Security Incident Response

Security Incident Response

...is coming soon

Infiltration Test – die Echtzeiterkennung von laufenden Cyber-Angriffen

Iniltration Testing
Vorgehensmodell

Sie kommen leise und sind geduldig. Sie gehen systematisch vor und versuchen so wenig Spuren, wie möglich, zu hinterlassen. Sie beobachten typische Routinen und imitieren diese, um unentdeckt zu bleiben. Sie nutzen professionell entwickelte Angriffstools. Sie kommen wieder, wenn es sich lohnt. Es sind viele.

Die Unsicherheit der Sicherheitsverantwortlichen in den Unternehmen ist gestiegen. Die Frage lautet nicht länger: "Wurden wir schon angegriffen?" sondern "Wie stark sind wir bereits infiltriert?" und "Wurden unternehmenskritische Informationen abgezogen?" Dies herauszufinden und dabei ein möglichst exaktes Bild des gesamten Ausmaßes wiederzugeben ist keine leichte Aufgabe. Oft ist die Datenbasis zu gering, wurden Logdaten nur lückenhaft erfasst und zu schnell wieder gelöscht oder mit Malware infizierte Systeme sofort mit neuem Image bestückt.

Infiltration Test heißt der Service den die Sicherheitsexperten der iT-CUBE SYSTEMS AG entwickelt haben, um Unternehmen die Echtzeit-Erkennung von laufenden Cyber-Angriffen zu ermöglichen.

Dazu platzieren wir passive Sniffer an den Grenzen verschiedener Netzwerksegmente und am Perimeter zum Internet. Über einen Zeitraum von vier Wochen wird der Netzwerkverkehr fortlaufend mitgeschnitten und analysiert. Mit einer Kombination aus Normalisierung, Datenanalyse, Verhaltensmustererkennung und maschinellem Lernen werden Verkehrsbeziehungen und -charakteristika, Protokolle und Kommunikationsverhalten automatisiert erfasst, korreliert, grafisch visualisiert und kontextuell bewertet.

Infiltration Testing
Industrialisierte, opportunistische Verfahren vs. gezielte, personalisierte Angriffe

Mit unserem Vorgehensmodell wird es möglich, Reconnaissance-Verhalten, Malware, Bots, Backdoors, CnC-Kommunikation, Datenausleitungen, usw. mit hoher Zuverlässigkeit aufzuspüren und alle Phasen eines gezielten Angriffs, auch als Attack Live Cycle oder Cyber Kill Chain bezeichnet, zu erkennen.

Infiltration Testing
Riskoklassifikation & Wahrscheinlichkeitsindex

Systeme zur Malware-Erkennung sind oft nicht in der Lage, die laterale Ausbreitung im Netzwerk nach erfolgreicher Erstinfektion eines Systems zu erkennen. Wir setzen in unserer Analyse auf eine Kombination aus Perimeterüberwachung und verteilten Sensoren, der die Nachteile des Sandboxing-Verfahrens für Malware-Erkennung eliminiert.

Infiltration Testing
Häufigkeitsverlauf und Angriffsverlauf

Post Breach Detection rückt in den Fokus, wenn die Vermutung auf eine bereits vorhandene Infiltrierung im Raum steht. Gezielte Angriffe, mit dem Ziel der Industriespionage, breiten sich naturgemäß lateral im Netzwerk aus, um Zugang zu unternehmenskritischen Daten zu erlangen und diese ausleiten zu können.

Mit dem von uns eingesetzten Verfahren können wir, sowohl ein- und ausgehenden Internetverkehr, als auch Querverkehr innerhalb des Netzwerkes und analysieren. Dabei werden typische Host-Peer-Beziehungen in Clustern zusammengefasst und die normalen Interaktionen im Baselining erfasst. Davon abweichende Verhaltensweisen kommen ans Licht, weil die typischen Muster der eingesetzten Ausbreitungstechniken (Brute Force, Replication, Kerberos-Accounts-Scans, SQL-Injection, usw.) mit hoher Wahrscheinlichkeit identifiziert werden können.

Mit dieser Technologie sind unsere Sicherheitsexperten auch in der Lage, die Nutzung von HTTPS als "Hidden Tunnel" zur Bot-Steuerung oder zur Datenausleitung ohne SSL/TLS-Entschlüsselung zu detektieren. Wichtige Aussagen lassen sich außerdem aus der Erkennung der verwendeten Applikationen sowie deren Nutzungsfrequenz und Volumina ableiten, die offene Ports der Firewalls tunneln.

Auf Basis dieser Informationen entwickelt iT-CUBE ein präzises Bild der aktuellen Angriffssituation, so dass Sicherheitsverantwortliche daraus unmittelbar ableiten können, welchen Risiken das Unternehmen ausgesetzt ist und welche Sofortmaßnahmen einzuleiten sind.

Service Spezifikation

Infiltration Testing
Implementierungsmodell

Ziel: Echtzeit-Erkennung von laufenden Cyber-Angriffen über alle Phasen des Life-Cycles

Dauer: 4 Wochen aktive Verkehrsdatenanalyse

Leistungen:

  • Abstimmung der Platzierung der Sensoren
  • Lieferung und Implementation der Systeme (Hardware Appliances)
  • Betreuung während der Testphase
  • Auswertung und Bewertung der Ergebnisse
  • Report mit Handlungsempfehlungen
  • Abschlussworkshop

Mitwirkungspflichten:

  • Bereitstellung von Netzplänen
  • Bestimmung strategischer Positionen zum passiven Sniffen
  • Bereitstellung von Test Access Ports (TAPs) zur Ausleitung von bidirektionalem Netzwerkverkehr (User-to-Internet, Server-to-Server, User-to-Server, User-to-User)
  • Basisinformationen, u.a. IP-Adressen, DNS, DHCP, NTP, SMTP, Syslog
  • Rackspace (Klima, Strom, Verkabelung) für 3 bis max. 6 19"-Rackmount-Systeme
  • Temporärer Remote-Zugriff auf Admin-GUI


Impact auf Systembetrieb:

  • ausschließlich passives Sniffen duplizierten Netzwerkverkehrs mittels TAP

Sie wollen wissen, ob in Ihrer IT-Landschaft Cyber-Angriffe laufen?

Dann lassen Sie uns miteinander in Kontakt treten, bevor größerer Schaden entsteht!

Auf der Suche nach der Nadel im Heuhaufen? Befragen Sie Ihr Netzwerk in Echtzeit.

iT-CUBE Partner

Die initiale Erkennung eines Vorfalls, das Weiterreichen der Beobachtungen an die zuständige Abteilung und dann nach einiger Verzögerung endlich die Behebung des eigentlichen Zwischenfalls stellt ein schwerfälliges Prozedere dar.

Dieses langwierige Vorgehen gehört mit Tanium der Vergangenheit an. Seine Netzwerkübersicht ermöglicht die sofortige Erkennung von Sicherheitslücken in Echtzeit und macht bereits existierende, verdächtige Aktivitäten sichtbar. Identifizierte Gefahren müssen nicht erst an die nächste Abteilung oder das nächste Programm weitergereicht werden, sondern können direkt an Ort und Stelle auf den Endpunkten behoben werden. Selbst das Schließen von Sicherheitslücken und Compliance-Tests werden mit Tanium zum Selbstläufer.

Damit vereint Tanium Threat Detection und Incident Response-Fähigkeiten in einer Plattform mit Netzwerkmanagement-Maßnahmen und gibt Ihnen so die Kontrolle über Ihr Netzwerk zurück.

Funktionsweise

Tanium bietet:

  • einfachen Zugriff über Weboberfläche,
  • Informationsbeschaffung durch Fragen in natürlicher englischer Sprache
  • Einbindung von IOC-Feeds und automatische und manuelle Suche nach IOCs im gesamten Netzwerk
  • Schnittstelle zu etablierten Systemen wie LogRythm, Splunk, HPE ArcSight, Palo Alto Networks, Elastic Search…
  • Incident Response automatisiert und manuell durch forensische Live-Analyse einzelner Endpunkte
  • zentrales Patch Management
  • Compliance-Checks des gesamten Netzwerks oder einzelner Endpunkte
  • forensische Live-Analyse einzelner Endpunkte

Warum Tanium?

Sie haben den Verdacht, dass es auf einem Ihrer Endpunkte nicht mit rechten Dingen zugeht?

Lassen Sie die fragliche Maschine von Tanium einbinden und untersuchen Sie die auf ihr laufenden Prozesse und deren Aufrufe live.

Haben Sie einen bösartigen Prozess aufgespürt?

Fragen Sie Tanium, auf welchen Rechnern dieser Prozess ebenfalls läuft, gleichen Sie Hashes von Dateien und Prozessen ab und ergreifen Sie direkt Gegenmaßnahmen. Lassen Sie Prozesse einfach auf allen Endpunkten beenden, laden Sie sich Quelldateien zur weiteren Untersuchung herunter und löschen Sie bösartige Dateien auf den betroffenen Endpunkten.

Mehrere Windows-Endpunkte sind nicht auf dem aktuellen Stand oder noch nicht unter Taniums Fittichen?

Lassen Sie sich den Update-Status der einzelnen Maschinen anzeigen, weisen Sie Tanium an, für die aktuellsten Patches zu sorgen oder installieren sie den Tanium-Client bequem über die graphische Benutzeroberfläche.

Eine Ihrer Maschinen zeigt verdächtiges Verhalten?

Versetzen Sie den Endpunkt in Quarantäne und untersuchen Sie ihn in Ruhe. Vergleichen Sie Hashes, deinstallieren sie Anwendungen, holen Sie sich die nötigen Logdateien und verteilen Sie nach abgeschlossener Schadensanalyse Ihre eigenen Reparaturskripte.

Warum iT-CUBE?

Tanium Dashboard
Tanium Dashboard

iT-CUBE SYSTEMS unterstützt bei der Konzeption und Implementierung der Lösung, sowie bei der Integration in bestehende Lösungen und die Anbindung von SIEM/Log Management Systemen.

Unsere Kompetenzen:

  • Erfahrung mit SIEM und Incident Response
  • Integration von Tanium mit SIEM-Lösungen
  • Anbindung von Threat Intelligence Feeds
  • Interaktion mit Drittprodukten, z.B. Automated Response Integration mit Palo Alto Networks
  • Integration mit PaloAlto
  • enger Kontakt zum Hersteller

Datasheet

Datasheet Tanium

Andere Lösungen im Bereich Security Incident Response:

Das könnte Sie auch interessieren...

Ist der Betrieb von Security Incident Response zu aufwendig für Sie? Informieren Sie sich zu unseren Managed Security Services rund um das Thema.

Das Security Operations Center – von Potenzialen und Fallstricken

Das Security Operations Center (SOC) stellt eine mächtige und wichtige Einheit in der Organisation dar. Mit optimal geschulten Mitarbeitern, funktionierenden Prozessen und effektiven Werkzeugen können Cyber-Angriffe auf die Organisation erkannt  und abgewehrt sowie Fehlkonfigurationen aufgedeckt und behoben werden.

Wenn aber die Prozesse für Use Case Engineering und Incident Handling nicht optimal integriert sind und gelebt werden, hilft auch das beste SIEM nicht viel. Hier liegen die Ursachen für unzureichende Performance in der Erkennung von Angriffen.

Nicht jedes Unternehmen kann sich leisten, ein SOC selbst zu betreiben. Gerade für den Mittelstand führt eine Make-or-Buy-Analyse zur Erkenntnis, dass Outsourcing der richtige Ansatz ist.

Funktionsweise

iT-CUBE hat ein SOC-Operations-Modell entwickelt, auf dessen Basis alle wesentlichen Kernprozesse, Werkzeuge und Informationsströme abgeleitet werden können. Für die Entwicklung eines passenden Konzepts bieten wir unseren Kunden spezifische Workshops an.

Security Operation Center
Security Operation Center

Warum iT-CUBE?

Wir bieten:

  • Planung und Aufbau von SOCs
  • Optimierung von SOC-Prozessen und -Werkzeugen
  • Schulung der SOC-Mitarbeiter
  • Managed SOC Services aus unserem SOC in Augsburg

Unsere Skills:

  • Tiefes SOC-Know-how durch eigenen Betrieb eines Managed Security Services
  • Fundiertes Praxis-Know-how im Tool- und Prozessbereich durch mehr als 60 SIEM-Projekte
  • Zertifizierte Trainer aus der Praxis für die Durchführung offizieller Produkttrainings oder kundenspezifischer Workshops für verschiedene SOC-Technologien und -Werkzeuge

Für den Analysten:

  • Arbeiten Sie effizienter durch den Einsatz der richtigen Tools und Technologien
  • Lernen Sie den effektiven Umgang mit Ihren Tools.
  • Optimieren Sie die Zusammenarbeit durch aufeinander abgestimmte Prozesse

Für den CISO:

  • Erhöhen Sie die Time-to-Detect und Time-to-Resolve durch höhere Effizienz Ihres Teams
  • Steigern Sie das Security Level Ihrer Organisation durch einen höheren Reifegrad

Für den CEO:

  • eine Make-or-Buy-Analyse schafft Klarheit in der SOC-Strategie
  • Compliance, Verantwortung, Expertise – welche Kosten gehören zum Kerngeschäft und was könnte ein Spezialist womöglich besser?

Das könnte Sie auch interessieren...

SOC/NOC Process Design

Möchten Sie mehr über unsere Managed Security Services erfahren?

Dann besuchen Sie doch einfach unseren MSS-Bereich.