Anzeige

Anzeige

VERANSTALTUNGEN

Software Quality Days 2020
14.01.20 - 17.01.20
In Wien, Hotel Savoyen

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

DSAG-Technologietage 2020
11.02.20 - 12.02.20
In Mannheim, Congress Center Rosengarten

E-commerce Berlin Expo
13.02.20 - 13.02.20
In Berlin

SMX
18.03.20 - 19.03.20
In München

Anzeige

Anzeige

Bedrohungssuche

Ein wichtiges Element für die schneller Erkennung sind eingedrungene Angreifer sind die sicherheitsrelevanten Datenanreicherungen in Netzwerk-Metadaten. Diese dienen als Grundlage für Bedrohungsjäger und Analysten, um während eines Untersuchungsprozesses Hypothesen zu testen und abzufragen.

Ein wesentlicher Aspekt dabei ist das Multi-Homed-Attribut. Es ermöglicht Sicherheitsteams zusätzliche Effizienz, da sie feststellen können, ob ein identifizierter Command-and-Control- oder Exfiltrations-Kanal schädlich sein könnte. Vectra, Anbieter von Cybersicherheit aus Basis künstlicher Intelligenz, klärt auf.

Wenn man heute den Netzwerkverkehr beobachtet, ist es möglich, dass eine Domain auf mehrere IPs aufgelöst wird. Dies ist wahrscheinlich ein Hinweis auf einen externen Host, der Teil einer größeren Infrastruktur ist. Der Command-and-Control-Kanal eines Angreifers wird auf eine so große Infrastruktur kaum zurückgreifen, es sei denn, er nutzt Verschleierungstechniken. Deswegen diktieren Best-Practices für Operations Security (OPSEC) eine Silostruktur als optimale Angreifer-Infrastruktur. Eine Silo-Architektur schafft nicht nur einen kleineren Footprint, sondern erschwert es auch einem Sicherheitsanalysten, einzelne Angriffe zu korrelieren und die Absicht des Angreifers zu bestimmen. Eine größere Angriffsinfrastruktur widerspricht der Idee des Silobetriebs und macht es für Angreifer schwieriger und teurer, ihre Ziele zu erreichen.

Zu wissen, ob der Datenverkehr zu einer IP-Adresse geht, die über eine größere Infrastruktur bereitgestellt wird, kann bei der Untersuchung verschiedener externer Verbindungen für Command-and-Control-Aktivitäten hilfreich sein. Ein Ermittler oder Bedrohungsjäger kann dies nutzen, um den Datenverkehr zu diesen IP-Adressen und Domains aus seinem Untersuchungsgebiet zu eliminieren, Fehlalarme effektiv einzudämmen und die Effizienz in SOC-Prozessen zu verbessern. Die Begründung für die Beseitigung dieses Datenverkehrs ist, dass fortgeschrittene Angreifer die besten OPSEC-Praktiken kennen und Angreifer auf niedrigerem Niveau die Kosten und Komplexität einer größeren Infrastruktur vermeiden.

Obwohl es als ein einziges Attribut in den zugrundeliegenden Metadaten dargestellt wird, ist der Generierungsalgorithmus recht leistungsfähig. Es ist ein dynamisches Modell, das ständig den DNS-Verkehr verfolgt und A Records und CNAMES extrahiert. Das Modell löst rekursiv jeden A Record und CNAME auf und zählt dann die der jeweiligen Domain zugeordneten IP-Adressen. Aufgrund des transitiven Charakters von DNS-Mappings lernt und vergisst das Modell ständig und gewährleistet so die aktuellste Bestimmung. Ein Boolesches Attribut, das als HostMultihomed bezeichnet wird, ist nun den effektiven Zieladressen zugeordnet und in den Metadatenströmen iSession, HTTP und TLS sowohl in Cognito Stream als auch in Cognito Recall vorhanden.

www.vectra.ai

 

GRID LIST
Frustrierter Mann - Internetausfall

Internetausfälle weltweit in Echtzeit

Internet Insights zeigt die Auswirkungen von Ausfällen auf Unternehmen durch aggregierte…
KI

Machine Learning: Allzweckwaffe oder Sicherheitsrisiko

Künstliche Intelligenz und Machine Learning sind omnipräsent. Scheinbar geht nichts mehr…
Menschen als Marionetten

Führungskräfte und Security Awareness (Teil 3/4)

Führungskräfte spielen beim Thema Security Awareness eine ganz besondere Rolle. Welchen…
Pfeil nach rechts

Malwarebytes-Sicherheitsprognosen für das Jahr 2020

Die Sicherheitsforscher von Malwarebytes prognostizieren zunehmende Gefahren für…
Schloss Hologramm

Kontinuierliche Anwendungssicherheit für DevOps

Unternehmen, die einen schnelleren Innovationszyklus anstreben, müssen über den…
KI Cyber Security

Vermindern KI-basierte Sicherheitstools die Gefahr wirklich?

Klassische Sicherheitstools können nur einen Teil der Cyber-Angriffe verhindern, Anbieter…