Anzeige

Anzeige

VERANSTALTUNGEN

B2B Service Management
22.10.19 - 23.10.19
In Titanic Chaussee Hotel, Berlin

PM Forum 2019
22.10.19 - 23.10.19
In Nürnberg, NCC Ost

DILK 2019
28.10.19 - 30.10.19
In Düsseldorf

Digital X
29.10.19 - 30.10.19
In Köln

DIGITAL FUTUREcongress
05.11.19 - 05.11.19
In Essen, Halle 8 im Congress Center Ost

Anzeige

Anzeige

Bedrohungssuche

Ein wichtiges Element für die schneller Erkennung sind eingedrungene Angreifer sind die sicherheitsrelevanten Datenanreicherungen in Netzwerk-Metadaten. Diese dienen als Grundlage für Bedrohungsjäger und Analysten, um während eines Untersuchungsprozesses Hypothesen zu testen und abzufragen.

Ein wesentlicher Aspekt dabei ist das Multi-Homed-Attribut. Es ermöglicht Sicherheitsteams zusätzliche Effizienz, da sie feststellen können, ob ein identifizierter Command-and-Control- oder Exfiltrations-Kanal schädlich sein könnte. Vectra, Anbieter von Cybersicherheit aus Basis künstlicher Intelligenz, klärt auf.

Wenn man heute den Netzwerkverkehr beobachtet, ist es möglich, dass eine Domain auf mehrere IPs aufgelöst wird. Dies ist wahrscheinlich ein Hinweis auf einen externen Host, der Teil einer größeren Infrastruktur ist. Der Command-and-Control-Kanal eines Angreifers wird auf eine so große Infrastruktur kaum zurückgreifen, es sei denn, er nutzt Verschleierungstechniken. Deswegen diktieren Best-Practices für Operations Security (OPSEC) eine Silostruktur als optimale Angreifer-Infrastruktur. Eine Silo-Architektur schafft nicht nur einen kleineren Footprint, sondern erschwert es auch einem Sicherheitsanalysten, einzelne Angriffe zu korrelieren und die Absicht des Angreifers zu bestimmen. Eine größere Angriffsinfrastruktur widerspricht der Idee des Silobetriebs und macht es für Angreifer schwieriger und teurer, ihre Ziele zu erreichen.

Zu wissen, ob der Datenverkehr zu einer IP-Adresse geht, die über eine größere Infrastruktur bereitgestellt wird, kann bei der Untersuchung verschiedener externer Verbindungen für Command-and-Control-Aktivitäten hilfreich sein. Ein Ermittler oder Bedrohungsjäger kann dies nutzen, um den Datenverkehr zu diesen IP-Adressen und Domains aus seinem Untersuchungsgebiet zu eliminieren, Fehlalarme effektiv einzudämmen und die Effizienz in SOC-Prozessen zu verbessern. Die Begründung für die Beseitigung dieses Datenverkehrs ist, dass fortgeschrittene Angreifer die besten OPSEC-Praktiken kennen und Angreifer auf niedrigerem Niveau die Kosten und Komplexität einer größeren Infrastruktur vermeiden.

Obwohl es als ein einziges Attribut in den zugrundeliegenden Metadaten dargestellt wird, ist der Generierungsalgorithmus recht leistungsfähig. Es ist ein dynamisches Modell, das ständig den DNS-Verkehr verfolgt und A Records und CNAMES extrahiert. Das Modell löst rekursiv jeden A Record und CNAME auf und zählt dann die der jeweiligen Domain zugeordneten IP-Adressen. Aufgrund des transitiven Charakters von DNS-Mappings lernt und vergisst das Modell ständig und gewährleistet so die aktuellste Bestimmung. Ein Boolesches Attribut, das als HostMultihomed bezeichnet wird, ist nun den effektiven Zieladressen zugeordnet und in den Metadatenströmen iSession, HTTP und TLS sowohl in Cognito Stream als auch in Cognito Recall vorhanden.

www.vectra.ai

 

GRID LIST
Tb W190 H80 Crop Int 9483c05b1622e555b7938bb66514127f

IT-Sicherheit im Gesundheitswesen: Es geht schließlich um Menschenleben!

Dr. Klaus-Uwe Höffgen ist seit Anfang 2019 Chief Digital Officer des Lukaskrankenhauses…
Tb W190 H80 Crop Int 600fdfda5e5b790b51dc29d51f18d805

IT-Sicherheit braucht ein Gesamtkonzept

Die it-sa in Nürnberg hat ihre Tore geschlossen, Hersteller von IT-Security-Komponenten…
Flugzeug

IT-Sicherheit bei Fluggesellschaften

Die IT-Sicherheit in der Flugbranche steht, wie kaum eine andere, tagtäglich einer…
Tb W190 H80 Crop Int 55f352e34327bbdfa45ee24ae2501abc

Wenn IT-Sicherheit zur Kulturfrage wird

Wer die Migration von klassischer IT zu Cloud-Native-Anwendungen verantwortet, trifft…
Cyber Camera

Was wäre, wenn jeder für Sicherheitsvorfälle persönlich haften müsste?

Angesichts der Tatsache, dass das Cyberrisiko mittlerweile sogar als Bewertungskriterium…
Security Meeting

Das Erkennen von Sicherheitsbedrohungen ist Aufgabe des Managements

Die IT-Sicherheit in Unternehmen muss Aufgabe des Managements und der Führungsetage…