Cyber SafeAlert

Signatur- und verhaltensbasierte Analyse von gefährlicher Malware und anderen Risiken im Netzwerkverkehr.

Daten werden ständig aus dem Internet empfangen und an das Internet gesendet. Das betrifft nicht nur die von Ihnen bewusst gesendeten und empfangenen Daten. Auch Angreifer nutzen diesen Austausch. DEKRA Cyber SafeAlert erkennt verdächtige Muster und Anomalien wie z.B. Malware, Command and Control Server, Bots, Spyware, Drive-by sources, DDoS Ziele und Quellen.

Signaturbasierte Erkennung erfolgt aufgrund von vorgegebenen Mustern. Angreifer nutzen aber vermehrt Wege in ihr Netzwerk, die vorher noch nicht bekannt sind. Die verhaltensbasierte Erkennung ist genau auf diesen Bereich spezialisiert.

Wählen Sie aus den verschiedenen Paketgrößen, die jeweils eine maximal zu analysierende Datenmenge enthalten.

Kontinuierliche externe und interne Scans erkennen bestehende Schwachstellen in Ihrer IT und berichten sie, sodass Sie sie strukturiert beheben können.

Externe und interne Schwachstellen-Scans (in der Fachsprache Vulnerability Management and Assessment genannt) bieten Ihnen den Überblick über aktuell bestehende Schwachstellen in Ihrem Netzwerk nach Risiko-Grad (hoch, mittel und gering) kategorisiert. Das Resultat sehen Sie in Ihrem Cyber SafeAlert Cockpit: Eine klare Prioritätenliste für die Abarbeitung und aufbereitete Informationen zur Erfüllung von Compliance Anforderungen. Mitarbeiterschulungen sind nicht notwendig.

Neben den schnellen und effizienten authentifizierten oder nichtauthentifizierten Schwachstellen-Scans werden durch Compliance- und Passwort-Checks Konfigurationsprobleme in Bezug auf Anwendungen und Passwörter- sowie User-Policies erkannt. Standard- oder fehlende Passwörter werden festgestellt, veraltete Patch-Versionen bei installierter Software und Services werden bei Windowssystemen mit Registry und dll-Checks aufgedeckt.

Die Anzahl der Geräte, die für die Scans entscheidend sind, variiert je nach dem von Ihnen gewählten Paket. Je nach Wahl führt das Paket entweder eine oder beide Arten der Scans durch.

Neben Erkenntnissen aus der automatisierten Risikoanalyse werden Rahmenfaktoren Ihrer IT-Sicherheit mit einbezogen.

Wie groß ist aktuell die Gefahr, dass Ihr Unternehmen Schäden durch einen Cyberangriff erleiden könnte? Die Radar Smart Solution ermöglicht Ihnen den Überblick über die Fakten, die Ihrem aktuellen IT-Risiko zugrunde liegen. Dazu gehören nicht nur die Erkenntnisse, die aus der automatisierten Risikoanalyse mit Hilfe unserer Werkzeuge gezogen werden. Auch Rahmenfaktoren, die Ihre IT-Sicherheit bestimmen, sind entscheidend. Organisatorische Details innerhalb und außerhalb Ihres Unternehmens werden regelmäßig im Rahmen einer einfachen und verständlichen Selbsteinschätzung abgefragt und in die Risikoanalyse einbezogen.

Logs sind eine wichtige Quelle, um sicherheitsrelevanten Ereignissen auf die Spur zu kommen. Deshalb werden sie gesammelt, analysiert, korreliert und resultieren gegebenenfalls in Alarmierungen.

Logs aus verschiedenen Quellen in einem Netzwerk (Server, Clients, Netzwerkgeräte, Firewalls, Anwendungen, etc.) geben entscheidende Hinweise auf sicherheitsrelevante Ereignisse. Die Kunst besteht darin, die wirklich relevanten Informationen aus Millionen von Ereignissen herauszufiltern. In der Fachsprache nennt man dieses IT-Risikoerkennungsmodul Security Information and Event Management (SIEM).

Zahlreiche gängige Log Formate werden unterstützt. Legen Sie aus einer Liste an standardisierten Log-Quellen fest, welche daraus für Ihr Unternehmen relevant sind. Die unterschiedlichen Paket-Varianten enthalten je eine maximale Anzahl an Logquellen.

Informationen und Ereignisse aus diesen Logdateien werden aggregiert. Durch eine State of the Art Correlation Engine mit kontinuierlich erweiterten und maßgeschneiderten Regeln und Policies werden potenzielle Risiken identifiziert.

Analyse von Web-Downloads und/oder E-Mail Attachements.

Neuartige bzw. Getarnte Malware, Advanced Persistent Threats (APTs) und Trojaner gelangen durch Web Downloads und/oder E-Mail Attachements in Unternehmen, da sie durch signatur-basierende Systeme allein nicht erkannt werden. Hinzu kommt das Risiko von Insider-Threats, wodurch gezielt wichtige Informationen unberechtigt erlangt werden. DEKRA Cyber SafeAlert setzt mehrere Systeme zur signatur- und verhaltensbasierten Analyse von Netzwerkverkehr und Sandbox-Technologien der neuesten Generation mit vollständiger Systememulation zur Analyse aller eingehenden E-Mail Attachements sowie Web Downloads ein und wertet die Erkenntnisse zentral aus. Die Aktualität dieses Moduls wird durch kontinuierliche Updates des Feeds sichergestellt.

Sicherheitsrelevante Daten werden mit Hilfe einer umfassenden Korrelation aus der großen Datenmasse herauskristallisiert. Korreliert werden Daten dabei sowohl innerhalb eines Risikoerkennungs-Moduls als auch übergreifend über mehrere Module hinweg.

Eine einzelne Information innerhalb einer Datenmasse weist oftmals noch nicht auf ihre Sicherheitsrelevanz hin. Erst durch die Kombination von Informationen entstehen die wertvollen Puzzlestücke, die notwendig sind, um einem Angreifer auf die Spur zu kommen. Eine Korrelation von Logs mit Schwachstellen, IDS-Daten oder SIEM Erkenntnissen lässt einen Gesamtüberblick über sicherheitsrelevante Daten zu.

Korrelation und Cross-Korrelation basieren auf Regeln, Policies und selbstlernenden Algorithmen: Regeln werden vordefiniert, um Muster zu erkennen. Sie werden kontinuierlich erweitert. Policies werden verwendet, um festzustellen, ob spezifische Aktionen zur richtigen Zeit und am richtigen Ort stattfinden. Selbstlernende Algorithmen umfassen die Lernfähigkeit der Correlation Engine, zwischen normalem und abnormalem Vorkommen unterscheiden und Verhaltensveränderungen bei Applikationen, Servern und in anderen Netzwerkbereichen erkennen zu können. Eine Verwendung außerhalb der Geschäftszeiten, eine übermäßige Verwendung von Anwendungen oder anderen IT-Services sowie Muster im Netzwerkverkehr über die Zeit und im Vergleich zu vergangenen Perioden (unter Berücksichtigung von täglichen, wöchentlichen, monatlichen und saisonalen Schwankungen) sind Beispiele für die Erkennung von Anomalien.

Bringt die aktuellen sicherheitsrelevanten Informationen zusammen.

Threat Intelligence Informationen werden aus zahlreichen internen und externen weltweit führenden kommerziellen als auch Open Source-Quellen miteinbezogen. Mit ihnen wird schädliches Verhalten schneller erkannt – seien es zum Beispiel Verbindungen von oder zu verdächtigen IPs aus der internen IT-Infrastruktur.

Zu diesen Informationen gehören neben den IP Adressen mit schlechter Reputation auch ebensolche URLs, für Phishing verwendete Emailadressen und für Schadsoftware verwendete Dateinamen, Dateipfade oder User Agents.

Die von Cyber SafeAlert umfassend gesammelten und verarbeiteten sicherheitsrelevanten Daten, gepaart mit den umfangreichen Threat Intelligence Informationen aus verschiedenen Quellen ermöglichen eine unvergleichliche Schnelligkeit bei Detection & Response.

Alle gewonnenen Erkenntnisse werden zentral, verständlich und übersichtlich im Cyber SafeAlert Cockpit präsentiert. Sie sind priorisiert und mit Behebungshinweisen versehen. So wissen Sie, was wann zu tun ist.

Das Cockpit zeigt Ihren individuellen Überblick über die sicherheitsrelevanten Informationen, welche die automatisierte Erkennung geliefert hat. Die Ergebnisse werden mit den festgestellten, klassifizierten und priorisierten Sicherheitsproblemen dargestellt. Die Übersicht über die vorhandenen Geräte bietet die Möglichkeit auszuwählen, welche Geräte in die Überprüfung mit einbezogen werden sollen.

Sie wissen, was in welcher Reihenfolge erledigt werden sollte und halten bereits die Informationen in den Händen, die Sie für die nächsten Schritte der Behebung oder Risikominimierung benötigen. Ersparen Sie sich ein langes Suchen auf den Webseiten von einzelnen Herstellern. Cyber SafeAlert liefert die wichtigsten Informationen gleich mit.