:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheitsbedrohungen in Netzwerken und Systemen finden Die 8 besten Threat Hunting-Tools 2023
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Die aktuelle, weltweite Sicherheitslage macht schnell klar, dass es bei kleinen, mittleren und großen Unternehmen nicht darum geht, ob eine Cyberattacke erfolgt, sondern wann das geschieht. Mit den richtigen Tools lassen sich Netzwerke schützen. Wir zeigen in diesem Beitrag 8 wichtige Thread Hunting-Tools.
Um größere Auswirkungen von Cyberattacken zu verhindern, sollten Unternehmen proaktiv dafür sorgen mit den richtigen Tools Angriffe aufzuspüren, bevor diese zu einem größeren Problem werden. Thread-Hunting-Tools helfen dabei. Der Begriff "Thread Hunting Tools" ist nicht standardmäßig definiert, aber er wird meistens Kontext von Software und IT-Sicherheit verwendet.
:quality(80)/p7i.vogel.de/wcms/c9/53/c9535ccc0dd0693e071b780f302b8c8f/0114780540.jpeg "CrowdSec ermöglicht die Anbindung verschiedener Endgeräte, die Sicherheitsinformationen teilen und gemeinsam Angriffe abwehren.")
:quality(80)/p7i.vogel.de/wcms/e6/e1/e6e191875f0bf1fe76bcb98f3bea84c4/0114780539.jpeg "CrowdSec ist auf OPNsense, aber auch an anderer Stelle ein wichtiger Faktor für mehr Sicherheit im Netzwerk und beim Threat-Hunting.")
:quality(80)/p7i.vogel.de/wcms/2c/18/2c18cd709795250f73b71d0d831cb724/0114780543.jpeg "Zeek ermöglicht das Monitoring von Netzwerken im Threat-Hunting-Bereich.")
:quality(80)/p7i.vogel.de/wcms/a4/08/a4089fe423958b943fe6f9ce297b804c/0114780536.jpeg "Google Rapid Response für Threat-Hunting nutzen.")
Threat Hunting-Tools ergänzen vorhandene Sicherheits-Infrastrukturen
Threat Hunting Tools sind spezielle Softwarelösungen, die darauf ausgerichtet sind, proaktiv nach Sicherheitsbedrohungen in Netzwerken oder Systemen zu suchen. Im Unterschied zu traditionellen Sicherheitsmechanismen wie Antivirus-Programmen oder Intrusion-Detection-Systemen, die in der Regel reaktiv auf bekannte Bedrohungen reagieren, ermöglichen diese Tools den Sicherheitsanalysten, aktiv auf die Suche nach Anomalien oder Hinweisen zu gehen, die auf eine mögliche Kompromittierung hindeuten könnten.
Zu den Funktionen dieser Tools gehören oft die Datenaggregation und -analyse, bei der Log-Daten, Netzwerkverkehrsdaten und andere relevante Informationen aus verschiedenen Quellen gesammelt und ausgewertet werden. Dadurch können Analysten Muster und Auffälligkeiten erkennen, die sonst leicht übersehen werden könnten. In vielen Fällen kommen dabei auch KI-Technologien zum Einsatz.
CrowdStrike - Threat Hunting auch für Microsoft-Netzwerke
CrowdStrike kommt oft auch als Threat Hunting-Lösung in Microsoft-Netzwerken zum Einsatz, kann aber auch in allen anderen Netzwerken zum Einsatz kommen. Die Lösung ist vor allem für Threats optimiert, die von anderen Systemen nicht ohne weiteres erkannt werden. Wer an CrowdStrike interessiert ist, kann das Tool bis zu 15 Tage kostenlos testen. Durch die KI-Komponente kann CrowdStrike zehntausende Endpunkte und Millionen von Sensoren überwachen. Erkennt das System Angriffe oder verdächtiges Verhalten, kann es aktiv werden, lange bevor herkömmliche Lösungen die Angriffe erkennen. CrowdStrike kann darüber hinaus für lokale Rechenzentren, als auch für Cloud-Lösungen genutzt werden.
Durch den Einsatz einer Cloud-basierten Architektur ermöglicht CrowdStrike in Echtzeit auf eine Vielzahl von Endpunkten zuzugreifen und diese zu analysieren. Die Falcon-Plattform von CrowdStrike nutzt künstliche Intelligenz und Verhaltensanalysen, um Anomalien und potenzielle Sicherheitsbedrohungen schnell zu erkennen. Sie integriert auch eine Vielzahl von Datenquellen, einschließlich aber nicht beschränkt auf Netzwerkverkehr, System-Logs und Anwendungsaktivitäten, um eine umfassende Sicht auf die Sicherheitslage zu bieten. Diese Daten können dann in einer intuitiven Benutzeroberfläche analysiert werden, die speziell für die Bedürfnisse des Threat Huntings konzipiert ist. Darüber hinaus bietet CrowdStrike auch die Möglichkeit, benutzerdefinierte Indikatoren für Kompromittierungen (Indicators of Compromise, IoCs) zu erstellen und zu verwenden, was das proaktive Aufspüren von neuen und aufkommenden Bedrohungen erleichtert.
Jit.io die DevSecOps Orchestration Platform
Bei Jit.io handelt es sich um eine DevSecOps Orchestration Platform. Im Fokus von Jit.io steht zwar nicht primär das Threat-Hunting, allerdings erkennt die Lösung Schwachstellen in Quellcode, der sich sehr schnell zu einem Threat entwickeln kann. In Umgebungen, die selbst Lösungen entwickeln kann Jit.io von Anfang an dabei helfen die Sicherheitsfunktionen direkt in der Lösung zu implementieren. Auch hier ist es möglich lokal oder in der Cloud Angriffe zu verhindern, bevor diese zu einer Gefahr werden können.
CybeReady - Das menschliche Element beim Threat Hunting
CybeReady ergänzt das Threat Hunting durch das menschliche Element. Derzeit sind vor allem Anwender im Fokus von Cyberangriffen. Dazu versuchen Kriminelle mit Phishing und Spear-Phishing direkt an die Zugangsdaten von Benutzern zu kommen. CybeReady ergänzt das Threat Hunting um Phishing-Simulationen, mit denen Verantwortliche im Unternehmen die Anwender auf Angriffe vorbereiten können. Die Abläufe dabei lassen sich vollkommen automatisieren.
CheckPoint Spectral schützt die Infrastuktur
Mit Spectral von Check Point lassen sich blinde Flecken im Bereich der Security bei Netzwerken identifizieren und schützen. hilft Ihnen, die gefährdeten und risikoreichen Teile Ihrer Infrastruktur zu schützen. Im Fokus der Lösung stehen Cloudbasierte Umgebungen. Die Software agiert im Hintergrund und überwacht eigenen Programm-Code und die vorhandene Infrastruktur zum Beispiel auf exponierte API-Schlüssel, Token, Anmeldeinformationen und risikoreiche Sicherheitsfehlkonfigurationen. Das alles geschieht ohne aufzufallen im Hintergrund, sodass die Lösung nicht selbst im Fokus von Angreifern ist.
Skyhawk alarmiert SOC-Teams
Skyhawk hat die Aufgabe Infrastrukturen auf sicherheitsrelevante Ereignisse zu überwachen und Security Operation-Teams (SOC) zu informieren. Dabei achtet das Tool darauf möglichst keine Fehlalarme zu erzeugen, sondern analysiert Ereignisse und Verläufe zunächst. Die Warnung erfolgt im Anschluss auf Basis eines Risikowertes. Erreicht eine bestimmte Komponente in der Infrastruktur einen vorgegebenen Schwellwert, verschickt Skyhawk einen Alarm. Das spart Zeit und vermeidet False-Positives.
CrowdSec: Aus Angriffen lernen und in der Gemeinschaft bekämpfen
CrowdSec lässt sich generell kostenlos verwenden und kann komplette Umgebungen vor Cyberattacken schützen, indem die CrowdSec-Community Angriffe untereinander teilt. Erkennt zum Beispiel eine Firewall mit integrierter CrowdSec-Funktion einen Angriff und blockiert diesen, lädt sie den Vorfall und alle damit verbundenen Informationen zu CrowdSec hoch, sodass andere Teilnehmer der Community die gleiche Attacke noch einfacher abwehren können. CrowdSec kann dazu eine wichtige Basis für die Sicherheit in Unternehmen darstellen und steht zum Beispiel auch kostenlos als Erweiterung für die Open Source-Firewall OPNsense zur Verfügung.
Zusammen mit OPNsense und CrowdSec lassen dich daher kostenlos extrem umfangreiche Sicherheitsmaßnahmen umsetzen. Wir haben uns mit dem Thema in mehreren Beträgen befasst:
Diese Texte sind im Bereich Threat-Hunting ebenfalls sinnvoll, da sie dafür sorgen, dass Cyberattacken auf das Netzwerk bereits im Vorfeld blockiert werden und Admins Informationen erhalten, wenn Cyberkriminelle versuchen von außen in das Netzwerk einzudringen. Hier ist CrowdSec ein wichtiger Faktor.
Zeek - Open Source Network Security Monitoring Tool
Mit Zeek lassen sich auf Basis von Open Source Netzwerke auf Sicherheitsangriffe hin überwachen. Zeek ist ein vielseitiges Netzwerksicherheitsüberwachungs-Tool, das weit über die Standardfunktionen eines Intrusion Detection Systems (IDS) hinausgeht. Es bietet eine leistungsstarke und flexible Plattform für Echtzeit-Analysen von Netzwerkverkehr, und seine Skriptsprache ermöglicht es Admins, benutzerdefinierte Analysen und Detektionslogiken zu entwickeln.
Zeek ist besonders für seine detaillierten Protokolle bekannt, die eine breite Palette von Netzwerkprotokollen und -aktivitäten abdecken, von HTTP und DNS bis hin zu SMB und SSH. Diese Protokolle können in Echtzeit generiert werden und bieten eine Informationsquelle für Threat Hunting und Incident Response. Die aktive Community und die Fülle von Plugins und Skripten, die für Zeek verfügbar sind, machen es zu einem wertvollen Bestandteil jeder modernen Sicherheitsinfrastruktur. Zeek kann auch PCAP-Dateien auswerten, die zum Beispiel auch WireShark erstellen kann.
GRR - Google Rapid Response
Google Rapid Response (GRR) ist ein Open-Source-Framework auf Basis von Python für digitale Forensik und Vorfallsreaktion. Das Framework ermöglicht remote auf Clients zuzugreifen, um forensische Daten zu sammeln und detaillierte Analysen durchzuführen. GRR ist auch für große Unternehmensnetzwerke sinnvoll, da die Lösung sehr skalierbar ist und eine automatisierte Erfassung von zahlreichen Systemen ermöglicht. Zu den Funktionen gehören die Möglichkeit Speicherabbilder zu erstellen, Dateisysteme zu durchsuchen und individuelle Dateien für die weitere Analyse zu extrahieren. Die Benutzeroberfläche und die API-Funktionen machen es zu einem leistungsstarken Tool für professionelle Threat Hunter und Incident Responder. Durch die Integration von GRR in andere Lösungen können Analysten auf Bedrohungen reagieren und diese neutralisieren.
(ID:49757440)
:quality(80)/p7i.vogel.de/wcms/65/17/6517da9b13b4e23d4aaa612dd9e37a63/0115033635.jpeg "Incident Response Tools sollen Unternehmen dabei helfen, Erkennung, Analyse, Verwaltung und Reaktion auf einen Cyberangriff schnell durchzuführen. Sie tragen so dazu bei, den Schaden zu verringern und eine Wiederherstellung so schnell wie möglich zu erreichen. (Bild: Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/ce/8bce226e31fd236f37d98b8637f77dc9/0115099554.jpeg "Das Community Intrusion Prevention System CrowdSec schützt PCs und Server kostenlos vor Angriffen. (Bild: putilov_denis - stock.adobe.com)")