Angreifern auf der Spur
Was der Netzwerkverkehr offenbart
Aufgrund der Flut an hochentwickelten Gefahren reichen Host- oder Perimeter-basierte Sicherheitsansätze nicht immer aus, um sich gegen Angreifer zu verteidigen. Attacken können vom Endpunktschutz und Firewalls unerkannt bleiben. Wie Unternehmen den gesamten Netzverkehr im Blick behalten können.
Professionelle Security Operations Center (SOCs) nutzen deshalb Informationen über den kompletten ein- und ausgehenden Netzwerkverkehr, um die Unternehmenssicherheit zu gewährleisten. Was in Großunternehmen zum Security-Standard zählt, ist durch neue Network Detection and Response (NDR) jedoch mittlerweile auch für kleinere und mittelständische Unternehmen umsetzbar. Im Folgenden wird beleuchtet, wie NDR-Software durch das Beobachten des gesamten internen sowie ein- und ausgehenden Netzverkehrs Sicherheitsteams dabei unterstützt, Angriffe frühzeitig zu erkennen und blockieren.
Verdächtige Spuren: Was verrät der Netzwerkverkehr?
Bei den meisten Angriffen hinterlassen Cyberkriminelle Spuren im Netzwerk. Im Folgenden einige Beispiele von Aktivitäten, die auf Angriffe hindeuten können:
- Missbrauch von Anmeldedaten: Anomale Benutzerzugriffsmuster in den Log-Daten wie etwa der Fernzugriff von ungewöhnlichen Orten aus oder der Zugriff zu seltsamen Uhrzeiten, können darauf hindeuten, dass ein Angreifer kompromittierte Anmeldeinformationen missbraucht, um sich Zugang zum Unternehmensnetzwerk zu verschaffen. Gleiches gilt, wenn bestimmte Mitarbeiterkonten plötzlich auf Daten zugreifen, auf die sie normalerweise nicht zugreifen würden.
- Laterale Bewegung von Angreifern im Netzwerk: Im Gegensatz zu legitimen Benutzern hinterlässt ein Hacker, der sich seitlich durch das Netzwerk bewegt, häufig verräterische Spuren in den Log-Daten. Auf der Suche nach unternehmenskritischen Assets und Daten springt er zum Beispiel von System zu System oder geht diese der Reihe nach ab.
- Datendiebstahl: Eine plötzliche Zunahme von Datenmengen, die aus dem Netzwerk an eine verdächtige IP-Adresse gesendet werden, anomale Datenzugriffsmuster, eine Zunahme von Lesevorgängen, Exporten, Kopien oder auch Speichern wertvoller Daten sind zudem deutliche Warnzeichen für ein Datenleck, sei es durch einen externen Angreifer oder böswilligen Insider, der sensible Daten hortet und exfiltriert.
- Malware-Kommunikation: Hacker müssen bei komplexen Angriffen mit ihrer eingeschleusten Malware reden. Die bösartige Kommunikation mit dem Command-&-Control-Server, um Informationen zurück an den Angreifer zu senden, einen Befehl zu empfangen oder weitere Schadware nachzuladen, ist auch schon in Metadaten des Netzwerkverkehrs sichtbar.
- Was der Netzwerkverkehr offenbart
- Wie NDR funktioniert: Illegitimen Netzwerkverkehr enttarnen
Lesen Sie mehr zum Thema
