/
Cyber-Resilienz

Malware-Payloads und Beacons: Wie bösartige Kommunikation beginnt

Wenn Sie Malware-Beacons verstehen und wissen, wie Sie sie blockieren können, können Sie Ihr Unternehmen sicherer machen. Ein Beacon, auch Payload genannt, ist eine ausführbare Datei oder ein Programm, das über einen Kommunikationskanal an einen Cyberangreifer zurückkommuniziert. Aus Sicht des Bedrohungsakteurs ist das Beacon-Management die Grundlage für seine bösartige Kampagne. Je nach Art und Fähigkeit eines Beacons ist es das Mittel, mit dem ein Bedrohungsakteur eine direkte Verbindung zu Ihrem Netzwerk herstellen, diese Kommunikationslinie aufrechterhalten und seine illegalen Ziele verfolgen kann.

Zum Beispiel die SolarWinds-Angriff auf die Lieferkette involvierte einen schwer fassbaren Bedrohungsakteur, der Beacon- oder Payload-Staging verwendete. Wie mehrere Analyseberichte nach dem Vorfall zeigten, handelte es sich um einen ausgeklügelten, mehrstufigen Angriff, bei dem die Sunspot-Malware ursprünglich eingesetzt wurde, um den Anbieter zu kompromittieren. Als Nächstes kam die Sunburst-Hintertür auf die Kunden des Lieferanten. Nachdem dies erfolgreich ausgeführt wurde, wurde es verwendet, um die Dropper Teardrop, die nur aus dem Speicher bestand, auszuliefern, gefolgt vom Raindrop-Loader und dem Cobalt Strike-Beacon. Jede Nutzlast hatte einen eigenen Zweck und eine Reihe von Funktionen.

Allgemeine Schritte in einer Malware-Angriffssequenz

Bei böswilligen Aktivitäten, an denen eine Sicherheitslücke beteiligt ist, unabhängig davon, ob es sich um einen Endbenutzer oder ein System handelt, verläuft die Angriffssequenz in der Regel wie folgt:

malware attack path

Es ist hilfreich, diese Phasen aus der Sicht des Bedrohungsakteurs zu verstehen. Indem wir lernen, wie Angreifer ihre bösartige Kommunikation zur Steuerung und Kontrolle nutzen, können wir auch eine Abwehr gegen sie aufbauen. Gehen wir jeden Schritt einzeln durch.

Infrastruktur für Angreifer

Auf der Seite des Angreifers wird es einen Command-and-Control-Listener geben, der die Kommunikation von allen Computern des Opfers empfängt und verarbeitet, die durch die entsprechende Payload gefährdet sind. Der Listener wird von Webservern, Mailsystemen, DNS, Warnsystemen und Angriffsservern unterstützt, auf denen die in der Bedrohungskampagne verwendeten Tools gehostet werden.

Die Kommunikation der Angreifer aus ihrer Infrastruktur heraus wird wahrscheinlich anonymisiert — das heißt, sie wird durch eine Reihe von Proxyservern geleitet, um ihre wahre Identität zu verbergen. Hier ist ein Beispiel:

anonymous proxy

Für komplexere Angriffe können Bedrohungsakteure auch verteilte Infrastrukturen einsetzen, die ihren spezifischen Kampagnen gewidmet sind. Auf diese Weise können sie je nach Bedarf schnell Infrastrukturen an mehreren geografischen Standorten auf- oder abbauen. Ein wichtiger Teil dieser Infrastruktur ist das Domain Name System (DNS). Ein Angreifer kann DNS nutzen, um bösartige Kommunikation an seine Infrastruktur weiterzuleiten, und er kann DNS auch verwenden, um Daten zu exfiltrieren (d. h. zu stehlen).

Neben dem Aufbau der Infrastruktur wird wahrscheinlich auch das Personal für die Planung, Bereitstellung und Verwaltung der böswilligen Kampagne zuständig sein. Hinter den meisten Bedrohungskampagnen steht ein ganzes Team von Mitarbeitern und Infrastruktur. Es ist unwahrscheinlich, dass es sich um eine Einzelsendung handelt.

Die folgende Aufschlüsselung zeigt ein Beispiel für ein Angriffskampagnenteam. Beachten Sie, wie ähnlich es dem Team eines typischen IT-Dienstleistungsunternehmens ist.

malicious campaign team

Für Bedrohungsakteure wird der Prozess, ihre eigene Infrastruktur zu sichern und gleichzeitig der Entdeckung im Opfernetzwerk zu entgehen, als Betriebssicherheit bezeichnet. Erfahrene Bedrohungsakteure bevorzugen in der Regel eine hohe Betriebssicherheit. Und um dies zu erreichen, werden sie eine Reihe von Umgehungs- und Verschleierungstechniken einsetzen.

Sicherheitslücke

Eine Sicherheitslücke ist einfach jede inhärente Schwäche eines Computersystems oder verwandter Technologien, die ein Bedrohungsakteur auszunutzen versucht. Diese Sicherheitsanfälligkeit kann entweder von der Quelle (dem Gerätehersteller) oder vom Ziel (in der Regel ein Endbenutzer) herrühren. Im Jahr 2017 wurde beispielsweise die SMBv1-Schwachstelle von Microsoft erfolgreich von Ransomware-Angreifern auf globaler Ebene ausgenutzt. Hier ein Blick auf den Detailbericht zu dieser Sicherheitslücke:

smb CVE details

Sobald eine System- oder Programmschwachstelle entdeckt wurde, kann sie veröffentlicht werden. In diesem Fall wird der Sicherheitsanfälligkeit eine Standard-CVE-Nummer (Common Vulnerabilities and Exposures) zugewiesen. Oder sie ist möglicherweise nur einigen wenigen Privatpersonen bekannt, und es stehen keine Korrekturen zur Verfügung (auch bekannt als „Zero-Day“). Die Schwachstellenphase kann sich auch auf häufigere Sicherheitslücken für Endbenutzer beziehen, die in der Regel durch Social Engineering wie Phishing und Malvertising ausgenutzt werden. In dieser Phase besteht das übergeordnete Ziel des Bedrohungsakteurs darin, die Sicherheitslücke auszunutzen und daraus eine Gelegenheit für einen erfolgreichen Angriff zu machen.

Angriff oder Exploit

Die nächste wichtige Phase eines Angriffs erfolgt, wenn der Bedrohungsakteur Zugriff auf einen Code erhält, mit dem er eine Sicherheitslücke ausnutzen und gleichzeitig Sicherheitskontrollen umgehen kann. Beispielsweise fand ein Bedrohungsakteur mithilfe des Metasploit Frameworks als Angriffsserver drei verfügbare Exploits für die Windows SMBv1-Sicherheitslücke, wie hier dargestellt:

Metasploit SMB vulnerability search

Diese Sicherheitslücken sind vom Typ, der von den berüchtigten WannaCry und NotPetya ausgenutzt wird. Ransomware-Kampagnen. Exploits wie diese enthalten oft sowohl den Exploit-Code für die Sicherheitslücke als auch einen kleinen Payload-Code für bösartige Kommunikation.

Ein Exploit ist oft vom Beacon oder der Nutzlast getrennt. Die beiden werden jedoch üblicherweise als Shellcode zusammengesetzt. Sobald der Exploit Zugriff auf das Zielsystem erlangt hat, lädt er einen kleinen Beacon oder eine Payload, die den Angreifer zurückrufen kann, um den Angriff abzuschließen. Dieser Vorgang wird als Payload-Staging bezeichnet.

Beacon oder Nutzlast

Wie oben erwähnt, ist ein Beacon oder eine Nutzlast eine ausführbare Datei oder ein Programm, das über einen Kommunikationskanal zurück zum Angreifer kommuniziert. Dies kann über HTTPS gesichert werden oder ein Klartextprotokoll wie DNS verwenden. Der Angreifer kann dann mithilfe eines sogenannten Beacon- oder Payload-Callbacks weitere Nutzdaten übertragen, oft mit zusätzlichen Funktionen, um die beabsichtigten Ziele zu erreichen.

Im Beispiel unten sehen Sie eine Meterpreter Payload als Windows-EXE unter Verwendung des Metasploit Frameworks MSF Venom:

Metasploit msfvenom
payload

Sobald eine solche Nutzlast auf einem Opfersystem bereitgestellt und ausgeführt wird, wird im Hintergrund eine umgekehrte TCP-Verbindung hergestellt. Die Payload verwendet den Standard-Port 4444 aus dem Netzwerk des Opfers zurück zur IP-Adresse des Angreifers. Beachten Sie, dass das obige Payload-Beispiel eine hohe Wahrscheinlichkeit hat, in der realen Welt erkannt zu werden, da es mit Standardwerten und ohne Kodierung generiert wurde. Es ist wirklich nur ein akademisches Beispiel.

Ziele

Sobald ein Angreifer den Beacon oder die Nutzlast ausführt, kann er seine Bedrohungskampagne durchführen. Dies kann den Diebstahl von Daten, die Installation von Ransomware oder eine andere Art von Störung beinhalten.

Bevor wir fortfahren, finden Sie hier eine Zusammenfassung der Schritte, die ein Angreifer unternehmen wird, um sein Ziel zu erreichen:

Schritt 1: Planen Sie die Kampagne und entwerfen Sie die entsprechende Infrastruktur, einschließlich Webserver, E-Mail-Server, DNS-Infrastruktur und Angriffsserver.

Schritt 2: Führen Sie Erkundungen der ausgewählten Ziele und Systeme durch.

Schritt 3: Wählen Sie den effektivsten Angriff oder die effektivste Sicherheitslücke aus, die Sie ausnutzen möchten, und verwenden Sie dabei eine Kombination aus Menschen und Systemen.

Schritt 4: Entwickeln oder erwerben Sie die entsprechenden Exploit-Tools, einschließlich der Bereitstellungsmechanismen.

Schritt 5: Richten Sie die Angriffsinfrastruktur ein, einschließlich der Command-and-Control-Infrastruktur (auch bekannt als „Listener“), um Reverse-Beacon-Kommunikation zu empfangen.

Schritt 6: Führen Sie die bösartige Kampagne aus.

Schritt 7: Verwalte das Beacon und die Nutzlasten, um eine Entdeckung zu vermeiden und die Kampagnenziele zu erreichen.

Walkthrough zum Angriff

Sobald ein Bedrohungsakteur die Infrastruktur und die dazugehörige Einrichtung entworfen und implementiert hat, kann seine bösartige Kampagne beginnen. Dazu muss der Bedrohungsakteur seine Beacons oder Payloads innerhalb des Opfernetzwerks ausführen. Dann können sie sich Zugang verschaffen, Fuß fassen und ihre Ziele verwirklichen.

Lassen Sie uns einige der wichtigen Schritte aus der Sicht eines Angreifers durchgehen.

Sehen Sie sich zunächst die Generierung der gewünschten Nutzlast an:

payload web meeting

In diesem Fall wird die Nutzlast generiert, um über eine Domain zu kommunizieren (app12.webcoms-meetings.com, in der ersten vollen grünen Zeile als LHOST dargestellt), das eine Remote-Meeting- und Collaboration-Software für das Windows-Betriebssystem nachahmt. Eine Überprüfung zeigt, dass die Domain in die vom Angreifer kontrollierte IP-Adresse aufgelöst wird.

DNS resolution check

Von hier aus wählt der Angreifer einen Übertragungsmechanismus für seinen ersten Eintritt in das Ziel. In diesem Beispiel haben sie sich für Spear-Phishing entschieden, eine Art Social-Engineering-Angriff, bei dem ein ahnungsloser Benutzer dazu gebracht wird, etwas herunterzuladen, was seiner Meinung nach ein Update seiner Software für Remote-Besprechungen ist. Der Angreifer hat eine entsprechende Domain (E-Mail und Internet) und eine Website-Infrastruktur eingerichtet, um diese Social-Engineering-Methode zu unterstützen, wie unten dargestellt:

phishing email and web

Der Angreifer hofft, dass der ahnungslose Benutzer die Payload herunterlädt und ausführt. Oder, wenn der Benutzer die Phishing-Website besucht, kann die Payload automatisch über einen Drive-by-Download ausgeführt werden. In beiden Fällen befindet sich die getarnte Payload jetzt auf dem Computer des Benutzers und kann ausgeführt werden, wie hier gezeigt:

payload in downloads

Sobald die Payload ausgeführt wird, ruft sie im Hintergrund das Kommando und die Kontrolle des Angreifers zurück. A Zuhörer wird auf der Seite des Angreifers bereits in Betrieb sein, um die Rückruf-Kommunikation zu empfangen. Im folgenden Beispiel ein Payload-Handler oder Listener Exploit/Multi/Handler, wurde auf der Seite des Angreifers eingerichtet, um Mitteilungen von der reverse_tcp Nutzlast, die auf dem Computer des Opfers über die bösartige Domain ausgeführt wird app12.webcoms-meetings.com.

payload handler

Sobald das Beacon die Infrastruktur des Angreifers erreicht, erhält der entsprechende Listener oder Handler die Verbindung, und die anfängliche Nutzlast kann eine viel größere Hauptnutzlast, die sogenannte Stage, herunterladen. Dies ist unten mit der Meldung „Sende Stage (175174) to 203.0.113.1“ zu sehen. Der Opfercomputer befindet sich hinter einer NAT-Firewall mit der externen IP 203.0.113.1. Die Nutzlast des Hackers in diesem Beispiel ist die Vielseitige Metasploit Meterpreter.

payload callback

Sobald das erste Beacon die Hauptnutzlast heruntergeladen hat, ist es bereit, den Rest des Angriffs fortzusetzen. Nach erfolgreicher Ausführung wird die Programmsteuerung dann an diese Hauptnutzlast (Stage) übergeben, um eine Shell für den Angreifer bereitzustellen. All dies geschieht im Speicher und beinhaltet Techniken zur Codeinjektion. Der nächste Screenshot zeigt den Angreifer mit praktischem Tastaturzugriff auf den Computer des Opfers. Der Angreifer kann den Befehl „dir“ ausführen und alle Dateien im Download-Ordner des Benutzers sehen.

meterpreter shell

Von hier aus führt der Angreifer eine interne Erkundung (auch bekannt als „Entdeckung“) auf dem Computer des Opfers durch. Der Angreifer kann nun die Konto- und Verzeichnisinformationen des Opfers abrufen. Beispielsweise lautet der protokollierte Benutzername für den kompromittierten Computer „ama“. Sie können sogar einen Screenshot des Windows-Desktops des Zielsystems aufnehmen, wie hier gezeigt:

meterpreter shell

Zu diesem Zeitpunkt kann der Angreifer auch das interne Netzwerk scannen, um andere Systeme zu erkennen. Der nächste Screenshot zeigt einen ARP-Scan (Address Resolution Protocol) des internen Netzwerks. Das wird nützlich sein für seitliche Bewegung, später beschrieben.

meterpreter shell ARP scan

Der Angreifer kann auch böswilligere Aktionen ausführen, z. B. das Exfiltrieren (Stehlen) eines Project_Progress.pdf Datei von der Opfermaschine. Wie unten gezeigt, können sie auch Mimikatz hochladen, ein bösartiges Tool zum Stehlen von Benutzerdaten. Angreifer benötigen Anmeldeinformationen mit erhöhten Rechten, um Aktionen auf Systemebene durchzuführen und sich innerhalb eines Netzwerks zu bewegen.

project progress mimikatz

Das folgende Beispiel zeigt, wie der Angreifer das hochgeladene ausführen kann Dumping von Mimikatz-Anmeldeinformationen Tool zum Anzeigen von Passwort-Hashes auf dem kompromittierten Windows-Computer.

Mimikatz

Ein weiterer wichtiger Schritt für den Angreifer besteht darin, eine Route zurück zum Opfercomputer zu erstellen, auch nachdem dieser vom Benutzer neu gestartet wurde. An dieser Stelle kommt die Technik der Persistenz ins Spiel. Angreifer haben mehrere Möglichkeiten, dies zu erreichen, darunter automatische Reverse-Payloads und persistente Backdoors.

Wie unten dargestellt, entscheidet sich der Angreifer dafür, ein Post-Exploit-Persistenzmodul auszuführen, das ein Visual Basic Script (VBScript) beinhaltet, das im Windows Temp-Ordner des angemeldeten Benutzers abgelegt wird. UOPfnwo.vbs. Der Angreifer installiert dann einen Windows-Registrierungseintrag, damit das Skript nach dem Hochfahren des Computers automatisch ausgeführt werden kann.

post-exploit persistence

Jetzt hat der Angreifer sichergestellt, dass sein Payload-Skript wieder eine Verbindung zu seinem Listener herstellen kann, auch wenn der Computer neu gestartet wird. Dateien auf der Festplatte können jetzt jedoch auch durch einen Antivirus-Scan (AV) des Dateisystems erkannt werden.

Schließlich wird der Angreifer alle möglichen Beweise bereinigen wollen. Zu diesem Zweck können sie bösartige Originaldateien und Einträge entfernen und schädliche Dateien verschlüsseln oder sogar legitime Systemdateien miteinander vermischen. Um ihre Spuren noch weiter zu verwischen, können sie auch Schattenkopien und Systemprotokolle löschen.

Analyse und Forensik des Angriffs

Ich werde nun einige erste Reaktionen auf Vorfälle (IR) und die grundlegende Analyse bestimmter Komponenten des Angriffs durchgehen. Dadurch erhalten Sie ein besseres Verständnis für bestimmte böswillige Aktionen.

Netzwerk- und DNS-Analyse

Ausgehend von der Analyse der Netzwerkkommunikation auf dem Opfercomputer wurde beobachtet, dass die interne IP (10.1.1.81) eine TCP-Verbindung am Remote-Port 443 zum DNS-Namen des externen Angreifers aufgebaut hat. Dies ist eine Befehls- und Kontrollkommunikation.

process running
Netstat command-and-control communication

Als Nächstes können wir durch die Analyse der typischen Komponenten einer regulären DNS-Auflösungshierarchie den Prozess des Angreifers aufschlüsseln:

  • Zunächst registrierte der Bedrohungsakteur eine Domain: webcoms-meetings.com
  • Die Domain zeigt auf die äußere IP 203.0.113.123.
  • Der Angreifer verwendet den Subdomänennamen app12.webcoms-meetings.com um den Verkehr von den Nutzlasten auf kompromittierten Maschinen zu deren Steuerung und Steuerung zu leiten.
DNS structure

Bedrohungsakteure können auch versuchen, Daten mithilfe von DNS zu exfiltrieren. Beispielsweise könnten sie DNS-TXT-Einträge oder sogar verschlüsselte eindeutige Informationen über ihre Opfer als Teil einer vermeintlichen ausgehenden DNS-Abfrage verwenden. Diese Anfragen werden vom autoritativen DNS-Server empfangen, der unter der Kontrolle des Angreifers steht. Ein autoritativer DNS-Server empfängt und beantwortet DNS-Abfragen für eine bestimmte Domain.

Bedrohungsakteure können auch Domain Generation Algorithms (DGAs) verwenden, um täglich automatisch Tausende von Domains zu generieren. Bei dieser Technik verfügt ein infizierter Computer über einen eingebauten Code (d. h. einen Algorithmus), den er generiert und dann über einen bestimmten Zeitraum versucht, eine Verbindung zu einer Reihe dieser generierten Domänen herzustellen. Es könnte beispielsweise versuchen, alle 24 Stunden eine Verbindung zu 1.000 generierten Domains herzustellen, bis eine erfolgreich ist. Der Angreifer registriert dann jeden Tag einige dieser Domains und hält sie für kurze Zeit aufrecht.

Diese Domains werden wahrscheinlich von Zeit zu Zeit böswillige Mitteilungen erhalten. Diese Technik, die von der Conficker-Malware-Familie populär gemacht wurde, macht es schwierig, eine zu erstellen Liste verweigern als Notausschalter. Um sich der Erkennung weiter zu entziehen und die Widerstandsfähigkeit aufrechtzuerhalten, nutzen raffiniertere Bedrohungsakteure auch eine verteilte Infrastruktur, die Proxys, Redirectors und Load Balancer kombiniert.

Systemanalyse

Die meisten der typischen Payload- oder Beacon-Operationen nach der Ausnutzung beinhalten die Manipulation von Windows-Prozessen, die vollständig im Arbeitsspeicher ablaufen. Ein Angreifer mit der Fähigkeit, Prozesse zu manipulieren, kann neue Prozesse auf dem Computer des Opfers starten. Dies kann eine native interaktive Shell sein (Windows) cmd.exe), das es dem Angreifer ermöglicht, native Windows-Befehle zu verwenden. Der Angreifer kann Prozesse auch nicht interaktiv starten, wie hier gezeigt:

meterpreter shell process manipulation

Auf dem Opfercomputer werden in einem Prozessabbild (siehe unten) die neu erstellten Prozesse mit ihren jeweiligen Prozess-IDs 2624 und 1972 angezeigt, die beide ausgeführt werden.

process explorer view

Die Fähigkeit, neue Prozesse zu starten, ist sehr nützlich. Der Angreifer kann einen neuen, ahnungslosen Prozess wie notepad.exe starten und dann seinen ursprünglichen Prozess migrieren bösartige Nutzlast mit Code/DLL Injection dazu verarbeiten. Es handelt sich um eine Technik, die einen bösartigen Prozess auf dem System als legitim erscheinen lässt. Ich werde im zweiten Teil dieser Serie näher darauf eingehen.

Der Angreifer migriert im Rahmen seiner Ausweichmanöver nach der Ausnutzung den ursprünglichen bösartigen Prozess, web1_meeting_update.exe (2472), zu einem neuen notepad.exe Prozess (1768), wie hier gezeigt.

meterpreter shell migrate process

Auf dem Opfercomputer wurde der ursprüngliche bösartige Prozess, PID 2472, migriert und läuft jetzt als notepad.exe mit der Prozess-ID 1768. Wie unten gezeigt, läuft jetzt nur der neue Prozess.

task manager migrated process

Aus der früheren Persistenztechnik werden im Temp-Ordner von Windows (siehe unten) sowohl das verwendete VBScript als auch die entsprechenden Autorun-Schlüssel angezeigt, die in der Registrierung für das bösartige Skript erstellt wurden.

persistence registry artifacts

Eine erste statische Analyse der ursprünglichen schädlichen ausführbaren Payload-Datei zeigt, dass mehrere Risikofaktoren damit verbunden sind. So werden beispielsweise einige interessante Windows-Bibliotheken (DLLs) geladen, insbesondere solche, die für die Netzwerkkommunikation verwendet werden. Eine entsprechende Speicher- und dynamische Analyse zeigt das verdächtige Verhalten eines Prozesses notepad.exe an, der Netzwerkverbindungen herstellt.

static analysis malicious payload file

Schlüsse

In diesem Artikel habe ich einige der typischen Überlegungen und Maßnahmen erörtert, die mit einer Bedrohungskampagne und der damit verbundenen böswilligen Kommunikation einhergehen. Ich hoffe, dies gibt Ihnen einen Einblick, wie und warum ein Bedrohungsakteur bestimmte Techniken einsetzt.

Wir können den Angriffszyklus, der zu böswilliger Kommunikation führt, in drei Phasen zusammenfassen:

  • Erster Eintrag
  • Hinrichtung
  • Befehl und Steuerung

Ein guter Weg, um Strategien zur Eindämmung des Klimawandels anzugehen, ist die Anwendung der von einem Verstoß ausgehen philosophie. Gehen Sie also davon aus, dass der Angreifer bereits eingedrungen ist und Ihre wichtigsten Sicherheitsziele daher die Erkennung und Eindämmung sein sollten. Außerdem müssen Ihre Sicherheitsergebnisse mindestens Folgendes beinhalten automatische Sichtbarkeit, Alarmierung und Eindämmung (Zero-Trust-Segmentierung). Im dritten und letzten Teil dieser Blogserie werde ich die Techniken zur Schadensbegrenzung ausführlicher erörtern.

Im nächsten Artikel, Teil zwei dieser Serie, werde ich mich eingehender mit Beacons und Payloads befassen und erklären, warum ein Bedrohungsakteur möglicherweise einen Typ einem anderen vorzieht. Ich werde mich auch mit einigen der fortgeschrittenen Techniken befassen, die Angreifer zum Ausweichen und zur Verschleierung einsetzen.

Verwandte Themen

In Verbindung stehende Artikel

Der lange Arm der Anwaltskanzlei und die Zukunft der Cybersicherheit
Cyber-Resilienz

Der lange Arm der Anwaltskanzlei und die Zukunft der Cybersicherheit

Als Sicherheitsexperte in einer Anwaltskanzlei müssen Sie zwei Dinge tun: (1) die Daten Ihrer Kanzlei sichern und (2) dies tun, ohne die tägliche Arbeit der Partner und Mitarbeiter der Kanzlei zu stören.

Bringen Sie mich zu Ihrem Domänencontroller: Schutz und Gegenmaßnahmen mithilfe von Zero-Trust-Tools
Cyber-Resilienz

Bringen Sie mich zu Ihrem Domänencontroller: Schutz und Gegenmaßnahmen mithilfe von Zero-Trust-Tools

In Teil 1 dieser Blogserie haben wir untersucht, wie Discovery-Methoden bei einem ersten Kompromiss eingesetzt werden können.

Was Common Criteria ist und wie man sich zertifizieren lässt
Cyber-Resilienz

Was Common Criteria ist und wie man sich zertifizieren lässt

Illumio Core erhielt eine weitere wichtige staatliche Sicherheitszertifizierung namens Common Criteria. Illumio wurde der erste Anbieter von Unternehmenssicherheit, der von der National Information Assurance Partnership (NIAP) zertifiziert wurde

Keine Artikel gefunden.

Assume Breach.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?