In den letzten Jahren konzentrierte sich das öffentliche Gespräch über Cybersicherheit auf markante Bedrohungen: Zero-Day Schwachstellen, Lieferkettenbindungen und künstliche Intelligenz-powered Exploits. Allerdings die Eingangstür, die für die Angreifer am zuverlässigsten bleibt, hat sich nicht geändert: gestohlene Anmeldeinformationen. Ein gültiger Benutzername und Passwort, erhalten aus früheren Datenbanken, durch Anmelde-Fülling-Angriffe oder gut gestaltete Phishing-Kampagnen, ermöglichen es einem Angreifer, ohne die Notwendigkeit, einen technischen Fehler auszunutzen.
Was diesen Vektor so schwer zu erkennen macht, ist, wie unspektakulärer Anfangszugriff ist. Ein erfolgreicher Login mit legitimen Anmeldeinformationen löst nicht die gleichen Alarme wie ein Port-Scan oder Malware-Kommunikation aus. In den Augen vieler Erkennungssysteme sieht der Eindringling aus wie ein Mitarbeiter. Mit diesem Kostüm kann der Angreifer mehr Passwörter sammeln, sie wieder verwenden, um sich seitlich zu bewegen und ihre Kontrolle in der Umgebung zu erweitern.
Die Wirkung dieses Musters ist klar: Ransomware-Teams können innerhalb von Stunden verschlüsseln und erpressen; Akteure mit staatlicher Unterstützung verwandeln Zugriff in langfristige Beharrlichkeit und Intelligenz Sammlung. Die grundlegenden Phasen des Angriffs - Zugang, Eskalation, laterale Bewegung und Beharrlichkeit - bleiben gleich, aber was sich geändert hat, ist die Geschwindigkeit und Raffinesse, mit der sie ausgeführt werden.
Künstliche Intelligenz hat die Arbeit der Angreifer beschleunigt und poliert. Es automatisiert die Massenverifikation von Anmeldeinformationen, erzeugt Werkzeuge, um schnell zu messen und erzeugt Phishing-E-Mails, die heute viel schwieriger sind, von legitimen Kommunikation zu unterscheiden. Diese Beschleunigungskräfte verteidigen mit begrenzten Ressourcen, um mit einer Geschwindigkeit zu reagieren, dass viele Organisationen nicht ausgestattet sind, um zu erhalten.
Angesichts von Ereignissen, die sich mit höherer Geschwindigkeit entwickeln und mehr Schichten beeinflussen - Identitäten, Wolken, Endpunkte - können Antwortteams nicht nur auf lineare und starre Prozesse verlassen. Das alte Rezept, um vorzubereiten, zu identifizieren, enthalten, zu löschen, zu erholen und zu überprüfen arbeitet als Theorie, aber Feld Praxis ist selten so geordnet. Deshalb wird ein iterativer Ansatz, der die sich verändernde und chaotische Natur einer realen Forschung erkennt, sinnvoll.
Das DAIR-Modell - Dynamic Approach to Incident Response - schlägt genau vor, dass das Team nach dem Erkennen und Verifizieren eines Vorfalls einen kontinuierlichen Zyklus von Scooping (definieren Umfang), Eindämmung, Tilgung und Erholung. Jeder Zykluspass enthält neue Beweise, die den Umfang des Engagements erweitern und die notwendigen Handlungen neu definieren können. Diese Schleife wird wiederholt, bis die technischen und leitenden Beamten zustimmen, dass die Situation unter Kontrolle ist.
Stellen Sie sich einen Fall vor, der durch engagierte Anmeldeinformationen verursacht wird: zunächst scheint der Umfang auf ein Arbeitsteam beschränkt zu sein. Während der Eindämmungsaktionen gibt es einen Mechanismus der Beharrlichkeit im Register, der nicht zunächst erkannt wurde. Dieser Track treibt das Team erneut dazu, die gesamte Organisation für denselben Footprint zu scannen. Wenn während dieses Trackings ein bestätigtes Befehls- und Kontroll-IP erscheint, wird es erneut in Betrieb genommen und gelöscht. Jede Iteration verfeinert die Intelligenz und verbessert die taktischen Entscheidungen des nächsten Zyklus.
Dieser Ansatz beinhaltet Unsicherheit als Teil des Prozesses, nicht als Abweichung. Aber für die Arbeit reicht eine gute Methode nicht: die Kommunikation zwischen Teams ist entscheidend. Wenn SOC-Analysten, Cloud-Ingenieuren, Ansprechführer und Systemmanager konvergieren, müssen Aktionen synchronisiert werden. Eine klare und rechtzeitige Kommunikation ist der Faktor, der feststellt, ob Eindämmungsaktionen koordiniert oder widerspricht und ob Entscheidungsträger nützliche Informationen zur Priorisierung erhalten.
Über die Kommunikation hinaus ist wiederholte Praxis unerlässlich. Es geht nicht nur um die Dokumentation von Verfahren, sondern um die Prüfung mit realistischen Übungen, die die Koordination, Werkzeuge und Reaktionszeiten testen. Und während die IA zunehmend in defensive Werkzeuge integriert wird, werden immer noch scharfe Profis benötigt, um diese Systeme zu konfigurieren, ihre Ausgänge zu interpretieren und sie in einem operativen Kontext zu leiten.
Die Organisationen, die den Identitäts-basierten Angriffen am besten widerstehen, sind diejenigen, die vor der Krise in ihr Volk investiert haben. Teams trainiert in den realen Techniken der Angreifer - nicht nur in der Theorie, sondern üben mit den gleichen Werkzeugen und Taktiken, die die Angreifer verwenden - besser reagieren. Die effektive Durchführung des DAIR-Zyklus erfordert Experten, die beide Seiten des Spiels verstehen: Wie der Zugriff gewonnen wird und wie man die Beweise, die auf jeder Stufe auftreten, untersucht.
Wenn Sie diesen gesamten Lebenszyklus des Angriffs und der Reaktion vertiefen wollen - von der anfänglichen Erlangung der Anmeldeinformationen bis hin zur lateralen Bewegung, Beharrlichkeit und Forschungstechnik - gibt es Kurse, die offensive Perspektive mit praktischen Verteidigungsfertigkeiten kombinieren. Für diejenigen, die versuchen, ihr Verständnis der Angreifer zu verbessern und ihre Fähigkeit zu reagieren, ist eine anerkannte Option SEC504: Hacker-Tools, -Technologien und -verfahren. Im Juni ich werde trainieren SANS Chicago 2026 wo wir uns dem DAIR-Modell nähern, das auf reale Vorfälle angewandt wird.
Wenn Sie Ihre Entscheidungen auf Daten- und Referenz-Frameworks stützen möchten, werden Berichte wie die Verizon Data Breach Untersuchungsbericht oder die Empfehlungen von Einrichtungen wie CISA sind nützliche Messwerte, um aktuelle Trends und Taktiken zu verstehen. Für technische Rahmen für Identität, NIST SP 800-63 bietet Kriterien und bewährte Praktiken, die dazu beitragen, robustere Kontrollen zu gestalten.
Die Schlüsselstunde ist doppelt und einfach: Die Bedrohungen entwickeln sich, und die Reaktion muss auch dies tun. Bessere Werkzeuge sind nicht genug; adaptive Prozesse, effektive Kommunikation und geschulte Fachkräfte werden benötigt, um das dynamische Modell der Vorfallreaktion anzuwenden. Wenn Sie diese Säulen verstärken, reduzieren Sie den Vorteil der Geschwindigkeit und Skala der Angreifer heute.
Anmerkung: Dieser Artikel wurde von Jon Gorenflo, SANS Instruktor in SEC504: Hacker Tools, Techniques und Incident Handling geschrieben und beigetragen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...