Schlagwort: NDR

Mit NDR gegen Ransomware wie Akira

Mit dem Erscheinen der Ransomware Akira sehen sich vor allem große und an Kritis oder NIS 2 gebundene-Unternehmen einer neuen Gefahr gegenüber gestellt.

Diese Gefahr ist insbesondere recht hoch, bisher kein Decryptor für die aktuellen Versionen der Malware existiert und sich die neue Gruppe hauptsächlich auf Opfer konzentriert, bei denen sie hohe Lösegelder erpressen kann.

„Gegen neue Bedrohungen helfen traditionelle Sicherheitslösungen meist nur sehr begrenzt“, so Gregor Erismann, CCO von Exeon Analytics. „Man benötigt zu deren Abwehr vor allem Technologien, die Angriffsversuche frühzeitig erkennen und automatisiert Gegenmaßnahmen initiieren und das Sicherheitspersonal alarmieren können.“

Viele SIEM-Systeme (Security Information and Event Management) bieten laut Erismann zwar Tools und Funktionen, um die Auswirkungen von Ransomware zu erkennen, zu bewerten und zu mindern, allerdings nur mit vordefinierten Anwendungsszenarien als Grundlage. Darüber hinaus können native Endpunktlösungen – ebenfalls nur, wenn sie mit vorkonfigurierten Playbooks ausgestattet sind – Incident Response Verfahren auslösen, und die Beseitigung von Malware erzwingen. Gegen bisher unbekannte Angriffsmuster und speziell auch KI-gestützte, dynamische Angriffe sind solche Lösungen jedoch unwirksam, da sie nur auf bisher bekannte Muster reagieren.

NDR erkennt auffällige und ungewohnte Verkehrsmuster

Für die frühzeitige Erkennung von dynamischen Ransomware-Angriffen ist daher laut Exeon eine ständige Überwachung des gesamten Netzwerkverkehrs über ein NDR-System erforderlich (Network Detection and Response). Durch Monitoring und Visibilität der VPN-Verbindungen können Unternehmen, die NDR einsetzen, Ransomware-Angriffe wie die von Akira erkennen, indem sie den Netzwerkverkehr ständig auf ungewöhnliche oder unbekannte Muster analysieren. Dazu können auch untypische Spitzen bei der Datenübertragung oder ungewöhnliche Kommunikation zwischen Geräten gehören.

In der Lösung ExeonTrace setzt Exeon dabei auf KI und Maschinelles Lernen (ML), so dass Verkehrsmuster, die von den etablierten (und maschinell erlernten) Baselines abweichen, frühzeitig erkannt werden. Das System sucht nach ungewöhnlichen Mustern, einem unerwarteten Anstieg des Datenverkehrs oder wiederholten Fehlversuchen bei der Anmeldung. Es überprüft auch die Protokolle, die etwa von Cisco ASA-Geräten oder anderen Firewalls stammen. Über Cisco ASA schleust Akira seine Malware ein.

ML ermöglicht es ExeonTrace, unbekannte Angriffe zu entdecken, indem es historische Daten korreliert oder anomale Aktivitäten identifiziert, die möglicherweise bösartig sind. Dieser Ansatz ist probabilistisch und nicht deterministisch. Dabei kann die integrierte Metadatenanalyse deutlich höhere Datenmengen verarbeiten als Deep Packet Inspection und auch verschlüsselten Datenverkehr analysieren. So gewinnt man eine signifikante, historische Korrelation, die einen proaktiven Umgang mit Bedrohungen ermöglicht.

Verantwortlicher für diese Pressemitteilung:

Exeon Analytics AG
Herr Gregor Erismann
Grubenstrasse 12
8045 Zürich
Schweiz

fon ..: +41 44 500 77 21
web ..: http://www.exeon.com
email : exeon@prolog-pr.com

Pressekontakt:

Prolog Communications GmbH
Herr Achim Heinze
Sendlinger Str. 24
80331 München

fon ..: +49 89 800 77-0
web ..: http://www.prolog-pr.com
email : exeon@prolog-pr.com

7. Dezember 2023
OT- und IoT-Netzwerke sind oft Stiefkinder der IT-Sicherheit

Mangelnde Erkennung von Cyberattacken und ein oft rudimentärer Schutz gefährden viele OT- und IoT-Umgebungen in kritischen Infrastrukturen, warnt der Security-Spezialist Exeon Analytics.

Herkömmliche Erkennungsmethoden aus der IT-Sicherheit greifen laut Exeon in diesem Kontext zu kurz, da OT andere Empfindlichkeitsschwellen und eine genauere Überwachung von Netzwerksegmenten oder Gerätegruppen sowie OT-spezifische Erkennungs-Mechanismen erfordert, die den laufenden Betrieb und die Geschäftsprozesse nicht beeinträchtigen.

Im Gegensatz zu IT-Angriffen, die sich auf Datendiebstahl oder Erpressung konzentrieren, zielen OT-Angriffe in der Regel auf physische Auswirkungen ab. Allerdings gewinnt Ransomware auch in OT-Netzwerken immer stärker an Bedeutung. Die zunehmende Konvergenz und Integration von OT und IT bringt dabei neue Sicherheitsrisiken und Herausforderungen mit sich und macht OT-Umgebungen anfälliger für Cyber-Bedrohungen. Daher sind eine ganzheitliche Sichtbarkeit und eine effektive Erkennung von Anomalien in IT- und OT-Umgebungen entscheidend für die Aufrechterhaltung einer stabilen Sicherheit und Kontrolle.

Nicht alle IT-Security-Lösungen eignen sich auch für OT

„Die regelmäßige Aktualisierung und der Einsatz von Endpoint Detection & Response ist auf OT- und IoT-Geräten oft nur begrenzt oder gar nicht möglich“, erläutert Gregor Erismann, CCO von Exeon Analytics. „Zudem machen die Vielfalt der Geräte, ihre lange Lebensdauer sowie gerätespezifische Betriebssysteme den Einsatz von Sicherheitssoftware zur Überwachung schwierig und umständlich. OT und IoT benötigen daher einen Ansatz, der potentielle Angriffe anhand irregulärer Kommunikationsmuster erkennt.“ Hier könnten Network Detection and Response (NDR)-Lösungen einen nicht-intrusiven und effektiven Ansatz zur Überwachung darstellen und umfassende Transparenz und Erkennungsfunktionen realisieren.

Insbesondere NDR-Lösungen mit erweiterten Baselining-Funktionen wie ExeonTrace ermöglichen dabei die Identifizierung neuer und ungewöhnlicher Kommunikationsmuster, die auf bösartige Aktivitäten in OT-Netzwerken hinweisen könnten. Diese NDR-Systeme verwenden Maschinelles Lernen, nutzen Informationen über Datenflüsse für das Baselining und bieten eine protokoll- und geräteunabhängige Erkennung von Anomalien, indem sie lernen, wer mit wem und mit welcher Häufigkeit kommuniziert. Anstatt diese Parameter manuell zu konfigurieren, lernt NDR die Baseline und alarmiert die Sicherheitsteams bei ungewöhnlichen Anfragen oder Änderungen in der Häufigkeit.

So analysiert die NDR-Lösung ExeonTrace Protokolldaten aus herkömmlichen IT-Umgebungen, OT-Netzwerken und Jump-Host-Gateways, um einen umfassenden und ganzheitlichen Überblick über die Netzwerkaktivitäten zu erhalten. Dabei ermöglicht das System die Integration unterschiedlichster und OT-spezifischer Protokollquellen von Drittanbietern.

Verantwortlicher für diese Pressemitteilung:

Exeon Analytics AG
Herr Gregor Erismann
Grubenstrasse 12
8045 Zürich
Schweiz

fon ..: +41 44 500 77 21
web ..: http://www.exeon.com
email : exeon@prolog-pr.com

Pressekontakt:

Prolog Communications GmbH
Herr Achim Heinze
Sendlinger Str. 24
80331 München

fon ..: +49 89 800 77-0
web ..: http://www.prolog-pr.com
email : exeon@prolog-pr.com

31. Mai 2023
Exeon vereinfacht den Einsatz von Network Detection and Response

Das Schweizer IT-Security Unternehmen Exeon Analytics hat die NDR-Plattform ExeonTrace um Cloud-Anbindungen und neue Anomaly-Handling-Funktionalitäten erweitert.

Die aktuelle Version vereinfacht sowohl die Einführung als auch den nahtlosen Betrieb von NDR in On-Premise-, Cloud- und hybriden Umgebungen deutlich. Wie bereits die Vorgänger-Versionen ist das aktuelle Release komplett Software-basiert und kommt im Gegensatz zu herkömmlichen Lösungen ohne jede zusätzliche Hardware aus, was nicht nur Investitionen, sondern auch die Betriebskosten reduziert. Die weiterentwickelte Architektur der aktuellen Version von ExeonTrace erlaubt Analysten, die Lösung auf Knopfdruck auf ihre Umgebung abzustimmen, und bildet eine flexible Plattform für den Einsatz ausgefeilter und performanter KI-Algorithmen zur intelligenten Erkennung aktueller Bedrohungen einschließlich von Zero Day Exploits.

Als umfassende NDR-Plattform ermöglicht ExeonTrace durch KI-basierte Verhaltens- und Verkehrsanalyse die zuverlässige und frühzeitige Erkennung von Angreifern, die den Perimeter bereits überwunden haben. Die Plattform ermöglicht eine umfassende Visualisierung aller Datenflüsse im Unternehmensnetz und lässt sich nahtlos in bestehende SIEM- oder EDR-Lösungen integrieren. Nach einer ersten Lernphase und aufgrund bereits vor der Implementierung integrierter Regeln erkennt ExeonTrace zuverlässig Anomalien und verdächtiges Verhalten innerhalb der gesamten Infrastruktur und ist auch in der Lage, Bedrohungen im Detail zu analysieren und zu bewerten. So werden False Positives auf ein Minimum reduziert, damit die Sicherheitsteams sich auf wirklich kritische Ereignisse konzentrieren können.

Metadaten ermöglichen Analyse verschlüsselten Verkehrs

Seine hohe Performance verdankt ExeonTrace der Tatsache, dass die Plattform lediglich Metadaten aus den Paket-Headern und System-Log-Informationen verarbeitet, um Datenflüsse zu analysieren und zu visualisieren. Das Einbinden von System-Log-Informationen erlaubt auch die Analyse des verschlüsselten Verkehrs, der in vielen Umgebungen bereits zwischen 50 und 90 Prozent ausmacht. Auf diese Weise können Sicherheitsverantwortliche sonst vorhandene tote Winkel eliminieren, ohne in zusätzliche Hardware für die aufwändige Entschlüsselung und erneute Verschlüsselung zwischen den Endpunkten investieren zu müssen. Zudem nutzt ExeonTrace eine Graph-Datenbank zur Speicherung der kontextualisierten Daten, die im Vergleich zu herkömmlichen Logdaten nur einen Bruchteil des Speicherplatzes benötigt.

„Die überarbeitete Architektur von ExeonTrace ermöglicht eine einfache Implementierung und einen produktiven NDR-Betrieb innerhalb von Stunden statt Tagen oder Wochen“, so Gregor Erismann, CCO von Exeon Analytics.

Verantwortlicher für diese Pressemitteilung:

Exeon Analytics AG
Herr Gregor Erismann
Grubenstrasse 12
8045 Zürich
Schweiz

fon ..: +41 44 500 77 21
web ..: http://www.exeon.com
email : exeon@prolog-pr.com

Pressekontakt:

Prolog Communications GmbH
Herr Achim Heinze
Sendlinger Str. 24
80331 München

fon ..: +49 89 800 77-0
web ..: http://www.prolog-pr.com
email : exeon@prolog-pr.com

25. April 2022

Schlagwort: NDR

Mit NDR gegen Ransomware wie Akira

OT- und IoT-Netzwerke sind oft Stiefkinder der IT-Sicherheit

Exeon vereinfacht den Einsatz von Network Detection and Response