Eine Liste von Elementen (Dateien, Programmen, Prozessen, IP-Adressen, URLs etc.) für die eingeschränkte Rahmenbedingungen gelten. Beispielsweise das Programme von einer Blacklist nicht ausgeführt werden dürfen oder Web-Adressen (URL) nicht besucht werden können.

Werden durch Schadsoftware fremde Rechner gekapert, können diese nach dem Willen Cyberkriminellen, der die Rechner übernommen hat, gesteuert werden. Hier wären klassische Missbrauchsfälle, wie die Nutzung der Systeme für DOS-Angriffe (Denial-Of-Service -> Überlasten eines Service) oder zur Erzeugung von E-Mail-Spam genutzt.

Aktuell beobachtet man aber auch verstärkt den Missbrauch der gekaperten Systeme, zur Berechnung von mathematischen Problemen. Die Lösung dieser Probleme (Primzahlenzerlegung bei großen Zahlen) dient u.a. dem Knacken von Passworten oder der Ermittlung von Werten aus dem Umfeld des elektronischen Geldes.
 

Bei DLP handelt es sich um den Verlust von Daten. Wobei hier das Hauptaugenmerk auf den selbst verschuldeten Datenabfluss liegt.

Indem an beispielsweise verhindert, dass vertrauliche Forschungsdaten zu Mitbewerbern gelangen, Managemententscheidungen zu früh publik werden oder ganz trivial interne Daten (Geheim;  Vertraulich; Nur für internen Gebrauch etc.) an Dritte gelangen.
DLP regelt dabei beispielsweise ob ein welcher Zugriff auf externe Datenträger (USB-Speicherstick, CD etc.) erlaubt ist, welche Dokumenten per E-Mail versendet werden würfen (Klassifizierung vorausgesetzte) und viele anderen Dinge auch, die einem Datenverlust vorbeugen.

Das diese Maßnahmen auch einem Cyberdieb das Leben erschweren, liegt dabei auf der Hand. Wobei der Aufwand, zur Klassifizierung des schützenswerten Gutes einen nicht unerheblichen Aufwand erfordert.

Im Wesentlichen ist EDR der aktuelle Bekämpfungsansatz bei Malware. Denn alle Angriffe, die es schaffen, vorgeschaltete Sicherheitsmechanismen zu passieren, gelangen auf das Endgerät. In der Vergangenheit war diese Bekämpfung primär auf klassische Schadsoftware (Computerviren) ausgerichtet. Aktuell bietet EDR aber eine erweiterte Funktionalität an, die es auch erlaubt Daten über den Angriff zu sammeln oder die Rekonstruktion eines sicheren Endgerätes zu forcieren. Die Definitionen der Security-Anbieter sind hier oft individuell geprägt und unterscheiden sich zu ihren Mitbewerbern.
Daher sollte jeder IT-Administrator, dieses Feature „EDR“ genau analysieren, wirklich zu wissen, welche Leistungen angeboten werden.

In den vergangenen Jahren hat es sich durchgesetzt, Schadsoftware nicht mehr nur anhand des Namens oder der Funktion zu definieren, sondern bevorzugt nach einem Hash-Wert. Hash dient dabei als sprachliche Umgangsform für ein Kryptografisches Verfahren, mit dem (vereinfacht gesagt), eine eindeutige „Quersumme“ zu einer Datenmenge (Datei) berechnet wird. Der Vorteil eines Hash-Wertes ist es u.a. auch, dass damit identische Dateien korrekt identifiziert werden können, zuverlässiger als die anhand des Dateinamens oder der Dateiattribute (Größe, Erstellungszeit etc.) möglich wäre.
Bei Nutzung von Hash-Wertens sollte man beachten, dass diese den aktuellen Anforderungen entsprechen und nicht als unsicher bzw. veraltet angesehen werden (SHA1). Minimale Anforderungen an „gute „HASH-Verfahren sind u.a.:

• Hohe Geschwindigkeit (Auch für langsame Rechner Systeme geeignet)
• Kollisionsschutz (Keine gleichen Werte bei unterschiedlichen „Daten/Dateien“)
• Einwegfunktion (Keine Rekonstruktion der „Daten/Dateien“ über den HASH-Wert)
  
  

Intrusion Prevention Systeme (IPS) sind durchaus zu vergleichen mit der heimischen Alarmanlage, die auch einen Schutz vor unerwünschten Eindringlingen bietet bzw. bieten soll. Wobei sich die Funktionsweise nicht zwingend an definierten Aktionen definiert, sondern auch an möglichen Handlungsmustern oder Situationen.
Ein Einbrecher, der in eine Wohnung eindringt, indem er die Fensterscheibe einschlägt und nicht die gesicherte Eingangstüre attackiert würde ein Alarmsystem austricksen. Ein IPS würde dies jedoch erkennen und Alarm schlagen, da es auch die Fenster überwacht und auch den Zugriff auf eine in der Wohnung befindliche Geldkassette (Daten) erkennt.
In der Praxis überwachen daher IPS bevorzugt den Datenverkehr, zwischen dem Angreifer (System) und dem Opfer (System) um Attacken, Security-Probleme oder Eindringversuche zu erkennen. Üblicherweise muss ein IPS aber stetig „dazulernen“, denn die Methoden der Angreifer werden ständig überarbeitet und verfeinert.

Bei einem Sicherheits-Incident handelt es sich um das Eintreten eines Vorfalls, den die installierten Sicherheitsmechanismen nicht eliminieren konnten. Neben sofort ersichtlichen Incidents, wie ein Trojaner, der Daten oder Festplatten löscht gibt es auch „schleichende“ Incidents bei denen möglicherweise über Wochen oder Monate Daten gestohlen wurden oder Identitätsprofile erstellt werden.
Über ein vorhandenes Incident-Response-Team bzw. die entsprechenden Prozesse und Verfahrensanweisungen, sollten hier sofort geplante Maßnahmen zur Schadensminimierung ergriffen werden. Dazu zählt auch eine forensische Analyse, die es eventuell ermöglich den Angreifer zu identifizieren.
Eine unbedacht durchgeführte Abschaltung von System, ohne vorausgegangen Analyse ist wenig hilfreich, da dies auch die Chane unterbinden, die Lücke zu identifizieren, die der Angreifer ausgenutzt hat!

Ein Überbegriff, der Security-Leistungen beschriebt, die über die klassische Erkennung von Malware hinausgehen. Dies kann einerseits die Integration von EDR oder die Nutzung definierter IPS Funktionen.
Charakteristische ist aber, dass die Schutzwirkung durch NGAV-Tools auf ein höheres Level gehoben wird als die Erkennung via Suchmuster und/oder einfacher Verhaltensanalyse.

Wie gut ist das eigenen Sicherheitskonzept? Ist es in der Lage, Angreifer abzuwehren und die Integrität der eigenen Systeme und Daten zu gewährleisten. Erkennt die eingesetzte Sicherheits-Software Anomalien und schlägt Alarm?

Antworten auf diese Frage gibt ein Pen-Test. Hier handelt es sich um einen selbst initiierten Angriffsversuch, bei dem man probiert die Sicherheitskonzepte zu umgehen bzw. auszuschalten. Dies kann durch erfahrene, eigen Mitarbeiter erfolgen oder durch ein Engagement entsprechender Firmen, die diese Dienstleistung anbieten.
Bei Fremdvergabe sollt man auf seriöse Anbieter setzen und das Vertragswerk genau spezifizieren, wie mit den Ergebnissen und erzielten Daten umgegangen wird.

Ebenso wie Malware (Malicious Software), ist auch Phishing ein Kofferwort, welches sich aus Password Harvesting (Passworte ernten) und Fishing (Angeln) zusammensetzt.
Damit ist auch schon die ursprüngliche Funktion beschrieben. Das sammeln und ausspionieren von Passworten bzw. von Account-Informationen (Kennungen, Passwörter, Verifikationsfragen etc.). Üblicherweise versuchen die Initiatoren von Phishing-Aktivitäten die Anwender zur Angabe von vertraulichen Daten zu verleiten, in dem diese in E-Mails, Webseiten oder nachgebauten Zugangsportalen abgefragt werden.
Meistens geschieht dies, in dem die Beendigung eines Service vorgegaukelt wird, eine Gewinnchance in Aussicht gestellt wird oder man einfach um die Neuangabe des Passwortes zur Verifikation bittet, da ein Hacker ggf. Zugang zur Passwort-Datei hatte. Durch eine aktuellen Bezug zu realen Situationen, Wahlen, Katastrophen, technischen Neuerung etc. versucht man über den Neugier den Anwender zu ködern.
Manche Phishing-Angriffe sind exzellent gemacht und bilden Umgebungen täuschen echt nach – hier erkennen oft nur Profis den wahren Hintergrund. Aber die Mehrzahl der Phishing-Attacken lässt sich mit etwas gesundem Menschenverstand oder der Suche im Web nach Detailinformationen erkenne. Generell gilt, wenn es um die Weitergabe von Anmeldedaten geht, ist Vorsicht angesagt und man sollte immer das Umfeld überprüfen, bevor man Daten weitergibt!

Die Whitelist stellt das Gegenteil zur Blacklist dar und benennt die Elemente (Dateien, Programme, Prozesse, Anwender etc.) die per Sonderregelung Zugriff auf gesperrte Ressourcen erhalten.
Beispielsweise kann ein Unternehmen den Zugriff auf Börse für alle Mitarbeiter verbieten (nicht relevant für die Arbeit), aber für die Investitionsabteilungen, die an der Börse agieren freischalten.

Vom Ablauf her bedeutet ein Zero Day Angriff, das eine Schwachstelle schneller ausgenutzt wird, als dass sie geschlossen wird. Quast der Angreifer verliert keine Zeit und greift unmittelbar nach der Freigabe des Programms an.
So die Theorie, denn die Suche nach Schwachstellen, die man per Exploit ausnutzen kann, dauert auch seine Zeit. Aber in der Praxis entdecken Hacker oft schneller Schwachstellen in Programm und Funktionen und nutzen diese aus, um Angriffe zu fahren. Sobald diese aber analysiert werden, gibt es i.d.R. Korrekturversionen der Software (Patch, Hotfix etc.) um die Schwachstelle zu beseitigen.

IT-Systeme arbeiten mit Vertrauensbeziehungen. So wird z.B. Systemen die zentralen Daten bereit stellen vertraut und das Vertrauen gegenüber eigenen Systemen ist größer als das, welches man externen (bzw. fremden Systemen) entgegenbringt. Die Überlegung dabei ist, dass interne System durch Security-Maßnahmen geschützt sind, während diese bei fremden Systemen ggf. nicht oder schlecht ausgeprägt sind. Wodurch die Gefahr, dass diese Systeme penetriert werden höher ist als für eigene Systeme.

Durch die zunehmende Komplexität von IT-Systemen und deren Technische Verwundbarkeit, etabliert sich seit einigen Jahren ein Trend der, generell davon ausgeht, dass man KEINEM System trauen darf. Denn auch interne System könnten kompromittiert sein, ohne dass man dies bemerkt (oder erst mit einer Verzögerung).
Dies führt dazu, das man entweder auf jedem System das Maximum an Security-Komponenten zum Einsatz bringt oder auf neue Technologien ausweicht, die wieder ein Vertrauen (Trust) zwischen den Systemen herstellen können, welches mehr Sicherheit bietet, als die gegenwärtigen Methoden (Domänen, Zertifikate, SSL etc.).