:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/30/3030b66cc91bdc748d53ddfa98603890/0114242796.jpeg "Der sichere Betrieb von SAP-Systemen erfordert die individuelle Absicherung des Systems und auch den sicheren Betrieb der gesamten SAP-Landschaft. (Bild: yingyaipumi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/9b/4b9b0e03c93f35253e7bdc638d8c1985/0114368367.jpeg ""Sichere Digitalisierung im Maschinenbau", ein Interview von Oliver Schonschek, Insider Research, mit Christoph Schambach von secunet Security Networks AG. (Bild: Vogel IT-Medien / secunet Security Networks AG / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/12/c212e1f2d8d9ec50fa8c1c40f8aecb22/0114324694.jpeg "Oft totgesagt und trotzdem quicklebendig: Passwörter sind trotz Alternativen noch immer allgegenwärtig und ein willkommenes Ziel für Cyberkriminelle. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/f1/6b/f16b94ff7c9056c68539d3beb864080f/0114259975.jpeg "CISOs verstehen menschenzentrierte Sicherheit in erster Linie als das, was man dazu auf dem Markt einkaufen kann: nämlich Awareness- und Phishing-Simulationen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition Indicator of Attack (IoA) Was ist ein Indicator of Attack?
Der Indicator of Attack (IoA) ist ein Merkmal, anhand dessen sich ein bevorstehender oder gerade erfolgender Angriff auf ein Computersystem oder Netzwerk erkennen lässt. Gegenüber dem Indicator of Compromise (IoC) hat der IoA einen proaktiven Charakter und ermöglicht die Abwehr eines Angriffs, bevor es zu einer Kompromittierung des Systems kommt.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Die Abkürzung IoA steht für Indicator of Attack. Es handelt sich um ein Merkmal oder Ereignis, das auf einen unmittelbar bevorstehenden oder gerade erfolgenden Angriff auf ein Computersystem oder ein Netzwerk schließen lässt. Im Vergleich zum Indicator of Compromise (IoC) hat der IoA einen proaktiven Charakter. Er zielt überwiegend auf Absichten eines Angreifers ab und ist sichtbar, bevor es zur Kompromittierung eines Systems kommt.
Ein Indicator of Attack ermöglicht aufgrund spezifischer Merkmale auch die Erkennung bisher unbekannter Bedrohungen oder Sicherheitslücken. In der Regel handelt es sich um bestimmte Aktivitäten auf einem Rechner oder in einem Netzwerk, die einen Angriff vorbereiten oder versuchen, eventuelle Schwachstellen zu finden. Durch ein kontinuierliches und konsequentes Suchen nach den Indicators of Attack lässt sich das Sicherheitsniveau einer IT-Umgebung steigern.
Typische Indikatoren eines Angriffs
Es existieren zahlreiche Indicator of Attack. Oft kommt es bei einem Angriffsversuch zu einem Auftreten mehrerer Indikatoren gleichzeitig. Die verschiedenen Indikatoren lassen sich beispielsweise aus Firewall-Logs, Server-Logs, Endgeräte-Logs, Netzwerk-Monitoring-Systemen, Identity-Managment-Systemen, Task-Managern oder anderen Informationsquellen auslesen. Typische Indikatoren eines Angriffs oder der Vorbereitung eines Angriffs sind beispielsweise:
- Rechner- oder Netzwerkaktivitäten zu außergewöhnlichen Zeiten
- ein Zunahme von Anmeldeversuchen an einem System
- Änderungsversuche von Passwörtern
- Anmeldeversuche aus ungewöhnlichen Regionen
- Netzwerkverkehr zu außergewöhnlichen Zielen (IP-Adressen, Ports, URLs, Länder)
- Protokoll- oder Port-Mismatches (Nutzung von Ports, die nicht zu den Standard-Ports der Protokolle passen)
- interne oder externe Netzwerk- und Portscans
- außergewöhnliche Alarme, Infomeldungen oder andere Logeinträge in einzelnen Systemen
- vermehrter Netzwerkverkehr bestimmter IP-Protokolle
- außergewöhnliche DNS-Anfragen
- hohe Auslastung eines Rechners durch bestimmte Prozesse
- ungeplante Neustarts von Rechnern
- außergewöhnliche Zugriffe auf bestimmte Dateien
- Installationsversuche von Software
Abgrenzung zwischen Indicator of Compromise und Indicator of Attack
Es existieren verschiedene Arten von Indikatoren, anhand derer sich Bedrohungen von Computersystemen und Netzwerkumgebungen erkennen lassen. Neben dem Indicator of Attack (IoA) existiert der Indicator of Compromise (IoC). Während der Indicator of Attack vor einem Angriff oder direkt während eines gerade erfolgenden Angriffs zu erkennen ist , tritt der Indicator of Compromise erst in Erscheinung, wenn ein Einbruch in ein System oder eine Kompromittierung tatsächlich stattgefunden hat. Der Indicator of Attack lässt sich als Indikator für proaktive Maßnahmen zum Schutz eines Systems klassifizieren. Beim Indicator of Compromise handelt es sich um einen Indikator für reaktive Maßnahmen.
(ID:46110081)
:quality(80)/p7i.vogel.de/wcms/07/dd/07dd60d5a40679103ad834d7c997ffc0/0104987039.jpeg "Threat Hunting stellt für Unternehmen eine produktive Methode dar, die Cybersicherheit zu erhöhen. Es kann Angriffe bereits in einer frühen Phase erkennen und Sicherheitslücken im System offenlegen. (Bild: pinkeyes - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/62/86/62861303a4a1c163e28b520e7cced6c1/0112821195.jpeg "Anstatt auf einen Angriff zu warten, sucht das IT-Security-Team aktiv nach allen Ereignissen, die sich auf das System auswirken könnten. (Bild: rufous - stock.adobe.com)")