Company

Angreifer kapern Admin-Tools – für Spionage, Infiltration & Diebstahl

Geschrieben von Cognito am 06.02.2018 23:19:10

Im meinem letzten Blogbeitrag habe ich über einen Kunden aus der Finanzbranche und seine Pen-Tests geschrieben und berichtet, wie ich dem Abwehrteam (Blue Team) half, das Team der Angreifer (Red Team) auf frischer Tat zu ertappen. Jetzt kann ich eine neue Geschichte erzählen – wieder von einem echten Security-Einsatz.

Diesmal habe ich für einen Kunden aus der Fertigungsbranche gearbeitet. Er hat mich erst kürzlich in Betrieb genommen. Auch er möchte nicht genannt werden, um die Cyberkriminellen über seine neuen Abwehrstärken im Unklaren zu lassen. Der Kunde führt routinemäßig Red-Team-Übungen durch, um bei echten Attacken die Nase vorn zu behalten. 

Lesen Sie mehr »

Themen: Cognito, Angreifer, Admin-Tools, infiltration, Security-Analysten


Vectra ist der einzige Visionär im Gartner Magic Quadrant 2018 für IDPS

Geschrieben von Chris Morales am 15.01.2018 07:32:44

Gartner hat Vectra® kürzlich als den einzigen „Visionär“ in seinem Magic Quadrant 2018 für Intrusion-Detection- und -Prevention-Systeme (IDPS) positioniert. Sie können sich vorstellen, wie begeistert ich bin!  

Im Verlauf der vergangenen Jahre haben sich Intrusion-Detection-Systeme (IDS) und Intrusion-Prevention-Systeme (IPS) aufeinander zu entwickelt. Gemeinsam sind sie jetzt als „IDS/IPS“ oder „IDPS“ bekannt. Zur Konvergenz der beiden Ansätze kam es, als sich die Security-Anbieter zunehmend auf Präventionsmaßnahmen gegen externe Bedrohungsakteure konzentrierten.

Jetzt allerdings betont Gartner, dass „initiale, einmalige Security-Überprüfungen nach dem Muster ‚blockieren oder zulassen‘ für den Zugriff auf und den Schutz von Informationen mangelhaft sind und dass Unternehmen damit weiterhin der Gefahr von Zero-Day-Attacken, gezielten Angriffen, Identitätsdiebstahl und Insider-Bedrohungen ausgesetzt sind.”[i] 

Lesen Sie mehr »

Themen: cybersecurity, gartner, security operations centers, network traffic, Intrusion detection prevention systems, IDPS


BGP-Piraten: “… und dieser Traffic geht nach Russland!“

Geschrieben von Gérard Bauer am 20.12.2017 05:24:08

Traffic von und zu einer Reihe bedeutender Internet-Auftritte wurde für kurze Zeit von einem unbekannten Akteur zu einem ISP in Russland umgeleitet. Research-Spezialisten schätzen diesen Vorgang, der am 13. Dezember stattfand und wahrscheinlich Vorbote einer Attacke war, als verdächtig und absichtsvoll ein. 

Dem Unternehmen BGPMON zufolge, das den Vorfall entdeckte, wurden ab 4.43 Uhr (UTC) in den globalen Routing-Tabellen 80 Prefixes entdeckt, die normalerweise von bekannten Organisationen angekündigt werden, nun aber auf das Ursprungs-AS 39523 (DV-LINK-AS) aus Russland verwiesen.

Dieses angriffstypische Phänomen dauerte nur kurze sechs Minuten an. Die Researcher haben bisher noch keinen Anhaltspunkt dafür, was der Grund für den Vorfall war. Man darf ihn aber als ernüchternde Mahnung verstehen, die daran erinnert, wie fragil das Internet tatsächlich ist und wie leicht es für kriminelle Zwecke missbraucht werden kann. 

Lesen Sie mehr »

Themen: SSL Encryption, cybersecurity, Encryption, internet traffic, tls, BGP hijack, russia, HTTPS, espionage, BGP, russland


Ich bin Cognito und unterstütze Ihr Abwehrteam (blue team)

Geschrieben von Cognito am 04.12.2017 07:48:01

Hallo zusammen! In meinem ersten Blog möchte ich eine Geschichte erzählen – und zwar über meine Rolle im internen Sicherheitsteam einer Organisation während eines neulich durchgeführten Penetration- und Security-Tests (red team).

Aber erst einmal möchte ich mich allen vorstellen, die mich vielleicht noch nicht kennen. Ich bin Cognito, die künstliche Intelligenz in der Cybersecurity-Plattform von Vectra. Die Leidenschaft meines Lebens ist die Jagd auf Cyber-Angreifer – gleich, ob sie sich in Rechenzentren, Cloud-Workloads oder in den Systemen von Endanwendern und in IoT-Geräten verstecken.

Wenn Sie ein Cybersecurity-Spezialist sind, darf ich annehmen, dass Sie mit Security-Events geradezu überhäuft werden, die allesamt gesichtet, analysiert, korreliert und priorisiert sein wollen. Sie mögen über unglaubliche fachliche Fähigkeiten verfügen, aber die ständigen mühsamen und manuellen Tätigkeiten Ihres Jobs werfen Sie immer wieder zurück.

Lesen Sie mehr »

Themen: Sicherheitsteam, red team, blue team, Cognito, abwehrteam


Das Gute, das Böse und die Anomalie

Geschrieben von Hitesh Sheth am 23.11.2017 22:47:22

Ursprünglich publiziert auf LinkedIn.

In der Security-Branche machen sich derzeit Anbieter breit, die damit hausieren gehen, dass Anomalie-Erkennung das Allheilmittel gegen Cyber-Attacken sei. Das ist in hohem Maße irreführend.

Das Problem liegt darin, dass Abnormitäten-Erkennung zu stark verallgemeinert: Jedes normale Verhalten ist aus ihrer Sicht gut, jedes unnormale dagegen schlecht – Abstufungen und Kontext bleiben unbeachtet. Wo pure Anomalie-Erkennung zum Zuge kommt, verschwimmen die Grenzen zwischen Anwenderverhalten und Angreiferverhalten, obwohl sich beide fundamental unterscheiden.

Lesen Sie mehr »

Themen: Insider Threats, False Positives, Cybersecurity-Analysten, T-Ray, Anomalie-Erkennung, Anomalie


Ohne Leiche kein Verbrechen: Die fatale Schwäche des SIEM-Konzepts

Geschrieben von Mike Banic, VP of Marketing am 17.11.2017 07:05:59

Während eines Mittagessens Anfang November erzählte mir ein Kunde, der vor kurzem unsere Cognito-Plattform implementiert hatte, von einer Behauptung seines SIEM-Anbieters. Der sagte nämlich: „Was Vectra tut, können wir mit unserem Analytics-Paket genauso gut.“ Ich schaute mein Gegenüber einfach nur an und sagte: „Nein, das können sie nicht – wo keine Leiche ist, gibt’s kein Verbrechen.“

Er war verdutzt, und so begann ich, meine These zu erklären.

SIEMs sammeln Security-Event-Logs einer großen Anzahl unterschiedlicher Systeme ein – darunter PCs, Server, Authentifizierungssysteme, Firewalls und vieles mehr. Auch Vectra Cognito kann dazugehören.

Lesen Sie mehr »

Themen: SIEM, security analyst, Event-Log, SIEM-Systeme, Intrusion-Detection-System


Gemeinsam stärker: Angriffe stoppen mit Integration von Endpoint- und Netzwerksicherheit

Geschrieben von Kevin Kennedy am 09.10.2017 08:57:58

Viele Security-Teams werden vom Ausmaß und der Heftigkeit digitaler Bedrohungen geradezu überrannt. Die Angriffe tarnen sich erfolgreicher denn je und hinterlassen zugleich größere Schäden. Ihnen nachzuspüren und sie auszumerzen ist eine Aufgabe, die die Spezialisten in den Security Operations Centern (SOCs) zunehmend zermürbt.

Die Integration von Endpoint- und Netzwerksicherheit kann diese Arbeitslast verringern. Netzwerksicherheits-Tools liefern ein verlässliches Bild dessen, was in einem Unternehmensnetz geschieht – von den Anwendern übers Rechenzentrum bis zur Cloud – und decken alle Gerätetypen ab, IoT eingeschlossen. Der spezielle Blickwinkel der Endpoint Security richtet sich auf die Abläufe im Innern von hochwertigen Systemen, darunter Workloads in der Cloud, Server und Laptops.

Lesen Sie mehr »

Themen: network security, cybersecurity, APM, Cyberattacken, endpoint


Deep Learning in der Cybersicherheit

Geschrieben von Gérard Bauer am 22.08.2017 00:36:41

Cyber-Angriffe werden immer komplexer, aber endlich ist die Rechenleistung so stark angewachsen, dass riesige Datensätze bewältigt und Rechenprozesse effizient ausgeführt werden können, um Deep-Learning-Modelle zu trainieren. Inzwischen gibt es erste Deep-Learning-Algorithmen, die Verhaltensweisen von Angreifern in Unternehmensnetzwerken erkennen können. Die Ergebnisse in der Praxis sind vielversprechend.

Egal ob es darum geht, einen Nagel einzuschlagen, eine Schraube zu befestigen oder einen versteckten HTTP-Tunnel zu erkennen: Es kommt darauf an, das richtige Werkzeug zu benutzen. Mit dem falschen Werkzeug zieht sich die Aufgabe in die Länge, wertvolle Ressourcen werden verschwendet oder das Ergebnis ist mangelhaft. 

Lesen Sie mehr »

Themen: AI, deep learning, cybersicherheit, KI


Es ist in Ordnung, sich von Cisco ETA nicht beeindrucken zu lassen

Geschrieben von Oliver Tavakoli, CTO, Vectra Networks am 28.06.2017 21:53:37

Cisco hat in einer Pressemitteilung vor kurzem den Begriff „Intent-based Networking“ eingeführt. Er steht für ein Netzwerk, das die Absichten der IT-Teams automatisiert erkennt. Die Meldung wirbt für die Idee „intuitiver“ Netzwerke. Ein Aspekt der „Intuition“ ist es dabei, dass Netzwerke zukünftig sicherer sein sollen, ohne den Spezialisten für Network Security Schwerstarbeit abzuverlangen. Als Teil dieser Strategie hebt Cisco insbesondere sein „ETA“-Modell hervor:

„Cisco Encrypted Traffic Analytics löst ein zentrales Sicherheitsproblem, das bislang als unlösbar galt", erläutert Torsten Harengel, Leiter Security bei Cisco Deutschland. „Es nutzt die Erkenntnisse von Cisco Talos, um bekannte Angriffsmuster in verschlüsseltem Datenverkehr zu erkennen. […] So gewährleisten wir Sicherheit und Datenschutz."

Lesen Sie mehr »

Themen: network security, Malware, external remote access, Cisco eta


Petya: Cyberkriminelle lernen voneinander, Unternehmen sollten dies auch tun

Geschrieben von Gérard Bauer am 28.06.2017 02:48:29

Pharmahersteller, Reeder, Flughäfen, Energieversorger, Werbeunternehmen, russische, französische sowie britische Unternehmen und wohl auch ein deutscher Konzern – die Liste der durch die Petya-Attacke betroffenen Organisationen wächst kontinuierlich. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät Unternehmen jedoch dazu, das geforderte Lösegeld nicht zu bezahlen.

Dabei bedienen sich die Angreifer Werkzeugen, die schon seit geraumer Zeit bekannt sind und kombinieren diese. Dies zeigt einmal mehr, wie lernwillig verschiedene Hacker sind wenn es darum geht, erfolgreich Unternehmen anzugreifen.

Vectra Networks berichtet nun über die jüngsten Entwicklungen und Erkenntnisse zur weltweiten Ransomware-Attacke.

Lesen Sie mehr »

Themen: Ransomware, WannaCry, petya