Angreifern auf der Spur

Was der Netzwerkverkehr offenbart

7. Dezember 2021, 11:30 Uhr | Autor: Thomas Krause / Redaktion: Diana Künstler | Kommentar(e)
Screenshot Threat Monitor, Nova Command
360-Grad-Blick über IT-Ressourcen hinweg
© Fore Nova

Aufgrund der Flut an hochentwickelten Gefahren reichen Host- oder Perimeter-basierte Sicherheitsansätze nicht immer aus, um sich gegen Angreifer zu verteidigen. Attacken können vom Endpunktschutz und Firewalls unerkannt bleiben. Wie Unternehmen den gesamten Netzverkehr im Blick behalten können.

Professionelle Security Operations Center (SOCs) nutzen deshalb Informationen über den kompletten ein- und ausgehenden Netzwerkverkehr, um die Unternehmenssicherheit zu gewährleisten. Was in Großunternehmen zum Security-Standard zählt, ist durch neue Network Detection and Response (NDR) jedoch mittlerweile auch für kleinere und mittelständische Unternehmen umsetzbar. Im Folgenden wird beleuchtet, wie NDR-Software durch das Beobachten des gesamten internen sowie ein- und ausgehenden Netzverkehrs Sicherheitsteams dabei unterstützt, Angriffe frühzeitig zu erkennen und blockieren.

Anbieterkompass Anbieter zum Thema

zum Anbieterkompass

Verdächtige Spuren: Was verrät der Netzwerkverkehr?

Bei den meisten Angriffen hinterlassen Cyberkriminelle Spuren im Netzwerk. Im Folgenden einige Beispiele von Aktivitäten, die auf Angriffe hindeuten können:

  • Missbrauch von Anmeldedaten: Anomale Benutzerzugriffsmuster in den Log-Daten wie etwa der Fernzugriff von ungewöhnlichen Orten aus oder der Zugriff zu seltsamen Uhrzeiten, können darauf hindeuten, dass ein Angreifer kompromittierte Anmeldeinformationen missbraucht, um sich Zugang zum Unternehmensnetzwerk zu verschaffen. Gleiches gilt, wenn bestimmte Mitarbeiterkonten plötzlich auf Daten zugreifen, auf die sie normalerweise nicht zugreifen würden.
  • Laterale Bewegung von Angreifern im Netzwerk: Im Gegensatz zu legitimen Benutzern hinterlässt ein Hacker, der sich seitlich durch das Netzwerk bewegt, häufig verräterische Spuren in den Log-Daten. Auf der Suche nach unternehmenskritischen Assets und Daten springt er zum Beispiel von System zu System oder geht diese der Reihe nach ab.
  • Datendiebstahl: Eine plötzliche Zunahme von Datenmengen, die aus dem Netzwerk an eine verdächtige IP-Adresse gesendet werden, anomale Datenzugriffsmuster, eine Zunahme von Lesevorgängen, Exporten, Kopien oder auch Speichern wertvoller Daten sind zudem deutliche Warnzeichen für ein Datenleck, sei es durch einen externen Angreifer oder böswilligen Insider, der sensible Daten hortet und exfiltriert.
  • Malware-Kommunikation: Hacker müssen bei komplexen Angriffen mit ihrer eingeschleusten Malware  reden. Die bösartige Kommunikation mit dem Command-&-Control-Server, um Informationen zurück an den Angreifer zu senden, einen Befehl zu empfangen oder weitere Schadware nachzuladen, ist auch schon in Metadaten des Netzwerkverkehrs sichtbar.

  1. Was der Netzwerkverkehr offenbart
  2. Wie NDR funktioniert: Illegitimen Netzwerkverkehr enttarnen

Das könnte Sie auch interessieren

Verwandte Artikel

funkschau

Anbieterkompass