{"id":2066,"date":"2022-09-05T07:56:19","date_gmt":"2022-09-05T07:56:19","guid":{"rendered":"https:\/\/exceltic.com\/?p=2066"},"modified":"2026-03-19T13:31:33","modified_gmt":"2026-03-19T12:31:33","slug":"soc-cyber-threats-ia","status":"publish","type":"post","link":"https:\/\/exceltic.serquo.com\/de\/soc-cyber-threats-ia\/","title":{"rendered":"SOC: KI-gest\u00fctzte Verwaltung und Abwehr von Cyber-Bedrohungen"},"content":{"rendered":"

Nach Angaben von Matt Ahlgre (2022, WSR<\/a>), die Angriffe durch Ransomware oder \"Datenklau <\/strong>alle 10 Sekunden auftreten, und Sch\u00e4tzungen zufolge werden sich die weltweiten Kosten von Cyber-Bedrohungen im Jahr 2025 auf 10,5 Billionen belaufen.<\/p>\n\n\n\n

Doch trotz dieser Daten ist die Zukunft der Cybersicherheit <\/a>sieht vielversprechend aus. Zahlreiche Fortschritte bei der Erkennung dieser Bedrohungen und der Reaktion darauf, unter Verwendung von Technologien wie Maschinelles Lernen oder Deep Learning<\/strong>Sie sind in der Lage, sie in einem fr\u00fchen Stadium zu erkennen.<\/p>\n\n\n\n

Im Jahr 2020, Garner <\/strong>gr\u00fcndet \"PYRAMIDE DER SICHERHEITS\u00dcBERWACHUNG<\/em>\"<\/strong> o \"Dreieck der Tugend<\/strong>durch L\u00f6sungen zur Erkennung, Verhinderung und Bek\u00e4mpfung von Bedrohungen den gr\u00f6\u00dften Teil des Cybersicherheitsspektrums ab:<\/p>\n\n\n\n

\"Pyramide<\/figure>\n\n\n\n
EDR<\/mark><\/strong><\/td>EDR<\/strong>Endpoint Detection and Response (EPR) ist ein System, das \u00fcberwacht verd\u00e4chtige Aktivit\u00e4ten an Endpunkten<\/strong> (an ein Netz angeschlossene Computer, nicht das Netz selbst).

Es erm\u00f6glicht die Sammlung und Analyse von Daten \u00fcber die Sicherheitsrisiken von Endger\u00e4ten mit dem Ziel, Sicherheitsverletzungen zu erkennen, sobald sie auftreten, und eine schnelle Reaktion auf erkannte oder vermutete Bedrohungen zu erm\u00f6glichen. Die F\u00e4higkeiten und Details eines EDR-Systems k\u00f6nnen je nach Art der Implementierung sehr unterschiedlich sein.<\/td><\/tr>
NDR<\/mark><\/strong><\/td>Die Netzwerkerkennung und -reaktion erm\u00f6glicht es Ihnen, den Datenverkehr auf Bedrohungen und verd\u00e4chtiges Verhalten zu \u00fcberwachen, die in Zukunft zu Sicherheitsverletzungen f\u00fchren k\u00f6nnten. 

Herk\u00f6mmliche, auf Signaturen basierende Methoden sind nicht mehr 100% wirksam gegen moderne Bedrohungen, was bei vielen Unternehmen eine falsche Illusion von Sicherheit erzeugt. 

Eine bessere und tiefere Netzwerktransparenz bietet Unternehmen eine zus\u00e4tzliche Sicherheitsebene und erweiterte Pr\u00e4ventionsfunktionen.<\/td><\/tr>
SIEM<\/mark><\/strong><\/td>Sicherheitsinformationen und Ereignisverwaltung<\/strong>ist der Oberbegriff f\u00fcr die Dienstleistungen von Software <\/a>die (verd\u00e4chtiges) Verhalten in ihrer digitalen Infrastruktur aus zahlreichen Quellen sammeln und untersuchen. 

Die Hauptfunktion von SIEM? <\/strong>Sammeln von Sicherheitsinformationen aus Datenbanken, Servern, Dom\u00e4nencontrollern und Netzwerkhardware. Identifizierung von Risiken, Erkennung von Trends, Untersuchung von Alarmen und Aufsp\u00fcren von Netzwerkschwachstellen durch Anwendung von Analysen auf diese Daten.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Warum einen NDR verwenden?<\/p>\n\n\n\n

SIEM-Programme<\/strong> k\u00f6nnen umfassende Berichte \u00fcber Vorf\u00e4lle und Ereignisse erstellen, einschlie\u00dflich Malware und anderer Verst\u00f6\u00dfe. Sie sind jedoch nicht in der Lage, sich selbst anzupassen und sind oft nicht in der Lage Es ist schwierig, gro\u00dfe Datenmengen zu interpretieren. <\/strong><\/p>\n\n\n\n

Ein fortschrittlicher NDR<\/strong>Im Gegensatz dazu kann es eine gro\u00dfe Anzahl von Protokollen schnell entschl\u00fcsseln, um verd\u00e4chtige Angriffe und Verhaltensmuster mit ausreichendem Kontext und Beweisen zu identifizieren, damit die Analysten mit Zuversicht handeln k\u00f6nnen. Dar\u00fcber hinaus erg\u00e4nzt NDR EDR, indem es die L\u00fccken f\u00fcllt, die EDR nicht erkennt.<\/p>\n\n\n\n

Jeder der SIEM, EDR und NDR<\/strong> hat besondere Vor- und Nachteile. Wenn alle drei kombiniert werden, jedes Element kann die anderen verst\u00e4rken.<\/strong><\/p>\n\n\n\n

WIE MAN RANSOMWARE STOPPT<\/p>\n\n\n\n

Ransomware-Angriffe<\/strong> \u00e4ndern sich, denn die neuen Generationen verwenden oft gestohlene Zugangsdaten, um sich privilegierten Zugang zu verschaffen.<\/p>\n\n\n\n

Die Absicht des Angreifers <\/strong>ist es, sich als Administrator Zugriff auf den Dom\u00e4nencontroller zu verschaffen, da es von dieser Position aus einfach ist, Zugang zu den meisten wertvollen Daten zu erhalten. Es ist auch m\u00f6glich, Ransomware mit Hilfe von Verwaltungstools, die \u00fcber Gruppenrichtlinienobjekte (GPOs) verf\u00fcgen, unglaublich schnell zu installieren.<\/p>\n\n\n\n

Die Moderne RansomOps-Angriffe setzen den Bin\u00e4rcode nicht bis zum Ende ein<\/strong>Wenn Sie den Angriff bemerken, ist es also schon zu sp\u00e4t. Eine fr\u00fchzeitige Erkennung im Anfangsstadium ist entscheidend.<\/p>\n\n\n\n

Aus diesem Grund, es ist absolut notwendig<\/strong> die Verwendung aller privilegierten Konten zu \u00fcberwachen. Wir haben festgestellt, dass dies sicherlich eines der wertvollsten Signale zur Erkennung von Angriffen ist.<\/p>\n\n\n\n

Empfehlungen:<\/p>\n\n\n\n

Pr\u00e4vention<\/strong>:<\/p>\n\n\n\n