flowchart LR
Recon[Reconnaissance] --> Scan[Port Scanning]
Scan --> Enum[Enumeration]
Enum --> Exploit[Exploitation]
Exploit --> Priv[Privilege Escalation]
Priv --> Persist[Persistence]
Persist --> Lateral[Lateral Movement]
Lateral --> Exfil[Exfiltration]
flowchart TB
Internet((Internet))
Internet --> PublicSvc[Öffentlich erreichbarer Dienst]
Internet --> WeakVPN[Schwach konfiguriertes VPN]
Internet --> Phishing[Phishing / Credentials]
PublicSvc --> RCE[Web RCE]
WeakVPN --> CredAbuse[Credential Abuse]
Phishing --> SSOComp[SSO / Account Compromise]
RCE --> DockerBreakout[Container Missbrauch]
CredAbuse --> Lateral[Lateral Movement]
SSOComp --> AdminPanel[Admin Panels]
AdminPanel --> Secrets[Secrets / Tokens]
Lateral --> NAS[NAS]
Lateral --> DNS[DNS]
DNS --> Exfil[DNS Exfiltration]
flowchart TB
Hardening[Hardening] --> Patch[Patching]
Hardening --> Least[Least Privilege]
Hardening --> MFA[MFA]
Hardening --> Seg[Segmentation]
Hardening --> Logs[Logging]
Hardening --> DNSMon[DNS Monitoring]
Hardening --> Backup[Backups]
- VLAN-Trennung für IoT, Gäste, Kameras und Management
- kein direkter Internetzugriff auf Admin-Oberflächen
- MFA für VPN, SSO, Passwortmanager und Git
- zentrale Logs für DNS, Reverse Proxy, Auth und Systeme
- Egress-Kontrolle für IoT und Container
- Restore-Tests für Backups