundante Anbindungen über verschiedene Provider zur DoS-Prävention.

STRIDE-LM Design-Risiken

SpoofingS-01

Identity Spoofing

Angreifer gibt sich als legitimer Benutzer oder Partner aus.

TamperingT-01

Data Tampering

Unbefugte Änderung von geteilten Daten oder Konfigurationen.

RepudiationR-01

Audit Log Manipulation

Löschen oder Verändern von Spuren einer Aktion.

Information DisclosureI-01

Sensitive Data Exposure

Unbeabsichtigte Offenlegung von internen Informationen an Externe.

Denial of ServiceD-01

Resource Exhaustion

Überlastung von Systemen durch massenhafte Anfragen oder Ressourcen-Hogging.

Elevation of PrivilegeE-01

Privilege Escalation

Erlangung von Rechten, die über das vorgesehene Mass hinausgehen.

Lateral MovementL-01

Lateral Movement

Zugriff auf weitere interne Systeme nach erstem Login.

Monitoring GapsM-01

Insufficient Logging

Fehlende oder unzureichende Aufzeichnung von sicherheitsrelevanten Ereignissen.

MITRE ATT&CK® Techniken

Reconnaissance
T1592

Gather Victim Digital Network Information

ATT&CK

Sammeln von Informationen über die Ziel-Infrastruktur.

Mitigiert durch
Data Anonymization (Differential Privacy)Erweiterter SchutzHoch
NIST: PR.PT-3
Output Content FilteringGrundschutzNiedrig
NIST: AI-1.2OWASP: LLM02
Initial Access
T1133

External Remote Services

ATT&CK

Zugriff über VPNs oder Cloud-Management-Schnittstellen.

Mitigiert durch
Zero Trust Network Access (ZTNA)Erweiterter SchutzHoch
CIS: 12.2NIST: PR.AC-3
Conditional Access PoliciesGrundschutzMittel
CIS: 6.1NIST: PR.AC-7OWASP: API2
T1078

Valid Accounts

ATT&CK

Ausnutzung bestehender Anmeldedaten für den Zugriff.

Mitigiert durch
Zero Trust Network Access (ZTNA)Erweiterter SchutzHoch
CIS: 12.2NIST: PR.AC-3
Conditional Access PoliciesGrundschutzMittel
CIS: 6.1NIST: PR.AC-7OWASP: API2
Least Privilege PrincipleGrundschutzMittel
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
FIDO2 EnforcementGrundschutzMittel
CIS: 6.5NIST: PR.AC-7OWASP: A07:2021
Privileged Identity Management (PIM)GrundschutzMittel
CIS: 6.2NIST: PR.AC-1OWASP: A01:2021
Regular Access ReviewsGrundschutzNiedrig
CIS: 6.6NIST: PR.AC-1OWASP: A01:2021
MFA for Windows Sign-inErweiterter SchutzMittel
CIS: 6.5NIST: PR.AC-7
Persistence
T1098

Account Manipulation

ATT&CK

Ändern von Berechtigungen oder Erstellen neuer Konten.

Mitigiert durch
Privileged Identity Management (PIM)GrundschutzMittel
CIS: 6.2NIST: PR.AC-1OWASP: A01:2021
Regular Access ReviewsGrundschutzNiedrig
CIS: 6.6NIST: PR.AC-1OWASP: A01:2021
T1484

Domain Policy Modification

ATT&CK

Ändern von Domänen-Richtlinien zur Rechteausweitung.

Mitigiert durch
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021
Least Privilege PrincipleGrundschutzMittel
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
Privileged Identity Management (PIM)GrundschutzMittel
CIS: 6.2NIST: PR.AC-1OWASP: A01:2021
Credential Access
T1557

Adversary-in-the-Middle

ATT&CK

Abfangen von Kommunikation zwischen zwei Parteien.

Mitigiert durch
Privileged Access Workstation (PAW)Erweiterter SchutzHoch
CIS: 6.4NIST: PR.AC-3
T1539

Steal Web Session Cookie

ATT&CK

Abgreifen von aktiven Session-Tokens zur Umgehung der Authentifizierung.

Mitigiert durch
Conditional Access PoliciesGrundschutzMittel
CIS: 6.1NIST: PR.AC-7OWASP: API2
FIDO2 EnforcementGrundschutzMittel
CIS: 6.5NIST: PR.AC-7OWASP: A07:2021
Trusted Certificate ProfilesGrundschutzNiedrig
CIS: 12.7NIST: PR.AC-3
T1552

Credentials from Password Stores

ATT&CK

Auslesen von Passwörtern aus Web-Browsern oder Passwort-Managern.

Mitigiert durch
Output Content FilteringGrundschutzNiedrig
NIST: AI-1.2OWASP: LLM02
T1003

OS Credential Dumping

ATT&CK

Extrahieren von Anmeldedaten aus dem Betriebssystem.

Mitigiert durch
Privileged Access Workstation (PAW)Erweiterter SchutzHoch
CIS: 6.4NIST: PR.AC-3
MFA for Windows Sign-inErweiterter SchutzMittel
CIS: 6.5NIST: PR.AC-7
T1110

Brute Force

ATT&CK

Versuche, durch systematisches Ausprobieren Zugriff auf Konten oder API-Keys zu erhalten.

Mitigiert durch
FIDO2 EnforcementGrundschutzMittel
CIS: 6.5NIST: PR.AC-7OWASP: A07:2021
Lateral Movement
T1021

Remote Services

ATT&CK

Nutzung legitimer Remote-Dienste für laterale Bewegung im Netzwerk.

Mitigiert durch
Zero Trust Network Access (ZTNA)Erweiterter SchutzHoch
CIS: 12.2NIST: PR.AC-3
Regular Access ReviewsGrundschutzNiedrig
CIS: 6.6NIST: PR.AC-1OWASP: A01:2021
T1550

Use Alternate Authentication Material

ATT&CK

Nutzung gestohlener Tokens oder Hashes zur Authentifizierung ohne Kennwort.

Mitigiert durch
Zero Trust Network Access (ZTNA)Erweiterter SchutzHoch
CIS: 12.2NIST: PR.AC-3

Dein Szenario ist komplexer?

Die AYSOLI Experten unterstützen dich bei der Umsetzung deiner spezifischen Sicherheitsanforderungen.

Kostenloses Erstgespräch
Hybrid Cloud Connectivity | IT-Sicherheit Checkliste für KMU · AYSOLI Security Hub