caplon service und security monitoring
Integrierte Service & Security Monitoring-Lösung für komplexe Netzwerk-Infrastrukturen
caplon© Service & Security Monitoring liefert einen umfassenden Überblick über die im Netzwerk ablaufenden Vorgänge. Im Ergebnis stehen dem technischen Betriebspersonal, IT-Security-Experten und dem Management individuelle, selektive Sichten auf die Unternehmensnetze zur Verfügung, die es ermöglichen, Risiken durch Cyber-Bedrohungen und Kosten durch technische Störungen zu reduzieren.

Erhöhung der Netzwerkresistenz durch permanenten Schwachstellenscan
- Aufdeckung von gängigen Einfallstoren und Policy-Verstöße am Perimeter
- Aufdecken von OT/IT-Sicherheitslücken und Systemschwachstellen in Echtzeit
- Prüfung auf vorgegebene Compliance-Regeln und ständig aktualisierte Anzeige der Ergebnisse in einem Event-Monitor
- Darstellung der Analyseergebnisse in übersichtlichen Reports
- Keine zusätzliche Netzwerklast durch rein passive Analysen

Überprüfung des Netzwerkverkehrs auf Anomalien zur frühzeitigen Angriffserkennung
- Erkennung von Anomalien (z.B. bei einem Angriff) auf Basis von gesammelten Kommunikationsmerkmalen im Netzwerkverkehr mit geringer False-Positive Rate
- Höherer Schutz insbesondere gegen unbekannte Angriffsformen
- Steigende Analysequalität durch selbstlernende Anomalie-Erkennung (Machine Learning Algorithmen)
- Übersichtliche Darstellung der Anomalie-Überwachung in einem Echtzeit-Monitor

Erkennung von verdeckter Steuerungskommunikation und APTs
- Erkennung von versteckten Kanälen zur Steuerung der Malware und zur Datenexfiltration
- Detektion von Infektionsversuchen durch Verbindungsübernahmen (Manipulation Routing-Protokolle, Quantum Insert, etc.)
- Detektion von virtuellen Tunneln (Tor, VPN, etc.)
- Untersuchung auf generische Muster ---> Aufdeckung von bisher unbekannten Angriffen (signaturbasierte Verfahren setzen voraus, dass entsprechender Angriffstyp bereits vorher analysiert wurde)

Warum security monitoring?
- IDS-Systeme und Next-Generation Firewalls suchen nach Signaturen. Dies setzt voraus, dass ein Angriffstyp bekannt ist und vorher analysiert wurde. Sie helfen nicht bei Zero-Day Exploits.
- Firewalls blocken unzulässige Zugriffe am Perimeter. Fortgeschrittene Angreifer können Firewalls meist überwinden. Schadsoftware kann aber auch via Social Engineering & Phising oder über infiltrierte Webseiten in Unternehmen gelangen. Im Schnitt dauert es über 200 Tage bis Unternehmen erstmals feststellen, dass sie angegriffen wurden.
- Es macht daher Sinn, nachzuschauen, was im eigenen Netz passiert.
---> Das BSI empfiehlt für Produktionsnetzwerke (BSI-CS 134) die Einführung von Monitoring und Anomalieerkennung.

Verhaltensanalysen und Anomalieerkennung
Angreifer hinterlassen Spuren:
- Verdächtiger Netzwerkverkehr zu Command-and-Control- Servern bzw. generell noch nie aufgetretene Kommunikationsbeziehungen
- Unnormales Benutzerverhalten, z.B. Log-in zu unüblichen Zeiten
- Seltsames Verhalten von Systemen und burstartige Ereignisse
- Ungewöhnliche hohe Last auf Systemen / hohe Anzahl von Abfragen
- Modifizierte Payload in Standard-Protokollen
Diese Verhaltensweisen können bereits mit caplon© service monitoring wirkungsvoll überwacht werden.

Service Monitoring zur Umsetzung empfohlener Maßnahmen vom NIST
Im Kontext von IT-Security können mit caplon© service monitoring essentielle Maßnahmen umgesetzt werden:
- Asset-Exploration, Erkennung von Schatten-IT
- Analyse und Überwachung von Kommunikationsbeziehungen
- Analyse und Überwachung des Verhaltens von Systemen (Protokolle, Datenvolumen, Fehler- Codes, …)
- Analyse und Überwachung von WAN-Strecken und der Internetzugänge
- Analyse burstartiger Events

Warum service UND security monitoring?
Durch die Kombination von technischer Sicht und Security- Sicht können IT-Teams Security-Alarme besser beurteilen:
- Abgrenzung von Cyber-Attacke und technischer Störung
- Verhalten der Systeme (Protokolle, Datenvolumen, Fehler-Codes, …) in der Vergangenheit und zum Zeitpunkt eines Alarms
- Kommunikationsbeziehungen von betroffenen Systemen
- Anlassbezogene Einsicht in Netzwerkpakete
- Effiziente Durchführung forensischer Analysen
caplon© security monitoring ergänzt das caplon© service monitoring mit einer passiven Schwachstellenanalyse, Erweiterung der Verhaltensanalysen und APT-Detection.
.