1. Blog
  2. Solutions
  3. SecureRespond Rapid Endpoint Quarantine

SecureRespond Rapid Endpoint Quarantine

Das Problem

24h

oder mehr ist die Reaktionszeit bei 50% der erkannten Security Incidents.

68%

der Security Incidents sind auf Malware zurückzuführen.

87%

der Unternehmen mussten im letzten Jahr auf mindestens einen Vorfall reagieren.

Quellen: The 2017 SANS Incident Response https://www.sans.org/reading-room/whitepapers/incident/show-on-2017-incident-response-survey-37815;

Das Erkennen von Angriffen ist eine Sache, die Reaktion darauf eine andere. Viele Unternehmen sehen sich mit der Situation konfrontiert, dass sie zwar Maßnahmen ergriffen haben, um Sicherheitsvorfälle zu erkennen, jedoch nicht die personellen Ressourcen zur Verfügung haben, um in angemessener Zeit auf entsprechende Alarme zu reagieren und Maßnahmen zur Eindämmung des Vorfalls einzuleiten. Beispielsweise kann dies bei einem Befall durch Ransomware dazu führen, dass diese sich ungehindert weiter verbreiten kann und große Datenmengen verloren gehen, obwohl der Befall durch entsprechende Sensorik eigentlich erkannt wurde.

Die Lösung

Unser Service Rapid Endpoint Quarantine ist eine Erweiterung unseres SecureDetect SIEM – Security Analysis Service. Wird durch diesen ein Sicherheitsvorfall erkannt, übernehmen wir für vordefinierte Erkennungsszenarien die Erstmaßnahmen und Quarantänisieren das betroffene System, um die Auswirkungen des Vorfalls so gering wie möglich zu halten und Ihr Unternehmen vor Schaden zu bewahren.

Leistungsumfang

  • Quarantänisierung von betroffenen Endpoints
  • Benachrichtigung des Auftraggebers über durchgeführte Quaratänisierungen

Das Problem

Die Erkennung im Netzwerk wurde in der Vergangenheit entweder anhand von Signaturen oder Reputationslisten durchgeführt. Beide Technologien haben einige gravierende Einschränkungen.

  • Signaturen sind reaktive Erkennung von Angriffen, die bereits an anderer Stelle beobachtet wurden
  • Die Erkennung der Signatur kann vom Angreifer leicht überprüft und umgangen werden
  •  Reputationslisten sind reaktives Erkennen und verursachen im Allgemeinen viele falsche und negative Ergebnisse.

Die Lösung

Die NTA – Network Traffic Analysis-Technologie führt einen neuen Ansatz zur Erkennung von Bedrohungen ein, der nicht von Signaturen oder Reputationslisten abhängig ist.

Anstatt zu versuchen, einen eindeutigen Fingerabdruck für jede einzelne Bedrohung zu erstellen, suchen diese Plattformen nach den grundlegenden Aktionen und Verhaltensweisen, die Bedrohungen ausführen müssen, um erfolgreich zu sein.

Die NTA-Technologie erkennt infizierte Hosts und kategorisiert das Risiko, indem sie den Netzwerkverkehr auswertet, mit Zusatzinformationen anreichert und dabei maschinelles Lernen und Verhaltensanalysen anwendet.

Wenn Sie sich einen Satz als Analogie vorstellen: Der Signatur-Ansatz versucht, jedem Subjekt einen eigenen Namen zu geben, während NTA sich auf das Verb konzentriert. Während sich die Namen ändern können, bleibt die bösartige Aktion gleich.

Vorteile

  • keine Installation auf dem Endpoint notwendig
  • Echtzeit-Erkennung für Cloud und Rechenzentren, Server, Laptops, Drucker, BYOD und IoT, indem Metadaten aus Paketen extrahiert und analysiert werden
  • Ermöglicht die Erkennung von Bedrohungen, die sonst keine Ereignisse generieren, die zur Erkennung von Bedrohungen verwendet werden können
  • Die Erkennung von Sicherheitsverletzungen auf Plattformen, für die keine Endpunkterkennung bereitgestellt werden kann

Die richtige Antwort finden

Bedrohungen beantworten wir mit Expertenwissen, hochkarätigen Tools und effizienten Prozessen. Ihre Fragen beantworten wir mit Sorgfalt und Engagement. Probieren Sie es gleich aus und lassen Sie uns wissen, welche SecureRespond Services Ihr Interesse geweckt haben!

 

Treten Sie mit uns in Kontakt!

Share