Deflect-Funktion von Attivo Networks erkennt Ausspähungsversuche von Angreifern im Netzwerk

Attivo Networks hat die Funktionen seines Endpoint Detection Net (EDN) erweitert. Die neue Deflect-Funktion hindert Angreifer daran, Sicherheits-Schwachstellen auf einem Endpunkt zu identifizieren. Zudem verhindert sie, dass Angreifer den Endpunkt ausspionieren. Beides ist problematisch, weil Angreifer diese Taktiken im Zuge ihrer Abtastversuche (Fingerprinting) verwenden, um geeignete Ziele im Netzwerk zu identifizieren. Infolgedessen entscheiden sie, welche Schwachstellen ausgennutzt werden können und wie sie erfolgreich mit ihnen interagieren können.

Im Gegensatz zu herkömmlichen Sicherheitslösungen arbeitet diese neue Funktion von Attivo Networks folgendermaßen: verdächtiger eingehender oder ausgehender Endpoint-Traffic wird vorbeugend in eine Täuschungs-Umgebung umgeleitet. Dort findet die Bekämpfung statt.

Die EDN Deflect-Funktion warnt so vor nicht autorisierten Host- und Service-Scans. Dies ist von entscheidender Bedeutung, da andere Sicherheits-Mechanismen in der Regel keine Warnung für diese Art von Aktivitäten generieren.

EDN-Funktion schließt Angriffsvektoren

Versuche von Angreifern am Endpunkt, die per Fingerprinting die Charakteristika in Netzwerken ausspähen wollen, werden regelmäßig übersehen. Dies liegt an komplexen Verfahren, die beim Verfolgen, Analysieren und Alarmieren des gesamten Kommunikations-Traffics auftreten. Die Deflection-Fähigkeiten erkennen Fingerprinting-Vorgänge in Netzwerken und Applikationen effizient und genau. Außerdem erkennen sie laterale Bewegungen im Netzwerk und schließt somit einen weiteren Angriffsvektor, der von Bedrohungsakteuren zunehmend genutzt wird.

Wenn Angreifer erfolgreich über einem Endpunkt in das Netzwerk vordringen und darin Fuß fassen – die so genannte ‘Breakout-Zeit’ wird auf durchschnittlich knapp neun Stunden geschätzt -, breiten sie sich auf andere Systeme aus. Sie erreichen dies, indem sie nach offenen Ports suchen und Fingerprints von Netzwerk-Services erfassen. Darüber hinaus belegt eine FireEye-Studie, dass lediglich 4 Prozent solcher Ausspähungs-Aktivitäten einen Alarm auslösen; in 54 Prozent der Fälle gelingt es den befragten Unternehmen nicht, entsprechende Techniken und Taktiken zum Testen von lateralen Bewegungen einzusetzen. Anhand seiner Ablenkfunktion identifiziert EDN diese Verbindungs- und Ausspähungs-Versuche. Es isoliert den Angreifer, indem es ihn in eine virtuelle Deception-Umgebung umleitet, um ihn dort außer Gefecht zu setzen. All dies geschieht, ohne dass wesentliche Produktions-Services oder -Controller gestört werden.

"Die EDN-Deflect-Funktion macht das Netzwerk widerstandsfähiger, indem sie Angreifer daran hindert, sich lateral zu bewegen und Netzwerk- oder Anwendungsdienste zu erfassen", erklärt Joe Weidner von Attivo Networks Deutschland. "Die Erkennung unbefugter Ein- und Ausgangsverbindungen sowohl an der Quelle als auch am Ziel bietet Security-Experten Echtzeit-Visibilität gepaart mit schlüssigen Erkennungswarnungen."

Angreifer tasten Ziel-Hosts ab, indem sie nach offenen Ports suchen, die sie angreifen können (HTTP/HTTPS, Remote-Desktop, SSH, MSSQL usw.), und dann entweder Exploits gegen deren Schwachstellen ausführen oder Fehlkonfigurationen wie auch schwache Passwörter finden, um sie zu kompromittieren.

Die Deflect-Funktion von Attivo Networks verschiebt die Machtverhältnisse zugunsten der Cyberabwehr:

– Angreifer, die geschlossene Ports auf geschützten Hosts scannen, werden in eine Decoy-Umgebung umgeleitet, um sie dort unschädlich zu machen.
– Fehlgeschlagene ausgehende Verbindungen werden von geschützten Endpoints zu Decoys umgeleitet.
– Jeder Endpoint wird zur potenziellen Falle, um das Abtasten von Netzwerk-Services durch Angreifer zu verhindern.
– Die Deflect-Funktion von EDN stellt aktive Erkennungs- und Präventionsfähigkeiten bereit – sowohl an der Quelle als auch am Ziel.
– Sie bietet Echtzeit-Visibilität und schlüssige Erkennung bei jedem Angriff, noch bevor sich der Angreifer von einem Endpoint entfernt.
– Sie isoliert und untersucht verdächtige Endpoints ohne Zuhilfenahme externer Tools

* * * * *

Publiziert durch PR-Gateway.de.

Veröffentlicht von:

Attivo Networks

Fremont Boulevard 46601
94538 Fremont
USA
Telefon: +49 89 800 77-0
Homepage: https://www.prolog-pr.com/attivo

Ansprechpartner(in):
Joe Weidner
Pressefach öffnen

Firmenprofil:

Attivo Networks ist einer der führenden Anbieter für Security-Lösungen, die auf Deception-Technologie basieren. Die Lösungen bieten eine aktive Früherkennung, Forensik und automatisierte Reaktion auf netzwerkinterne Angriffe. Zum Portfolio gehören umfangreiche Täuschungs-Lösungen für unternehmensinterne Netzwerke, Endpoints und Datenzentren, die darauf ausgelegt sind, Angriffe von außen aufzudecken und sie proaktiv von allen unternehmenskritischen Vektoren fernzuhalten.

Die Attivo Networks ThreatDefend-Plattform ist eine umfassende und bereits in mehreren internationalen Unternehmen installierte Plattform zur präzisen Bedrohungserkennung in Unternehmensnetzwerken, Datenzentren und Cloud-Umgebung. Maschinelles Lernen, automatisierte Analysen und Reaktionen auf Vorfälle sorgen für schnelle Fehlerbehebung. Die Plattform ist einfach zu installieren und zu bedienen und zudem wartungsarm, daher eignet sie sich für Unternehmen jeder Größe.

Attivo Networks hat über 100 Auszeichnungen für seine technologische Innovation und Führungsrolle erhalten und ist laut Gartner ein Marktführer im Bereichen Deception-Technologie.

Informationen sind erhältlich bei:

Prolog Communications GmbH
Herr Achim Heinze
Sendlinger Str. 24
80331 München

fon ..: +49 89 800 77-0
web ..: http://www.prolog-pr.com
email : achim.heinze@prolog-pr.com
130 Besucher, davon 1 Aufrufe heute