caplon service und security monitoring

Integrierte Service & Security Monitoring-Lösung für komplexe Netzwerk-Infrastrukturen

caplon© Service & Security Monitoring liefert einen umfassenden Überblick über die im Netzwerk ablaufenden Vorgänge. Im Ergebnis stehen dem technischen Betriebspersonal, IT-Security-Experten und dem Management individuelle, selektive Sichten auf die Unternehmensnetze zur Verfügung, die es ermöglichen, Risiken durch Cyber-Bedrohungen und Kosten durch technische Störungen zu reduzieren.

      Erhöhung der Netzwerkresistenz durch permanenten Schwachstellenscan

      • Aufdeckung von gängigen Einfallstoren und Policy-Verstöße am Perimeter
      • Aufdecken von OT/IT-Sicherheitslücken und Systemschwachstellen in Echtzeit
      • Prüfung auf vorgegebene Compliance-Regeln und ständig aktualisierte Anzeige der Ergebnisse in einem Event-Monitor
      • Darstellung der Analyseergebnisse in übersichtlichen Reports
      • Keine zusätzliche Netzwerklast durch rein passive Analysen

       

       

      Überprüfung des Netzwerkverkehrs auf Anomalien zur frühzeitigen Angriffserkennung

      • Erkennung von Anomalien (z.B. bei einem Angriff) auf Basis von gesammelten Kommunikationsmerkmalen im Netzwerkverkehr mit geringer False-Positive Rate
      • Höherer Schutz insbesondere gegen unbekannte Angriffsformen
      • Steigende Analysequalität durch selbstlernende Anomalie-Erkennung (Machine Learning Algorithmen)
      • Übersichtliche Darstellung der Anomalie-Überwachung in einem Echtzeit-Monitor

       

      Erkennung von verdeckter Steuerungskommunikation und APTs

      • Erkennung von versteckten Kanälen zur Steuerung der Malware und zur Datenexfiltration
      • Detektion von Infektionsversuchen durch Verbindungsübernahmen (Manipulation Routing-Protokolle, Quantum Insert, etc.)
      • Detektion von virtuellen Tunneln (Tor, VPN, etc.)
      • Untersuchung auf generische Muster ---> Aufdeckung von bisher unbekannten Angriffen (signaturbasierte Verfahren setzen voraus, dass entsprechender Angriffstyp bereits vorher analysiert wurde)

       

       

      Warum security monitoring?

      • IDS-Systeme und Next-Generation Firewalls suchen nach Signaturen. Dies setzt voraus, dass ein Angriffstyp bekannt ist und vorher analysiert wurde. Sie helfen nicht bei Zero-Day Exploits.
      • Firewalls blocken unzulässige Zugriffe am Perimeter. Fortgeschrittene Angreifer können Firewalls meist überwinden. Schadsoftware kann aber auch via Social Engineering & Phising oder über infiltrierte Webseiten in Unternehmen gelangen. Im Schnitt dauert es über 200 Tage bis Unternehmen erstmals feststellen, dass sie angegriffen wurden.
      • Es macht daher Sinn, nachzuschauen, was im eigenen Netz passiert.
        ---> Das BSI empfiehlt  für Produktionsnetzwerke (BSI-CS 134) die Einführung von Monitoring und Anomalieerkennung.

      Verhaltensanalysen und Anomalieerkennung

      Angreifer hinterlassen Spuren:

      • Verdächtiger Netzwerkverkehr zu Command-and-Control- Servern bzw. generell noch nie aufgetretene Kommunikationsbeziehungen
      • Unnormales Benutzerverhalten, z.B. Log-in zu unüblichen Zeiten
      • Seltsames Verhalten von Systemen und burstartige Ereignisse
      • Ungewöhnliche hohe Last auf Systemen / hohe Anzahl von Abfragen
      • Modifizierte Payload in Standard-Protokollen

      Diese Verhaltensweisen können bereits mit caplon© service monitoring wirkungsvoll überwacht werden.

      Service Monitoring zur Umsetzung empfohlener Maßnahmen vom NIST

      Im Kontext von IT-Security können mit caplon© service monitoring essentielle Maßnahmen umgesetzt werden:

      • Asset-Exploration, Erkennung von Schatten-IT
      • Analyse und Überwachung von Kommunikationsbeziehungen
      • Analyse und Überwachung des Verhaltens von Systemen (Protokolle, Datenvolumen, Fehler- Codes, …)
      • Analyse und Überwachung von WAN-Strecken und der Internetzugänge
      • Analyse burstartiger Events

       

       

       

      Warum service UND security monitoring?

      Durch die Kombination von technischer Sicht und Security- Sicht können IT-Teams Security-Alarme besser beurteilen:

      • Abgrenzung von Cyber-Attacke und technischer Störung
      • Verhalten der Systeme (Protokolle, Datenvolumen, Fehler-Codes, …) in der Vergangenheit und zum Zeitpunkt eines Alarms
      • Kommunikationsbeziehungen von betroffenen Systemen
      • Anlassbezogene Einsicht in Netzwerkpakete
      • Effiziente Durchführung forensischer Analysen

      caplon© security monitoring ergänzt das caplon© service monitoring mit einer passiven Schwachstellenanalyse, Erweiterung der Verhaltensanalysen und APT-Detection.

       

      .