Angriffe mit Network Traffic Security Analytics erkennen

Verräterische Spuren

Cyberkriminelle rüsten auf und auch die meisten Unternehmen investieren in ihre Security-Architekturen, um sich zu schützen: Endpoint Protection, Next Generation Firewall, Intrusion Prevention System und vielleicht sogar Endpoint Detection and Response sowie Security Information and Event Management. Nun macht eine weitere Produktkategorie von sich reden: die Network Traffic Security Analytics. Wir beleuchten den Mehrwert und wie diese Technologie ansonsten verdeckte Angriffe erkennen hilft.
Ob die IT läuft oder nicht, sollte der Administrator im Idealfall nicht erst durch Beschwerden der Mitarbeiter erfahren. Eine proaktive Überwachung der ... (mehr)

Wovor schützt Network Traffic Security Analytics (NTSA), wovor die anderen Systeme nicht schützen und welche Organisationen und Unternehmen sollten sich mit der Technologie beschäftigen? Beginnen wir mit drei typischen Szenarien, in denen Unternehmen beginnen, die genannten Technologien durch NTSA zu ergänzen.

Nach wie vor stellen gemanagte mobile und private (also ungemanagte) BYOD-Geräte eine Herausforderung für die IT-Sicherheit dar. Mobiltelefone, Tablets und Wearables sind oft die Quelle unerwarteten Datenverkehrs zu unbekannten Zielen. Oft ist den IT-Verantwortlichen das Problem grundsätzlich bewusst. Doch die Herausforderung besteht darin, die vorhandenen Daten zu diesem Netzwerkverkehr zu korrelieren und so aufzubereiten, dass Security-Spezialisten daraus Schlüsse ziehen und aktiv werden können. Nur dann können sie einerseits Angriffe erkennen und unterbinden, ohne aber andererseits geschäftskritische Geräte in ihrer Funktion zu beeinträchtigen oder legitimen und relevanten Datenverkehr zu kappen.

Der Schutz von IT-Systemen gegen Advanced Persistent Threats (APTs) und High Profile Hacks kommt auch oft angesichts der sehr agilen virtuellen IT-Ressourcen in Unternehmen an seine Grenzen. Eine virtuelle Maschine ist innerhalb von Sekunden aufgesetzt, zum Beispiel für einen kurzen Software-Test der IT-Abteilung. Sie lässt sich ebenso schnell wieder löschen. Nur wird dies oft vergessen oder aber Nutzer möchten sich sicherheitshalber die Option offenhalten, die virtuelle Instanz nochmals zu starten.

In Zeiten von Digitalisierung und DevOps entstehen so auf Dauer zahlreiche ungenutzte und unzureichend verwaltete Rechner. Sie bieten eine höchst willkommene Angriffsfläche für Cyberkriminelle. Denn bei weitem nicht alle Security-Produkte dehnen ihren Schutz automatisiert auf solche Instanzen aus. Bei ausgefeilten Angriffen ist es oft der entscheidende Landgewinn, wenn Hacker ein unzureichend geschütztes oder gepatchtes

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020