Um die Warheit hinter Vorfällen wie Cyberkriminalität, Sicherheitsverletzungen zu erkennen, muss der Ermittler in der Lage sein Zusammenhänge zu erkennen und verschiedene Arten digitaler Informationen miteinander zu verknüpfen.
Welche Skills muss ein Ermittler dabei erlernen?
Folgende Skills muss ein Ermittler erlernen:
Daten zu identifizieren und Zusammenhang herstellen
Muster und Beziehungen erkennen
Methodiken und Tools zur Veknüpfung untersuchen
Welche Datenpunkte muss ein Ermittler identifizieren, um die zeitliche Abfolge von Aktivitäten sowie den Ursprung eines Vorfalls zurückzuverfolgen?
Dazu muss der Ermittler relevante Informationen wie:
Protokolle
Zeitstempel
Datei-Metadaten
Netzwerkdaten indentifizieren
Was könnte ein Hinweis für Methoden und Strategien der Angreifer sein welche der Ermittler erkennen könnte?
In der digitalen Welt tauchen oft Muster und Beziehungen auf:
Durch das Erkennen der Muster folgt dass,
Wiederkehrende Taktiken von Cyberkriminellen entdeckt werden können
Benenne vier Methodiken und Tools zum Erkennen von Zusammenhängen.
Steganografie
Zeitliche Korrelation
Bayesiansche Inferenz
Statistische Analyse
Was ist die Steganografie?
Bei der Steganografie wird eine Information in einer anderen versteckt.
Was passiert bei der Zeitlichen Korrelation?
Dabei werden Zeitstempel aus verschiedenen Quellen digitaler Beweismittel abgeglichen.
Die hilft die Chronologie der Ereignisse zu bestimmen
Und Beziehungen zwischen den Handlungen festzustellen
Wobei handelt es sich bei der Bayesianschen Inferenz?
Hierbei handelt es sich um eine statistische Methode
Diese berechnet Wahrscheinlichkeiten auf Basis vorangegangener Informationen
Hilft eine Wahrscheinlichkeit eines Szenarios auf Grundlage der verfügbaren Beweise zu bewerten
Was ist die Statistische Analyse?
Ein Hilfmittel
Um Trends und Muster bei großen Datensätzen aufzudecken
Dadurch können Anomalien und Ausreißer erkannt werden
wie Datenzugriffe oder Dateiänderungen
Welche Rolle spielen Metadaten beim Erkennen von Zusammenhängen im Rahmen einer digitalen forensischen Untersuchung? Bitte nenne konkrete Beispiele für Metadatenelemente, die für diesen Zweck entscheidend sein können.
Metadaten, d. h. Daten über Daten,
sind von unschätzbarem Wert, wenn es um das Erkennen von Zusammenhängen geht. Beispiele für wichtige Metadatenelemente sind
Dateierstellungszeiten,
Dateizugriffsberechtigungen,
Kopfzeilen von Netzwerkpaketen und
Kopfzeilen von E-Mail-Nachrichten.
Durch die Analyse dieser Metadaten können die Ermittler:innen feststellen,
wer zu welchem Zeitpunkt auf die Dateien zugegriffen hat und
welchen Weg die Dateien durch das Netzwerk genommen haben, was bei der Rekonstruktion der Ereignisse hilfreich ist.
Was versteht man in der IT-Forensik unter Symptomen?
Nenne Beispiele dazu.
Sichtbare oder unmittelbare Probleme
Lassen häufig die Alarmglocken schrillen
Beispiele:
Unbefugter Zugriff
Datenexfiltration
Verdächtige Aktivitäten im Netzwerk
Was versteht man in der IT-Forensik unter Grundursachen?
Grundlegende Probleme die das Auftregen von Symptomen ermöglichen
Beispiele dazu:
Sicherheitslücken in der Software oder Infrastruktur.
Menschliche Fehler.
Erstelle ein Beispiel aus der Praxis in dem Symptome und Grundursache miteinander verbunden sind.
Wenn zum Beispiel:
wiederholt unberechtigte Zugriffsversuche auf ein System unternommen werden,
können die Symptome die Protokolle sein, die das Eindringen anzeigen.
Die Grundursache könnte jedoch eine Fehlkonfiguration in den Einstellungen der Zugriffskontrolle sein.
Die Suche nach den Grundursachen erschwerende Herausforderungen
Was ist ein Rückschaufehler?
Wann tritt dieser auf?
Ein Rückschaufehler ist eine kognitive Verzerrung
dieser erschwert die objektive Beurteilung von einem Sicherheitsvorfall
Er tritt auf wenn menschen glauben dass sie den Vorfall vorhersehen hätten können
Das führt dazu dass mann den Vorfall zu sehr vereinfacht und zu falschen Schlussvolgerungen kommt
Was versteht man unter der “Normalisierung von abweichendem Verhalten”?
Gib ein Beispiel aus der Praxis.
Es Bezieht sich auf die allmähliche Akzeptanz von Fehlverhalten.
Dies kann die Suche nach Grundursachen behindern.
Beispiel:
Wiederholte Verletzungen/Vorfälle führen zu einer Desensibilisierung
Regelmäßig auftretende Verstöße im System können von einer Organisation als Routine akzeptiert werden
Während des Untersuchungsprozesses ist es nicht ungewöhnlich, auf zufällige Feststellungen zu stoßen.
Worin unterscheided sich eine zufällige Feststellung von einem grundlegendem Problem?
Gib Beispiele dazu.
Zufällige Feststellungen sind:
Probleme die nichts mit der Grundursache zu tun haben.
Beispiele sind:
Nicht verwandte Sicherheitslücken
veraltete Software
Anomalien im System sein.
Warum ist es im Rahmen der Fehler-Ursachen-Analyse so wichtig, zwischen Symptomen und Grundursachen zu unterscheiden?
Welche Information verbirgt sich hinter dem Kürzel MITRE ATT&CK?
Adversarial Tactics, Techniques, and Common Knowledge
Es ist eine Wissensdatenbank,
für das Verhalten und die Taktiken, Techniken von Cyber Angreifenden
In welche 3 Kategorien ist der Rahmen des MITRE ATT&CK unterteilt?
Taktiken: Übergeordnete Ziele von Angreifern
Techniken: Spezielle Aktionen zur Erreichung der Ziele
Verfahren: Spezielle Instanzen oder Implementierungen von Praktiken
Welche Vorteile bietet die Nutzung von MITRE ATT&CK?
Standartisierte Sprache für die Beschreibung von Cyberbedrohungen
Verbesserte Situationswahrnehmung
Bessere Vorfallsreaktion
Bessere Erkennung von Bedrohungen
Bitte erläuter die wichtigsten Schritte und Überlegungen bei der Zuordnung gesicherter digitaler Beweismittel zu spezifischen Techniken, Taktiken und Verfahren in MITRE ATT&CK® für einen bestimmten Vorfall.
Die Zuordnung digitaler Beweismittel in MITRE ATT&CK® umfasst mehrere Schritte und Überlegungen:
Identifikation: Man identifiziert die relevanten digitalen Artefakte, Protokolle oder forensischen Daten, die sich auf den Vorfall beziehen.
Korrelation: Man korreliert die digitalen Beweismittel mit spezifischen Techniken und Taktiken, die in MITRE ATT&CK® beschrieben sind.
Attribution: Man bestimmt anhand der bekannten Taktiken, Techniken und Verfahren, welche angreifende Gruppe oder Einzelperson am wahrscheinlichsten für den Angriff verantwortlich ist.
Zuordnung: Ordne die digitalen Beweise den entsprechenden MITRE ATT&CK®-Techniken, -Taktiken und -Verfahren zu und erstelle eine umfassende Zuordnungsmatrix.
Dokumentation: Es wird ein detaillierter Bericht verfasst, der die Beweise mit MITRE ATT&CK® Referenzen verknüpft, um Eindeutigkeit und Transparenz bei der Vorfallsanalyse zu gewährleisten.
Welche Vorteile ergeben sich aus der Zuordnung zu Techniken, Taktiken und Verfahren in MITRE ATT&CK® im Rahmen einer Cybersicherheitsuntersuchung?
Um eine zuverlässige forensische Analyse durchführen zu können, ist eine kritische Denkweise unabdingbar. Das bedeutet, dass jeder Fall oder jedes Beweismittel offen und skeptisch betrachtet werden muss.
Welche zwei kognitiven Fallen treten häufig bei der Analyse der Beweismittel häufig auf?
Bestätigungsfehler: Es werden Informationen bevorzugt welche die eigenen Überzeugungen bestätigen.
Ankereffekt: Der ersten Information wird ein zu großes Gewicht beigemessen.
Was besagt der Dunning-Kruger-Effekt?
Der Effekt tritt auf wenn Personen mit begrenzten Fachwissen ihre Fähigkeiten überschätzen.
Übersteigerndes Selbsbewusstsein führt häufig zu diesem Fehler.
Objektivität ist der Eckpfeiler der forensischen Analyse. Fachleute müssen neutral und frei von Vorurteilen sein, die ihre Schlussfolgerungen beeinflussen könnten.
Neben dem Bestätigungsfehler und
dem Ankereffekt
können auch andere kognitive Verzerrungen, wie z. B. Verfügbarkeitsheuristik und Eigengruppenbevorzugung, das Urteil beeinflussen.
Diese Voreingenommenheit zu erkennen und gegen sie anzugehen, ist entscheidend für die Wahrung der Objektivität und die Vermeidung voreiliger Schlussfolgerungen.
Worin besteht das Hauptrisiko, bei einer forensischen Untersuchung voreilige Schlüsse zu ziehen?
Welche kognitiven Verzerrungen sind bei forensischen Ermittler:innen am häufigsten anzutreffen, und wie können sie abgeschwächt werden, um voreilige Schlussfolgerungen zu vermeiden?
Kognitive Verzerrungen wie
Bestätigungsfehler,
Ankereffekt und
Verfügbarkeitsheuristik
können forensische Ermittler:innen beeinflussen. Um diese Verzerrungen abzuschwächen, sollten Ermittler:innen ihre Annahmen bewusst infrage stellen, aktiv nach dagegen sprechenden Beweisen suchen und zur Wahrung der Objektivität Peer-Reviews und eine unabhängige Aufsicht einsetzen.
Last changed2 days ago
