24/7 proaktive Hackerabwehr – ohne SIEM und SOC!
von Svenja Koch
Wie das geht? Die häufigsten FAQ zu unserem Threat Hunting Service Active Cyber Defense!
Nahezu wöchentlich wird von spektakulären Cyberangriffen berichtet, auch bedeutende marktführende Unternehmen sind immer wieder betroffen. Es ist offensichtlich, dass diese Angriffe trotz erheblicher IT Security Budgets und etablierter Sicherheitslösungen, wie Antivirus, Endpoint Protection, Firewalling und IDS/ IPS, in zunehmendem Maße erfolgreich sind. Damit zeigt sich, dass diese etablierten Schutzmaßnahmen für aktuelle Bedrohungen nicht mehr ausreichend sind - und für Angreifer lediglich ein Ärgernis, jedoch kein tatsächliches Hindernis darstellen.
Unsere IT-Sicherheitsexperten sehen als Konsequenz einen bedeutenden Paradigmenwechsel in der IT Security: Der Bereich Prävention ist lediglich als Teilbereich einer IT-Sicherheitsstrategie zu sehen – es muss zwingend auch der tatsächliche Eintritt einer erfolgreichen Kompromittierung einbezogen werden. Es gilt deshalb, diese Kompromittierung frühzeitig zu erkennen, um weitere Schäden abzuwenden.
Diese Notwendigkeit hat auch ein Großteil unserer Kunden bereits realisiert: Unser IT Security Expertenteam berät in 90% der Fälle Unternehmen, die sofort über eine potentielle Cyberattacke informiert sein möchten - und das trotz eines geringen IT- Security Budget. Die Herausforderung besteht häufig darin, dass Organisationen entweder nicht die richtigen Tools im Einsatz haben oder es an Ressourcen wie Fachwissen, Zeit und Personal mangelt, um Cyberangriffe abzuwehren. Viele Teams haben sich bereits mit SIEM oder SOC Lösungen auseinandergesetzt, schrecken jedoch vor den hohen Kosten dieser Anwendungen zurück.
Unser Threat Hunting- und Incident Response-Service analysiert Ihr Netzwerk proaktiv und kontinuierlich auf Anomalien und identifiziert so die Kommunikation der Angreifer zu ihren Command & Control Servern (C&Cs). Sie erreichen so eine Identifizierung von Sicherheitsvorfällen unmittelbar nach erfolgter Kompromittierung eines Systems – und nicht erst nach der riskanten durchschnittlichen Zeitspanne von 6 Monaten, in denen sich Angreifer unbeobachtet in Ihrem Netz bewegen, weiter ausbreiten und beliebig Daten ausleiten oder manipulieren. Dabei garantiert ACD Ihnen als Managed Service zum Festpreis jederzeit finanzielle Planungssicherheit.
Die häufigsten FAQ zu unserem Active Cyber Defense Service beantworten Ihnen unsere IT Security Experten hier!
Ist Active Cyber Defense ein Cloud Service? Wo werden meine Daten gehostet?
Nein, es werden alle Daten und Informationen vollständig in Ihrem eigenen Netzwerk gehostet. ACD ist damit ein EU-DSGVO konformer Managed Service.
Ich habe aktuell nicht genug personelle Kapazitäten für eine weitere IT-Sicherheitslösung. Kann ich trotzdem Active Cyber Defense nutzen?
Mit Active Cyber Defense binden Sie keine Ressourcen in Ihrem Unternehmen. Die Implementierung, Wartung und auch die Alarmierung bei Angriffsaktivitäten in Ihrem Netzwerk erfolgt als Full Managed Service vollständig durch unser Security Operations Center (SOC).
Bietet mir Active Cyber Defense finanzielle Planungssicherheit oder muss ich mit steigenden Kosten (z.B. durch eine Abrechnung nach Datenvolumen) rechnen?
Nein, ACD garantiert Ihnen als Managed Service zum Festpreis jederzeit finanzielle Planungssicherheit. Fragen Sie gerne ein Angebot an. Das Kontaktformular finden Sie am Ende unserer ACD Themenseite.
Muss ich für Active Cyber Defense, wie bei SIEM-Projekten, monatelange Konfigurations- und Anpassungsphasen einplanen?
Nein. Abhängig von der Größe Ihrer Organisation erfolgt die Implementierung in der Regel bereits in 3-7 Tagen.
Ich habe weltweite Unternehmensstandorte mit lokalen Internetzugängen. Ist dies ein Problem für die Implementierung von Active Cyber Defense?
Nein, dies stellt kein Problem dar, da jeder Standort bzw. jeder Internetzugang mit einem lokalen Sensor überwacht werden kann, um auch diese wirksam gegen erfolgreiche Angriffe abzusichern.
Ich habe diverse Endgeräte, auf die keine lokalen Software Agents o.ä. installiert werden können. Stellt dies ein Problem für Active Cyber Defense dar?
Nein. ACD überwacht und identifiziert Angriffsaktivitäten vollständig agentless. ACD benötigt auch keine Logs Ihrer Endgeräte.
Kann Active Cyber Defense von Angreifern in meinem Netzwerk erkannt und umgangen werden?
Nein. Unsere Active Cyber Defense Sensoren werden vollständig transparent im Netzwerk platziert, so dass ein Angreifer keine Chance hat, diese durch z.B. Ausspähung oder Reconnaissance Scans zu identifizieren.
Kann ich mit Hilfe von Active Cyber Defense auch unerwünschte Telemetrie-Datenübermittlung von meiner Software bzw. verwendeten Applikationen erkennen?
Ja. ACD ermöglicht Ihnen, auch unerwünschte Nutzungs- oder Telemetriedaten-Übermittlung unmittelbar zu erkennen und zu unterbinden.
Wie viele Tage dauert die Implementierung von Active Cyber Defense?
Die Implementierung unseres Active Cyber Defense Service dauert in der Regel 3-7 Tage, abhängig von der Anzahl Ihrer Internetzugänge bzw. Unternehmensstandorte.
Ich habe bereits eine Antivirus-Lösung mit KI und Sandboxing im Einsatz. Unsere unternehmenskritischen Daten wurden trotzdem verschlüsselt - warum?
Um lange unerkannt zu bleiben, nutzen Angreifer für ihre initialen Infektionen mittlerweile keinen Schadcode mehr, sondern ungefährliche oder sogar legitime Prozesse (z.B. PowerShell). Diese werden weder vom Antivirus noch von Sandboxing oder einer KI erkannt, da diese Lösungen sie nicht als schadhaft klassifizieren. Somit erkennen diese Systeme Angriffe in der Regel erst, wenn bereits schadhaftes Verhalten des Angreifers sichtbar geworden ist – und es faktisch zu spät ist.
Meine Firewall ist bereits mit einer Muster-Erkennung für Command & Control (C2)-Kommunikation ausgestattet. Weshalb wurden die Angreifer in meinem Netzwerk trotzdem nicht erkannt?
Die meisten Angreifer verwenden für ihren Datenaustausch mittlerweile nur noch Domains von seriösen Domain-Anbietern, die sie nur wenige Stunden nutzen. Daher kann eine signaturbasierte C2-Erkennung diese nicht mehr aufspüren.
Gibt es ein regelmäßiges Reporting der Analyse-Ergebnisse, auch wenn keine IT Security Incidents gemeldet wurden?
Ja, Sie erhalten monatlich einen Report mit allen relevanten Informationen zu den Aktivitäten in Ihrem Netzwerk.
Kann ich Active Cyber Defense testen?
Ja. Das Kontaktformular hierzu finden Sie am Ende unserer ACD Themenseite.
Fazit
Active Cyber Defense unterscheidet sich durch relevante Features aus der Threat Hunting Technologie maßgeblich von anderen Incident Detection & Response-Lösungen.
- Unser Active Cyber Defense Service bezieht die Überwachung aller Systeme Ihres Netzwerks mit ein, wie beispielsweise Desktops, Laptops, Mobiltelefone, Tablets, Server, Netzwerk-Geräte, Drucker, IoT, ICS, BYOD.
- Für die Nutzung unserer ACD Lösung bedarf es keiner Installation von Agents auf Clients – es wird auf Netzwerkebene geprüft, ob Systeme zu Command & Control Servern kommunizieren und somit kompromittiert sind.
- Durch Erkennen von auffälligem Kommunikationsverhalten identifiziert ACD kompromittierte Systeme. Hierdurch können diese gezielt isoliert und zügig bereinigt werden.
- Wenn ein aktiv laufender Angriff identifiziert wird, stehen wir Ihnen bei Bedarf mit IR-Experten unmittelbar zur Seite. Unsere IR-Prozesse sind speziell auf ACD abgestimmt: Sie erhalten von uns direkt ein umfassendes Lagebild und wir begleiten Sie bei der Implementierung effektiver Gegenmaßnahmen
- Unser IR-Readiness Programm ermöglicht Ihnen eine optimale Vorbereitung auf den Ernstfall: Neben proaktivem Austausch von Dokumenten und Definition von Notfallabläufen stellen wir Ihnen notwendige Werkzeuge und Härtungsempfehlungen bereit.