Während eines laufenden Cyberangriffs bösartige Aktivitäten sichtbar machen

Viele Unternehmen stehen vor dem Problem, während eines laufenden Cyberangriffs bösartige Aktivitäten und deren Auswirkungen auf das Unternehmen zu verstehen. Dies verschlingt wertvolle Zeit und Ressourcen, die für die Eindämmung des Angriffs und die Schadensminimierung benötigt werden. Ein kostenloses Tool, das die verdächtigen Aktivitäten sichtbarer macht und in Relation zueinander stellt, löst diese Probleme.

Detectree, entwickelt von Withsecure (ehemals F-Secure Business), ist ein Visualisierungstool für Cybersicherheitsverantwortliche (auch bekannt als Blue Teams). Laut Tom Barrow, Senior Threat Hunter bei Withsecure Countercept, dem Managed-Detection and Response Service von Withsecure, ist es für die Verantwortlichen entscheidend, die Zusammenhänge zwischen den verdächtigen Ereignissen auf einem bestimmten Endpoint besser zu erkennen.

„Im Falle eines Sicherheitsvorfalls läuft die Zeit immer gegen einen. Dann geht es darum, die Daten schnell zu analysieren und die entsprechenden Zusammenhänge zwischen Daten und Aktivitäten herzustellen, um die Reaktion auf den Angriff vorzubereiten. Das kostet Zeit, die nicht mit der eigentlichen Maßnahme verbracht wird, den Cyberangriff zu bekämpfen, und baut zusätzlichen Druck auf.“

Versucht ein Analyst beispielsweise, die Ursache eines verdächtigen Vorgangs zu finden, muss er normalerweise die Protokolldaten durchsehen und die Ereigniskette manuell rekonstruieren. Je länger die Kette ist, desto schwieriger und zeitaufwändiger wird die Analyse. Und angesichts der Menge an Sicherheitswarnungen, mit denen Blue Teams in großen Unternehmen konfrontiert werden können – laut einer aktuellen Studie etwa 11.000 pro Tag – ist dies ein aufwendiger Prozess, der zu Problemen wie Überlastung bis hin zum Burnout führen kann.

Detectree wurde konzipiert, um Blue Teams bei der Vereinfachung der Ermittlungsarbeit zu unterstützen, indem Log-Daten in einer Visualisierung strukturiert werden, die die Zusammenhänge zwischen der erkannten verdächtigen Aktivität und den mit dieser Erkennung verbundenen Prozessen, Zielen im Netzwerk, Dateien oder Registrierungsschlüsseln zeigt. Anstatt die als Text dargestellten Daten manuell zu sortieren, um eine Ereigniskette zu rekonstruieren, können die Sicherheitsverantwortlichen anhand der Visualisierung nicht nur die Zusammenhänge erkennen, sondern auch die Art der Verbindungen, einschließlich Interaktionen, Parent-Child-Beziehungen und Codeausführung durch dritte Prozesse.

Mithilfe der Visualisierung können die Verantwortlichen schnell den Kontext im Falle einer Erkennung herstellen und diese Daten auf einfache und intuitive Weise an die relevanten Beteiligten weitergeben. So wird sichergestellt, dass die Informationen für alle zugänglich sind, die benötigt werden.

„Selbst die erfahrensten und qualifiziertesten Blue Teams benötigen Tools, die ihnen dabei helfen, ihre Arbeit effizient zu erledigen. Detectree ist zwar ein einfaches Tool, doch löst es echte Probleme, die bei der täglichen Arbeit der Sicherheitsverantwortlichen auftreten können“, sagt Barrow.

Info: Detectree steht ab sofort zum Download auf der Github-Seite von Withsecure Countercept bereit.

#Withsecure