Wie Sie Ihr Netzwerk mit Cyber Threat Detection and Response absichern

Cyber-Bedrohungen gibt es und sie entwickeln sich ständig weiter. Unkontrolliert und ohne eine passende Vorbereitung können Bedrohungen nicht nur die IT-, Netzwerk- und Cloud-Infrastrukturen eines Unternehmens schädigen, sondern auch Geschäftsunterbrechungen, Daten- und Geldverluste sowie Rufschädigung verursachen, um nur einige Beispiele zu nennen. Es gibt viele erschreckende Geschichten von Unternehmen - vor allem von kleinen und mittelständischen Unternehmen -, die Cyber-Bedrohungen und -Angriffen zum Opfer gefallen sind. Durch die Erkennung von und die Reaktion auf Bedrohungen (Threat Detection and Response, TDR) können Unternehmen Bedrohungen besser erkennen und proaktiv ihre schädlichen Auswirkungen zu minimieren bzw. zu vermeiden.

    1
    Was ist Threat Detection & Response?
    2
    Welche Arten von Bedrohungen gibt es?
    3
    Wie können diese Bedrohungen erkannt werden?
    4
    Welche Vorteile entstehen durch die Erkennung dieser Bedrohungen?
    5
    Fazit
    NDR_ForeNova

    Was ist Threat Detection and Response (TDR)?

    Threat Detection ist eine ganzheitliche Analyse der gesamten Sicherheitslage und des IT-Ökosystems eines Unternehmens, um alle bösartigen Aktivitäten oder Schwachstellen zu identifizieren, die das Netzwerk gefährden könnten. Bei der Entdeckung von Bedrohungen sollten Maßnahmen zur Schadensbegrenzung ergriffen werden, um sie mit den richtigen Mitteln zu entschärfen.

    Zunächst einmal ist es sehr wichtig,  einen Überblick über die verschiedenen Arten von Bedrohungen der Cyber Security zu erhalten.

    Welche Arten von Bedrohungen gibt es?

     

    Verschiedene Arten von Cyber-Bedrohungen stellen eine unterschiedlich große Gefahr für die IT-Infrastruktur eines Unternehmens dar.

    Einige der am häufigsten vorkommenden und schädlichsten sind:


    Malware
    Malware infiziert Systeme über bösartige Links oder E-Mails, kann aber auch auf andere Wegen übertragen werden. Sie sind darauf ausgelegt, den Zugang zu kritischen Netzwerkkomponenten zu blockieren, Systeme zu beschädigen und sensible Daten zu sammeln. Malware kann wie folgt kategorisiert werden:
    - Spyware: Ermöglicht es "Black Hats", Informationen innerhalb der und über die angegriffenen Systeme zu erhalten. Spyware agiert nicht sofort, um nicht entdeckt zu werden, sondern sammelt im Laufe der Zeit Daten. Und oft ist es schon zu spät, wenn sie entdeckt werden. Keylogging-Software ist ein gutes Beispiel für Spyware.
    - Ransomware: Sie blockieren den Zugang zu einem System durch eine Verschlüsselung und verlangen im Gegenzug eine Zahlung (Lösegeld) im Austausch für den Schlüssel zur  Entschlüsselung. Es handelt sich dabei um relativ neue Bedrohungen, die inzwischen weit verbreitet sind und häufig Unternehmen in den Ruin treiben. Zahlreiche öffentliche Einrichtungen wie Regierungsstellen, Krankenhäuser und sogar Gerichte sind Opfer von Ransomware-Angriffen geworden. WannaCry ist ein hervorragendes Beispiel für einen Ransomware-Angriff, der Organisationen und Systeme weltweit betroffen hat.
    - Trojanische Pferde: Dabei handelt es sich im Wesentlichen um Codes, die auf einem Gerät vorgeben, legitim zu sein, aber Malware oder Viren einschleusen. Unbemerkt arbeiten sie im Hintergrund und lesen Passwörter, zeichnen Tastaturanschläge auf und löschen, sperren, ändern oder kopieren Daten. Die Pegasus-Software des israelischen Herstellers NSO ist ein berüchtigtes Beispiel für einen Trojaner.
    - Scareware: Eine Scareware überflutet ein System mit falschen Warnungen über Viren und Bedrohungen, die nicht existieren. Er verleitet sie dazu, eine vermeintliche "Schutz"-Software herunterzuladen, die Malware in das System lädt.

    Phishing
    Vereinfacht ausgedrückt ist Phishing ein manipulativer Versuch, Nutzern vorzugaukeln, dass sie mit einer legitimen Organisation interagieren, sei es per E-Mail, per Telefon oder sogar über gefälschte Websites, die vertrauenswürdig und echt erscheinen. Noch schwieriger ist es, sich dem Spear-Phishing zu entziehen. Es ist eine gezieltere Variante des Phishings, bei der die Nachrichten auf die jeweilige Person zugeschnitten sind. Phishing fällt unter die Kategorie Social Engineering, eine Art der Cybermanipulation, bei der menschliche Schwachstellen oder Gefühle ausgenutzt werden, um an private Informationen zu gelangen, auf Netzwerke zuzugreifen oder nicht autorisierte Dienste in Anspruch zu nehmen. Dabei werden ahnungslose Benutzer oder Mitarbeiter manipuliert, damit sie Entscheidungen treffen, Daten zu böswilligen Zwecken preiszugeben, Malware-Infektionen zu  verbreiten oder Zugang zu eingeschränkten Systemen zu gewähren. Baiting ist eine weitere Form des Social Engineering, bei der die Opfer (ahnungslose Benutzer) mit äußerst attraktiven Angeboten gelockt werden, die ihre Gier oder Versuchung ausnutzen und sie dazu bringen, Cyber-Bedrohungen zu "aktivieren".


    DDoS
    Ein DDoS-Angriff (Distributed Denial of Service) ist ein böswilliger Versuch, einen Server, einen Dienst oder ein Netzwerk mit gefälschtem Datenverkehr - Bots und Botnets (Ansammlung von Bots) - zu überlasten, um Störungen zu verursachen. Nach der Einrichtung eines Botnetzes kann der Angreifer einen Angriff steuern, indem er jedem Bot Fernbefehle erteilt.


    • Blended Threat
    Eine gemischte Bedrohung nutzt eine Vielzahl von Techniken und Angriffsvektoren, wie z. B. Programme, die die Funktionalitäten von Trojanern, Würmern und Backdoors kombinieren, um ein System gleichzeitig anzugreifen. Die am weitesten verbreitete Bedrohung verbreitet Links zu Websites, über die Malware oder Spyware heimlich über Spam-E-Mails, Sofortnachrichten oder legitime Websites auf Computer heruntergeladen wird.


    • Zero-Day Threat
    Eine Zero-Day-Bedrohung, auch bekannt als Zero-Hour-Bedrohung, nutzt eine potenziell schwerwiegende Software-Sicherheitslücke aus, die dem Hersteller oder Entwickler nicht bekannt ist. Er wurde bisher noch nicht entdeckt und passt zu keiner bekannten Malware-Signatur. Da Zero-Days unbekannt und unentdeckt bleiben, hat der Entwickler höchstwahrscheinlich noch keinen Patch dafür entwickelt.


    • Advanced Persistent Threat (APT)
    Ein APT ist ein ausgeklügelter Cyberangriff, der langfristige Überwachungs- und Aufklärungsversuche umfasst, um sensible Informationen oder Zielsysteme zu stehlen. APTs funktionieren am besten, wenn der Angreifer unentdeckt bleibt. Der Bedrohungsakteur ist in der Regel ein Nationalstaat oder eine staatlich geförderte Gruppe.


     

    Wie können diese Bedrohungen erkannt werden?

    Ein robustes Detektionssystem ist der erste Schritt bei allen TDR-Maßnahmen.

    Im Zusammenhang mit der Cyber Security eines Unternehmens ist der Begriff der Threat Detection sehr komplex. Mit robusten Sicherheitsprogrammen können Sie sich auf den schlimmsten Fall vorbereiten, denn ein böswilliger Akteur kann selbst die fortschrittlichsten Verteidigungs- und Vorhersagetechnologien umgehen. Daher ist ein umfassender Prozess zur Erkennung von Bedrohungen ein wesentlicher Bestandteil eines erfolgreichen TDR-Projekts.

    Im Folgenden sind die notwendigen Schritte aufgeführt, um eine Cyber-Bedrohung zu erkennen:

    • ERKENNEN SIE ALLE ASSETS IM NETZWERK

    Bei der Asset-Erkennung geht es darum, die aktiven und inaktiven Assets in einem Netzwerk zu verfolgen. In vielen Unternehmen gehören zu den Assets neben den traditionellen Workstations und Servern vor Ort auch Cloud-, virtuelle und mobile Geräte. Die Erkennung von Assets gehört zu den grundlegenden Praktiken, die Unternehmen bei der Ausarbeitung eines Plans zur Verwaltung ihrer zugrunde liegenden Assets und zur Schaffung eines sichereren IT-Ökosystems berücksichtigen sollten.

    • NACH SCHWACHSTELLEN SUCHEN

    Beim Schwachstellen-Scanning werden Sicherheitslücken und Schwachstellen in Computernetzen (einschließlich der Cloud) und Software ermittelt. Sie deckt Schwachstellen in einem System auf, bevor sie ausgenutzt werden können. Die Durchführung eines Schwachstellen-Scans birgt jedoch eine Reihe von Risiken, da sie von Natur aus in den laufenden Code des Zielsystems eingreift. Infolgedessen kann der Scan zu Fehlern und Neustarts führen, was die Produktivität zumindest vorübergehend beeinträchtigt. Nichtsdestotrotz überwiegen die Vorteile des Schwachstellen-Scannings diesen potenziellen Nachteil bei weitem und verstärken letztendlich die Sicherheitsposition eines Unternehmens.

    • ANALYSE UND BEOBACHTUNG DES NETZWERKVERKEHRS

    Die Netzverkehrsanalyse (NTA) ist eine Methode zur Überwachung der Netzverfügbarkeit und -aktivität, um Anomalien, einschließlich Sicherheits- und Betriebsprobleme, zu erkennen. So erhalten Unternehmen den nötigen Einblick, um die Netzwerkleistung zu optimieren, die Angriffsfläche zu minimieren, die Sicherheitslage zu verbessern und Ressourcen effektiv zu verwalten. NTA umfasst in der Regel:

    • Sammlung von Echtzeit- und früheren Aufzeichnungen über das Geschehen im Netzwerk
    • Erkennung von Malware und Schwachstellen auch in Bezug auf Protokolle
    • Fehlerbehebung bei langsamen Netzwerken
    • Verbesserung der Transparenz des internen Netzwerks und Beseitigung blinder Flecken

     

    • BEDROHUNGEN ISOLIEREN

    Die Isolierung von Bedrohungen bezieht sich eher auf die Isolierung von E-Mails und Browsern, um Benutzer und Endgeräte vor Malware zu schützen. Indem verdächtige Links und Downloads aus der Ferne isoliert werden, vermeiden die User, Opfer von Speer-Phishing, Ransomware und anderen raffinierten Angriffen zu werden. In der Vergangenheit haben sich Unternehmen auf viele Sicherheitslösungen zum Schutz vor webbasierter Malware verlassen. Einige Lösungen umfassen die Verwendung eines Algorithmus, der feststellt, ob die in ein Netz eingehenden Webinhalte gut oder schlecht sind. Andere Lösungen verhindern, dass User auf Websites navigieren, die möglicherweise schädlichen Code enthalten. Beispiele für diese Sicherheitsprodukte sind Web-Proxys und sichere Web-Gateways.

    • FALLEN STELLEN

    Deception Technology ist ein Verfahren zur Verteidigung der Cyber Security, das Eindringlinge mit strategisch platzierten Täuschungsmanövern im gesamten Netzwerk ködert. Wenn ein Angreifer über eine dieser Fallen stolpert, wird ein Signal ausgelöst, das Berichte generiert und die Aktionen des Eindringlings aufzeichnet, so dass zuverlässige forensische Erkenntnisse darüber gewonnen werden können, was Angreifer tun und wohin sie sich im Netzwerk bewegen. Anhand der gesammelten Informationen kann das Sicherheitspersonal erkennen, auf welche Teile des Netzwerks die Angreifer abzielen, und eine vorausschauende Verteidigung aufbauen.

    • AKTIVES THREAT HUNTING

    Im Rahmen des Threat Huntings werden manuelle oder maschinelle Verfahren eingesetzt, um Sicherheitsvorfälle oder Bedrohungen zu identifizieren, die den automatischen Erkennungsmethoden entgangen sind. Um beim Threat Hunting erfolgreich zu sein, müssen Analysten wissen, wie sie ihre Tools einsetzen können, um die gefährlichsten Bedrohungen zu finden.

    Sie benötigen außerdem umfassende Kenntnisse über verschiedene Arten von Malware, Exploits und Netzwerkprotokolle und sollten sich mit der Verarbeitung großer Datenmengen auskennen. Ein Threat Hunting ermöglicht es Sicherheitsanalysten, aktiv in ihr Netzwerk zu gelangen, um einen Überblick über die Endpunkte und ihre Sicherheitsausrüstung zu erhalten, um nach bisher unbemerkten Bedrohungen oder Angreifern zu suchen, anstatt zu warten, bis eine Bedrohung auftritt.Technologien zur Erkennung von Bedrohungen für Sicherheitsereignisse, Netzwerke und Endpunkte können Unternehmen dabei helfen, gängige Cybersecurity-Angreifer abzuwehren.

    ForeNova_July 26

    Was sind die Vorteile der Erkennung von Bedrohungen?

    Die Erkennung von Bedrohungen und die Analyse von Bedrohungen ermöglichen es Unternehmen, ihre IT-Schwachstellen besser zu verstehen und ihre Sicherheitslage durch geeignete Reaktionen auf die gefundenen Bedrohungen proaktiv zu verbessern. Unternehmen können potenzielle Angriffe und Zwischenfälle abwehren und deren Auswirkungen besser vorhersagen. Es ermöglicht Cybersicherheitsteams, bekannte, unbekannte (z. B. Zero-Day-Bedrohungen) und neu auftretende Bedrohungen frühzeitig zu erkennen, so dass sie ihre Systeme schützen und verteidigen zu können. Das ultimative Ziel der Bedrohungserkennung ist die Untersuchung potenzieller Sicherheitslücken und die Verbesserung der Cyberabwehr. Neben der Verhinderung von Angriffen ermöglicht TDR den Schutz von Geschäftsdaten, die Vermeidung kostspieliger Ausfallzeiten, die Einhaltung von Vorschriften der Cyber Security und anderen Bestimmungen und - was noch wichtiger ist - die Sicherheit der User und Führungskräfte.

    Fazit

     

    Die Gefahren, die von Cyber-Bedrohungen ausgehen, sind zahlreich und weit verbreitet. Durch regelmäßige Bewertungen, Systemevaluierungen und gut abgestimmte TDR-Maßnahmen können Schwachstellen rechtzeitig erkannt werden, bevor sie ausgenutzt werden könnten. Dadurch wird die Wahrscheinlichkeit verringert, dass eine Organisation ein Opfer eines Zwischenfalls oder eines Cyberangriffs wird. Sicherheit ist ein sich ständig weiterentwickelndes Katz-und-Maus-Spiel zwischen den guten und den bösen Akteuren, wobei es keine Einheitslösung gibt, die einen lückenlosen Schutz gewährleistet. Es gibt unzählige Tools, Verfahren und Strategien, die Unternehmen dabei helfen können, ihre IT-Sicherheit zu verbessern. Zudem sollten Unternehmen passende und gute Praktiken und bewährte Lösungen einsetzen, um Angriffe zu identifizieren, bevor sie auftreten.

     

    Network Threat Defense Software

    NovaCommand kann bei der Erkennung von Bedrohungen helfen, indem es den Netzwerkverkehr untersucht und analysiert. Die Informationen über den Netzwerkverkehr (Metadaten) werden ebenfalls korreliert und analysiert. 

    Auf diese Weise können Bedrohungen in einem frühen Stadium anhand ihres Verhaltens, ihres Ziels oder einer Kombination aus beidem erkannt werden. 

    NovaCommand "verteidigt" Sie nicht gegen Bedrohungen, sondern alarmiert Sie bei einer Bedrohung und leitet bei Bedarf über eine Drittanbieter-Integration wie eine Firewall oder ein EPP eine Aktion ein. 

    Watch the webinar
    ForeNova Final Logo PNG-4

    Featured Resources
    Prevention is no longer enough
    Getting Ahead of Today’s Fast-Growing Ransomware Threats
    Manufacturing network vulnerabilities
    A blueprint for combatting ransomware in the manufacturing industry
    Insider Threats – Who can you trust?
    Insider threats are becoming center stage to some of the deadliest cyberattacks in recent news.

    FAQs

    Wir ermitteln Bedrohungen anhand von zwei Hauptmethoden: 

    1. CTI (Cyber Threat Intel)   
      Wir erkennen Bedrohungen anhand von Dingen, die wir bereits kennen. Statische Listen von Indikatoren wie DNS, IP-Adressen, URLs, Teil-URLs, MD5-Hashes usw. 
      Die Listen werden regelmäßig aus unserer ForeNova-Cloud in Deutschland aktualisiert. 
    2. Algorithms. (ML, AI) 
      Wir erkennen Bedrohungen auch anhand des Verhaltens. Da wir den gesamten Datenverkehr sehen, können wir auch Anomalien im Datenverkehr erkennen. 
      Besonders in Kombination mit CTI ist dies ein effektiver Mechanismus zur  Aufdeckung. 

    IDS konzentriert sich ausschließlich auf den Nord-Süd-Verkehr (Perimeter-Verkehr) und nutzt lediglich CTI der alten Schule, um Bedrohungen zu erkennen. 

    Wenn die "Bedrohung" also nicht in der Datenbank enthalten ist, wird ein IDS keinen Alarm auslösen.  

    Das hängt davon ab, wie Sie die Firewall betrachten. Firewalls der nächsten Generation verfügen über integrierte IDS-Funktionen, während ältere Firewalls mit statischen Regeln arbeiten, um den Datenverkehr zu untersuchen und ihn zu blockieren, wenn er nach einem bestimmten Regelsatz abläuft. 

    IPS ist IDS, aber auch ein Schutzsystem. Es kann die Malware auf dem Host (HIDS/HIPS) oder im Netzwerk (NIDS/ NIPS) blockieren, während IDS ein Erkennungswerkzeug ist. 

    IDS können Schadsoftware erkennen, aber in den meisten Fällen handelt es sich um "bekannte" Schadsoftware, da die Signatur in der Datenbank der IDS-Lösung vorhanden sein muss.  

    Das ist eine heikle Frage. 

    Aus Unternehmenssicht: Firewall zum Schutz des (Perimeter-) Netzwerks (auch Mikrosegmentierung), Endpunktschutz zum Schutz von Servern und Arbeitsplätzen. Und als dritter Pfeiler NDR zur Erkennung von und Reaktion auf Bedrohungen in der lateralen Umgebung. (interner Verkehr, der nicht durch die Firewall oder EPP-Lösung läuft) 

    Terms of Use
    Privacy Policy
    Cookies
    • ForeNova Technologies B.V. Kingsfordweg 151, 1043 GR Amsterdam, Netherlands, +31 20 700 8895
    • © 2023 ForeNova Technologies. All Rights Reserved.