Attivo Networks erweitert EDN-Suite um ThreatStrike
Zugangsdaten vor Diebstahl schützen
Als Teil der EDN-Suite (Endpoint Detection Net) hat Attivo Networks mit ThreatStrike eine Möglichkeit vorgestellt, mit der Unternehmen echte Anmeldedaten vor Angreifer-Tools verbergen und sie an ihre Anwendungen binden können. Darüber hinaus sei die Lösung in der Lage, als Köder fungierende Zugangsdaten einzusetzen, um aktuelle Bedrohungsdaten zu sammeln. Der Diebstahl von Anmeldeinformationen ist die erste Phase eines Angriffs mit lateralen Bewegungen, und das frühzeitige Stoppen des Angriffs kann einen wesentlichen Einfluss auf den Erfolg des Angreifers und den Schaden des Opfers haben.
ThreatStrike verberge und verweigere unbefugten Zugriff auf Anwendungen. So hat laut Attivo beispielsweise nur der Chrome-Browser Zugriff auf seine Anmeldedaten-Speicher, alle anderen Anwendungen nicht. Die Fähigkeit adressiere direkt ausgefeilte Angriffstechniken, wie sie in der Mitre Att&ck Credential Access Tactic beschrieben sind, wie OS Credential Dumping (T1003), Credentials from Password Store (T1555), Unsecured Credentials (T1552), Steal or Forge Kerberos Tickets (T1558) und Steal Web Session Cookie (T1539). Da die Anmeldedaten für Angreifer nun nicht mehr sichtbar sind, lege die ThreatStrike-Lösung einen Köder auf dem Endgerät aus, der als gängige Windows-, Mac- und Linux-Anmeldedaten erscheinen soll. Bei der Erkundung durch Angreifer erscheinen diese Köder als attraktive Beute für Angreifer im Netzwerk, die sie stehlen können, und geben so Hinweise auf deren Aktivität, so die weiteren Angaben.
Mit der Einführung von Credential Cloaking erweitert Attivo sein Portfolio an Cloaking-Techniken. Das Unternehmen kann derzeit laut eigenem Bekunden Active-Directory-Objekte, Dateien, Ordner, Netzwerk- und Cloud-Freigaben sowie Wechsellaufwerke tarnen. Diese Technik unterscheide sich von der herkömmlichen Deception-Technik, bei der gefälschte Objekte unter echte Objekte gemischt sind. Die Cloaking-Technik verberge stattdessen echte Objekte und setze gefälschte Daten an deren Stelle.
Die EDN-Suite ist eine Komponente des IDR-Angebots (Identity Detection and Response) des Unternehmens. Die EDN-Lösung umfasst ThreatStrike für den Schutz von Zugangsdaten, ADSecure für den Schutz von Active Directory sowie ThreatPath für die Sichtbarkeit des Angriffspfads auf Anmeldedaten. Darüber hinaus verfüge die Lösung über Deflect, um die Erstellung von Fingerabdrücken von Endpunkten zu verhindern, und ein zentrales Management.
Lesen Sie mehr zum Thema
