SentinelOne mit neuer Lateral Movement Detection Engine

Bewegungen von Angreifern im Netzwerk aufspüren

06. November 2017, 13:00 Uhr   |  Von Dr. Wilhelm Greiner.

Bewegungen von Angreifern im Netzwerk aufspüren

Der Security-Anbieter SentinelOne erweitert seine Endpoint-Protection-Plattform um eine "Lateral Movement Detection Engine". Diese dient dazu, Angreifer auf ihrem Weg durch das Unternehmensnetz zu identifizieren und sie daran zu hindern, auf weitere Teile des Netzwerks zuzugreifen.

Zum Standardvorgehen von Angreifern gehört die Bewegung innerhalb des kompromittierten Netzwerks, im Englischen "Lateral Movement" (Seitwärtsbewegung) genannt: Die Angreifer tasten sich nach dem ersten Eindringen weiter vor, um nach wertvollen Inhalten zu suchen, eine Infektion auf mehrere Hosts auszubreiten oder Berechtigungsnachweise wie Passwörter abzugreifen.

Der Angreifer durchforstet das Netzwerk entweder manuell oder mittels Schadcode, der sich automatisch ausbreitet. Als Hilfsmittel dienen Exploits wie EternalBlue, Remote-Desktop-Protokolle, ausgelesene Berechtigungsnachweise oder auch das Ausführen von Code auf entfernten Geräten (Remote Code Execution).

Da die Mehrheit dieser Angriffstechniken dateilose Methoden sind, so SentinelOne, falle es den meisten traditionellen Sicherheitswerkzeugen schwer, einen Angreifer oder Schadcode, der sich innerhalb eines Netzwerks bewegt, überhaupt zu identifizieren. Aufgrund ihrer Verschleierung seien Angriffe dieser Art nicht nur effizient und lukrativ, sondern eigneten sich auch bestens für Masseninfektionen.

Die Lateral Movement Detection Engine nutzt laut SentinelOne eine Low-Level-Überwachung der Plattform, um Einblick in sämtliche Geräteaktivitäten zu gewinnen. Das neue Feature sei in der Lage, Seitwärtsbewegungen in Echtzeit zu erkennen und zu unterbinden. Dazu setze man auf verhaltensbasierte künstliche Intelligenz. Anomalien beim Einsatz dieser verschiedenen Techniken lassen sich laut SentinelOne-Angaben so erkennen und die Verbreitung von Malware oder Angreifern wirksam blockieren.

In der SentinelOne-Plattform 2.0 ist die Lateral Movement Detection Engine ab sofort automatisch und ohne weiteren Konfigurationsaufwand integriert, so der Hersteller. Distributor in Deutschland, Österreich und der Schweiz ist Exclusive Networks.

Weitere Informationen finden sich unter www.sentinelone.com.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

24/7-Überwachung von Alerts als Managed Service
Informationen verknüpfen für die Gefahrenabwehr
Sicherheit für lokale und Multi-Cloud-Umgebungen

Verwandte Artikel

Bedrohungsabwehr

Bedrohungserkennung

Incident Response