Bedrohungserkennung und -abwehr (TDR, Threat Detection and Response) bezieht sich auf Cybersicherheits-Tools, die Bedrohungen durch die Analyse des Nutzerverhaltens erkennen. Solche TDR-Tools sind wertvoll, um selbst gut getarnte Bedrohungen zu erkennen und abzuwehren sowie Kompromittierungen einzudämmen und die Endgerätesicherheit zu verbessern. Zudem können sie Unternehmen beim Umgang mit Malware und anderen Cyberbedrohungen helfen.
In der Entwicklung von Tools zur Bedrohungserkennung und -abwehr gibt es verschiedene Modelle – so auch Zero Trust, bei dem alle Nutzer häufig autorisiert werden müssen. Unabhängig vom Modell und der Methode der Bedrohungserkennung muss ein TDR-Tool stets den Anforderungen des jeweiligen Unternehmens entsprechen. Durch eine effektive Bedrohungserkennung und -abwehr lassen sich Anwendungen und sensible Daten vor komplexen Angriffen schützen.
TDR-Tool zur Bedrohungserkennung und -abwehr
„Threat Detection and Response“ (TDR) ist ein Cybersicherheits-Tool zur Erkennung und Abwehr von Cyberbedrohungen. Es hält im Allgemeinen bekannte und unbekannte Bedrohungen sowie gut getarnte Schadsoftware auf, die der Malware-Standardschutz übersehen kann. Um das richtige Tool für Ihr Unternehmen zu finden, müssen Sie verstehen, wie die einzelnen Elemente der Bedrohungserkennung und -abwehr funktionieren.
Was ist Bedrohungserkennung?
Bei der Bedrohungserkennung wird ein Sicherheitssystem ganzheitlich analysiert, um böswillige Nutzer, ungewöhnliche Aktivitäten und all jenes zu finden, was ein Netzwerk gefährden könnte. Die Grundlage dazu bilden Bedrohungsanalysen anhand von strategischen, taktischen und operativen Tools. TDR-Tools erkennen und wehren insbesondere gut getarnte Cyberbedrohungen ab.
Was ist Bedrohungsabwehr?
Bei der Bedrohungsabwehr handelt es sich um Maßnahmen, mit denen Cyberbedrohungen neutralisiert und abgewehrt werden, bevor sie ein Sicherheitsrisiko darstellen. Im Rahmen dieser Abwehrmaßnahmen werden Systeme in Echtzeit überwacht und Benachrichtigungen abgesetzt, sobald Cyberbedrohungen und schädliches Verhalten erkannt werden. Die Grundlage dazu bilden ebenfalls Bedrohungsanalysen.
So funktioniert die Bedrohungserkennung
Durch die aktive Überwachung von Managed Detection and Response (MDR) deckt die Bedrohungserkennung mithilfe von Analysen bekannte und unbekannte Bedrohungen auf. Sobald eine Bedrohung erkannt wird, setzt die Bedrohungsabwehr Benachrichtigungen ab oder ergreift sonstige Maßnahmen, um Angreifer am Zugriff auf Systeme oder sensible Daten zu hindern. Ein gutes TDR-Tool ist in der Lage, eine Vielzahl von Cyberbedrohungen aufzuhalten.
Beispiele für Cyberbedrohungen
Cyberbedrohungen lassen sich in gängige und hochentwickelte hartnäckige Bedrohungen unterteilen. Ein gutes TDR-Tool sollte zwar gegen mehrere Arten von Cyberbedrohungen wirksam sein, die meisten sind jedoch auf die Erkennung und Abwehr besonders gut getarnter Bedrohungen ausgelegt.
Beispiele für gängige Cyberbedrohungen
Zu den gängigen Cyberbedrohungen zählen Ransomware, Malware, DDoS-Angriffe (Distributed Denial of Service) und Phishing. Solche Angriffe haben ihren Ursprung oft außerhalb eines Unternehmens, können aber auch bei einer Insider-Bedrohung eingesetzt werden. Ein Insider ist in diesem Zusammenhang üblicherweise eine Person, die im Unternehmen beschäftigt ist oder war und somit mit Interna vertraut ist. Die am weitesten verbreitete Cyberbedrohung ist Ransomware. Dabei handelt es sich um Software, die Dateien verschlüsselt und den Zugriff darauf versperrt, bis ein Unternehmen Lösegeld zahlt.
Beispiele für hochentwickelte hartnäckige Bedrohungen
Hochentwickelte hartnäckige Bedrohungen (APTs, Advanced Persistent Threats) sind Angriffskampagnen, bei denen sich Cyberkriminelle in einem Netzwerk ausbreiten, um sich über einen längeren Zeitraum hinweg Zugang zu verschaffen. Die Ziele der Angreifenden reichen von Hacktivismus über Cyberspionage bis hin zu finanzieller Bereicherung. Diese Cyberbedrohungen zielen darauf ab, ins Netzwerk einzudringen, Malware einzuschleusen, Anmeldedaten zu sammeln und dann unerkannt Daten zu exfiltrieren. Ein Beispiel war die Datenkompromittierung der Personalakten von über vier Millionen US-Regierungsbeamten im Jahr 2015 durch die mutmaßliche Hackergruppe DEEP PANDA.
Von TDR-Tools vornehmlich erkannte und abgewehrte Bedrohungen
TDR-Tools erkennen und wehren insbesondere gut getarnte Cyberbedrohungen ab. Diese sind darauf ausgelegt, Virenschutzsoftware, Endgeräteerkennung und andere Cybersicherheitslösungen zu umgehen. Mithilfe einer Vielzahl von Methoden werden TDR-Tools entwickelt, um auch diese besonders gut getarnten Cyberbedrohungen zu erkennen und abzuwehren.
Methoden und Typen der Bedrohungserkennung
In der Bedrohungserkennung unterscheiden wir im Allgemeinen zwischen vier Typen, die auf jeweils unterschiedliche Fälle spezialisiert sind. Viele dieser Methoden sind so konzipiert, dass die Priorität auf Cloud-Sicherheit gesetzt wird. Dazu zählen Methoden zur fortschrittlichen Bedrohungserkennung und -modellierung.
Definition der fortschrittlichen Bedrohungserkennung
Bei der fortschrittlichen Bedrohungserkennung handelt es sich um eine Reihe von Sicherheitstechniken, die sich ständig weiterentwickeln. Sie werden von Malware-Fachleuten verwendet, um hartnäckige Malware-Bedrohungen zu erkennen und abzuwehren. Dazu gehört in der Regel das Sandboxing – eine Sicherheitsmethode, die verdächtige Dateien in einer virtuellen Umgebung isoliert.
Das Threat Hunting ist ein Typ der fortschrittlichen Erkennung für bestehende Bedrohungen. Dabei werden alltägliche Vorgänge und Netzwerk-Datenverkehr überwacht, um Anomalien und anhaltende schädliche Aktivitäten aufzudecken. Die fortschrittliche Bedrohungserkennung kann auch mehrere Methoden zur Bedrohungsmodellierung umfassen.
Beispiele für Methoden zur Bedrohungsmodellierung
Die Bedrohungsmodellierung ist eine nützliche Strategie zur Erkennung und Abwehr von Cyberbedrohungen. Eine Beispiel ist MITRE ATT&CK®, eine weltweit zugängliche Wissensdatenbank mit Angriffstechniken und -taktiken. Bei jeder Bedrohungsmodellierung sollten Bedrohungsanalysen zur Anwendung kommen, Ressourcen und Abwehrfunktionen ermittelt werden, Risiken ausgewertet werden und eine Zuordnung der Bedrohungen erfolgen. Weitere Methoden der Bedrohungsmodellierung sind das Common Vulnerability Scoring System (CVSS) sowie Visual, Agile and Simple Threat (VAST).
Verschiedene Typen der Bedrohungserkennung
Es gibt vier Typen der Bedrohungserkennung: Konfiguration, Modellierung, Indikator und Bedrohungsverhalten. Bei der Konfiguration werden Bedrohungen über Code-Abweichungen auf der Grundlage bekannter Architektur ermittelt. Die Modellierung ist ein mathematischer Ansatz, bei dem ein „normaler“ Zustand definiert und etwaige Abweichungen als Bedrohung gekennzeichnet werden.
Indikatoren werden verwendet, um Dateien oder Daten anhand von Informationselementen, die diese Zustände identifizieren, als gut oder schlecht zu kennzeichnen. Bedrohungsverhalten kodifiziert Verhaltensweisen von Angreifenden zu deren Erkennung. Dabei stützt es sich auf die Analyse von Aktionen, die innerhalb eines Netzwerks oder einer Anwendung durchgeführt werden. Jeder Typ von Bedrohungserkennung ist auf unterschiedliche Szenarien spezialisiert. Zu wissen, welches auf Ihr Unternehmen zutrifft, hilft bei der Entscheidung, welche Tools Sie zur Bedrohungserkennung verwenden sollten.
Systeme, Tools und Software zur Bedrohungserkennung
Die Bedrohungserkennung wird ständig weiterentwickelt, um mit den neuen und veränderlichen Cyberbedrohungen Schritt zu halten. Für alle Tools und Software-Lösungen zur Bedrohungserkennung gilt in erster Linie: Sie müssen zum Unternehmen passen. Unterschiedliche Systeme zur Bedrohungserkennung bieten unterschiedlichen Schutz und es stehen viele Optionen zur Auswahl.
Folgende Funktionen sollte eine Software zur Bedrohungserkennung enthalten
Aktuelle Software zur Bedrohungserkennung erstreckt sich über das gesamte Sicherheitspaket und bietet Teams aussagekräftige Bedrohungsinformationen. Sie sollte mindestens Erkennungstechnologien für Netzwerk-, Sicherheits- und Endgerätevorfälle umfassen.
Im Fall von Netzwerkvorfällen werden verdächtige Datenverkehrsmuster identifiziert. Bei Sicherheitsvorfällen werden Daten aus Aktivitäten im gesamten Netzwerk erfasst, einschließlich Authentifizierungs- und Zugriffsvorgängen. Die Bedrohungserkennung für Endgeräte sollte Informationen sammeln, anhand derer potenziell schadhafte Ereignisse untersucht werden können.
Verschiedene Systeme zur Bedrohungserkennung
Bei der herkömmlichen Bedrohungserkennung kommen Technologien wie Sicherheitsinformations- und Ereignismanagement (SIEM), endpunktbasierte Detektion und Reaktion (EDR) sowie Analysen des Netzwerk-Datenverkehrs zum Einsatz. SIEM sammelt Daten, um Sicherheitswarnungen zu generieren, ist jedoch nicht in der Lage, Bedrohungen abzuwehren.
Analysen des Netzwerk-Datenverkehrs und EDR sind äußerst effektiv bei der Identifizierung lokalisierter Bedrohungen, können jedoch gut getarnte Bedrohungen nicht erkennen und erfordern eine komplexe Integration. Ein Angriffserkennungssystem (IDS, Intrusion Detection System) kann ein Netzwerk auf Richtlinienverstöße und schädliche Aktivitäten überwachen. Die erweiterte Bedrohungserkennung und -abwehr nutzt Bedrohungsanalysen, um das gesamte System auf Angriffe zu überwachen, welche die herkömmliche Bedrohungserkennung umgehen.
Verschiedene Tools zur Bedrohungserkennung
Es gibt verschiedene Tools, die Cyberbedrohungen erkennen und abwehren:
- Die Täuschungstechnologie schützt vor Cyberbedrohungen durch Angreifende, die ins Netzwerk eingedrungen sind.
- Schwachstellen-Scans versuchen, automatisch alle Schwachstellen in der Anwendungs- und Netzwerksicherheit zu ermitteln.
- Ransomware-Schutz erkennt Ransomware, sobald sie den Betrieb aufnimmt, und hindert sie an der Verschlüsselung von Dateien.
- Analysen des Nutzerverhaltens beobachten mithilfe von Überwachungssystemen Aktivitäten und Daten und werten diese aus.
Jedes Erkennungs-Tool hat eigene Stärken in der Abwehr bestimmter Bedrohungen. Durch die Integration von Tools oder den Einsatz eines fortschrittlichen Systems zur Bedrohungserkennung und -abwehr kann Ihr Unternehmen seine Cybersicherheit verbessern.
Der Mehrwert eines fortschrittlichen Bedrohungsschutzes
Durch fortschrittliche Bedrohungserkennung und -abwehr können Sie Ihr Unternehmen vor bekannten und unbekannten Bedrohungen schützen. Sie ist auch gegen besonders gut getarnte Cyberbedrohungen wirksam. Dabei ist von entscheidender Bedeutung, dass Sie den anforderungsgemäßen Typ der Bedrohungserkennung sowie die Tools auswählen, die zu Ihrem Unternehmen passen.
Die CrowdStrike Falcon® Platform arbeitet mit Echtzeit-Bedrohungsanalysen, um eine effektive Bedrohungserkennung und -abwehr zu ermöglichen. Weitere Informationen finden Sie hier.