Anzeige

Anzeige

VERANSTALTUNGEN

LIVE2019
28.05.19 - 28.05.19
In Nürnberg

Online B2B Conference
04.06.19 - 05.06.19
In Holiday Inn Westpark, München

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

WeAreDevelopers
06.06.19 - 07.06.19
In Berlin, Messe CityCube

Anzeige

Anzeige

Cyber Security Tools

Das Akronym UTM (Unified Threat Management) wurde ursprünglich für Firewall-Appliances entwickelt, die um zusätzliche Sicherheitsfunktionen wie IDS, IPS, URL-Filterung, SPAM-Filterung, Web Proxy mit Download-Virenprüfung erweitert wurden und nun auch Sandboxing-Lösungen für Dateidownloads und E-Mail-Anhänge beinhalten, - grundsätzlich also alles, was sich am Rande eines Netzwerks befindet, wo es ans Internet angebunden ist.

Dies hat sich dahin entwickelt, dass die meisten UTM-Anbieter nun auch ein Endpunkt-Schutzpaket anbieten, das typischerweise Host-Firewall, Virenschutz, Malware-Erkennung mittels Heuristiken und/oder Anomalie-Erkennung umfasst. Diese sind typischerweise mit einer Managementkonsole ausgestattet, die die Informationen aus dem Netzwerkverkehr der Appliance und den Host-Überwachungsfunktionen zusammenführt.

Diese Lösungen können sehr kostengünstig sein und machen sie für kleine und mittlere Unternehmensgrößen mit einem begrenzten Budget attraktiv. UTM-Lösungen haben jedoch den Nachteil, dass sie gegen Verteidigung in der Tiefe wirken, weil eine Schwachstelle in der Appliance, der Host-Überwachung oder der Management-Anwendung den gesamten Schutz gefährden kann und weil die im Netzwerk und Host verwendete Antiviren- und Bedrohungserkennung in der Regel identisch ist und aus einer einzigen Quelle stammt. UTM-Netzwerk-Appliances können auch in großen Netzwerken Leistungseinschränkungen aufweisen, wenn sie für viele Funktionen gleichzeitig verwendet werden.

Aus diesen Gründen ist es zwar möglich, dass eine UTM-Appliance und eine Endpunktlösung für kleine Netzwerke geeignet sind, aber größere Unternehmen verwenden eher getrennte Geräte von verschiedenen Anbietern für eine bestmögliche Lösung und erhalten so Informationen über Bedrohungen aus verschiedenen Quellen. Wenn dies aufgrund des Budgets oder der Verfügbarkeit eines operativen Teams nicht möglich ist, können UTM-Appliances eine Option sein, beginnend mit der Basis-Firewall. Bei der Abwehr der häufigsten Angriffe mit bösartigen Links in E-Mails oder dem Herunterladen von Malware auf kompromittierten Websites, können DNS und Webfiltering eine wirksame Verteidigung bieten, zusammen mit Virenprüfungen von E-Mail-Anhängen und Web-Downloads. Das Endpunktpaket kann dann weitere AV- und Verhaltensanalysen der ausführbaren Dateien liefern.

Für große Unternehmen ist das SIEM-Tool (Security Information and Event Management) das wichtigste Werkzeug, um die Ergebnisse der verschiedenen Detektions- und Protokollierungsgeräte zusammenzuführen. Hier werden Informationen aus verschiedenen Quellen zusammengeführt, um so eine Korrelation und Analyse dieser Informationen zu ermöglichen. Bösartige Aktivitäten werden so effektiver erkannt und die Reaktion auf Vorfälle beschleunigt. Dies ist in der Regel das einzige Tool, das einen Überblick über das gesamte Unternehmen bietet und beispielsweise die Korrelation von IDS-Alarmen und DNS-Anfragen ermöglicht. Das SIEM ermöglicht es auch, analytische Anwendungsfälle mit Hilfe aktueller Bedrohungsinformationen zu entwickeln. Bekannte oder neu auftretende Bedrohungen können so auf der Grundlage der verwendeten Techniken und Malware sowie der von den Sicherheitsgeräten gesammelten Informationen erkannt werden. Kontinuierliche Bedrohungserkennung ist für diese Aktivität von entscheidender Bedeutung.

Typischerweise werden eine Reihe von verschiedenen Toolsets verwendet, um Daten zu sammeln und zu verarbeiten, um aus den Rohdaten verwertbare Informationen zu gewinnen. Es gibt viele kostenlose Feeds, die in diese Tools aufgenommen werden können. Die häufigste Aggregation von Feeds wird innerhalb des MISP durchgeführt. Der MISP-Dienst ist Open Source und wird von vielen Unternehmen genutzt, zusammen mit einer Reihe von kostenpflichtigen und kostenlosen Feeds. Domänenrelevante Informationen können auch durch die Teilnahme an einer der vertikalen Informationsaustauschgruppen der Branche gewonnen werden.

Die Überwachung des externen Fußabdrucks des Unternehmens ist auch der Schlüssel zur Identifizierung von Ein- und Ausstiegspunkten für Bedrohungsakteure. Premium-Tools sind das primäre Überwachungswerkzeug für jene Geräte, die für das Internet von außen sichtbar sind. Diese Tools zeigen auch potenzielle Schwachstellen, wenn sie für Host und offene Ports anwendbar sind. Monitoring Tools können auch eingesetzt werden, um Sites zu identifizieren, die bestimmten Organisationen zuzuordnen sind. Diese Art der Überwachung ist im aktuellen Klima sehr relevant, wo z.B. die Magecart Gruppe gefälschte Websites und ähnliche Domainnamen verwendet, um den Datenverkehr umzuleiten. Die Tools überwachen auch, ob ähnlich benannte Domainnamen registriert werden.

Schließlich ermöglichen es Premium-Abonnements für Malware-Samples dem CTI-Team, bösartige Samples herunterzuladen und Malware durch Reverse Engineering zu erkennen. So können IOCs identifiziert werden und Samples mit Bedrohungsgruppen verknüpft werden, um sich ein Bild von ihrer Funktionsweise und der Malware zu machen, die sie wahrscheinlich verwenden werden. Es hilft auch zu erkennen, ob ein Unternehmen gezielt attackiert wurde oder ob Samples im Rahmen einer größeren Kampagne blind ausgestreut wurden.

Michael Gerhards

Michael Gerhards, Head of Airbus CyberSecurity Germany

www.airbus-cyber-security.com/de

 

GRID LIST
Code und Frau

Wissen ist Macht: So funktioniert die MITRE ATT&CK Matrix

In letzter Zeit gab es viel Wirbel um die MITRE ATT&CK Matrix und wie sie der…
Tb W190 H80 Crop Int D1a9e4fb59f56aef82a0754bb96c5f75

Warum „Thinking Small“ für „bessere Netzwerksicherheit“ steht

Die Netzwerksegmentierung ist seit vielen Jahren eine empfohlene Strategie, um die…
Social Engineering

Social Engineering und die Cybersicherheit

Wenn man Wikipedia befragt, so handelt es sich bei Social Engineering im Rahmen der…
Hacker Stadt

Schlaraffenland für Cyberkriminelle

Nach Angaben des Deutschen Instituts für Wirtschaftsforschung (DIW) möchte jeder Deutsche…
Ransomware

Unternehmen und Behörden haben ein neues altes Problem

Und täglich grüßt das Murmeltier, könnte man angesichts der neuesten Warnung des…
Cyberversicherung

Cyberversicherungen haben Lücken

Cyberversicherungen stellen eines der wachstumsstärksten Segmente des…