Detektion

In den letzten Jahren haben Quantität und Qualität der Angriffe auf Unternehmen massiv zugenommen. Bekannte Gegenmassnahmen wie Antiviren-Lösungen, Webproxies, Content-Filter oder auch Intrusion Detection- und Intrusion Prevention-Systeme sind an ihre Grenzen gestossen. Häufig können sie Datendiebstahl weder detektieren noch stoppen. Der Grund dafür liegt auf der Hand: Die Anbieter dieser Lösungen müssen sich aufgrund der Masse an neu auftauchenden Angriffsmustern zwangsläufig auf die bekanntesten davon fokussieren. Die meisten Unternehmen werden früher oder später Opfer erfolgreicher Angriffe. Die Schlüsselfrage lautet deshalb nicht mehr nur: «Wie können wir dies verhindern?», sondern auch «Wie schnell können wir einen erfolgreichen Angriff detektieren und dessen Schaden eindämmen und minimieren?». Wenige Firmen haben diesen Paradigmenwechsel bereits vollzogen. Das Dienstleistungsangebot von IOprotect deckt unter anderem folgende Aspekte ab:

Optimierung internes Security Monitoring

So unterschiedlich das Vorgehen und Know-How der Angreifer auch ist, bestimmte Aktivitäten müssen sie durchführen, um ihre Ziele zu erreichen und an Daten zu gelangen. Dabei hinterlassen sie zwangsläufig Spuren. Es ist nicht die Rede von generischen Angriffsmustern die von IDS oder IPS abgedeckt werden. Denn statt aggressiv und leicht erkennbar nach Schwachstellen zu scannen, nutzen Angreifer vielmehr abgegriffene Credentials, um sich auf Systeme einzuloggen und Schritt für Schritt ihre Rechte auszuweiten. IOprotect weiss, wo nach verräterischen Spuren gesucht werden muss und welche Aktivitäten einen Angreifer entlarven. Zusammen mit dem Kunden erarbeitet IOprotect mittels technischer Tests einen Massnahmenkatalog mit umsetzbaren Empfehlungen zur Verbesserung der Detektion oder des eingesetzten Security Information and Event Monitoring (SIEM).

Security Monitoring mit Splunk

Splunk wird immer häufiger im Bereich des Security Monitorings eingesetzt. Die Problematik nach was genau zu suchen ist, bleibt jedoch bestehen. Die Suche nach bekannten bösartigen Domains, URLs oder Dateien ist nicht der richtige Ansatz, um sich vor gezielten Angriffen zu schützen. Diese Indikatoren verändern sich in kurzen Zeitabständen und führen u.a. zu einer hohen Anzahl an False Positives. Dank der jahrelangen Erfahrung in der Analyse von Exploits und Malware, der Durchführung von simulierten Angriffen und Spezialaufträgen in der IT-Forensik weiss IOprotect, nach welchen Events man suchen muss, um Hinweise auf erfolgte Angriffe zu entdecken. Splunk-zertifizierte Mitarbeiter von IOprotect unterstützen Sie von der Konzeption über die Implementierung der Suchabfragen bis hin zur detaillierten Analyse und Aufarbeitung der Incidents.

Network Security Monitoring mit Netflow

Die Möglichkeit, die Netzwerk-Daten bis zu einem gewissen Punkt historisch betrachten zu können, ist für den sicheren Betrieb eines Unternehmensnetzwerkes unerlässlich. Nur so lässt sich das wann und wie einer Kompromittierung nachträglich eruieren. Der Einsatz eines Open-Source Monitoring Frameworks auf Basis von Netflow-Daten ermöglicht einem Unternehmen einen kostenoptimierten Einstieg. Die Nutzung von Netflow-Daten bietet dabei einen guten Mix an möglichem Detaillierungsgrad und notwendigen Ressourcen. IOprotect unterstützt Unternehmen in der Konzeptphase, bei der Implementierung sowie im operativen Betrieb eines solchen Frameworks und bietet Support für kundenspezifische Anpassungen.