News Ticker

Vectra setzt neue Maßstäbe bei der automatischen Erkennung von Cyberangriffen – Identifizierung von Active-Directory-Angriffsmustern und Integration von Threat-Intelligence

Vectra, der Marktführer in der automatisierten Erkennung bereits stattfindender Cyberangriffe, gibt bekannt, dass Unternehmen nun Threat-Intelligence- und IoC-Feeds (Indicator-of-Compromise) in die Cognito-Plattform integrieren und somit ihre Bedrohungserkennung weiter verbessern können. Darüber hinaus ergänzt Vectra die Cognito-Plattform um neue Erkennungsfunktionen:  Die Versuche von Eindringlingen im Umfeld von Active Directory in Verbindung mit LDAP- und Kerberos-Protokollen an Informationen zu kommen, werden automatisch erkannt. Hinzu kommen zeitlich begrenzte Freigabelinks, um das Teilen kritischer Informationen während einer Bedrohungsuntersuchung zu vereinfachen.

Die wachsende Nachfrage nach automatisierter Bedrohungserkennung und die jüngsten Fortschritte des Unternehmens führten zu einer Umsatzsteigerung von 294 Prozent im Vergleich zum Vorjahresquartal und damit zum zweiten Mal in Folge zu einem dreistelligen Umsatzwachstum.

Cognito fügt Erkennungen basierend auf Threat Intelligence und IoCs hinzu

Die Cognito-Plattform von Vectra automatisiert die Bedrohungssuche weiter, indem sie den Import lokaler und branchenspezifischer Kompromittierungsindikatoren (IoCs) ermöglicht, bestehend aus risikobehafteten IP-Adressen, Domains, URLs oder User Agents, dargestellt in STIX-Version-1.2.-Dateien (Structured Threat Information eXpression).

Auf IoCs basierende Malware-Erkennung beinhaltet Paketerfassung (PCAP, Packet Capture) und wird mit allen anderen Erkennungen des Angreiferverhaltens durch Cognito korreliert, um umfangreichen Kontext bereitzustellen. Die Malware-Erkennung wird basierend auf dem Risiko bewertet, um die Notwendigkeit einer Reaktion zu priorisieren. Cognito-API automatisiert das Hochladen von STIX-Dateien, z.B. Bedrohungsdaten-Feeds des FS-ISAC (Financial Services Information Sharing and Analysis Center). Jeder Datei wird eine relevante Angriffsphasenkategorie zugewiesen: Command & Control, Reconnaissance, seitliche Bewegung oder Exfiltration.

„Diese Integration wird die Leistungsfähigkeit der Security Operations noch weiter steigern“, erklärt Beau Canada, VP of Information Security bei Ticketmaster. „KI automatisiert die Suche nach unbekannten Bedrohungen, und IoCs ermöglicht die Erkennung von bekannten Bedrohungen. Die automatisierte Korellation in Echtzeit sowie die Bewertung und Prioriserung beider Bedrohungstypen durch PCAPs werden die Effektivität und die Effizienz des SOC (Security Operations Center) verbessern.

„Viele Unternehmen entwickeln interne Programme und Prozesse für den Einsatz, die Analyse und die Operationalisierung von Bedrohungsdaten. Dieser Trend wird wahrscheinlich anhalten“, erklärte Jon Oltsik, Principal Analyst bei der Enterprise Strategy Group (ESG). „Laut ESG-Studie sagen 27 Prozent der Cybersicherheitsexperten in Unternehmen, dass die Ausgaben für Bedrohungsanalyseprogramme in den nächsten 12 bis 18 Monaten deutlich steigen werden. 45 Prozent gehen davon aus, dass sie in diesem Zeitrahmen zumindest moderat zunehmen werden.“

„Unternehmen verwenden Cognito, um manuelle Bedrohungssuche, Triage und Korrelation zu automatisieren, damit sie in Echtzeit auf Bedrohungen reagieren können“, erläuterte Kevin Kennedy, Vice President of Product Management bei Vectra. „Durch die Integration von Threat-Intelligence- und IoC-Feeds in Cognito können wir den Sicherheitsanalysten noch mehr Kontext zur Verfügung stellen. Dadurch können sie sich auf ihre entscheidende Rolle, nämlich die Bestätigung von Cyberangriffen und die Reaktion darauf, konzentrieren, bevor Daten abhandenkommen.“

Vectra Cognito erkennt, wenn Active-Directory ausgeforscht wird

Die Auskundschaftung der Active Directory (AD)-Infrastruktur eines Unternehmens ist eine entscheidende Komponente eines fortschrittlichen Tool-Kits von Angreifern. Deren Ziel ist es dabei, Konten mit Administratorrechten zu identifizieren, die es ihnen ermöglichen, auf Systeme mit sensiblen Daten zuzugreifen. Vectra hat bei seiner Cognito-Plattform daher neue Erkennungsalgorithmen hinzugefügt, um dieses Angreiferverhalten über die LDAP- und Kerberos-Protokolle zu erkennen.

Verdächtige LDAP-Abfrage: Durch sorgfältig ausgewählte LDAP-Abfragen des AD-Servers kann ein Angreifer die Gruppenmitgliedschaft, die Verzeichnisstruktur sowie privilegierte Konten und Gruppen erkennen. Mithilfe dieser Informationen können Angreifer bestimmen, welche Zugangsdaten sie benötigen, um tiefer in ein Netzwerk einzudringen und Zugriff auf eingeschränkte Bereiche zu erhalten. Der Erkennungsalgorithmus für verdächtige LDAP-Abfragen (Suspicious LDAP Query) verfolgt die LDAP-Kommunikation. Er identifiziert seltene LDAP-Abfragen, die eine höhere Wahrscheinlichkeit haben, mit einem Angriff in Verbindung zu stehen und in der lokalen Umgebung ungewöhnlich sind.

Kerberos Brute Force: Massive Brute-Force- und Dictionary-Angriffe werden eingesetzt, um unautorisierten Zugriff auf Systeme zu erhalten, die eine Authentifizierung entweder lokal oder über das Kerberos-Protokoll durchführen. Dieser Algorithmus überwacht alle Kerberos-Authentifizierungsereignisse in einem Netzwerk, lernt die typischen Volumes für jedes Konto und löst aus, wenn eine Aktivität auftritt, die auf einen Brute-Force-Versuch hindeutet. Um den Kontext für das Sicherheitsteam zu optimieren, umfasst die Erkennung das Volume, den Client, das Konto und den Domain Controller, die am Authentifizierungsversuch beteiligt sind.

Diese neuen Erkennungsmechanismen liefern frühe Hinweise auf einen bestehenden Missbrauch des Adminzugangs und gefährliche seitliche Bewegungen. Eine Kombination der Erkennung dieser neuartigen Aufklärungsaktivitäten und des seitlichen Bewegungsverhaltens durch Cognito führt zu einer kritischen Risikobewertung, zugunsten einer Verifizierung und Reaktion mit höherer Priorität.

Zeitlich beschränkte Freigabelinks vereinfachen die Zusammenarbeit bei der Sicherheit

Cognito bietet die Möglichkeit, zeitlich begrenzte Freigabe-Links zu bestimmten Host- und Erkennungs-Webseiten zu erstellen. Auf diese Weise kann das Sicherheitsteam auch IT-Teammitglieder, die kein Konto bei Cognito haben, schnell und einfach ansprechen, um die Zeit für die Bestätigung eines aktiven Cyberangriffs und die Reaktion darauf zu verkürzen.

Die Vereinfachung des Informationsaustauschs mit anderen IT-Funktionsbereichen sorgt dafür, dass Sicherheitsteams Klarheit über das beobachtete Verhalten erlangen und schneller Bescheid wissen, wer an der Bedrohungsanalyse beteiligt ist. Dies beschleunigt die Bearbeitung eines Sicherheitsvorfalls und führt zu einer schnelleren Lösung, bevor Schaden entsteht.

Einen guten Überblick über die jüngsten Entwicklungen bei Vectra und künstliche Intelligenz für mehr Cybersicherheit finden Sie auf dieser Seite.

Allgemeine Verfügbarkeit

Cognito Version 3.11 ist ab sofort verfügbar und enthält alle Funktionen, die in dieser Pressemitteilung genannt wurden: Integration von Bedrohungsdaten, Erkennung verdächtiger LDAP-Abfragen, Kerberos-Brute-Force-Erkennung sowie zeitlich begrenzte Freigabelinks.