Anzeige

Bedrohungssuche

Ein wichtiges Element für die schneller Erkennung sind eingedrungene Angreifer sind die sicherheitsrelevanten Datenanreicherungen in Netzwerk-Metadaten. Diese dienen als Grundlage für Bedrohungsjäger und Analysten, um während eines Untersuchungsprozesses Hypothesen zu testen und abzufragen.

Ein wesentlicher Aspekt dabei ist das Multi-Homed-Attribut. Es ermöglicht Sicherheitsteams zusätzliche Effizienz, da sie feststellen können, ob ein identifizierter Command-and-Control- oder Exfiltrations-Kanal schädlich sein könnte. Vectra, Anbieter von Cybersicherheit aus Basis künstlicher Intelligenz, klärt auf.

Wenn man heute den Netzwerkverkehr beobachtet, ist es möglich, dass eine Domain auf mehrere IPs aufgelöst wird. Dies ist wahrscheinlich ein Hinweis auf einen externen Host, der Teil einer größeren Infrastruktur ist. Der Command-and-Control-Kanal eines Angreifers wird auf eine so große Infrastruktur kaum zurückgreifen, es sei denn, er nutzt Verschleierungstechniken. Deswegen diktieren Best-Practices für Operations Security (OPSEC) eine Silostruktur als optimale Angreifer-Infrastruktur. Eine Silo-Architektur schafft nicht nur einen kleineren Footprint, sondern erschwert es auch einem Sicherheitsanalysten, einzelne Angriffe zu korrelieren und die Absicht des Angreifers zu bestimmen. Eine größere Angriffsinfrastruktur widerspricht der Idee des Silobetriebs und macht es für Angreifer schwieriger und teurer, ihre Ziele zu erreichen.

Zu wissen, ob der Datenverkehr zu einer IP-Adresse geht, die über eine größere Infrastruktur bereitgestellt wird, kann bei der Untersuchung verschiedener externer Verbindungen für Command-and-Control-Aktivitäten hilfreich sein. Ein Ermittler oder Bedrohungsjäger kann dies nutzen, um den Datenverkehr zu diesen IP-Adressen und Domains aus seinem Untersuchungsgebiet zu eliminieren, Fehlalarme effektiv einzudämmen und die Effizienz in SOC-Prozessen zu verbessern. Die Begründung für die Beseitigung dieses Datenverkehrs ist, dass fortgeschrittene Angreifer die besten OPSEC-Praktiken kennen und Angreifer auf niedrigerem Niveau die Kosten und Komplexität einer größeren Infrastruktur vermeiden.

Obwohl es als ein einziges Attribut in den zugrundeliegenden Metadaten dargestellt wird, ist der Generierungsalgorithmus recht leistungsfähig. Es ist ein dynamisches Modell, das ständig den DNS-Verkehr verfolgt und A Records und CNAMES extrahiert. Das Modell löst rekursiv jeden A Record und CNAME auf und zählt dann die der jeweiligen Domain zugeordneten IP-Adressen. Aufgrund des transitiven Charakters von DNS-Mappings lernt und vergisst das Modell ständig und gewährleistet so die aktuellste Bestimmung. Ein Boolesches Attribut, das als HostMultihomed bezeichnet wird, ist nun den effektiven Zieladressen zugeordnet und in den Metadatenströmen iSession, HTTP und TLS sowohl in Cognito Stream als auch in Cognito Recall vorhanden.

www.vectra.ai

 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!