Cisco und Sourcefire: Eingrenzen des Schadens nach einem Angriff

Die Bedeutung von Retrospective Security

Oliver Friedrichs über die Bedeutung von Retrospektive Security.

Die Bedeutung von Retrospective Security

Cisco und Sourcefire – ein starkes Team

Früher oder später wird ein Angriff erfolgreich sein. In diesem Fall müssen Sie das Ausmaß des bereits verursachten Schadens bestimmen, den Schaden eingrenzen und schnell beheben.

Angreifer unterscheiden nicht – sie nutzen konsequent jedes schwache Glied in einer Kette, um erfolgreich zu sein, und setzen alles daran, unentdeckt zu bleiben. Sie verwenden Technologien und Methoden, die fast nicht wahrnehmbare Hinweise auf Angriffe (Indicators of Compromise, IOCs) hinterlassen. So dringen sie in das erweiterte Netzwerk ein, wo sie nur schwer aufzufinden und noch schwerer zu beseitigen sind.

Auf diese Weise sind Angriffe immer wieder erfolgreich. So wiesen 100 Prozent der im Cisco Annual Security Report 2014 analysierten Unternehmen Datenverkehr zu Domänen auf, die als Malware-Host bekannt sind.

Die Antwort auf schwierige Fragen finden

Jedes Unternehmen benötigt einen formalen Plan, um im Angriffsfall effektiv reagieren zu können.

Dabei müssen Sie auf folgende Fragen eingehen:

  • Welche Methode und welcher Angriffspunkt wurden genutzt?
  • Welche Systeme waren betroffen?
  • Was genau hat die Schadsoftware getan?
  • Kann ich die Ursache (Root Cause) aufspüren, entfernen und ein Wiederaufflammen verhindern?
  • Wie kann der Schaden behoben werden?
  • Wie kann der Angriff in Zukunft abgewehrt werden?

Retrospective Security

Im Wesentlichen bedeutet Retrospektive Security eine Zeitreise in die Vergangenheit mit Tools, die zu folgenden Maßnahmen dienen:

  • Identifizieren des „Indexpatienten“, d. h. des vom Angriff zuerst betroffenen Systems
  • Bestimmen des Ausmaßes des Angriffs, d. h. wo im Unternehmen die Malware Schaden angerichtet hat
  • Eingrenzen des Ereignisses und Erfassen aller betroffenen Systeme
  • Schnelles Beheben mit Schwerpunkt auf Ereignissen und Systemen mit hoher Priorität
  • Verhindern einer erneuten Infektion durch Ermitteln der Ursachen

Kompromittierungen, die bisher u. U. wochen- oder monatelang unentdeckt blieben, können jetzt schnell erkannt, untersucht und behoben werden.

Schaden begrenzen und beheben

Lösungen wie Sourcefire Advanced Malware Protection (AMP) bieten Sicherheitsexperten während eines Angriffs eine schnelle und effektive Möglichkeit, das Ausmaß zu bestimmen, den Angriff einzugrenzen und den Schaden möglichst gering zu halten.

Sie erhalten eine Infrastruktur, mit der Daten laufend erfasst und analysiert werden, um Sicherheitsinformationen zu generieren. Mit Sourcefire-Technologie können Sie mithilfe von Automatisierung Hinweise auf Angriffe identifizieren sowie selbst hochentwickelte Malware erkennen, die ihr Verhalten ändern kann, um unentdeckt zu bleiben, und dann die entsprechenden Maßnahmen ergreifen.

Perimeterbasierte Sicherheitsvorkehrungen sind zur Abwehr der komplexen Angriffe von heute nicht mehr ausreichend. Sourcefire und Cisco bieten daher ein umfassendes Portfolio aus Cybersecurity-Lösungen, die auf die komplexen Bedrohungen von heute zugeschnitten sind. Unsere Technologien ergänzen sich gegenseitig und bieten umfassenden Schutz für das gesamte Angriffs-Kontinuum – vor, während und nach einer Attacke.

Weitere Informationen