Monitoring und Erkennung

Unternehmensnetze stehen dauerhaft im Fokus von fortgeschrittenen Angreifern, die sich auf Industriespionage oder Sabotage konzentrieren. Da die Bewegung zwischen infizierten Systemen (sogenanntes Lateral Movement) ein wesentlicher Bestandteil eines solchen Angriffs ist, sind Sichtbarkeit in den Datenverkehr und die damit verbundenen Erkennungsmöglichkeiten wesentliche Bestandteile einer erfolgreichen Verteidigung.

Unser Managed Service Threat Detection & Hunting (TDH) erkennt professionelle Angriffe. Unsere Analysten untersuchen und bewerten den Kontext und sprechen geeignete Maßnahmenempfehlungen aus.

Was ist TDH

Die SOCs unserer Kunden werden durch diesen Managed Security Service signifikant entlastet. Wir eliminieren False Positives und reichern True Positives mit dem Kontext an, der Bewertung und Behandlung der Alarmmeldung ermöglicht. Damit können Sie sich auf die Abwehr der erkannten Angriffe konzentrieren.

Erkennen, analysieren und beheben

TDH bietet Erkennung, Analyse und Behebung von Problemen während aktiver Cyber-Angriffskampagnen, vor allem bei Advanced Persistent Threats (APT).

Netzwerkbasierte Sensoren

Durch den Einsatz netzwerkbasierter Sensoren an zentralen Verbindungen führt TDH eine kontinuierliche Analyse des Netzwerkverkehrs des Kunden durch.

Threat Intelligence

Die Kombination aus öffentlich und kommerziell verfügbaren Informationen mit DCSO-interner Threat Intelligence stellt optimale Erkennung sicher.

Praktische Hilfestellungen

Als Managed Service bietet TDH mittels dedizierter Analysten praktische Hilfestellung bei der Analyse und Behebung von Vorfällen.

Wie funktioniert TDH?

TDH verknüpft DCSO Kerndisziplinen rund um Threat Intelligence, Security Analytics und Incident Response, und hilft unseren Kunden dabei, diese Fähigkeiten zu operationalisieren.

In einem ersten Schritt installieren wir Netzwerksensoren an zentralen Knotenpunkten der Netzwerkinfrastruktur des Kunden und konfigurieren sie entsprechend der jeweiligen Infrastruktur. Dadurch erhalten wir grundlegende Transparenz über den relevanten Datenverkehr. Danach bringen wir kuratierte Threat Intelligence auf die Sensorik. Um sicherzustellen, dass wir über ein umfassendes Set von Indikatoren und Regeln verfügen, verlassen wir uns nicht nur auf Open-Source und kommerzielle Partner. Stattdessen ergänzen wir unsere eigenen Erkenntnisse sowie Informationen aus den DCSO Communities und unserem Netzwerk. Sobald ein Alarm ausgelöst wird, werden relevante Informationen auf den Sensoren gesammelt und zur weiteren Überprüfung an unser Analysten-Backend übermittelt.

Nach einer automatischen Anreicherung bewerten erfahrene Analysten den Alarm, filtern Fehlalarme (sogenannte False Positives), qualifizieren Kritikalität und Dringlichkeit und erstellen einen umfassenden Problembericht für den Kunden. Dieser Bericht enthält Informationen über die konkreten Beobachtungen und betroffenen Systeme, sowie empfohlene Massnahmen zur weiteren Untersuchung und schliesslich zur Behebung des Problems.

Zusammenarbeit und partnerschaftliches Verhalten ist uns über den gesamten Prozess hinweg wichtig. Vor diesem Hintergrund arbeiten unsere Analysten und Kundenmitarbeiter gemeinsam an Alarmen bis alle Infektionen tatsächlich behoben sind. Und für Fälle, in denen ein Kundenteam weitere Unterstützung benötigt, sind unsere Incident Response Experten zur Stelle.

Vom Incident Response Werkzeug zum Managed Security Service

Vom Incident Response Werkzeug zum Managed Security Service

TDH entstand 2017 aus zahlreichen APT-orientierten Incident Response-Einsätzen. In allen Fällen wurde die Notwendigkeit einer angemessenen Netzwerk-Visibilität deutlich, um einen der Kernaspekte fortgeschrittener Angriffe zu erkennen: das sogenannte Lateral Movement zwischen infizierten Systemen.

Folglich entwickelten wir einen Netzwerksensor – basierend auf der weithin bekannten und etablierten Open-Source-Software Suricata – und ergänzten passende Detektionsmuster, wie z.B. Indikatoren und spezifische Suricata-Regeln. Dieses Werkzeug ermöglichte es unserem IR-Team, effizienter zu arbeiten und gleichzeitig genügend Flexibilität zu behalten, das System auf eine bestimmte Kundenumgebung anzupassen. Da unsere Kunden sowohl zögerten, die Sensoren nach den Einsätzen zu entfernen, als auch dankbar für die Unterstützung bei der Behebung waren, entschieden wir uns, die Werkzeuge zu verbessern und einen Managed Security Service zu etablieren.

Deutsche Cyber-Sicherheitsorganisation GmbH

EUREF-Campus 22, 10829 Berlin, Germany

Nehmen Sie Kontakt zu einem Experten unseres
TDH-Service auf. Wir beantworten Ihnen Ihre Fragen und beraten Sie, konkret auf Ihre Bedürfnisse zugeschnitten.

+49 (30) 726219-0

info@dcso.de