Attivo Networks hat die Funktionen seiner ThreatDefend-Erkennungsplattform erweitert. Diese zielen darauf ab, das Verhalten eines Angreifers zu antizipieren, wenn er von einem infizierten Endpoint aus ein Firmennetzwerk kompromittiert. ThreatDefend locke den Angreifer dazu in den Hinterhalt wenn er sich im Netzwerk bewegt. Ziel ist die Verkürzung der Dwell-Time, also der Zeitspanne, in der sich ein Angreifer unentdeckt im Unternehmensnetzwerk bewegen kann.
Das "Endpoint Detection Net"-Modul soll Unternehmen um EPP- und EDR-Lösungen (Endpoint-Protection, Endpoint Detection and Response) ergänzen, indem es Erkennungslücken schließe und die automatische Reaktion auf Vorfälle erleichtere. Endpoint Detection Net macht laut Attivo jeden Endpoint zu einem Köder, der jegliche Vorhaben eines Angreifers, auszubrechen und weiter in das Netzwerk einzudringen, stören soll. Dazu seien keine eigenen Agents am Endpoint erforderlich. Attivo nutzt dazu nach eigenen Angaben historische Angriffsdaten sowie das Mitre Att@ck Framework zur Erkennung der Methoden, die Angreifer verwenden, um sich von einem Endpoint aus im Netzwerk zu bewegen.
Die Fähigkeit, Endpoints zu schützen und die Verbreitung infizierter Systeme zu verhindern, ist für Unternehmen aller Größenordnungen von entscheidender Bedeutung. Untersuchungen ergaben, dass Angreifer ein anfangs infiziertes System im Durchschnitt nach 4,5 Stunden verlassen, um weiterzuziehen. Darüber hinaus zeigen Forschungsergebnisse, dass die durchschnittliche Verweildauer im Netzwerk im Jahr 2019 von 85 auf 95 Tage gestiegen ist. Dies verdeutlicht, wie wichtig es ist, Endpoints zu sichern und Angreifer daran zu hindern, im Netzwerk Fuß zu fassen.
Endpoint Detection Net soll die Sicherheitsüberwachung verbessern, indem es zur Früherkennung von Angriffen präzise Alarme auslöst und proaktive Maßnahmen ergreift, um Angreifer auszuschalten. Dabei kann es sich um unterschiedliche Arten von Angriffen handeln, beispielsweise unautorisierte Active-Directory-Abfragen von einem Endpoint aus oder der Diebstahl lokaler Anmeldeinformationen. Ebenfalls häufig seien Angriffe auf Datei-Server, Network Reconnaissance oder Man-in-the-Middle-Angriffe.
Weitere Informationen stehen unter www.attivonetworks.com zur Verfügung.