DNS Tunneling ist eine Technik, bei der Daten über DNS-Anfragen und -Antworten transportiert werden, um Sicherheitskontrollen zu umgehen oder Exfiltration zu ermöglichen. Weil DNS in nahezu jedem Netzwerk „immer funktionieren muss“, wird es häufig weniger streng gefiltert und überwacht als HTTP(S). Genau das macht DNS Tunneling so attraktiv: Ein kompromittierter Host kann Daten in Subdomains…
Cache Poisoning bezeichnet Angriffe, bei denen ein Angreifer einen Cache mit manipulierten oder falschen Inhalten „vergiftet“, sodass nachfolgende Nutzer oder Systeme statt der korrekten Daten eine vom Angreifer kontrollierte Antwort erhalten. In der Praxis begegnet Ihnen Cache Poisoning vor allem in zwei Welten: als DNS-Cache-Poisoning (falsche Namensauflösung) und als Web-Cache-Poisoning (falsche HTTP-Antworten im CDN/Reverse-Proxy/Shared Cache).…
E-Mail-Security (SMTP) ist für Incident Response (IR) oft der schnellste Weg, um den Ursprung, die Reichweite und die technische Mechanik eines Angriffs zu verstehen. Während Endpoint- und Web-Telemetrie häufig erst nachgelagert Hinweise liefert, entsteht im Mailfluss bereits eine sehr dichte Spur: Verbindungsdaten, Authentifizierungsresultate, Zustellpfade, Inhaltsmerkmale, Policy-Entscheidungen und nachgelagerte Benutzeraktionen. Genau diese Telemetrie ist nützlich, weil…
Layer-7-Logging ist in der Forensik der Unterschied zwischen „wir vermuten“ und „wir können belegen“. Während Layer-3/4-Daten (IP, Port, Flow) vor allem zeigen, dass zwei Endpunkte kommuniziert haben, liefert Layer-7-Logging den Kontext: wer hat welche Aktion in welcher Anwendung ausgeführt, mit welcher Identität, über welchen Pfad, mit welchem Ergebnis. Genau deshalb sind Pflichtfelder entscheidend: Forensik scheitert…
Data Exfil über HTTPS ist für Security-Teams besonders unangenehm, weil der Datenabfluss im Normalfall „wie ganz normales Web“ aussieht: Port 443, etablierte Cloud-Dienste, verschlüsselte Payloads und oft sogar legitime Zertifikate. Trotzdem hinterlässt Data Exfil über HTTPS sichtbare Signale – nicht im Klartextinhalt, aber in Metadaten, Mustern und Kontextdaten rund um TLS, HTTP und das Verhalten…
SIEM + NDR zusammenführen ist für viele Security-Teams der schnellste Weg, aus „vielen Logs“ tatsächlich verwertbare Detektion zu machen. Während ein SIEM Ereignisse aus Identität, Endpunkten, Cloud, Anwendungen und Infrastruktur zentralisiert, liefert ein NDR (Network Detection & Response) die verhaltensbasierte Sicht auf den Netzwerkverkehr: Flows, DNS, TLS-Metadaten, Ost-West-Kommunikation und Anomalien, die in klassischen Logquellen oft…
Incident Response bei Web Attacks: Vom WAF-Alert zur Evidence beginnt in der Realität selten mit einem „klaren Angriff“, sondern mit einem Alarm, der zunächst nur eines sagt: Eine Anfrage hat ein Regelset getriggert. Ob es sich um einen echten Angriff, einen Scanner, eine Fehlkonfiguration oder um legitimen Traffic handelt, entscheidet sich erst durch saubere Evidenzgewinnung…
Ein API Gateway als Control Point ist für moderne Plattformen mehr als nur „ein Reverse Proxy vor den Services“. Es ist die Stelle, an der Sie technische und organisatorische Leitplanken durchsetzen: Authentisierung und Autorisierung, Rate Limiting, Request-Validierung, Observability, Verschlüsselung, Schutz vor Abuse und eine konsistente Governance über viele Teams hinweg. Gerade in Microservice- und Cloud-Umgebungen…
WebSocket-Abuse: Detection und Mitigation wird in vielen Umgebungen unterschätzt, weil WebSockets „nur“ wie eine effizientere Transportoption wirken. In der Praxis verändern sie jedoch die Sicherheits- und Betriebsrealität: Statt vieler kurzer HTTP-Requests entsteht eine langlebige, bidirektionale Verbindung, die über Minuten oder Stunden offen bleiben kann. Genau das macht WebSockets attraktiv für legitime Echtzeit-Use-Cases – und für…
SNI/ALPN-Telemetrie ist eine der nützlichsten Quellen für praxisnahes Fingerprinting in SecOps, weil sie selbst dann noch Signal liefert, wenn Payloads verschlüsselt sind und Deep Packet Inspection an Grenzen stößt. Beim TLS-Handshake verrät der Client typischerweise den beabsichtigten Ziel-Host via SNI (Server Name Indication) und die bevorzugte Applikationsschicht via ALPN (Application-Layer Protocol Negotiation), zum Beispiel „h2“…
Got questions? Ideas? Fill out the form below & our specialist will contact you.