Das Verhalten moderner Angreifer lässt sich am besten als mehrphasiger Prozess verstehen. Angreifer bewegen sich zwischen Identitäts-, Netzwerk- und cloud und nutzen dabei häufig legitime Tools und normal erscheinende Aktivitäten, um unentdeckt zu bleiben. Das Erkennen einzelner Warnmeldungen reicht nicht aus, wenn Teams die Aktionen nicht zu einem zusammenhängenden Ablauf verknüpfen können.
Auf dieser Seite wird erläutert, was Angreiferverhalten ist, was es nicht ist, warum es derzeit so wichtig ist und wie Sicherheitsteams damit umgehen können, um schnellere und genauere Untersuchungen zu ermöglichen.
Das Verhalten von Angreifern bezieht sich auf die Aktionen und Muster, die Angreifer während eines Angriffs anwenden. Moderne Angriffe sind in der Regel komplexe, mehrphasige Prozesse, die sich zwischen Identitäts-, Netzwerk- und cloud bewegen. Angreifer versuchen oft, sich in legitimen Systemgeräuschen zu verstecken, während sie Erkundungen durchführen, ihren Zugriff erweitern und auf Persistenz oder Datenzugriff hinarbeiten.
In der Praxis umfasst das Verhalten von Angreifern interne Erkundungen wie Port-Scans oder die Aufzählung von Dateifreigaben, Versuche, Persistenz herzustellen, und Techniken, die sich in normale Administratoraktivitäten einfügen. Es handelt sich um die „Reise“-Sichtweise eines Eindringens, nicht um eine einzelne Warnung oder einen einzelnen Indikator.
Das Verhalten von Angreifern wird oft mit ähnlichen Signalen verwechselt, denen jedoch die Absicht oder Progression fehlt. Diese sind zwar miteinander verwandt, aber nicht identisch:
Experten beschreiben das Verhalten von Angreifern als einen schnellen, mehrstufigen Prozess, der sich über Identität, Netzwerk und cloud erstreckt. Anstatt Angriffe als einzelne Ereignisse zu betrachten, sollten Praktiker sie als einen kontinuierlichen Prozess betrachten, bei dem sich der Angreifer lateral durch Umgebungen wie Azure AD, M365 und traditionelle Netzwerke bewegt.
Eine wichtige Nuance ist die starke Abhängigkeit von LOTL-Techniken (Living-off-the-Land). Angreifer können Verwaltungstools wie PowerShell missbrauchen, die Graph-API verwenden oder mit KI-Assistenten wie Microsoft Copilot interagieren, um die Aufklärung und Datenermittlung zu beschleunigen. Oft umgehen sie die Erkennung durch subtile Änderungen, wie z. B. die Erstellung von Backdoor-Konten mit optisch ähnlichen Namen oder die Änderung von Richtlinien für den bedingten Zugriff, um einen vom Angreifer kontrollierten Standort als vertrauenswürdig zu behandeln.
Experten unterscheiden auch zwischen externen und internen Bedrohungen. Beispielsweise kann das Fehlen von Erkundungsverhalten aussagekräftig sein. Das Fehlen von Port-Scanning oder Enumeration vor böswilligen Aktionen kann auf einen Insider hindeuten, der die Umgebung bereits kennt.
Moderne Angriffe sind schnell, betreffen mehrere Domänen und sind schwer zu interpretieren, wenn die Daten fragmentiert sind. Erfahrene Angreifer können innerhalb von 15 Minuten nach dem ersten Zugriff Persistenz erreichen und mit der Datenexfiltration beginnen, was langsame, manuelle Untersuchungsabläufe unzuverlässig macht.
Gleichzeitig erfordern viele SOC-Workflows nach wie vor, dass Analysten sich durch umfangreiche Tabellen, unzusammenhängende Warnmeldungen und mehrere Module oder Widgets arbeiten müssen. Dies erhöht die kognitive Belastung und erschwert es, die Abfolge von Ereignissen schnell zu verstehen, den Ausgangspunkt der Kompromittierung zu identifizieren und die Auswirkungen eines Vorfalls zu bestimmen.
Sehen Sie, wie 360 Response hybride Angriffe innerhalb von Minuten stoppt. Erfahren Sie, wie einheitliche Identitäts-, Geräte- und Datenverkehrssperren Verteidigern bei aktiven Angriffen wieder die Kontrolle geben.
Wenn Teams das Verhalten von Angreifern zu stark vereinfachen, behandeln sie Erkennungen möglicherweise als isolierte Ereignisse und nicht als zusammenhängende Abfolge. Dies kann zu falschen Einstufungen, übersehenen Absichten und verzögerten Reaktionen führen.
Ein spezifisches Fehlermuster ist die Fehlinterpretation von Aufklärungssignalen. Eine mangelnde Aufklärung kann als „geringe Bedrohung“ interpretiert werden, selbst wenn sie auf einen Insider hindeuten könnte, der die Umgebung bereits kennt. Ein weiterer häufiger Fehler ist die Unterschätzung von Bewegungen in mehreren Domänen. Wenn Teams eine Kompromittierung in einem Bereich als eingedämmt betrachten, übersehen sie möglicherweise, dass Identitäten als Brücke zu anderen cloud oder zurück zu lokalen Systemen dienen können.
Das Ergebnis ist oft ein größerer Explosionsradius, eine verzögerte Eindämmung und eine erhöhte Wahrscheinlichkeit, dass Angreifer ihre Ziele wie beispielsweise die Exfiltration von Daten erreichen.
Das Verhalten von Angreifern umfasst mehrere taktische Kategorien, darunter Beharrlichkeit, Umgehung von Abwehrmaßnahmen, Entdeckung, laterale Bewegung und Datenzugriff. Beispiele für Verhaltensweisen sind:
Angreifer können Persistenz erreichen durch:
Angreifer können die Erkennung oder Telemetrie verringern, indem sie:
Angreifer führen in der Regel interne Erkundungen und Erkundungen durch, darunter:
Sehen Sie, wie das Verhalten von Angreifern in der Praxis analysiert wird. Entdecken Sie die Anatomie eines modernen Angriffs →
Das Verhalten von Angreifern stellt nicht nur eine Herausforderung für die Erkennung dar, sondern auch für den Arbeitsablauf. Analysten arbeiten oft mit fragmentierten Daten, unzusammenhängenden Warnmeldungen und Signalen, die über mehrere Tools verteilt sind. All diese Informationen müssen manuell zusammengetragen werden, um zu verstehen, was tatsächlich vor sich geht.
Wenn Teams ein klares Priorisierungsmodell anwenden, werden Entitäten anhand des beobachteten Angreiferverhaltens und der Berechtigungen oder der Bedeutung der betroffenen Identität oder des betroffenen Hosts nach Dringlichkeit eingestuft. Auf diese Weise können Teams zeitkritische Maßnahmen ergreifen – beispielsweise aktive Sitzungen widerrufen, um eine erneute MFA-Abfrage auszulösen, oder Konten sperren –, bevor der Angriff weiter voranschreiten kann.
Sehen Sie, wie Teams das das Verhalten von Angreifern im Kontext mit der Vectra AI
Moderne Angriffe erstrecken sich über Identitäten, Netzwerke und cloud Identitäten zur wichtigsten Brücke zwischen Umgebungen geworden sind. Sobald eine Identität kompromittiert ist, können Angreifer legitimen Zugriff nutzen, um sich lateral über cloud und zurück in lokale Systeme zu bewegen. Die isolierte Betrachtung von Aktivitäten in einer Domäne kann den tatsächlichen Umfang und die Auswirkungen eines Eindringens verschleiern.
Nein. Die auf maschinellem Lernen basierende Analyse des Angreiferverhaltens ersetzt keine herkömmlichen Warn- oder Erkennungswerkzeuge. Herkömmliche Werkzeuge zeigen einzelne Ereignisse oder Richtlinienverstöße auf, während sich die Verhaltensanalyse darauf konzentriert, wie Aktionen miteinander in Verbindung stehen und sich im Laufe der Zeit entwickeln. Sie dient dazu, die Absichten des Angreifers nach dem Zugriff zu interpretieren, insbesondere wenn sich die Aktivitäten in das normale Systemverhalten einfügen, und ersetzt nicht vollständig die Erkennung auf Ereignisebene.
Früherkennung basiert darauf, Vorläuferverhalten zu identifizieren, anstatt auf Auswirkungen zu warten. Erkundungen, Änderungen von Berechtigungen und ungewöhnliche Verwendung nativer Tools treten häufig vor ransomware oder der Exfiltration von Daten auf. KI hilft dabei, diese frühen Verhaltensweisen als Teil eines Fortschreitungsprozesses zu erkennen, anstatt sie als isolierte Ereignisse mit geringer Priorität zu behandeln.
Die Analyse des Angreiferverhaltens funktioniert, indem Aktionen über Domänen hinweg zu einem einzigen Angriffsverlauf verknüpft werden. Kompromittierte Identitäten dienen oft als Brücke zwischen Umgebungen und ermöglichen so die seitliche Bewegung von cloud in Netzwerke oder andere Plattformen. Ohne domänenübergreifende Korrelation könnten Teams übersehen, wie Aktivitäten in einem Bereich Auswirkungen an anderer Stelle haben können.
Die KI-basierte Verhaltensanalyse ersetzt nicht das menschliche Urteilsvermögen. Sie kann nicht in jedem Szenario die Absicht vollständig bestimmen oder endgültige Zuordnungsentscheidungen treffen. Analysten müssen weiterhin Ergebnisse validieren, den Kontext interpretieren und böswillige Aktivitäten von harmlosen Trends unterscheiden, die einem Angriffsverhalten ähneln.