Ansichten:

Erfahren Sie, wie Attack Path Prediction Angriffswege erkennt, bevor diese ausgenutzt werden.

Attack Path Prediction verwendet Bedrohungserkennung, Verhaltensanalyse, Sicherheitslücken- und Fehlkonfigurations-Scans sowie Asset-Beziehungen und Profilanalysen, um potenzielle Angriffspfade vorherzusagen. Die Kernfunktionen des Cyber Risk Exposure Management und generative KI helfen dabei, wahrscheinliche Einstiegspunkt-Assets, potenzielle Ziele, Pfade, die ein Angreifer einschlagen könnte, und Schritte zur Behebung von anfälligen Assets zu bestimmen. Alle Angriffspfade erfordern:
  • Einstiegspunkt-Assets mit Risikoerkennungen, die darauf hinweisen, dass das Asset anfällig für Kompromittierungen ist
  • Ein potenzieller Pfad für laterale Bewegung
  • Hochwertige kritische Vermögenswerte, die als attraktive Zielpunkte für Angreifer dienen
Weitere Informationen finden Sie unter Angriffspfadkomponenten.
Hinweis
Hinweis
In bestimmten Fällen kann ein Asset sowohl als Eintritts- als auch als Zielpunkt für einen Angriffspfad dienen, sodass kein seitlicher Bewegungspfad erforderlich ist.
Sobald ein potenzieller Angriffsweg identifiziert wird, werden Abhilfemaßnahmen bereitgestellt, um gefährdete Einstiegspunkte abzusichern und den Angriffsweg zu beseitigen.
Attack Path Prediction verwendet die folgenden Methoden und Datenquellen, um potenzielle Komponenten von Angriffspfaden zu identifizieren.
Angriffspfadkomponente
Erkennungsmethoden
Einstiegspunkt
  • Basierend auf Internetexposition identifiziert:
    • Korrelation von Daten des External Attack Surface Management (EASM) mit Asset-Eigenschaften
    • Analysieren von Protokollen aus Trend Micro Network Sensor, Trend Micro Endpoint Sensor oder anderen Datenquellen
    • Scannen von Cloud-Asset-Konfigurationen mit Cyber Risk Exposure Management für Cloud oder Trend Vision One – Container Security-Funktionen
  • Identifiziert basierend auf Sicherheitslücken-Datenquellen, einschließlich Trend Micro-Produkten und Datenquellen von Drittanbietern. Für weitere Informationen siehe Schwachstellen.
  • Identifiziert basierend auf potenziellem Kompromiss:
    • Korrelation von Bedrohungserkennungen und Workbench-Warnungen mit Asset-Typen
Pfad der lateralen Bewegung
  • Identifiziert unter Verwendung von Telemetrie- und Erkennungsprotokollen aus den folgenden Datenquellen, um Asset-Beziehungen abzubilden
    • Netzwerkaktivitäten: Trend Micro Endpoint Sensor, Trend Micro Netzwerksensor
    • Benutzeraktivitäten: Trend Micro Endpoint Sensor, Trend Micro Cloud App Security, Datenquellen von Drittanbietern
    • Administrative Aktionen: Active Directory (lokal), Microsoft Entra ID, Trend Micro Cloud App Security
    • Berechtigungen: Active Directory (lokal), Microsoft Entra ID, Trend Micro Cloud App Security
    • Cloud-Asset-Verkehr: Cyber-Risiko-Expositionsmanagement für die Cloud
Zielpunkt
  • Identifiziert basierend auf Plattform-Tags des Asset-Profils und Kritikalitätsstufen der Assets
Hinweis
Hinweis
Wenn in Ihrer Umgebung keine Angriffswege identifiziert werden, wurden ein oder mehrere der erforderlichen Komponenten nicht erkannt. Weitere Informationen finden Sie unter Komponenten des Angriffswegs.
Unten ist ein Beispiel für einen potenziellen Angriffspfad, der von Attack Path Prediction erkannt wurde.
  1. Ein verwundbarer Einstiegspunkt, ein hochwertiges Zielobjekt und die Beziehungen zwischen den Objekten wurden identifiziert:
    1. Ein Server im Netzwerk ist dem Internet ausgesetzt und enthält eine bekannte Sicherheitslücke und eine Fehlkonfiguration.
    2. Ein "Administrator"-Benutzer hat eine Beziehung zum Server, die es dem Benutzer ermöglicht, sich im System anzumelden.
    3. Der Benutzer "Administrator" ist der Rolle "Globaler Administrator" zugewiesen, was dem Benutzer vollständige Systemrechte gewährt.
    4. Die globale Administratorrolle kann ein äußerst kritisches Benutzerkonto anzeigen und bearbeiten.
  2. Ein wahrscheinlicher seitlicher Bewegungsweg wird vorhergesagt:
    1. Angreifer greifen über das Internet auf den Server zu und nutzen die Sicherheitslücke aus, um Netzwerkzugriff zu erlangen.
    2. Die Angreifer verwenden die Administrator-Anmeldedaten, um sich anzumelden und die Rolle des "globalen Administrators" zu übernehmen.
    3. Mit vollständigen Systemprivilegien können die Angreifer das kritische Benutzerkonto kompromittieren und möglicherweise Daten stehlen oder sich tiefer in das Netzwerk bewegen.
  3. Es werden Schritte zur Behebung bereitgestellt:
    1. Beheben Sie die Sicherheitslücke auf dem Server und aktualisieren Sie das System.
    2. Konfigurieren Sie die richtige Zugriffskontrolle auf dem Server.
    3. Aktivieren Sie die Multi-Faktor-Authentifizierung für Konten und erzwingen Sie den Zugriff mit den geringsten Privilegien.
    4. Überwachen Sie Benutzerrollen und Berechtigungen, um eine unbefugte Eskalation von Privilegien zu verhindern.
Zugehörige Informationen