Distri-Award
– Jetzt zur Umfrage!

Suchen

Täuschen, ablenken, abwehren Endpoints werden zu Fallen

| Autor: Melanie Staudacher

Attivo Networks fügt, unter anderem in Zusammenarbeit mit FireEye, seinem Cybersecurity-Portfolio neue Tools hinzu. Die Lösungen erkennen Ausspähversuche und netzwerkinterne Bedrohungen von Angreifern.

Firmen zum Thema

In den Täuschungsumgebungen von Attivo dienen die Endpoints als Fallen für Angreifer.
In den Täuschungsumgebungen von Attivo dienen die Endpoints als Fallen für Angreifer.
(Bild: © tiero - stock.adobe.com)

Lediglich vier Prozent aller Ausspähaktivitäten von Cyberkriminellen lösen einen Alarm im Netzwerk aus, heißt es im Security Effectiveness Report 2020 des amerikanischen Sicherheitsunternehmens FireEye. Angreifer tasten Hosts ab, indem sie nach offenen Ports suchen, die sie angreifen können und dann Exploits gegen deren Schwachstellen ausführen oder Fehlkonfigurationen wie auch schwache Passwörter finden, um diese zu kompromittieren. Gelangen die Akteure erst einmal ins Netzwerk, sind sie mit modernen Techniken in der Lage, interne Sicherheitslösungen zu umgehen und das Netzwerk unentdeckt zu durchqueren.

Deflect-Funktion

Deflect, zu Deutsch Ablenkung. Mit dieser neuen Funktion hat Attivo die Lösung Endpoint Detection Net (EDN) erweitert. Sie hindert Angreifer daran, Sicherheitslücken auf einem Endpunkt zu identifizieren und diesen ausspionieren zu können. Dazu wird verdächtiger eingehender und ausgehender Endpoint-Traffic vorbeugend in eine Detection-Umgebung umgeleitet. Durch die Integration der neuen Funktion ist EDN in der Lage, vor nicht autorisierten Host- und Service-Scans zu warnen.

Sobald ein Angreifer geschlossene Ports auf geschützten Hosts scannt oder versucht eine Verbindung zu einem geschützten Endpoint herzustellen, wird er in die Täuschungsumgebung weitergeleitet. Damit wird jeder Endpunkt zu einer Falle für die Angreifer, denn die Technologie sorgt dafür, dass die falsche Umgebung täuschend echt wirkt. Die Abwehr des Eindringlings geschieht dort, ohne dass Produktions-Services oder -Controller gestört werden.

Netzwerkinterne Bedrohungserkennung

Doch was, wenn die Angreifer dennoch ins Netzwerk gelangen? Für diesen Fall bietet Attivo nun die beiden FireEye-Lösungen Endpoint Security und Malware Analysis an, die in die ThreatDefend-Suite integriert wurden.

Die Kombination der beiden Lösungen ThreatDefend und Endpoint Security soll Bedrohungen automatisch erkennen und blockieren. Sie ergänzt konventionelle Mechanismen, um zu verhindern, dass Eindringlinge sich im Netzwerk weiter ausbreiten. Die Lösung bietet außerdem einen Einblick in die Angriffsaktivitäten und sammelt forensische Informationen, um das Risiko künftiger Angriffe zu verhindern, die Reaktionszeit zu verkürzen und die Untersuchungen zu optimieren.

Auch die FireEye-Lösung Malware Analysis wurde in die Attivo ThreatDefend-Suite integriert. Automatisiert werden die Daten von infizierten Decoys in die Malware-Auswertung hochgeladen und dort überprüft. Basierend auf den forensischen Daten werden Bots und APTs innerhalb des Netzwerkes blockiert und infizierte Systeme isoliert.

(ID:46745830)

Über den Autor

 Melanie Staudacher

Melanie Staudacher

Volontärin, Vogel IT-Medien GmbH