//Erweiterte Cyberbedrohungserkennung

Erweiterte Cyberbedrohungserkennung

Was sind erweiterte Cyberbedrohungen?

Erweiterte Cyberbedrohungen („Advanced Cyber Threats“) sind stärker an Zielen ausgerichtet als andere Cybersicherheitsbedrohungen. Sie können sich auf eine bestimmte Branche, einen Sektor oder ein geografisches Gebiet konzentrieren und manchmal sogar auf einzelne Organisationen. Anti-Malware- und andere Standard-Kontroll- und Endpunkt-Lösungen versagen möglicherweise beim Blockieren oder Verhindern dieser Angriffe. Solche Cyberbedrohungen zu entdecken, erfordert hohen Aufwand – der aber nötig ist, um Datenverluste zu verhindern. Kriminelle müssen nämlich nur eine einzige Schwachstelle finden, um einen Angriff ausführen zu können.

 

Im Idealfall wollen Organisationen Angreifer in der Phase der Erkundung, der Ausführung des Exploits oder der Seitwärtsbewegung eines Angriffs stoppen.

 

  • Erkundung bezieht sich auf die Zielauswahl und -untersuchung und umfasst das Sammeln von Informationen aus:
    • Social-Networking-Webseiten
    • Internet-Suchmaschinen
    • Sonstigen Quellen, die die ins Visier genommene Organisation beschreiben
  • Daten-Exploitation bezieht sich auf das Verhalten, das auf eine erfolgreiche Ausnutzung einer Schwachstelle hindeutet
  • Seitwärtsbewegung ist ein Begriff, mit dem die Penetrationsaktivitäten von Eindringlingen während ihrer Verbreitung in einem Netzwerk beschrieben werden.

Es ist wichtig, Angreifer während dieser Phasen zu entdecken, denn haben Daten das Netzwerk erst einmal verlassen, wird die Bedrohungsjagd zu einem Fall für die Forensik.

Kontaktieren Sie LogPoint

Treten Sie mit uns über das Formular in Kontakt und wir kommen so schnell wie möglich auf Sie zu.

LogPoint Threat Intelligence Brute Force Dashboard

So erkennt LogPoint fortschrittliche Cyberbedrohungen

LogPoint wendet verschiedene Methoden zur Bekämpfung fortschrittlicher Cyberbedrohungen an und bezieht Analysen in Form von Alarm-Regeln, Dashboards und Daten-Mapping mit ein. Der Einsatz von Logpoints Threat Intelligence Anwendung ermöglicht Security Analysten, Korrelationsregeln zu entwickeln und Machine Learning und Datenexploration anzuwenden, um ungewöhnliche Aktivitätsmuster auf und zwischen Geräten zu beobachten.

LogPoint Threat Intelligence Dashboard
LogPoint UEBA Risk Behavior Timeline

Threat Hunting

LogPoint nutzt auch Threat Intelligence Feeds, um Aspekte der Bedrohungsjagd zu automatisieren. Threat Intelligence Feeds werden zum Zeitpunkt der Aufnahme genutzt, so dass Daten, wenn sie bei uns ankommen, anhand aller bekannten konfigurierten Threat Intelligence Feeds geprüft werden.

Bedrohungsinformationen werden auch zum Zeitpunkt der Analyse verwendet. Dadurch können Analysten eine beliebige Menge an historischen Daten übermitteln, die anhand neuester Threat Intelligence Feeds überprüft werden, um zu sehen, ob sie mit neuen Erkenntnissen über Angriffe übereinstimmen. Diese korrelierten und geprüften Warnungen können dann zur Orchestrierung und Behebung zu einem Incident Response Tool eines Drittanbieters weitergegeben werden.

LogPoint UEBA Unusual Behavior

LogPoint Cyber Threat Detection in action

Wenn zum Beispiel eine Maschine im Engineering das allererste mal mit Workstations und Servern im Marketing kommuniziert und dann anfängt, Daten zum lokalen Rechner zurück zu kopieren, müssen Sie das wissen. LogPoint erfasst eine Warnmeldung, die Sie darüber informiert, dass ein Fall von Seitwärtsbewegung und Erkundung vorliegt. Mit LogPoints SIEM-Lösung der nächsten Generation sowie den Funktionen der User Entity and Behaviour Analytics (UEBA) ist Ihr Unternehmen in der Lage, zu erkennen, dass:

  • diese Aktivität ungewöhnliche Netzwerkzugriffsmuster darstellt
  • der Nutzer nicht Teil der Gruppe ist, auf der der Server gehostet wurde
  • Workstations sich niemals direkt mit Workstations außerhalb ihrer eigenen Gruppe verbinden
  • ein ungewöhnliches Dateizugriffsmuster auf der Marketing Maschine beobachtet wurde
  • die zum Engineering übertragene Datenmenge nicht mit zuvor beobachteten Modellen übereinstimmt
LogPoint UEBA Unusual Behavior