{"id":29580,"date":"2022-06-23T08:19:29","date_gmt":"2022-06-23T06:19:29","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=29580"},"modified":"2022-06-23T09:31:16","modified_gmt":"2022-06-23T07:31:16","slug":"layered-analytics-dieser-cybersecurity-ansatz-bereitet-hackern-kopfzerbrechen","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/layered-analytics-dieser-cybersecurity-ansatz-bereitet-hackern-kopfzerbrechen\/","title":{"rendered":"Layered Analytics: Dieser Cybersecurity Ansatz bereitet Hackern Kopfzerbrechen"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/layered-analytics-dieser-cybersecurity-ansatz-bereitet-hackern-kopfzerbrechen\/#Exkurs_Warum_die_Reaktionszeit_bestenfalls_bei_0_liegen_sollte\" >Exkurs: Warum die Reaktionszeit bestenfalls bei 0 liegen sollte<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/layered-analytics-dieser-cybersecurity-ansatz-bereitet-hackern-kopfzerbrechen\/#Wie_erkenne_ich_fruehzeitig_Cyberangriffe\" >Wie erkenne ich fr\u00fchzeitig Cyberangriffe?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/layered-analytics-dieser-cybersecurity-ansatz-bereitet-hackern-kopfzerbrechen\/#Warum_brauche_ich_einen_Layered_Analytics_Ansatz\" >Warum brauche ich einen Layered Analytics Ansatz?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/layered-analytics-dieser-cybersecurity-ansatz-bereitet-hackern-kopfzerbrechen\/#Fazit\" >Fazit<\/a><\/li><\/ul><\/nav><\/div>\n<p>Nach einer <a  href=\"https:\/\/www.infopoint-security.de\/verizon-veroeffentlicht-den-data-breach-investigations-report-2021\/a27611\/\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Studie von Verizon aus dem Jahre 2021*<\/a> sind etwa zwei Drittel aller Cyberangriffe auf Unternehmen entweder auf Hacking oder auf Social Engineering zur\u00fcckzuf\u00fchren. Social Engineering \u2013 die Manipulation von Mitarbeitern mit dem Ziel, bewusst oder unbewusst Malware in ein Unternehmen einzuschleusen \u2013 wird immer popul\u00e4rer.<\/p>\n<p>Cyberangriffe fr\u00fchzeitig zu erkennen und damit zeitnah abwehren zu k\u00f6nnen, bleibt f\u00fcr Unternehmen herausfordernd &#8211; denn Sicherheitsereignisse, die auf einen Cyberangriff oder eine Kompromittierung hindeuten, heben sich h\u00e4ufig nicht von der Masse ab. Die Suche nach Anzeichen f\u00fcr einen stattgefundenen oder laufenden Angriff kann sehr subtil sein: Eine Handvoll fehlgeschlagener Anmeldeversuche, der Zugriff auf eine Anwendung von einer unbekannten Internetadresse, Versuche, eine Verbindung zu eingeschr\u00e4nkten Unternehmensressourcen herzustellen oder die erstmalige Verwendung von Tools oder Prozessen. K\u00fcnstliche Intelligenz und maschinelles Lernen k\u00f6nnen zwar helfen, indem sie anormale Aktivit\u00e4ten aufzeigen, aber eine solche Automatisierung \u201ewei\u00df nicht\u201c, ob das anormale Verhalten gut oder schlecht ist &#8211; es fehlt der situative Kontext.<\/p>\n<p>Mit welchem Ansatz aber k\u00f6nnen Unternehmen das elementare Ziel, Cyberangriffe auf ihr Netzwerk zeitnah zu erkennen und umgehend abzuwehren, erreichen?<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Exkurs_Warum_die_Reaktionszeit_bestenfalls_bei_0_liegen_sollte\"><\/span>Exkurs: Warum die Reaktionszeit bestenfalls bei 0 liegen sollte<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Wenn ein Cyberangriff auf ein Unternehmen startet, ist die Zeitspanne zwischen Angriffserkennung und Angriffsabwehr besonders kritisch. Ist die Zeitspanne gro\u00df genug, kann ein Angreifer massiven Schaden verursachen, Daten entwenden, verschl\u00fcsseln, Systeme zerst\u00f6ren oder gar die Admin-Hoheit \u00fcber das gesamte Netzwerk erlangen.<\/p>\n<p>Ein Unternehmen ist umso besser gesichert, je n\u00e4her die Zeitpunkte der Detektion und Reaktion bei Null liegen, siehe Abbildung.<\/p>\n<p><img fetchpriority=\"high\" decoding=\"async\" class=\"alignnone wp-image-29743\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Erfolgreicher-Angriff-vs.-Schaden-300x162.png\" alt=\"\" width=\"563\" height=\"304\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Erfolgreicher-Angriff-vs.-Schaden-300x162.png 300w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Erfolgreicher-Angriff-vs.-Schaden-768x414.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Erfolgreicher-Angriff-vs.-Schaden-24x13.png 24w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Erfolgreicher-Angriff-vs.-Schaden-36x19.png 36w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Erfolgreicher-Angriff-vs.-Schaden-48x26.png 48w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Erfolgreicher-Angriff-vs.-Schaden.png 964w\" sizes=\"(max-width: 563px) 100vw, 563px\" \/><\/p>\n<p>Realtime-Event-Correlation, idealerweise in Verbindung mit einer Verhaltensanalyse, erm\u00f6glichen eine sehr fr\u00fchzeitige, wenn nicht sogar unmittelbare, Erkennung von Cyberangriffen.<\/p>\n<p>Das unmittelbare Erkennen eines Cyberangriffs ist jedoch nur ein relevanter Aspekt \u2013 eine schnellstm\u00f6gliche Reaktion darauf der andere. Diese ist vor allem dann nicht gesichert, wenn Angriffe au\u00dferhalb der normalen Arbeitszeiten erfolgen oder wenn das Security Team von Alarmen, ggf. Fehlalarmen, \u00fcberflutet ist.<\/p>\n<p>Neben der drastischen Reduzierung von Fehlalarmen durch eine leistungsf\u00e4hige Analyse spielt die Automatisierung der nachgelagerten Prozesse, insbesondere der Abwehrprozesse, eine kritische Rolle.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Wie_erkenne_ich_fruehzeitig_Cyberangriffe\"><\/span>Wie erkenne ich fr\u00fchzeitig Cyberangriffe?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Die wichtigsten Methoden, um Cyberangriffe zeitnah zu erkennen, sind Real-Time-Correlation von Events und die Analyse von Verhaltensauff\u00e4lligkeiten.<\/p>\n<p>Real-Time-Correlation analysiert in Echtzeit eingehende Event Logdaten der Systeme auf bestimmte Verhaltensmuster von bekannten Angriffstaktiken. Diese k\u00f6nnen entweder aus bekannten Threat-Analysis Frameworks (z.B. <a  href=\"https:\/\/attack.mitre.org\/\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >MITRE ATTACK<\/a>) abgeleitet sein (<a href=\"https:\/\/testing.secuinfra.com\/techtalk\/wie-mitre-attck-zur-auswahl-von-siem-use-cases-genutzt-werden-kann-teil-1-2\/\">siehe auch MITRE ATTACK TechTalk Beitrag<\/a>), auf der Erfahrung des Unternehmens beruhen oder durch einen Austausch in der Community erlangt werden \u2013 oder auch einer Kombination aus allem. Real-Time Correlation kann sehr performant sein &#8211; allerdings erkennt Real-Time Correlation auch nur die Angriffsmethoden und -Taktiken, die grunds\u00e4tzlich schon bekannt sind.<\/p>\n<p>Die <strong>Analyse von Verhaltensauff\u00e4lligkeiten<\/strong> beobachtet das Verhalten jedes einzelnen Nutzers innerhalb der Systemlandschaft, um dann Abweichungen zu erkennen und auf ihr Risikopotential zu bewerten. Man spricht hierbei von UEBA \u2013 User and Entity Behavior Analytics. Ein Alarm wird ausgel\u00f6st, wenn ein bestimmter Schwellenwert in der Risikobewertung \u00fcberschritten wird. Hier finden k\u00fcnstliche Intelligenz und Machine Learning ihre Anwendung.<\/p>\n<p><strong>Nur eine Kombination aller drei Ans\u00e4tze ist die Grundlage f\u00fcr eine wirksame Cybersecurity. Wir sprechen nachfolgend vom Layered Analytics Ansatz. <\/strong><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Warum_brauche_ich_einen_Layered_Analytics_Ansatz\"><\/span>Warum brauche ich einen Layered Analytics Ansatz?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Layered Analytics &#8211; die Kombination von Korrelation, Verhaltensanalyse und Threat Hunting &#8211; hilft Unternehmen, die Auswirkungen eines Cyberangriffs zu minimieren. Wachsame Unternehmen, die \u00fcber die richtigen Tools verf\u00fcgen, erkennen, dass es sich bei den heutigen Bedrohungen nicht um einzelne b\u00f6sartige Vorf\u00e4lle handelt, die aus dem Nichts auftauchen, sondern um eine Reihe von Aktionen, die bei jedem Schritt der Angriffskette erkannt werden k\u00f6nnen. Verschiedene Technologien und Techniken eignen sich besser f\u00fcr die Analyse von z. B. Protokollereignissen, Benutzeraktionen und anormalem Datenverkehr.<\/p>\n<p>Beispielsweise f\u00fchrt der Layered Analytics Ansatz von ArcSight diese verschiedenen Analysetypen zusammen und kombiniert Signale, die von potenziellen Bedrohungen erzeugt werden.<\/p>\n<p><strong>Layered Analytics maximiert damit die F\u00e4higkeit eines Unternehmens, einen Angriff zu erkennen und darauf zu reagieren, indem es die Anzeichen eines Angriffs w\u00e4hrend der gesamten Angriffskette erfasst: <\/strong><\/p>\n<ol>\n<li>Die Real-Time-Correlation f\u00fchrt Sicherheitsereignisse, Bedrohungsdaten und Protokolldaten zusammen, um Bedrohungen besser zu erkennen und Fehlalarme zu minimieren.<\/li>\n<li>Die Funktionen f\u00fcr Verhaltensanalysen und maschinelles Lernen erkennen Benutzer- und Ger\u00e4teverhalten, das von der erwarteten normalen Aktivit\u00e4t abweicht.<\/li>\n<li>Die Big-Data-Analyse- und Suchfunktionen unterst\u00fctzen umfangreiche Bedrohungssuche und Incident-Response-Aktivit\u00e4ten.<\/li>\n<\/ol>\n<p>Durch die Kombination der Ans\u00e4tze und ihrem Zusammenspiel erhalten Unternehmen schnellere, umsetzbare Erkenntnisse mit Kontext und werden bei der zentralen Herausforderung unterst\u00fctzt, die Zeit zu minimieren, in der sie einem erfolgreichen Cyberangriff ausgesetzt sind. Nur durch umgehende und angemessene Reaktion lassen sich hohe finanzielle Verluste und Reputationssch\u00e4den verhindern.<\/p>\n<div class=\"fazit\"><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Fazit\"><\/span>Fazit<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Der Schl\u00fcssel zum fr\u00fchzeitigen Erkennen komplexer Bedrohungen liegt darin, Anzeichen f\u00fcr Angriffe aus m\u00f6glichst vielen Teilen der Angriffskette zu erkennen. Da man sich nicht auf eine einzige Informationsquelle verlassen kann, hilft der Layered Analytics Ansatz Unternehmen dabei, die subtilen Anzeichen eines Angriffs zu einer einzigen, kontextbasierten Entscheidung korrelieren, da er den gesamten Lebenszyklus von Bedrohungsdaten einbezieht.<\/p>\n<p>Die Echtzeit-Korrelation erm\u00f6glicht es Unternehmen, bekannte Bedrohungsdetails zu nutzen, um die Bedrohungserkennung zu automatisieren. Die Analyse des Benutzer- und Entit\u00e4tsverhaltens (UEBA) kann feststellen, welche Aktivit\u00e4ten in Ihrem Unternehmen normal sind und was als Anomalie betrachtet werden sollte. Die Bedrohungsjagd (Threat Hunting) gibt IT-Sicherheitsteams die Werkzeuge an die Hand, um anhand aktueller Indikatoren f\u00fcr eine Gef\u00e4hrdung die entsprechenden historischen Daten in die Analyse miteinzubeziehen.<\/p>\n<p><strong>Layered Analytics unterst\u00fctzt den gesamten Lebenszyklus von Bedrohungsdaten. <\/strong>In einer Welt sich schnell ver\u00e4ndernden Bedrohungslandschaft dient der Layered Analytics Ansatz als Multiplikator f\u00fcr Ihr SOC-Team, so dass es sich auf das konzentrieren kann, was wirklich wichtig ist: Die Erh\u00f6hung der Cyber-Resilienz Ihres Unternehmens.<\/p>\n<p><strong>Sie w\u00fcnschen eine Beratung zum Layered Analytics Ansatz? Kontaktieren Sie uns gerne <a href=\"https:\/\/testing.secuinfra.com\/contact\/\">via E-Mail<\/a> oder telefonisch unter: +49 30 5557021 11 \u2013 wir beraten Sie gerne!\u00a0<\/strong><\/p>\n<p><\/div>\n","protected":false},"excerpt":{"rendered":"<p>Der Schl\u00fcssel zum fr\u00fchzeitigen Erkennen komplexer Bedrohungen liegt darin, Anzeichen f\u00fcr Angriffe aus m\u00f6glichst vielen Teilen der Angriffskette zu erkennen. <\/p>\n","protected":false},"author":19,"featured_media":29706,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[100,77,67,66],"tags":[],"dpc_coauthors":[],"class_list":["post-29580","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-angriffserkennung","category-log-management","category-siem","category-techtalk"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/29580","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/19"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=29580"}],"version-history":[{"count":0,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/29580\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/29706"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=29580"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=29580"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=29580"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=29580"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}