Anzeige

Bedrohungssuche

Ein wichtiges Element für die schneller Erkennung sind eingedrungene Angreifer sind die sicherheitsrelevanten Datenanreicherungen in Netzwerk-Metadaten. Diese dienen als Grundlage für Bedrohungsjäger und Analysten, um während eines Untersuchungsprozesses Hypothesen zu testen und abzufragen.

Ein wesentlicher Aspekt dabei ist das Multi-Homed-Attribut. Es ermöglicht Sicherheitsteams zusätzliche Effizienz, da sie feststellen können, ob ein identifizierter Command-and-Control- oder Exfiltrations-Kanal schädlich sein könnte. Vectra, Anbieter von Cybersicherheit aus Basis künstlicher Intelligenz, klärt auf.

Wenn man heute den Netzwerkverkehr beobachtet, ist es möglich, dass eine Domain auf mehrere IPs aufgelöst wird. Dies ist wahrscheinlich ein Hinweis auf einen externen Host, der Teil einer größeren Infrastruktur ist. Der Command-and-Control-Kanal eines Angreifers wird auf eine so große Infrastruktur kaum zurückgreifen, es sei denn, er nutzt Verschleierungstechniken. Deswegen diktieren Best-Practices für Operations Security (OPSEC) eine Silostruktur als optimale Angreifer-Infrastruktur. Eine Silo-Architektur schafft nicht nur einen kleineren Footprint, sondern erschwert es auch einem Sicherheitsanalysten, einzelne Angriffe zu korrelieren und die Absicht des Angreifers zu bestimmen. Eine größere Angriffsinfrastruktur widerspricht der Idee des Silobetriebs und macht es für Angreifer schwieriger und teurer, ihre Ziele zu erreichen.

Zu wissen, ob der Datenverkehr zu einer IP-Adresse geht, die über eine größere Infrastruktur bereitgestellt wird, kann bei der Untersuchung verschiedener externer Verbindungen für Command-and-Control-Aktivitäten hilfreich sein. Ein Ermittler oder Bedrohungsjäger kann dies nutzen, um den Datenverkehr zu diesen IP-Adressen und Domains aus seinem Untersuchungsgebiet zu eliminieren, Fehlalarme effektiv einzudämmen und die Effizienz in SOC-Prozessen zu verbessern. Die Begründung für die Beseitigung dieses Datenverkehrs ist, dass fortgeschrittene Angreifer die besten OPSEC-Praktiken kennen und Angreifer auf niedrigerem Niveau die Kosten und Komplexität einer größeren Infrastruktur vermeiden.

Obwohl es als ein einziges Attribut in den zugrundeliegenden Metadaten dargestellt wird, ist der Generierungsalgorithmus recht leistungsfähig. Es ist ein dynamisches Modell, das ständig den DNS-Verkehr verfolgt und A Records und CNAMES extrahiert. Das Modell löst rekursiv jeden A Record und CNAME auf und zählt dann die der jeweiligen Domain zugeordneten IP-Adressen. Aufgrund des transitiven Charakters von DNS-Mappings lernt und vergisst das Modell ständig und gewährleistet so die aktuellste Bestimmung. Ein Boolesches Attribut, das als HostMultihomed bezeichnet wird, ist nun den effektiven Zieladressen zugeordnet und in den Metadatenströmen iSession, HTTP und TLS sowohl in Cognito Stream als auch in Cognito Recall vorhanden.

www.vectra.ai

 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

RemoteWork Sicherheit

In drei Schritten zu mehr Netzwerksicherheit im Remote-Umfeld

Die Corona-Pandemie zwang im Frühjahr viele Unternehmen quasi über Nacht zur Digitalisierung. Dies gelang mal besser, mal schlechter, doch so langsam ist der Großteil von ihnen in der neuen Realität von Fernarbeit und Onlinekonferenzen angekommen.
Cybercrime

Effizienter Schutz vor Credential Stuffing

Die globale Coronavirus-Pandemie hat das Problem von Credential Stuffing noch verschärft. Bei dieser Angriffsmethode probiert ein Cyberkrimineller eine große Anzahl gestohlener Anmeldedaten bei mehreren Websites aus. Damit möchte er sich unbefugten Zugang zu…
Weihnachten Kalender

Der Adventskalender für mehr IT-Sicherheit

Die Weihnachtszeit naht und für Viele ist das Öffnen von 24 Adventskalender-Türchen eines der am meisten geschätzten Dezember-Rituale. Passend dazu startet zum zweiten Mal die Aktion “Sicher im Advent”
Business Continuity Management

Business Continuity Management: Überlebenswichtig in Corona-Zeiten

Die Corona-Pandemie stellt zahlreiche Unternehmen auf eine harte Probe. In dieser unsicheren Wirtschaftslage können Systemausfälle oder Ähnliches nicht nur Zeit, Geld und die Reputation kosten, sondern auch die Existenz.
E-Mails

E-Mail-Kommunikation mittels Blockchain: totemomail Verified

Die E-Mail ist gerade im Geschäftsleben nach wie vor das universelle Kommunikationsmittel, obwohl ihren Vorteilen auch Nachteile wie Phishing-Risiken oder die fehlende Revisionssicherheit gegenüberstehen.
Netzwerk-Sicherheit

Das Netzwerk sichern wie den Firmen-Komplex

Ransomware-Angriffe nehmen mehr und mehr zu, nicht zuletzt begünstigt durch die fortschreitende Digitalisierung, Cloudmigration und breit angelegte Tele-Arbeit. Nun gilt es, die Strategie für Netzwerksicherheit ebenfalls zu adaptieren. Mehr Homeoffice. Mehr…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!