Company

Bedrohungserkennung und Response mit einer Architektur ohne SIEM

Geschrieben von Chris Morales am 04.05.2019 01:48:43

Eine der großen Herausforderungen beim Aufsetzen eines guten Incident-Response-Programms besteht darin, die notwendigen Verbesserungen bei der Netzwerk-Transparenz, der Bedrohungserkennung und einer schlagkräftigen Response gegen die Kosten und die Komplexität abzuwägen, die der Aufbau und der Betrieb eines gut einsetzbaren und effektiven Security-Stacks mit sich bringt.

In der Vergangenheit stand im Mittelpunkt von Security Operations oft das Security-Information- und Event-Management (SIEM). Es sollte eine breite Palette an Use Cases abdecken, einschließlich Bedrohungserkennung, Compliance-Reporting und Zentralisierung der Security-Alarme. Auch die Arbeitsprozesse der Security-Analysten orientierten sich am SIEM. 

Lesen Sie mehr »

Themen: SIEM, incident-response


Maschinelles Lernen: Die ideale Basis für Network Traffic Analytics (NTA)

Geschrieben von Eric Ogren, 451 Research am 25.04.2019 23:13:55

Stellen Sie sich vor, Ihnen stünde ein Sicherheits-Tool zur Seite, das so denkt, wie Sie es ihm beigebracht haben, und das genau dann und in der Weise handelt, wie Sie es mit ihm trainiert haben. Wenn Sie über ein solches Werkzeug verfügen könnten, müssten Sie Ihre eigenen Arbeitsgewohnheiten nicht mehr generischen Regeln aus fremder Hand anpassen, und Sie müssten auch nicht immer wieder darüber nachdenken, wie Sie jene Sicherheitslücken schließen, von denen Ihnen die Regeln gar nichts gesagt haben.

Maschinelles Lernen, der Grundstein der Network Traffic Analytics (NTA) – das ist Technik, die in Ihrem Namen agieren kann, um Ihnen bessere Einblicke in Ihre Infrastruktur zu verschaffen, um die Leistung Ihrer Bedrohungserkennung zu erhöhen und um es Ihnen zu erleichtern, wirklich kritische Bedrohungen gut zu überstehen. 

Lesen Sie mehr »

Themen: maschinelles lernen, Threat Detection, Network Traffic Analytics, NTA


Alarmierende Zunahme des Minings für Kryptowährungen an Hochschulen

Geschrieben von Chris Morales am 14.05.2018 07:33:43

Während 2017 noch Ransomware-Attacken wie NotPetya und WannaCry die Schlagzeilen beherrschten und den Angreifern eine Menge Geld einbrachten, nahm still und leise bereits das Krypto-Mining Fahrt auf – der Thronfolger der Ransomware, wenn es um opportunistische Verhaltensauffälligkeiten in IT-Netzen geht, mit denen Cyberkriminelle finanziellen Gewinn erzielen wollen.

Der unten wiedergegebene Reddit-Post zeigt recht anschaulich, in welchem Maße das Krypto-Mining für die Universitäten heute ein Problem darstellt. In einigen Fällen setzen geschäftstüchtige Studenten High-End-Computer fürs Mining ein, in anderen Fällen starten sie eine ganze Armee von Botnets zum selben Zweck.

Lesen Sie mehr »

Themen: bitcoin, cryptocurrency, crypto, Krypto-Mining, Hochschulen, Kryptowährungen


Mensch + Maschine: Im Kampf gegen Cyber-Threats

Geschrieben von Chris Morales am 27.02.2018 02:47:15

Zeit ist Geld im Kampf gegen Cyber-Attacken. Dem Ponemon-Institut zufolge liegen die mit einer Verletzung der Informationssicherheit verbundenen Kosten im Mittel bei 3,62 Millionen Dollar. Schafft man es, die Zeit bis zur Erkennung und Eindämmung eines Incidents zu reduzieren, lassen sich diese Aufwände signifikant verringern oder möglicherweise sogar verhindern. 

Der Reifegrad und die Effektivität sind zwei der wichtigsten Maßeinheiten für die Leistungsfähigkeit eines SOCs. Die Reife gibt dabei an, welches Entwicklungsniveau ein Unternehmen in Bezug auf seinen Ansatz zum Management von Cyber-Security-Risiken erreicht hat, wobei dies den Grad des Bewusstseins für Risiken und Bedrohungen, die Reproduzierbarkeit erprobter Prozesse und die Anpassungsfähigkeit an neue Bedrohungen einschließt. Der Faktor Effektivität bestimmt, wie gut ein SOC einen Incident erkennt und bekämpft, sobald er eintritt.

Lesen Sie mehr »

Themen: Mensch, Cyber-Threats, Maschine, Kampf


Angreifer kapern Admin-Tools – für Spionage, Infiltration & Diebstahl

Geschrieben von Cognito am 06.02.2018 23:19:10

Im meinem letzten Blogbeitrag habe ich über einen Kunden aus der Finanzbranche und seine Pen-Tests geschrieben und berichtet, wie ich dem Abwehrteam (Blue Team) half, das Team der Angreifer (Red Team) auf frischer Tat zu ertappen. Jetzt kann ich eine neue Geschichte erzählen – wieder von einem echten Security-Einsatz.

Diesmal habe ich für einen Kunden aus der Fertigungsbranche gearbeitet. Er hat mich erst kürzlich in Betrieb genommen. Auch er möchte nicht genannt werden, um die Cyberkriminellen über seine neuen Abwehrstärken im Unklaren zu lassen. Der Kunde führt routinemäßig Red-Team-Übungen durch, um bei echten Attacken die Nase vorn zu behalten. 

Lesen Sie mehr »

Themen: Cognito, Angreifer, Admin-Tools, infiltration, Security-Analysten


Vectra ist der einzige Visionär im Gartner Magic Quadrant 2018 für IDPS

Geschrieben von Chris Morales am 15.01.2018 07:32:44

Gartner hat Vectra® kürzlich als den einzigen „Visionär“ in seinem Magic Quadrant 2018 für Intrusion-Detection- und -Prevention-Systeme (IDPS) positioniert. Sie können sich vorstellen, wie begeistert ich bin!  

Im Verlauf der vergangenen Jahre haben sich Intrusion-Detection-Systeme (IDS) und Intrusion-Prevention-Systeme (IPS) aufeinander zu entwickelt. Gemeinsam sind sie jetzt als „IDS/IPS“ oder „IDPS“ bekannt. Zur Konvergenz der beiden Ansätze kam es, als sich die Security-Anbieter zunehmend auf Präventionsmaßnahmen gegen externe Bedrohungsakteure konzentrierten.

Jetzt allerdings betont Gartner, dass „initiale, einmalige Security-Überprüfungen nach dem Muster ‚blockieren oder zulassen‘ für den Zugriff auf und den Schutz von Informationen mangelhaft sind und dass Unternehmen damit weiterhin der Gefahr von Zero-Day-Attacken, gezielten Angriffen, Identitätsdiebstahl und Insider-Bedrohungen ausgesetzt sind.”[i] 

Lesen Sie mehr »

Themen: cybersecurity, gartner, security operations centers, network traffic, Intrusion detection prevention systems, IDPS


BGP-Piraten: “… und dieser Traffic geht nach Russland!“

Geschrieben von Gérard Bauer am 20.12.2017 05:24:08

Traffic von und zu einer Reihe bedeutender Internet-Auftritte wurde für kurze Zeit von einem unbekannten Akteur zu einem ISP in Russland umgeleitet. Research-Spezialisten schätzen diesen Vorgang, der am 13. Dezember stattfand und wahrscheinlich Vorbote einer Attacke war, als verdächtig und absichtsvoll ein. 

Dem Unternehmen BGPMON zufolge, das den Vorfall entdeckte, wurden ab 4.43 Uhr (UTC) in den globalen Routing-Tabellen 80 Prefixes entdeckt, die normalerweise von bekannten Organisationen angekündigt werden, nun aber auf das Ursprungs-AS 39523 (DV-LINK-AS) aus Russland verwiesen.

Dieses angriffstypische Phänomen dauerte nur kurze sechs Minuten an. Die Researcher haben bisher noch keinen Anhaltspunkt dafür, was der Grund für den Vorfall war. Man darf ihn aber als ernüchternde Mahnung verstehen, die daran erinnert, wie fragil das Internet tatsächlich ist und wie leicht es für kriminelle Zwecke missbraucht werden kann. 

Lesen Sie mehr »

Themen: SSL Encryption, cybersecurity, Encryption, internet traffic, tls, BGP hijack, russia, HTTPS, espionage, BGP, russland


Ich bin Cognito und unterstütze Ihr Abwehrteam (blue team)

Geschrieben von Cognito am 04.12.2017 07:48:01

Hallo zusammen! In meinem ersten Blog möchte ich eine Geschichte erzählen – und zwar über meine Rolle im internen Sicherheitsteam einer Organisation während eines neulich durchgeführten Penetration- und Security-Tests (red team).

Aber erst einmal möchte ich mich allen vorstellen, die mich vielleicht noch nicht kennen. Ich bin Cognito, die künstliche Intelligenz in der Cybersecurity-Plattform von Vectra. Die Leidenschaft meines Lebens ist die Jagd auf Cyber-Angreifer – gleich, ob sie sich in Rechenzentren, Cloud-Workloads oder in den Systemen von Endanwendern und in IoT-Geräten verstecken.

Wenn Sie ein Cybersecurity-Spezialist sind, darf ich annehmen, dass Sie mit Security-Events geradezu überhäuft werden, die allesamt gesichtet, analysiert, korreliert und priorisiert sein wollen. Sie mögen über unglaubliche fachliche Fähigkeiten verfügen, aber die ständigen mühsamen und manuellen Tätigkeiten Ihres Jobs werfen Sie immer wieder zurück.

Lesen Sie mehr »

Themen: Sicherheitsteam, red team, blue team, Cognito, abwehrteam


Das Gute, das Böse und die Anomalie

Geschrieben von Hitesh Sheth am 23.11.2017 22:47:22

Ursprünglich publiziert auf LinkedIn.

In der Security-Branche machen sich derzeit Anbieter breit, die damit hausieren gehen, dass Anomalie-Erkennung das Allheilmittel gegen Cyber-Attacken sei. Das ist in hohem Maße irreführend.

Das Problem liegt darin, dass Abnormitäten-Erkennung zu stark verallgemeinert: Jedes normale Verhalten ist aus ihrer Sicht gut, jedes unnormale dagegen schlecht – Abstufungen und Kontext bleiben unbeachtet. Wo pure Anomalie-Erkennung zum Zuge kommt, verschwimmen die Grenzen zwischen Anwenderverhalten und Angreiferverhalten, obwohl sich beide fundamental unterscheiden.

Lesen Sie mehr »

Themen: Insider Threats, False Positives, Cybersecurity-Analysten, T-Ray, Anomalie-Erkennung, Anomalie


Ohne Leiche kein Verbrechen: Die fatale Schwäche des SIEM-Konzepts

Geschrieben von Mike Banic, VP of Marketing am 17.11.2017 07:05:59

Während eines Mittagessens Anfang November erzählte mir ein Kunde, der vor kurzem unsere Cognito-Plattform implementiert hatte, von einer Behauptung seines SIEM-Anbieters. Der sagte nämlich: „Was Vectra tut, können wir mit unserem Analytics-Paket genauso gut.“ Ich schaute mein Gegenüber einfach nur an und sagte: „Nein, das können sie nicht – wo keine Leiche ist, gibt’s kein Verbrechen.“

Er war verdutzt, und so begann ich, meine These zu erklären.

SIEMs sammeln Security-Event-Logs einer großen Anzahl unterschiedlicher Systeme ein – darunter PCs, Server, Authentifizierungssysteme, Firewalls und vieles mehr. Auch Vectra Cognito kann dazugehören.

Lesen Sie mehr »

Themen: SIEM, security analyst, Event-Log, SIEM-Systeme, Intrusion-Detection-System