Malware-Signaturen und Blockierungslisten sind wichtige Elemente im Kampf gegen Cyberangriffe. In vielen Fällen sind sie jedoch nutzlos. Dieses eBook erklärt, warum und was Sie dennoch tun können.
Inhalt:
Signaturen, Reputations- und Blockierungslisten gehören zum unverzichtbaren Repertoire jeder IT-Security. Sie schützen vor bekannter Malware, erkennen Command&Control-Server und wehren Bots, Crawler und Schwachstellenscanner ab.
In vielen Fällen sind diese Maßnahmen jedoch wirkungslos. Zu ihnen gehören noch nicht erfasste Bedrohungen wie Zero-Day-Exploits, aber auch Insider-Angriffe.
Diese eBook zeigt Ihnen, wie Sie auch mit solchen Angriffen fertig werden. Lesen Sie unter anderem:
- Wie Sie bisher unbekannte Malware in ihrem Verhalten erkennen.
- Welche Erkennungsmodelle für eine automatische Bedrohungsabwehr zum Einsatz kommen.
- Wie Sie den Bedrohungen immer einen Schritt voraus sind.
Originalauszug aus dem Dokument:
Durch die Konzentration auf Verhaltensweisen und Aktionen kann NDR ohne Zuhilfenahme von Signaturen oder Reputationslisten jede Phase eines aktiven Angriffs erkennen – Command & Control, Botnet Monetization, Internal Reconnaissance, Lateral Movement und Exfiltration von Daten. Verhaltensbasierte Bedrohungserkennung ermöglicht zudem die Identifizierung interner Reconnaissance- und Port-Scans, von Kerberos-Client-Aktivitäten und Malware-Ausbreitung innerhalb des Netzwerks. Datenwissenschaftsmodelle sind eine effektive Möglichkeit, Taktiken von Angreifern zu neutralisieren, bei denen mit Domain-Generatoren unzählige URLs für Attacken generiert werden. Cyber-Kriminelle suchen stets nach neuen Methoden, ihre Angriffskommunikation zu verbergen. Zu den effektivsten und am schnellsten wachsenden Taktiken gehört das Verbergen in einem anderen zulässigen Protokoll.
So können Angreifer zum Beispiel legitime HTTP-Kommunikation nutzen und kodierte Nachrichten in Textfeldern, Headern und anderen Parametern integrieren – und auf diese Weise kommunizieren, ohne erkannt zu werden. Die von automatischer Bedrohungsverwaltung
genutzten Erkennungsmodelle können diese verborgenen Tunnel jedoch aufdecken, indem sie Timing, Volumen und Reihenfolgen des Traffic erkennen und analysieren.