Willkommen im Vectra-Blog

Anfang dieses Monats wurde der Gartner Market Guide for Intrusion Detection and Prevention Systems veröffentlicht, der die Marktdefinition und die Richtung der Anforderungen beschreibt, nach denen Käufer bei ihrer IDPS-Lösung suchen sollten, sowie die wichtigsten Anwendungsfälle, die IDPS heute antreiben.

In einem früheren Blog haben wir über die Bedeutung von Sicherheitsanreicherungen in Ihren Netzwerk-Metadaten gesprochen. Diese dienen als Grundlage für Bedrohungsjäger und Analysten, um Hypothesen während eines Ermittlungsprozesses zu testen und abzufragen.

Es gibt mehrere Phasen eines aktiven Cyberangriffs und jede ist ein gefährliches Glied in einer komplexen Kill-Chain, die Kriminellen die Möglichkeit gibt, kritische Informationen in nativen und hybriden cloud Workloads und Benutzer- und IoT-Geräten auszuspähen, zu verbreiten und zu stehlen.

Da die Umgestaltung des Gesundheitswesens durch neue medizinische Technologien immer weiter voranschreitet, müssen Organisationen des Gesundheitswesens stets darauf achten, welche Technologien vorhanden sind, wie sie genutzt werden und wann unzulässige Handlungen erfolgen.

Heute freue ich mich, Ihnen mitteilen zu können, dass Vectra eine Serie-E-Finanzierungsrunde in Höhe von 100 Millionen US-Dollar abgeschlossen hat, die von TCV, einer der größten Kapitalbeteiligungsgesellschaften, die private und öffentliche Technologieunternehmen unterstützen, geleitet wird.

Vectra Kunden und Sicherheitsforscher reagieren auf einige der folgenreichsten Bedrohungen der Welt. Und sie sagen uns, dass es eine Reihe von Fragen gibt, die sie beantworten müssen, wenn sie ein bestimmtes Angriffsszenario untersuchen. Ausgehend von einer Warnung von Cognito Detect, einem anderen Sicherheitstool oder ihrer Intuition stellen die Analysten eine Hypothese auf, was vor sich geht.

In einem früheren Blog haben wir über die Vorteile von Zeek-formatierten Metadaten geschrieben. In diesem Blog geht es darum, warum unsere Kunden uns als Unternehmenslösung zur Unterstützung ihrer Zeek-Implementierungen wählen.d

Obwohl NDR und EDR hier eine Perspektive bieten können, ist NDR wichtiger, weil es eine Perspektive bietet, die EDR nicht bieten kann. So können beispielsweise Exploits, die auf der BIOS-Ebene eines Geräts operieren, EDR unterlaufen.

Das Sammeln und Speichern von Netzwerk-Metadaten stellt ein Gleichgewicht dar, das für Data Lakes und SIEMs genau richtig ist. Metadaten ermöglichen es den Sicherheitsteams, Abfragen zu erstellen, die die Daten abfragen und zu tieferen Untersuchungen führen.

Wenn Sie darüber nachdenken, wie Sie Ihre Sicherheitsteams für die Erkennung von Seitwärtsbewegungen ausstatten können, empfehlen wir Ihnen, die Effizienz Ihrer Prozesse und Tools zur Erkennung und schnellen Reaktion auf die 5 häufigsten Seitwärtsbewegungen, die wir häufig beobachten, zu bewerten.

Es gibt eine neue Art von SIEM-loser Sicherheitsarchitektur, die es Unternehmen ermöglicht, intelligente Menschen mit allgemeiner IT-Erfahrung zur nächsten Generation von Sicherheitsanalysten zu machen.

Stellen Sie sich vor, Sie hätten ein Sicherheitswerkzeug, das so denkt, wie Sie es ihm beibringen, und das handelt, wann und wie Sie es trainiert haben. Sie müssen Ihre Arbeitsgewohnheiten nicht mehr an allgemeine, von Dritten aufgestellte Regeln anpassen und sich fragen, wie Sie Sicherheitslücken schließen können, von denen Sie in den Regeln nichts erfahren haben.

Die Vereinigten Staaten waren noch nie von einem lähmenden Cyberangriff auf kritische Infrastrukturen betroffen, wie er 2015 die Ukraine ins Abseits gestellt hat. Dieser Angriff legte das ukrainische Stromnetz lahm und ließ mehr als 700.000 Menschen im Dunkeln sitzen.

Microsoft stellte das Azure Virtual Network TAP vor, und Vectra kündigte seinen First-Mover-Vorteil als Entwicklungspartner und die Demonstration seiner Cognito-Plattform an, die in hybriden Azure-Umgebungen arbeitet cloud .

Vor kurzem hat Vectra die Black-Hat-Ausgabe 2018 des Attacker Behavior Industry Report veröffentlicht, die den Zeitraum von Januar bis Juni 2018 abdeckt. Es gibt zwar viele Berichte zur Bedrohungsforschung, aber dieser Bericht bietet einzigartige Einblicke in das reale Verhalten von Cyberangreifern in cloud, Rechenzentren und Unternehmensnetzwerken.

Trotz der jüngsten explosionsartigen Zunahme der Forschung im Bereich des maschinellen Lernens und der künstlichen Intelligenz (KI) gibt es keine einzige Methode oder keinen einzigen Algorithmus, der in allen Fällen am besten funktioniert. Tatsächlich wurde dieser Gedanke formalisiert und mathematisch in einem Ergebnis dargestellt, das als No Free Lunch Theorem bekannt ist (Wolpert und Macready 1997).

Vor kurzem haben wir eine alarmierende Entdeckung gemacht: Hacker nutzen versteckte Tunnel, um in Finanzdienstleister einzubrechen und sie zu bestehlen! Das ist natürlich eine ernste Angelegenheit, wenn es die Bösewichte auf große Geldbeträge und private Informationen abgesehen haben. Aber womit genau haben wir es zu tun? Gehen wir der Frage nach, was versteckte Tunnel sind und wie ich sie finde, um die Antwort zu finden.

Deep Learning bezieht sich auf eine Familie von Algorithmen für maschinelles Lernen, die für überwachtes, unbeaufsichtigtes und verstärkendes Lernen verwendet werden können. Diese Algorithmen werden nach vielen Jahren in der Wildnis immer beliebter. Der Name rührt von der Erkenntnis her, dass ein Modell durch Hinzufügen einer zunehmenden Anzahl von Schichten, wie sie typischerweise in einem neuronalen Netz vorkommen, immer komplexere Darstellungen der Daten erlernen kann.

Cybersicherheitsanalysten werden mit Sicherheitsereignissen überhäuft, die triagiert, analysiert, korreliert und priorisiert werden müssen. Wenn Sie ein Analyst sind, verfügen Sie wahrscheinlich über unglaubliche Fähigkeiten, werden aber durch mühsame, manuelle Arbeit behindert.

Es gibt zahlreiche Techniken zur Entwicklung von Algorithmen, die in der Lage sind, mit der Zeit zu lernen und sich anzupassen. Grob gesagt können wir diese Algorithmen in drei Kategorien einteilen: überwachtes, unüberwachtes und verstärkendes Lernen.

"Die ursprüngliche Frage "Können Maschinen denken? halte ich für zu bedeutungslos, um eine Diskussion zu verdienen. Dennoch glaube ich, dass sich am Ende des Jahrhunderts der Wortgebrauch und die allgemeine gebildete Meinung so sehr verändert haben werden, dass man von denkenden Maschinen sprechen kann, ohne zu erwarten, dass man widersprochen wird." - Alan Turing

Können Maschinen denken? Die Frage selbst ist insofern trügerisch einfach, als die menschliche Fähigkeit zur Selbstbeobachtung jedem von uns zutiefst bewusst gemacht hat, was es bedeutet, zu denken.

Während ransomware Angriffe wie NotPetya und WannaCry im Jahr 2017 für Schlagzeilen (und Geld) sorgten, gewann das Kryptowährungs-Mining im Stillen an Stärke, wenn es um opportunistisches Verhalten zur Erzielung von Geldgewinnen geht.

Erfahren Sie mehr über Alan Turings bahnbrechende Beiträge zur maschinellen Intelligenz, die Turing-Maschine und seine Ansichten über die Entwicklung der modernen Computertechnik.

In meinem letzten Blog habe ich über einen Kunden aus dem Finanzsektor berichtet, der Pen-Tests durchführte, und wie ich dem blauen Team half, das rote Team bei der Durchführung eines Angriffs zu entdecken. Heute melde ich mich mit einer weiteren Geschichte aus dem Schützengraben zurück.

Vectra® wurde kürzlich als einziger Visionär im Gartner 2018 Magic Quadrant für Intrusion Detection and Prevention Systems (IDPS) positioniert. Im Laufe der Jahre haben sich Intrusion-Detection-Systeme (IDS) und Intrusion-Prevention-Systeme (IPS) einander angenähert und werden nun gemeinsam als IDPS bezeichnet.

Entdecken Sie eine umfassende Anleitung zu TensorForest in TensorFlow, einschließlich Random-Forest-Methoden, Implementierung und Vergleiche mit Scikit-Learn.

Cisco recently <a href="https://newsroom.cisco.com/press-release-content?type=webcontent&articleId=1854555" target="_blank">announced</a> the term "intent-based networking" in a press release that pushes the idea that networks need to be more intuitive. One element of that intuition is for networks to be more secure without requiring a lot of heavy lifting by local network security professionals.

Erfahren Sie, wie Vectra AI mithilfe von Verhaltensanalysen und kontinuierlicher Überwachung WannaCry ransomware und seine Varianten erkennt und auf sie reagiert.

Ein Angriff von ransomware breitet sich sehr schnell unter ungepatchten Windows-Systemen weltweit aus. Heute Morgen wurde zunächst angenommen, dass der Angriff auf den britischen National Health Service abzielt, aber im Laufe des Tages wurde klar, dass es sich um einen globalen Angriff handelt.

Es scheint, als ob jeden Tag eine neue Variante oder ein neues Opfer von ransomware in den Nachrichten auftaucht. Er ist berichtenswert, weil er so gut funktioniert und weit verbreitete Zerstörung verursacht. Als die jüngste Welle von Berichten über PetrWrap, eine Variante des weithin bekannten Petya ransomware -Stammes, aufkam, war es daher leicht, die Bedeutung zu übersehen. Die "Keine-Ehre-Diebe"-Darstellung verdrängte die wahre Bedeutung.

Die Integration senkt die Kosten und erhöht die Effizienz. Aus diesem Grund ist Vectra von vornherein anpassungsfähig. Bei allem, was wir tun, überlegen wir, wie wir unseren Kunden helfen können, Angriffe effizienter und schneller zu bekämpfen. Manchmal geht es darum, zu entscheiden, wo wir über Vectra hinaus ausgefeilte Bedrohungsdaten bereitstellen können. Die Zusammenarbeit mit Splunk ist ein gutes Beispiel für diese Integration.

Im Jahr 2012 legte Shamoon Saudi Aramco lahm, und diese neue Variante zielte Berichten zufolge auf das saudische Arbeitsministerium sowie auf mehrere Ingenieur- und Fertigungsunternehmen ab. Bei einer kürzlich durchgeführten Analyse stieß Vectra Networks auf eine bösartige Komponente, die offenbar in Verbindung mit per Spear-Mail (phishing) übermittelten bösartigen Dokumenten verwendet wird.

Solange ich mich erinnern kann, haben sich Unternehmen bei der Sicherheit immer auf Prävention und richtlinienbasierte Kontrollen verlassen und Produkte wie Antivirensoftware, IDS/IPS und Firewalls eingesetzt. Aber wie wir heute wissen und wie Forschungsinstitute festgestellt haben, reichen diese nicht aus, um die heutige Bedrohungslage zu bewältigen, die von einer Vielzahl fortschrittlicher und gezielter Angriffe überschwemmt wird.

In der Informationssicherheits-Community (InfoSec) wird die KI gemeinhin als Heilsbringer angesehen - eine Technologieanwendung, die es Unternehmen ermöglicht, Bedrohungen schneller zu erkennen und zu entschärfen, ohne mehr Menschen einsetzen zu müssen. Der Faktor Mensch wird in der Regel als Hemmnis für Unternehmen angesehen, da die erforderlichen Fähigkeiten und Erfahrungen sowohl kostspielig als auch schwer zu beschaffen sind.

Dies ist eine Vorhersage der Gartner-Analystin Avivah Litan in ihrem jüngsten Blogeintrag "The Disappearing UEBA Market". Das hat natürlich unsere Aufmerksamkeit hier bei Vectra erregt. Wir sind kein eigenständiges UEBA-Unternehmen und wollen das auch gar nicht sein. In erster Linie sind wir ein KI-Unternehmen, das Bedrohungsjägern die nötigen Fähigkeiten verleiht. Aber wir finden uns oft in dieser Diskussion mit Leuten wieder, die glauben, dass UEBA allein die Probleme der Welt lösen wird (und vielleicht auch den Kaffee am Morgen kocht).

Unternehmen haben die Strategie, alles zu verschlüsseln. Bei dieser Verschlüsselung bedeuten jedoch Versuche, eine SSL-Entschlüsselung durchzuführen, dass große Mengen an verschlüsselten Daten zu verarbeiten sind.

Vectra Forscher von Threat Labs haben die Aktivitäten einer Gruppe von Personen aufgedeckt, die derzeit gezielte Angriffe auf Einrichtungen im Nahen Osten durchführen. Bei diesen Angriffen geht es um politische Themen im Nahen Osten, und die Motivation scheint eher auf Spionage als auf opportunistische oder kriminelle Absichten ausgerichtet zu sein.

Die Firewall befindet sich am Rande des Netzwerks und wird nur selten konfiguriert oder auf aktive Kompromittierung hin überwacht, so dass sie ein anfälliges Ziel für anhaltende und gezielte Angriffe darstellt.

Security researchers with Vectra Threat Labs recently uncovered a critical vulnerability affecting all versions of <a href="https://www.vectra.ai/news/vectra-networks-discovers-critical-microsoft-windows-vulnerability-that-allows-printer-watering-hole-attacks-to-spread-malware">Microsoft Windows</a> reaching all the way back to Windows 95. The vulnerability allows an attacker to execute code at system level either over a local network or the Internet. As a result, attackers could use this vulnerability both to infect an end-user from the Internet, and then spread through the internal network.

Drucker stellen in der Welt des IoT (Internet der Dinge) einen interessanten Fall dar, da sie im Vergleich zu den meisten IoT-Geräten sehr leistungsstarke Hardware sind, von den meisten Administratoren jedoch nicht als "echter" Computer angesehen werden. In diesem Fall untersuchen wir, wie die besondere Rolle, die Drucker in den meisten Netzwerken spielen, genutzt werden kann, um Endbenutzergeräte zu infizieren und die Reichweite ihres Angriffs im Netzwerk zu vergrößern.

Ransomware ist eindeutig die Geißel des Jahres 2016. Jede Woche gibt es einen neuen und bemerkenswerten Ausbruch dieser heimtückischen Klasse von malware auf Unternehmensebene, die eine immer breitere Palette von Organisationen lahmlegt und erpresst.

Angesichts der Antwort von Apple auf das Ersuchen des FBI, Zugang zum iPhone des Amokläufers von San Bernardino, Syed Farook, zu erhalten, scheint es, dass es eine gewisse Verwirrung im Zusammenhang mit diesem Ersuchen des FBI mit der größeren Regierungsdebatte über die Bereitstellung von Hintertüren und Verschlüsselung gibt.

Wie können Angreifer Webcams hacken? Erfahren Sie, wie Webkameras mithilfe einer Backdoor gehackt werden können und wie man Angreifer daran hindert, sie auszunutzen.

Die Notwendigkeit, Bedrohungen innerhalb von Millisekunden zu blockieren, zwingt IDS/IPS dazu, Signaturen für die Erkennung zu verwenden. Signaturen können zwar eine Vielzahl von Bedrohungen erkennen, sind aber auf eine schnelle Mustererkennung bekannter Bedrohungen angewiesen.

Vor kurzem wurden wir darauf aufmerksam gemacht, dass HP DVLabs mindestens zehn Schwachstellen im Belkin N300 Dual-Band Wi-Fi Range Extender (F9K1111) aufgedeckt hat. Da dies das erste Update ist, das für den F9K1111 herausgegeben wurde, und es keine öffentlichen Auslöser für die Schwachstellen gab, dachten wir, es wäre interessant, einen genaueren Blick darauf zu werfen.

Kürzlich hat Kasperky Labs bekannt gegeben, dass es Opfer eines ausgeklügelten Cyberangriffs geworden ist, der den Namen Duqu 2.0 erhalten hat. Das Team von Kaspersky Labs hat eine detaillierte Analyse von Duqu 2.0 veröffentlicht, die auf jeden Fall lesenswert ist.

Aktualisiert am 3. Juni 2015 um 11:00 Uhr(siehe Details)In letzter Zeit hat eine beliebte Datenschutz- und Entsperrungsanwendung namens Hola die Aufmerksamkeit der Sicherheitsgemeinschaft auf sich gezogen, da sie eine Reihe von Schwachstellen und äußerst fragwürdigen Praktiken aufweist, die es dem Dienst ermöglichen, über seinen Schwesterservice namens Luminati im Wesentlichen als Botnet-for-Hire zu fungieren. Vectra hat diese Anwendung untersucht, nachdem sie in den letzten Wochen in Kundennetzwerken beobachtet wurde, und die Ergebnisse sind sowohl faszinierend als auch beunruhigend. Die Ergebnisse sind sowohl interessant als auch besorgniserregend. Zusätzlich zu den verschiedenen Botnet-Funktionen, die nun öffentlich bekannt sind, enthält die Hola-Anwendung eine Reihe von Funktionen, die sie zu einer idealen Plattform für die Durchführung gezielter Cyberangriffe machen.

Sicherheitsverletzungen haben in den letzten Monaten immer wieder für Schlagzeilen gesorgt. Zwar haben es Hacker nach wie vor auf Kreditkartendaten abgesehen, doch der Trend geht zu umfangreicheren Datensätzen und zur Ausnutzung verschiedener wichtiger Vermögenswerte innerhalb eines Unternehmens. Die größte Sicherheitslücke in der Finanzbranche ereignete sich kürzlich bei JP Morgan Chase, wo schätzungsweise 76 Millionen Kundendaten und weitere 8 Millionen Unternehmensdaten von mehreren internen Servern gestohlen wurden. Bei Morgan Stanley wurde ein Mitarbeiter der Vermögensverwaltungsgruppe des Unternehmens entlassen, nachdem Informationen von bis zu 10 % der wohlhabendsten Kunden von Morgan Stanley nach außen gedrungen waren. Noch heikler war der bisher größte Verstoß im Gesundheitswesen: Bei Anthem wurden über 80 Millionen Datensätze mit personenbezogenen Daten, einschließlich Sozialversicherungsnummern, offengelegt. Weniger bekannt, aber potenziell kostspieliger in Bezug auf Schäden und Rechtsstreitigkeiten ist der angebliche Diebstahl von Geschäftsgeheimnissen durch den ehemaligen CEO von Chesapeake Energy (NYSE: CHK).

Die CISOs, das Führungsteam und die Vorstände müssen nachts wach bleiben, um zu verhindern, dass Daten in die freie Wildbahn gelangen oder von Cyberangreifern beschädigt werden. Um Unternehmen zu schützen, muss die Cybersicherheit automatisiert und in Echtzeit erfolgen. Sie muss kontextbezogen lernen, so wie wir es tun, und sie muss jeden Winkel des Netzwerks auf Bedrohungen überwachen, und zwar auf eine Art und Weise, die sich Unternehmen leisten können, ohne die Abdeckung zu beeinträchtigen.

Nicht alle Sicherheitsverstöße gehen von externen böswilligen Akteuren aus. In unserem Blogbeitrag erfahren Sie alles über Insider-Bedrohungen, die häufigsten Indikatoren und nützliche Präventionsstrategien.

Während die Bedrohung durch Insider in Regierungsbehörden und großen Unternehmen ein bekanntes Problem ist, für das es bereits einige Abhilfestrategien gibt, ist über die Bedrohung kritischer US-Infrastrukturen, wie z. B. Wasseraufbereitungsanlagen oder Kernkraftwerke, durch Insider weniger bekannt.

Am 6. Juni schrieb der Forbes-Reporter Kashmir Hill über einen NSF-Forscher, der von der NSF finanzierte Supercomputing-Ressourcen missbraucht hat, um Bitcoin im Wert von 8.000 bis 10.000 Dollar zu schürfen. Der Artikel verweist auf einen Studenten des Londoner Imperial College und einen Forscher der Harvard University, die ebenfalls die Computer ihrer Universitäten zum Mining einer ähnlichen virtuellen Währung namens Dogecoin verwendet haben sollen.

Untersuchen Sie die Risiken der Heartbleed-Schwachstelle in internen Netzwerken und wie Sie diese Bedrohungen entschärfen können.