Splunk: Neue App für Enterprise Security schützt durch Statistikanalyse
Sicherheits-App identifiziert Bedrohungen in Echtzeit
+++ Produkt-Ticker +++ Splunk, Hersteller von Echtzeit-Operational-Intelligence-Lösungen, bringt Version 2.4 der "Splunk App for Enterprise Security" auf den Markt. Gemeinsam mit "Splunk Enterprise" bilde die Anwendung für die Unternehmenssicherheit eine Security-Intelligence-Plattform, mit der Firmen unbekannte Bedrohungen in Echtzeit identifizieren sollen. Sie arbeitet laut Splunk mit Out-of-the-Box-Inhalten wie neuen Suchfunktionen, Dashboards und Visualisierungen.
CA-Lösungen ermöglichen Performance-Verbesserungen
Software überprüft Sicherheit mit Simulationen realer Angriffe
McAfee: Einheitliches Rapid-Response-Management
Modular konfigurierbare Systeme erkennen Bedrohungen
Aktuelle Malware funktioniert nach einem gemeinsamen Schema: Sie signalisiert einer externen Stelle, das sie an Ort und Stelle funktionsbereit ist, übernimmt die Kontrolle über die befallenen Systeme und sendet anschließend wertvolle Daten an die Angreifer. Dabei helfen die Mitarbeiter des geschädigten Unternehmens unfreiwillig mit, als so genannte „Data Mules“. Für die Übertragung der ausspionierten Daten verwenden die Angreifer häufig Web-basierte Protokolle, um sich auf diese Weise in den großen Datenmengen zu verbergen.
Mit der statistischen Analyse sollen sich unverfängliche Nutzeraktivitäten von Anomalien unterscheiden lassen, die durch unbekannte Bedrohungen entstehen. Die Splunk-App für die Unternehmenssicherheit bietet Suchfunktionen, Dashboards und Visualisierungen für eine feinmaschige Gefahrenerkennung. Diese decke auf, welche Aktivitäten und Nutzungsmuster Anlass zur Besorgnis geben. Dadurch ermöglicht sie es, in URLs eingebettete „Command and Control“-(CNC-)Befehle zu erkennen. Dazu automatisiert die Anwendung für Enterprise Security die Erkennung von Datenausreißern.
Hosts kommunizieren vermutlich mit einer CNC-Site, wenn sie die Daten mit Domains austauschen, die erst in den vergangenen 24 bis 48 Stunden registriert wurden. Aus diesem Grund bietet die App die Möglichkeit, Domain-Registrierungen und Proxy-Daten in Echtzeit und für die Vergangenheit auf derartige Ereignisse zu überprüfen. Zudem ermöglicht es das Programm, die Proxy-Daten einzelner Anwender zu überwachen. Dadurch sollen Sicherheitsverantwortliche entsprechende Nutzungsspitzen als Gesamttrend und auf Anwenderebene analysieren können.
User Agents automatisieren die Sammlung von Daten wie beispielsweise E-Mails. Bei einer Cyber-Attacke können sie aber auch den automatischen Datenaustausch zwischen Opfer und Angreifer ermöglichen. Die neue App überwacht laut Splunk diese User-Agent-Anomalien in Echtzeit und alarmiert den Anwender bei Gefahr. Des Weiteren berechnet das Programm das durchschnittliche Datenaufkommen für bestimmte Quell-/Zielpaare in einem benutzerdefinierten Zeitrahmen. Es stellt statistische Ausreißer in einem Streudiagramm dar, wodurch diese dann als Ausgangspunkt für eine detaillierte Analyse dienen können.
Haben Nutzer die Anwendung bereits im Einsatz, können sie die neue Version herunterladen. Weitere Informationen gibt es unter splunk-base.splunk.com/apps.
Lesen Sie mehr zum Thema
