Black Hat USA 2025: Was ich über den Schutz des modernen Netzwerks vor modernen Angriffen gelernt habe

August 14, 2025
Mark Wojtasiak
VP für Produktforschung und Strategie
Black Hat USA 2025: Was ich über den Schutz des modernen Netzwerks vor modernen Angriffen gelernt habe
Anatomie eines verstreuten Spinnenangriffs - Präsentation "Mind your attack gap" auf der Black Hat

Ich denke immer noch über die Black Hat in Vegas nach (und erhole mich davon). Dieses Jahr fühlte es sich anders an, energiegeladener und die Gespräche waren sinnvoller, praktischer und ehrlicher. Hier ist, was ich mitgenommen habe, obwohl ich die Dinge durch meine Vectra AI grün gefärbte Brille sehe:

1. KI ist jetzt Waffe und Ziel zugleich. Agenten-KI - autonome Systeme - werden für Aufklärungszwecke missbraucht, um Daten zu exfiltrieren und sogar Angreifern zu helfen, sich der Entdeckung zu entziehen. Keine malware erforderlich. Wenn die von den Verteidigern eingesetzte KI nicht speziell dafür entwickelt wurde, wie Angreifer zu denken - also so schnell zu denken und zu handeln, wie Angreifer sich im Netzwerk, in der Identität und in der cloudbewegen -, wird sich die Zeit für einen Angriff im Vergleich zur Zeit für die Verteidigung verlängern.

2. Die Wahrheit steckt in den Paketen. Wir haben Forschungen über das Tunneln in private Netze gesehen. Einmal drin, mischen sich Angreifer in den "normalen" Verkehr, verstecken sich in verschlüsselten Datenströmen und bleiben unsichtbar. Aus diesem Grund ist die Abdeckung des Ost-West- und Nord-Süd-Verkehrs nicht optional - sie ist von grundlegender Bedeutung.

3. Die Identität ist die Zielscheibe. Token-Diebstahl, Missbrauch von föderiertem Vertrauen und die Ausweitung von Privilegien in der cloud sind die neue Normalität. Angreifer hacken sich nicht ein - sie melden sich an. Und wenn Sie die Identitätsaktivitäten nicht in Echtzeit beobachten, werden Sie sie übersehen.

4. Das konvergente Risiko ist real. Netzwerk, Identität, Cloud, SaaS, IoT, OT - die Sicherheit sieht mehrere Angriffsflächen, die Angreifer sehen eine riesige Angriffsfläche (wir nennen es das moderne Netzwerk). Alles, was moderne Angreifer brauchen, ist ein Zugang (Identität), und wenn sie erst einmal drin sind, können sie sich integrieren, verstecken und ohne Reibung bewegen. Das wirft die Frage auf: Sollten wir uns nach einer Sicherheitsverletzung (Erkennung) genauso um die Sicherheit kümmern wie vor einer Sicherheitsverletzung (Prävention)?

Vielleicht liegt es an mir und meiner Voreingenommenheit - ich höre, was ich hören will, aber ich kann nicht anders, als von der Black Hat mit der Überzeugung wegzugehen, dass das Problem, das es zu lösen gilt, lautet: Moderne Netzwerke, moderne Angriffe, und die Abwehr dieser Angriffe läuft auf 3 einfache Fragen hinaus:

1. Können wir sie sehen? (Deckung)

2. Können wir sie aufhalten? (Kontrolle)

3. Wie schnell können wir sie sehen und aufhalten? (Klarheit)

Häufig gestellte Fragen