>_AYSOLI SECURITY HUB
THREAT AREA

Legacy-Modernisierung

Viele Unternehmen betreiben geschäftskritische Anwendungen, die technologisch veraltet sind und keine modernen Sicherheitsmechanismen unterstützen.

Deine Strategie

Vermeide direkte Änderungen am Quellcode der alten App. Schütze das System durch einen modernen Security-Mantel: Nutze eine WAF für Virtual Patching und einen Identity-Proxy für MFA.

Best Practices

  • Isolation: Betreibe die Legacy-App in einem separaten Netzwerk-VLAN.
  • Härtung: Erzwinge modernstes TLS 1.3 am Loadbalancer, selbst wenn die App nur TLS 1.0 kann.
  • Monitoring: Überwache jeden Request auf Anomalien, da die App selbst oft keine ausreichenden Logs bietet.

STRIDE-LM Design-Risiken

SpoofingS-01

Identity Spoofing

Angreifer gibt sich als legitimer Benutzer oder Partner aus.

TamperingT-LEG-01

Vulnerable Legacy Components

Nutzung von veralteten Bibliotheken mit bekannten Schwachstellen.

RepudiationR-01

Audit Log Manipulation

Löschen oder Verändern von Spuren einer Aktion.

Information DisclosureI-WEB-01

Sensitive PII Exposure

Offenlegung von personenbezogenen Daten (GDPR/DSGVO Risiko).

Denial of ServiceD-01

Resource Exhaustion

Überlastung von Systemen durch massenhafte Anfragen oder Ressourcen-Hogging.

Elevation of PrivilegeE-01

Privilege Escalation

Erlangung von Rechten, die über das vorgesehene Mass hinausgehen.

Lateral MovementL-01

Lateral Movement

Zugriff auf weitere interne Systeme nach erstem Login.

Monitoring GapsM-01

Insufficient Logging

Fehlende oder unzureichende Aufzeichnung von sicherheitsrelevanten Ereignissen.

MITRE ATT&CK® Techniken

Reconnaissance
T1592

Gather Victim Digital Network Information

ATT&CK

Sammeln von Informationen über die Ziel-Infrastruktur.

Mitigiert durch
Data Anonymization (Differential Privacy)Erweiterter SchutzHoch
NIST: PR.PT-3
Output Content FilteringGrundschutzNiedrig
NIST: AI-1.2OWASP: LLM02
T1595

Active Scanning

ATT&CK

Aktives Scannen der Web-Infrastruktur nach Schwachstellen.

Mitigiert durch
Virtual Patching via WAFErweiterter SchutzMittel
CIS: 16.11OWASP: A06:2021
Advanced Threat Protection (WAF)Erweiterter SchutzMittel
CIS: 16.11OWASP: API8
Regular Penetration TestingErweiterter SchutzHoch
CIS: 18.1NIST: AI-5.1
Initial Access
T1190

Exploit Public-Facing Application

ATT&CK

Ausnutzen von Schwachstellen in Internet-exponierten Diensten.

Mitigiert durch
Virtual Patching via WAFErweiterter SchutzMittel
CIS: 16.11OWASP: A06:2021
Advanced Threat Protection (WAF)Erweiterter SchutzMittel
CIS: 16.11OWASP: API8
Input Validation & SanitizationGrundschutzMittel
CIS: 16.11OWASP: A03:2021
Strict Transport Security (TLS 1.3)GrundschutzNiedrig
CIS: 6.3OWASP: A02:2021
Regular Penetration TestingErweiterter SchutzHoch
CIS: 18.1NIST: AI-5.1
Dynamic Application Security Testing (DAST)Erweiterter SchutzMittel
CIS: 18.1OWASP: ASVS
T1078

Valid Accounts

ATT&CK

Ausnutzung bestehender Anmeldedaten für den Zugriff.

Mitigiert durch
Conditional Access PoliciesGrundschutzMittel
CIS: 6.1NIST: PR.AC-7OWASP: API2
Regular Access ReviewsGrundschutzNiedrig
CIS: 6.6NIST: PR.AC-1OWASP: A01:2021
Privileged Identity Management (PIM)GrundschutzMittel
CIS: 6.2NIST: PR.AC-1OWASP: A01:2021
Persistence
T1505-003

Web Shell

ATT&CK

Installation einer Hintertür auf dem Webserver.

Mitigiert durch
Input Validation & SanitizationGrundschutzMittel
CIS: 16.11OWASP: A03:2021
Regular Penetration TestingErweiterter SchutzHoch
CIS: 18.1NIST: AI-5.1
Dynamic Application Security Testing (DAST)Erweiterter SchutzMittel
CIS: 18.1OWASP: ASVS
Privilege Escalation
T1548

Abuse Elevation Control Mechanism

ATT&CK

Umgehung von Mechanismen zur Rechteausweitung (z.B. UAC).

Mitigiert durch
Privileged Identity Management (PIM)GrundschutzMittel
CIS: 6.2NIST: PR.AC-1OWASP: A01:2021
Credential Access
T1110

Brute Force

ATT&CK

Versuche, durch systematisches Ausprobieren Zugriff auf Konten oder API-Keys zu erhalten.

Mitigiert durch
Virtual Patching via WAFErweiterter SchutzMittel
CIS: 16.11OWASP: A06:2021
Advanced Threat Protection (WAF)Erweiterter SchutzMittel
CIS: 16.11OWASP: API8
T1552

Credentials from Password Stores

ATT&CK

Auslesen von Passwörtern aus Web-Browsern oder Passwort-Managern.

Mitigiert durch
Output Content FilteringGrundschutzNiedrig
NIST: AI-1.2OWASP: LLM02
T1539

Steal Web Session Cookie

ATT&CK

Abgreifen von aktiven Session-Tokens zur Umgehung der Authentifizierung.

Mitigiert durch
Conditional Access PoliciesGrundschutzMittel
CIS: 6.1NIST: PR.AC-7OWASP: API2
HTTP Strict Transport Security (HSTS)GrundschutzNiedrig
CIS: 16.11OWASP: A05:2021
Strict Transport Security (TLS 1.3)GrundschutzNiedrig
CIS: 6.3OWASP: A02:2021
Lateral Movement
T1021

Remote Services

ATT&CK

Nutzung legitimer Remote-Dienste für laterale Bewegung im Netzwerk.

Mitigiert durch
Regular Access ReviewsGrundschutzNiedrig
CIS: 6.6NIST: PR.AC-1OWASP: A01:2021

Dein Szenario ist komplexer?

Die AYSOLI Experten unterstützen dich bei der Umsetzung deiner spezifischen Sicherheitsanforderungen.

Kostenloses Erstgespräch