{"id":21578,"date":"2022-08-15T11:21:00","date_gmt":"2022-08-15T09:21:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=21578"},"modified":"2022-08-02T11:32:19","modified_gmt":"2022-08-02T09:32:19","slug":"open-source-loesung-zeigt-verdaechtige-aktivitaeten-bei-cyberangriffen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=21578","title":{"rendered":"Open-Source-L\u00f6sung zeigt verd\u00e4chtige Aktivit\u00e4ten bei Cyberangriffen"},"content":{"rendered":"\n<p>Oftmals ist es schwierig zu verstehen, welche Aktivit\u00e4ten w\u00e4hrend eines Cyberangriffs stattfinden und was f\u00fcr Auswirkungen diese haben. In die dazugeh\u00f6rige Analyse m\u00fcssen die IT-Abteilungen sowohl Ressourcen als auch Zeit investieren, die eigentlich viel dringender ben\u00f6tigt w\u00fcrden, um den Schaden zu verringern und den Angriff einzud\u00e4mmen. Um das genannte Problem zu l\u00f6sen, steht ab sofort ein kostenloses Open-Source-Werkzeug zur Verf\u00fcgung, das die verd\u00e4chtigen Aktionen visualisiert und in Beziehung zueinander stellt.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/07\/Decttree.png\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"526\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/07\/Decttree-1024x526.png\" alt=\"\" class=\"wp-image-21580\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/07\/Decttree-1024x526.png 1024w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/07\/Decttree-300x154.png 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/07\/Decttree-768x395.png 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/07\/Decttree-1320x678.png 1320w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2022\/07\/Decttree.png 1353w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/a><figcaption>Screenshot: WithSecure<\/figcaption><\/figure>\n\n\n\n<!--more-->\n\n\n\n<p><a href=\"https:\/\/github.com\/countercept\/\">Detectree<\/a>, entwickelt von WithSecure (ehemals F-Secure Business), ist ein Visualisierungstool f\u00fcr Cybersicherheitsverantwortliche (auch bekannt als Blue Teams). Laut Tom Barrow, Senior Threat Hunter bei WithSecure Countercept, dem Managed Detection and Response Service von WithSecure, ist es f\u00fcr die Verantwortlichen entscheidend, die Zusammenh\u00e4nge zwischen den verd\u00e4chtigen Ereignissen auf einem bestimmten Endpoint besser zu erkennen.<\/p>\n\n\n\n<p>\u201eIm Falle eines Sicherheitsvorfalls l\u00e4uft die Zeit immer gegen einen. Dann geht es darum, die Daten schnell zu analysieren und die entsprechenden Zusammenh\u00e4nge zwischen Daten und Aktivit\u00e4ten herzustellen, um die Reaktion auf den Angriff vorzubereiten. Das kostet Zeit, die nicht mit der eigentlichen Ma\u00dfnahme verbracht wird, den Cyberangriff zu bek\u00e4mpfen, und baut zus\u00e4tzlichen Druck auf.\u201c<\/p>\n\n\n\n<p>Versucht ein Analyst beispielsweise, die Ursache eines verd\u00e4chtigen Vorgangs zu finden, muss er normalerweise die Protokolldaten durchsehen und die Ereigniskette manuell rekonstruieren. Je l\u00e4nger die Kette ist, desto schwieriger und zeitaufwendiger wird die Analyse. Und angesichts der Menge an Sicherheitswarnungen, mit denen Blue Teams in gro\u00dfen Unternehmen konfrontiert werden k\u00f6nnen \u2013 <a href=\"https:\/\/www.eweek.com\/security\/challenges-of-the-soc-decision-intelligence\/\">laut einer aktuellen Studie etwa 11.000 pro Tag<\/a> \u2013 ist dies ein aufwendiger Prozess, der zu Problemen wie \u00dcberlastung bis hin zum Burnout f\u00fchren kann.<\/p>\n\n\n\n<p><a href=\"https:\/\/github.com\/countercept\/\">Detectree<\/a> wurde konzipiert, um Blue Teams bei der Vereinfachung der Ermittlungsarbeit zu unterst\u00fctzen, indem Log-Daten in einer Visualisierung strukturiert werden, die die Zusammenh\u00e4nge zwischen der erkannten verd\u00e4chtigen Aktivit\u00e4t und den mit dieser Erkennung verbundenen Prozessen, Zielen im Netzwerk, Dateien oder Registrierungsschl\u00fcsseln zeigt. Anstatt die als Text dargestellten Daten manuell zu sortieren, um eine Ereigniskette zu rekonstruieren, k\u00f6nnen die Sicherheitsverantwortlichen anhand der Visualisierung nicht nur die Zusammenh\u00e4nge erkennen, sondern auch die Art der Verbindungen, einschlie\u00dflich Interaktionen, Parent-Child-Beziehungen und Codeausf\u00fchrung durch dritte Prozesse.<\/p>\n\n\n\n<p>Mithilfe der Visualisierung k\u00f6nnen die Verantwortlichen schnell den Kontext im Falle einer Erkennung herstellen und diese Daten auf einfache und intuitive Weise an die relevanten Beteiligten weitergeben. So wird sichergestellt, dass die Informationen f\u00fcr alle zug\u00e4nglich sind, die ben\u00f6tigt werden.<\/p>\n\n\n\n<p>\u201eSelbst die erfahrensten und qualifiziertesten Blue Teams ben\u00f6tigen Tools, die ihnen dabei helfen, ihre Arbeit effizient zu erledigen. <a href=\"https:\/\/github.com\/countercept\/\">Detectree<\/a> ist zwar ein einfaches Tool, doch l\u00f6st es echte Probleme, die bei der t\u00e4glichen Arbeit der Sicherheitsverantwortlichen auftreten k\u00f6nnen\u201c, sagt Barrow.<\/p>\n\n\n\n<p>Weitere Informationen und Download: <a href=\"https:\/\/github.com\/countercept\/\">Github-Seite von WithSecure Countercept<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Oftmals ist es schwierig zu verstehen, welche Aktivit\u00e4ten w\u00e4hrend eines Cyberangriffs stattfinden und was f\u00fcr Auswirkungen diese haben. In die dazugeh\u00f6rige Analyse m\u00fcssen die IT-Abteilungen sowohl Ressourcen als auch Zeit investieren, die eigentlich viel dringender ben\u00f6tigt w\u00fcrden, um den Schaden zu verringern und den Angriff einzud\u00e4mmen. Um das genannte Problem zu l\u00f6sen, steht ab sofort ein kostenloses Open-Source-Werkzeug zur Verf\u00fcgung, das die verd\u00e4chtigen Aktionen visualisiert und in Beziehung zueinander stellt.<\/p>\n","protected":false},"author":81,"featured_media":21580,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[4,37],"tags":[16631,569,893,1027,16632],"class_list":["post-21578","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news","category-security","tag-detectree","tag-f-secure","tag-kostenlos","tag-open-source","tag-withsecure"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/21578","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=21578"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/21578\/revisions"}],"predecessor-version":[{"id":21581,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/21578\/revisions\/21581"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/21580"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=21578"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=21578"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=21578"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}