Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

Anzeige

Anzeige

Cyber Security Tools

Das Akronym UTM (Unified Threat Management) wurde ursprünglich für Firewall-Appliances entwickelt, die um zusätzliche Sicherheitsfunktionen wie IDS, IPS, URL-Filterung, SPAM-Filterung, Web Proxy mit Download-Virenprüfung erweitert wurden und nun auch Sandboxing-Lösungen für Dateidownloads und E-Mail-Anhänge beinhalten, - grundsätzlich also alles, was sich am Rande eines Netzwerks befindet, wo es ans Internet angebunden ist.

Dies hat sich dahin entwickelt, dass die meisten UTM-Anbieter nun auch ein Endpunkt-Schutzpaket anbieten, das typischerweise Host-Firewall, Virenschutz, Malware-Erkennung mittels Heuristiken und/oder Anomalie-Erkennung umfasst. Diese sind typischerweise mit einer Managementkonsole ausgestattet, die die Informationen aus dem Netzwerkverkehr der Appliance und den Host-Überwachungsfunktionen zusammenführt.

Diese Lösungen können sehr kostengünstig sein und machen sie für kleine und mittlere Unternehmensgrößen mit einem begrenzten Budget attraktiv. UTM-Lösungen haben jedoch den Nachteil, dass sie gegen Verteidigung in der Tiefe wirken, weil eine Schwachstelle in der Appliance, der Host-Überwachung oder der Management-Anwendung den gesamten Schutz gefährden kann und weil die im Netzwerk und Host verwendete Antiviren- und Bedrohungserkennung in der Regel identisch ist und aus einer einzigen Quelle stammt. UTM-Netzwerk-Appliances können auch in großen Netzwerken Leistungseinschränkungen aufweisen, wenn sie für viele Funktionen gleichzeitig verwendet werden.

Aus diesen Gründen ist es zwar möglich, dass eine UTM-Appliance und eine Endpunktlösung für kleine Netzwerke geeignet sind, aber größere Unternehmen verwenden eher getrennte Geräte von verschiedenen Anbietern für eine bestmögliche Lösung und erhalten so Informationen über Bedrohungen aus verschiedenen Quellen. Wenn dies aufgrund des Budgets oder der Verfügbarkeit eines operativen Teams nicht möglich ist, können UTM-Appliances eine Option sein, beginnend mit der Basis-Firewall. Bei der Abwehr der häufigsten Angriffe mit bösartigen Links in E-Mails oder dem Herunterladen von Malware auf kompromittierten Websites, können DNS und Webfiltering eine wirksame Verteidigung bieten, zusammen mit Virenprüfungen von E-Mail-Anhängen und Web-Downloads. Das Endpunktpaket kann dann weitere AV- und Verhaltensanalysen der ausführbaren Dateien liefern.

Für große Unternehmen ist das SIEM-Tool (Security Information and Event Management) das wichtigste Werkzeug, um die Ergebnisse der verschiedenen Detektions- und Protokollierungsgeräte zusammenzuführen. Hier werden Informationen aus verschiedenen Quellen zusammengeführt, um so eine Korrelation und Analyse dieser Informationen zu ermöglichen. Bösartige Aktivitäten werden so effektiver erkannt und die Reaktion auf Vorfälle beschleunigt. Dies ist in der Regel das einzige Tool, das einen Überblick über das gesamte Unternehmen bietet und beispielsweise die Korrelation von IDS-Alarmen und DNS-Anfragen ermöglicht. Das SIEM ermöglicht es auch, analytische Anwendungsfälle mit Hilfe aktueller Bedrohungsinformationen zu entwickeln. Bekannte oder neu auftretende Bedrohungen können so auf der Grundlage der verwendeten Techniken und Malware sowie der von den Sicherheitsgeräten gesammelten Informationen erkannt werden. Kontinuierliche Bedrohungserkennung ist für diese Aktivität von entscheidender Bedeutung.

Typischerweise werden eine Reihe von verschiedenen Toolsets verwendet, um Daten zu sammeln und zu verarbeiten, um aus den Rohdaten verwertbare Informationen zu gewinnen. Es gibt viele kostenlose Feeds, die in diese Tools aufgenommen werden können. Die häufigste Aggregation von Feeds wird innerhalb des MISP durchgeführt. Der MISP-Dienst ist Open Source und wird von vielen Unternehmen genutzt, zusammen mit einer Reihe von kostenpflichtigen und kostenlosen Feeds. Domänenrelevante Informationen können auch durch die Teilnahme an einer der vertikalen Informationsaustauschgruppen der Branche gewonnen werden.

Die Überwachung des externen Fußabdrucks des Unternehmens ist auch der Schlüssel zur Identifizierung von Ein- und Ausstiegspunkten für Bedrohungsakteure. Premium-Tools sind das primäre Überwachungswerkzeug für jene Geräte, die für das Internet von außen sichtbar sind. Diese Tools zeigen auch potenzielle Schwachstellen, wenn sie für Host und offene Ports anwendbar sind. Monitoring Tools können auch eingesetzt werden, um Sites zu identifizieren, die bestimmten Organisationen zuzuordnen sind. Diese Art der Überwachung ist im aktuellen Klima sehr relevant, wo z.B. die Magecart Gruppe gefälschte Websites und ähnliche Domainnamen verwendet, um den Datenverkehr umzuleiten. Die Tools überwachen auch, ob ähnlich benannte Domainnamen registriert werden.

Schließlich ermöglichen es Premium-Abonnements für Malware-Samples dem CTI-Team, bösartige Samples herunterzuladen und Malware durch Reverse Engineering zu erkennen. So können IOCs identifiziert werden und Samples mit Bedrohungsgruppen verknüpft werden, um sich ein Bild von ihrer Funktionsweise und der Malware zu machen, die sie wahrscheinlich verwenden werden. Es hilft auch zu erkennen, ob ein Unternehmen gezielt attackiert wurde oder ob Samples im Rahmen einer größeren Kampagne blind ausgestreut wurden.

Michael Gerhards

Michael Gerhards, Head of Airbus CyberSecurity Germany

www.airbus-cyber-security.com/de

 

GRID LIST
Notfall Knopf

Die Zeit läuft: Worauf es bei der Notfallreaktion ankommt

Wie bei jedem Notfall – Feuer, Herzinfarkt oder Verkehrsunfall – spielt auch bei…
Torhüter FCA

Torhüter der IT – der FC Augsburg setzt auf „Made in Augsburg"

Der 1907 gegründete Traditionsverein FC Augsburg (FCA) nutzt zur Verwaltung seiner…
Tb W190 H80 Crop Int A03eb03b6c06e9e89dbea9d04fe772e2

IT Sicherheit - vom Spielverderber zum Beschleuniger der Digitalisierung

Moderne IT-Security muss einerseits die Herausforderungen der digitalen Transformation…
Hand hält Wolke mit Schloss

Forcepoint Next Generation Firewall

Evasion-Techniken bilden eine besondere Gefahr für die IT-Sicherheit in Unternehmen.…
Tb W190 H80 Crop Int C196c32d831cae80f568a6bbc332af89

VPN-Verschlüsselung ist nicht für alle Szenarien sinnvoll

Datenschutzskandale, Sicherheitslücken, Hacking und diverse Szenarien der…
Tb W190 H80 Crop Int B43bafc6bf035187fc81a02a47f08a7e

QUICK Technology: Alternative zu Public-Key-Infrastrukturen

Rund ein Jahr, nachdem die Europäische Datenschutz-Grundverordnung endgültig in Kraft…