Nachbericht It-sa 2016, Teil 2
Abwehr von Eindringlingen und DDoS-Angriffen
Neben Ransomware (LANline berichtete) waren dieses Jahr auf der IT-Sicherheitsmesse It-sa in Nürnberg auch die Reaktion auf Sicherheitsvorfälle (Incident Response) sowie die Abwehr von DDoS-Angriffe (Distributed Denial of Service) heiß diskutierte Themen. Denn die Erkenntnis, dass man Unternehmensnetze nicht dauerhaft vor Eindringlingen schützen kann, hat sich inzwischen durchgesetzt. Und ein gewaltiger DDoS-Angriff auf den Security-Blogger Brian Krebs rückte kurz vor der It-sa die Dringlichkeit der DDoS-Abmilderung (im Englischen "Mitigation") ins Rampenlicht.
Für die Incident Response bietet Kaspersky Lab mit der Kaspersky Anti Targeted Attack Platform eine Kombination aus Technik und Services: Fachleute des russischen Anbieters besprechen die Sicherheitsstrategie mit den Unternehmen individuell; daraufhin implementiert man Sensoren für die Messung des Geräteverhaltens im Unternehmensnetz. Sollten sich Prozesse in der Analyse-Sandbox als verdächtig erweisen, kann man wiederum Experten aus Kasperskys SOC für die Incident Response hinzuziehen.
In die Riege der innovativen Anbieter von Lösungen für die Angriffserkennung und Incident Response wie etwa Lightcyber und Vectra Networks (LANline berichtete) reiht sich Fidelis, ein Ableger des Rüstungskonzerns General Dynamics, mit seiner gleichnamigen Lösung ein. Fidelis bietet eine Softwareplattform, die auch als Appliance erhältlich ist, sowie passende Dienstleistungen.
Die Lösung Fidelis Network ermittelt über Sensoren und "Deep Session Inspection" Auffälligkeiten im Netzwerk, etwa Privileg-Eskalationen und Seitwärtsbewegungen (Lateral Movement) von Angreifern. Über das Gegenstück Fidelis Endpoint erhält der Administrator laut Fidelis die komplette Kontrolle über die Endgeräte und kann im Angriffsfall sofort eingreifen - der Datenschutzaspekt ist dabei laut Oliver Keizers, Fidelis? Regional Manager DACH, über Betriebsvereinbarungen zu lösen. Die Verwaltung erfolgt über ein HTML5-Dashboard mit Drilldown-Funktionalität, Endpoint Agents gibt es für Windows, Linux/Unix und Mac, Apps für IOS und Android sind laut Keizers in Arbeit.
Ein wichtiges Thema auf der Messe war auch DDoS, nicht zuletzt aufgrund des massiven Angriffs auf den Security-Blogger Brian Krebs mit 620 GBit/s durch ein Botnet aus IoT-Devices (Internet of Things), der kurz zuvor stattgefunden hatte - und der Akamai genötigt hatte, den langjährigen Gratiskunden Krebs aus ihrem Netz zu nehmen. Unter dem Strich war dieser Angriff damit eine erfolgreiche Werbemaßnahme für eine neue, IoT-basierte Angriffswaffe auf dem Cyberschwarzmarkt.
Cricket Liu, Chief DNS Architect bei Infoblox, warnte im LANline-Interview: "Firmen unterschätzen im Allgemeinen ihre Angreifbarkeit via DNS." Quasi als Bestätigung dieser Warnung gab es am Tag nach der It-sa einen Ausfall zahlreicher Cloud-Services wie Twitter aufgrund eines Angriffs auf den DNS-Provider Dyn.
Infoblox plant laut Liu zum Jahresende ein "DNS-Firewall as a Service"-Angebot mit globaler Bedrohungsanalyse und individuell konfigurierbaren Richtlinien. Der Dienst befinde sich derzeit im Betatest, man werde ihn aus vier AWS-Zonen heraus anbieten (zwei in den USA, je eine in Asien und Europa).
Teil 3 der It-sa-Messeberichterstattung folgt in Kürze.
Lesen Sie mehr zum Thema
