Endpoint Security

 

Häufige Fragen zu Endpoint Security

Erläuterungen und Antworten zu Endpoint Sicherheit und anderen IT-Security Fachbegriffen

Eines der wichtigsten Einfallstore in Unternehmensnetzwerke für Hacker sind die unterschiedlichen Endgeräte eines Netzwerks. Die nachfolgenden Fragen und Antworten zum Thema Endpoint Security beleuchten alle Aspekte zeitgemäßer technischer und organisatorischer Maßnahmen, die die IT-Endgeräte vor Cyberangriffen, der Ausnutzung von Sicherheitslücken und der Kompromittierung durch schädlichen Code schützen.

Unter dem Begriff Endpoint Security (deutsch: Endpunktsicherheit) lassen sich alle Maßnahmen zusammenfassen, die Endgeräte – sei es ein Laptop, ein Smartphone oder ein Server – vor Cyberangriffen schützen sollen. Eine Endpoint-Security-Lösung beobachtet kontinuierlich alle auf einem Endgerät installierten oder laufenden Programme. Bei verdächtigen Aktivitäten alarmiert sie sofort und greift im Bedarfsfall ein. So lässt sich ein als schädlich erkannter Prozess anhalten oder abschalten, bevor Schaden entsteht.

Endpoint Security gewinnt für Unternehmen insbesondere vor dem Hintergrund vielschichtig aufgebauter Malware an Bedeutung. Landeten Schadprogramme vor einigen Jahren noch direkt per Download auf dem jeweiligen Endgerät, lädt sich raffinierte Malware heute über zunächst harmlos erscheinende Dateien nach. So reicht bereits ein initialer Einfallsvektor aus, wie eine an sich vollkommen harmlose Worddatei als E-Mail-Anhang. Einmal geöffnet kann sie über Makros bösartigen Code ins System holen. Klassische Antiviren-Software und Firewalls versagen hier oftmals. Endpoint Security hingegen kann verdächtige Vorgänge erkennen und das Nachladen von Schadsoftware stoppen. Angriffe und auch Ransomware-Attacken lassen sich so verhindern. Letztere zielen darauf ab, Dateien eines Unternehmens zu verschlüsseln, um dann für die Entsperrung ein Lösegeld zu verlangen. Endpoint Security ist in der Lage, in diesem Fall verdächtige Aktivitäten an den Dateien sofort zu erkennen, Alarm zu schlagen und zu unterbinden.

 

Erfahren Sie hier, wie indevis Endpoint Security mit Cortex XDR von Palo Alto Networks umsetzt!

 

Endpoint Security ist gerade in Anbetracht der rasant wachsenden und stetig professioneller werdenden IT-Kriminalität unverzichtbar. Vor allem Ransomware-Hackergruppen, wie die bekannte Conti-Gruppe, die bereits an die 2,5 Milliarden Dollar mit der Erpressung von Unternehmen eingenommen haben soll, zeigen dies eindrücklich. Damit Unternehmen Angriffen solch hoch organisierter und technisch versierter Kriminellen-Gruppen nicht schutzlos ausgeliefert sind, bietet sich Endpoint Security als Sicherheits-Lösung an. Die in den Systemen enthaltene sogenannte Analytics Engine deckt nicht nur statisch bekannte Virus-Dateien anhand von Listen auf, sondern kann auch dynamisch schädliches Verhalten von Prozessen erkennen und auf diese reagieren. Eine gut integrierte Endpoint Security zieht zudem weitere Datenquellen hinzu, etwa aus zusätzlichen Firewalls oder Cloud-Diensten. Auf einer zentralen Oberfläche, auf der alle Alerts zusammenlaufen, lässt sich so schnell ein umfangreiches Gesamtbild eines Vorfalls oder Angriffs zeichnen und entsprechend reagieren.

Klassische Antivirus-Lösungen verfolgen in der Regel einen statischen Ansatz. Sie sind Präventivkonzepte, die Endgeräte regelmäßig auf Schadsoftware scannen. Dazu gleicht das Antiviren-Programm die Signatur einer gestarteten Datei mit einer vordefinierten internen Liste ab und überprüft so, ob es sich um eine bekannte Schadsoftware handelt. Das Konzept von Endpoint Security ist hingegen dynamisch. Es blickt während des Betriebs tief in die Prozesse hinein und kann schädliche Verhaltensweisen erkennen und teilweise auch gleich blockieren. Endpoint Security wird somit in einer Welt, die von sich stetig und rasant verändernden Bedrohungen und immer neuen Angriffsmethoden geprägt ist, zu einem immer wichtigeren Faktor für die Sicherheitsstrategie eines Unternehmens.

Endpoint Detection and Response ist sozusagen die fortschrittliche Umsetzung von Endpoint Security in der Systemarchitektur eines Unternehmens. Von einer zentralen Management-Oberfläche aus wird dazu auf jedem Endgerät im Netzwerk ein Client installiert. Dieser beobachtet das jeweilige Device dann kontinuierlich und erzeugt bei verdächtigen Vorgängen Alarme beziehungsweise Incidents, die auf der zentralen Oberfläche in Echtzeit gesammelt, korreliert und ausgewertet werden. Wenn es sich um bekannte schadhafte Vorgänge handelt, kann die Software sofort automatisiert aktiv werden. Bei allen anderen Vorgängen muss ein IT-Mitarbeiter den Ursachen des Alarms nachgehen und entscheiden, was zu tun ist. Das ist im Normalfall sehr aufwendig, da Endpoint-Security-Systeme meist eine große Anzahl an Incidents produzieren. Daher setzen viele Unternehmen mittlerweile auf Managed Detection and Response (MDR), bei dem eben dieses Management von IT-Sicherheitsspezialisten übernommen wird.

Eine EDR-Lösung (Endpoint Detection and Response) betreiben und überwachen die IT-Mitarbeiter eines Unternehmens selbst. Bei MDR (Managed Detection and Response) übernimmt dies hingegen ein spezialisierter Dienstleister für IT-Sicherheit. Bei verdächtigen Vorfällen arbeitet er eng mit den Ansprechpartnern im auftraggebenden Unternehmen zusammen und gibt Handlungsempfehlungen. Das entlastet die meist chronisch überlasteten internen IT-Abteilungen. Zudem setzt ein guter Dienstleister eine Lösung für Security Orchestration, Automation and Response (SOAR) ein. Diese kann riesige Datenmengen innerhalb kürzester Zeit überprüfen und sogenannte False Positives, also Fehlalarme, herausfiltern. So erhalten die Sicherheitsexperten beim Dienstleister schnell das trennscharfe Gesamtbild eines Angriffsvektors und können sofort auf Bedrohungen reagieren.

Im Grunde lohnt sich Endpoint Security für jedes Unternehmen, denn jeder Betrieb verfügt über geschäftskritische Systeme und sensible Daten, die es vor einem Angriff zu schützen gilt. Für welche Lösung man sich konkret entscheiden sollte, ist daher vor allem eine Frage der Anzahl der abzudeckenden Endpoints. Cortex XDR von Palo Alto Networks beispielsweise bietet als eine der führenden Endpoint-Security-Lösungen neben einer Pro-Variante auch eine im Funktionsumfang reduzierte Version zu einem günstigeren Preis an.

Lange Zeit stand Endpoint Security vor allem in Zusammenhang mit Zero Day Exploits ganz oben auf der To-do-Liste von Security-Experten. Dabei handelt es sich um bisher noch unbekannte Sicherheitsschwächen in der IT-Umgebung eines Unternehmens, die Angreifer ausnutzen, bevor ein passender Patch bereitsteht. Seit der Corona-Krise und dem dadurch ausgelösten Trend zu Homeoffice und Remote Work hat der Bedarf an Endpoint Security auch jenseits von Zero-Day-Attacken deutlich zugenommen. Denn nun gilt es, effiziente Sicherheitslösungen auch für nicht statische Arbeitsplätze auf hohem Niveau umzusetzen, um sie vor Bedrohungen aller Art zu schützen.

Eine gute Endpoint-Security-Lösung zeigt sich vor allem am Grad der Integration. Ein guter IT-Sicherheits-Dienstleister arbeitet dazu eng mit den Verantwortlichen im Unternehmen zusammen und eruiert, welche Geräte, Systeme und Lösungen bereits im Netzwerk existieren und wie diese mit der Endpoint Security zusammenspielen können. Nur so kann das zentralisierte Management und die Analyse von Warnmeldungen aus den verschiedenen angebundenen Quellen reibungslos funktionieren.

Individuelle Integration und Consulting

Unsere Consulting-Abteilung setzt sich mit Ihnen zusammen und erarbeitet eine integrierte Lösung, die ganz auf Ihr Unternehmen und dessen individuelle Bedürfnisse zugeschnitten ist. Sie erhalten somit bei indevis die Software-Lösung zusammen mit einem umfangreichen Integrations- und Kundenservice. Egal ob Sie Fragen zu konkreten Vernetzungsmöglichkeiten, automatischen Reaktionen auf verdächtige Vorfälle oder anderen Themen haben – unser kompetentes und geschultes Consulting-Team steht Ihnen stets zur Seite und hilft Ihnen bei der Integration vor Ort.

Einfache Integration und Schutz mit Cortex XDR aus der Cloud

indevis setzt als Endpoint Security-Lösung auf die Software Cortex XDR von Palo Alto Networks. Die cloudbasierte Lösung kombiniert Netzwerk-, Endpunkt- und Clouddaten, um fortschrittliche Cyberangriffe zu erkennen, zu untersuchen und zu stoppen. Die Anzahl der zu überprüfenden Alerts lässt sich auf diese Weise um das 50-fache reduzieren, da die Lösung verwandte Warnungen intelligent gruppiert. Mittels Deep Analytics und KI beobachtet Cortex XDR zudem rund um die Uhr das Benutzer- und Endpoint-Verhalten und schlägt bei Auffälligkeiten Alarm. Bei einer Abweichung vom Baselining etwa, also wenn beispielsweise auf einem Laptop mehr Prozesse als üblich gleichzeitig ablaufen, löst sie sofort Alarm aus. Gemeldete Alerts lassen sich auf der Cloud-Plattform anschließend mit nur einem Klick untersuchen, da die patentierte Analyse Engine Kausalketten analysiert und visualisiert. Mehr über die Lösung Cortex XDR erfahren Sie hier: https://www.indevis.de/herstellerloesungen/palo-alto-networks-cortex

Post-Incident-Bedrohungsanalyse

Nach einem Hack ist es meistens unmöglich, Informationen über diesen zu erhalten. Die Spuren sind zu gut verwischt und die Systeme zu kompromittiert. Die von indevis eingesetzte cloudbasierte Endpoint-Security-Lösung Cortex XDR von Palo Alto Networks bietet Ihnen im Falle eines Hacks aber sogar noch „Post Incident“ Unterstützung. So erhalten Sie eine umfassende Übersicht über das Schadensbild. Der Hack wird mit forensischen Methoden überprüft, um Fragen zu klären wie: Wer hat wann, was und wie gemacht? Zu welcher Uhrzeit wurden welche Dateien ausgeführt? Welcher Prozess hat Daten nachgeladen? Im Falle einer Ransomware-Attacke werden nämlich nicht alle Dateien verschlüsselt. Systemrelevante Dateien wie Logdateien bleiben in der Regel weiterhin offen, um den Betrieb des Systems zu gewährleisten. Diesen Fakt macht sich indevis zunutze, um wertvolle Informationen aus den verschiedenen Quellen zu gewinnen.

 

Endpoint Security und IT-Security Glossar

Die erste Herausforderung zur Einschätzung von Risiken im Cyberumfeld ist das Verständnis der verwendeten Terminologie. In unserem Glossar finden Sie eine Liste aktueller Fachbegriffe und Erklärungen aus der Welt der IT-Sicherheit.

Neben Grundlagenbegriffen erläutern wir auch gegenwärtige Buzzwords und Trendbegriffe aus der IT-Security, Cybersecurity und Endpoint Security.

Abkürzung Ausgeschrieben bzw. Deutsch Bedeutung
AI / KI / ML Artificial Intelligence / Künstliche Intelligenz / Machine Learning Künstliche Intelligenz ist der Überbegriff für Anwendungen, bei denen Maschinen menschenähnliche Intelligenzleistungen erbringen. Darunter fallen das maschinelle Lernen oder Machine Learning, das Verarbeiten natürlicher Sprache (NLP – Natural Language Processing) und Deep Learning. Die Grundidee besteht darin, durch Maschinen eine Annäherung an wichtige Funktionen des menschlichen Gehirns zu schaffen – Lernen, Urteilen und Problemlösen.
(Quelle: https://news.sap.com/germany/2018/03/was-ist-kuenstliche-intelligenz/)
Alerts Warnmeldungen Systeme, die auf Basis von Logs oder anderen Informationen, z.B. Netflow, korrelieren können, erzeugen Alerts. Zu diesen Systemen gehören SIEMs, IDS/IPS, AV- und EDR-Lösungen, etc. Ein Alert kann aus einem einzelnen Log heraus entstehen oder aufgrund einer bestimmten Kombination von Logs und weiteren Informationen (= Korrelation) erzeugt werden. Ein Alert kann sich auch als False Positive herausstellen, ein Fehlalarm. Ist ein Alert kein False Positive, wird er zum Incident bzw. Security Incident.
ANSSI Agence nationale de la sécurité des systèmes d’information Die ANSSI (deutsch: Nationale Agentur für Sicherheit der Informationssysteme) ist eine französische Behörde, die für die Informationssicherheit zuständig ist. Sie ist dem Generalsekretariat für nationale Verteidigung und Sicherheit angegliedert, das direkt dem französischen Premierminister untersteht.
APT Advanced Persistent Threat APT (deutsch „fortgeschrittene andauernde Bedrohung“) ist ein im Bereich der Cyber-Bedrohung (Cyber-Attacke) verwendeter Begriff für einen komplexen, zielgerichteten und effektiven Angriff auf kritische IT-Infrastrukturen und vertrauliche Daten von Behörden und Unternehmen aller Größen und Branchen.
BIOC Behovioural Indicators of Compromise Verhaltensbasierte Indicators of Compromise basieren im Unterschied zu IOCs (Erläuterung siehe unten) auf der Identifikation bestimmter Aktivitäten (Netzwerk, Prozess, Datei, Registrierung usw.), die auf eine Bedrohung hinweisen. Mit einer BIOC-Regel lässt sich der Strom eingehender Daten überwachen und Benachrichtigungen erstellen, wenn ein verdächtiges Verhalten erkannt wird.
BSI Bundesamt für Sicherheit in der Informationstechnik Das Bundesamt für Sicherheit in der Informationstechnik ist eine deutsche Bundesoberbehörde im Geschäftsbereich des Bundesministeriums des Innern und für Heimat mit Sitz in Bonn, die für Fragen der IT-Sicherheit zuständig ist.
Cases bzw. Tickets Benachrichtigung über Alerts Bei Cases oder Tickets handelt es sich um die Meldung eines aufgetretenen und gefundenen Alerts an den entsprechenden Bearbeiter. Der Case muss dabei die erforderlichen Informationen enthalten, um die Situation nachvollziehen und möglichst auch lösen zu können.
CERT Computer Emergency Response Team In einem CERT arbeiten IT-Spezialisten und Sicherheitsfachleute an der Lösung von konkreten Sicherheitsvorfällen.
C2 Command & Control Command and Control im Zusammenhang mit Cyberangriffen bezieht sich auf den Einfluss, den ein Hacker auf ein kompromittiertes Computersystem hat, das er kontrolliert.
C5 Cloud Computing Compliance Controls Catalogue Der Cloud Computing Compliance Controls Catalog (C5) ist ein vom BSI eingeführtes Zertifizierungssystem, welches Organisationen beim Nachweis der betrieblichen Sicherheit gegen gängige Cyberangriffe bei der Nutzung von Cloud-Services im Rahmen der Sicherheitsempfehlungen für Cloud-Anbieter der Bundesregierung unterstützt.
CSIRT Computer Security Incident Response Team Der Begriff wird oft synonym für CERT verwendet.
Data Lake Sammlung von Rohdaten Data Lakes werden für Analysen, z.B. mit Analytics Engines, genutzt.
DFIR Digital Forensics & Incident Response Digital Forensics and Incident Response (DFIR) ist ein Bereich der Cybersicherheit, der sich auf die Identifizierung, Untersuchung und Behebung von Cyberangriffen konzentriert.
DFIR hat zwei Hauptkomponenten:
Digitale Forensik: Ein Teilbereich der forensischen Wissenschaft, der Systemdaten, Benutzeraktivitäten und andere digitale Beweise untersucht, um festzustellen, ob ein Angriff im Gange ist und wer hinter den Aktivitäten stecken könnte.
Reaktion auf Vorfälle: Der übergreifende Prozess, den eine Organisation befolgt, um sich auf eine Datenschutzverletzung vorzubereiten, sie zu erkennen, einzudämmen und zu beheben.
EDR Endpoint Detection and Response Das Kürzel EDR steht für Endpoint Detection and Response. Es handelt sich um ein Konzept und eine technische Lösung zum Schutz und zur Abwehr von Cyberbedrohungen von Endgeräten wie PCs, Laptops, Tablets und Smartphones oder Server. EDR zeichnet das Verhalten der Endgeräte auf und analysiert diese Daten. Bei erkanntem verdächtigem Verhalten bietet Endpoint Detection and Response automatisierte Reaktionen zur Abwehr wie die Isolierung der Endgeräte.
Enrichment Anreicherung Mechanismus im SIEM oder SOAR, um einen Alert mit weiteren, hilfreichen Informationen anzureichern, z.B. Netzwerk-, System- und Benutzerdaten.
IDS / IPS Intrusion Detection / Protection System IDS / IPS ist eine Security-Lösung, die ein Netzwerk oder eine Netzwerkkomponente wie einen Server oder einen Switch überwacht und versucht, Regelverletzungen und schädliche Vorfälle wie Hacker-Angriffe zu erkennen und diese dann teilweise automatisch abzuwehren.
Incidents bzw. Security Incidents Vorfälle, bzw. Sicherheitsvorfälle Security Incidents sind Sicherheitsvorfälle, bei denen die Schutzmaßnahmen eines Unternehmens versagt haben und Systeme oder Daten einer Organisation angegriffen und kompromittiert wurden.
IOC Indicator of Compromise Indicator of Compromise (IOC) sind statische Merkmale und Daten, die auf die Kompromittierung eines Computersystems oder Netzwerks hinweisen. Es handelt sich beispielsweise um außergewöhnliche Netzaktivitäten, besondere Dateien, Einträge in Logfiles oder gestartete Prozesse.
Kerberoasting Kerberos (altgriechisch, latinisiert Cerberus, dt. auch Zerberus) Kerberos ist ein verteilter Authentifizierungsdienst für offene und unsichere Computernetze, um Man-in-the-middle-Angriffe zu unterbinden. Kerberoasting bezeichnet das Abgreifen von Service-Account Anmeldeinformationen.
Lateral Movement Seitliche Bewegung Schrittweise Bewegung eines Angreifers nach dem Eindringen durch ein Netzwerk, während er nach lohnenswerten Daten und Assets sucht.
Logs bzw. Logdaten Protokollierungseintrag Bei einem Log bzw. einem Event handelt es sich um einen einzelnen Protokollierungseintrag eines Systems, eines Geräts oder einer Applikation. Beispiele:
  • Windows Login mit Event Id 4624
  • Exception bei einer Java-Anwendung
  • Heartbeat einer Maschine
  • Mitteilung einer Firewall, dass ein Paket blockiert bzw. zugelassen wurde
Ein Log bzw. Event beschreibt nicht zwingend ein Fehlerereignis. Es kann sich dabei auch um Meldungen über erfolgreiche Ereignisse (z.B. erfolgreicher Login) oder einfache Statusmeldung (z.B. Heartbeat) handeln.
Logquelle Protokollierungseinträge eines Herkunftssystems Gesammelte Protokollierungseinträge eines bestimmten Systems, Geräts oder Applikation. Logquellen stellen Events für Logmanagement und SIEM-Systeme oder Data Lakes zur Verfügung.
MDR Managed Detection and Response Erkennung von IT-Sicherheitsbedrohungen und Reaktion auf Angriffe, erbracht als Service von einem externen Dienstleister.
MITRE Massachusetts Institute of Technology Research and Engineering Die MITRE Corporation ist durch Abspaltung vom Massachusetts Institute of Technology (MIT) entstanden und ist heute eine Non-Profit Organisation zum Betrieb von Forschungsinstituten im Auftrag der Vereinigten Staaten.
MTTD Mean Time to Detect Durchschnittliche Zeit, bis ein Angriff entdeckt wird.
MTTR Mean Time to Resolution Durchschnittliche Zeit, bis ein Angriff und seine Folgen beseitigt sind.
NDR Network Detection and Response Network Detection and Response (NDR) beschreibt Sicherheitslösungen, die den Netzwerkverkehr kontinuierlich überwachen und analysieren, um verdächtigen Datenverkehr zu erkennen und darauf automatisiert zu reagieren. Zur Analyse des Netzwerkverkehrs und zum Erkennen von Anomalien kommen Verfahren der Künstlichen Intelligenz (KI) und des Maschinellen Lernens (ML) zum Einsatz.
(Quelle: https://www.security-insider.de/was-ist-network-detection-and-response-ndr-a-1094255/)
NGFW Next-Generation Firewall Next Generation Firewalls (NGFWs) filtern den Netzwerk-Traffic, um ein Unternehmen vor internen und externen Bedrohungen zu schützen. Zusätzlich zu allen Funktionen einer klassischen Stateful Firewall – wie Paket-Filterung, IPSec- und SSL-VPN-Unterstützung, Netzwerk-Monitoring und IP-Mapping – bieten NGFWs umfassendere Funktionen für eine gründlichere Überprüfung von Inhalten. Mit diesen NGFW-Funktionen lassen sich Angriffe, Malware und andere Bedrohungen identifizieren und blockieren.
NIST National Institute of Standards and Technology Das "Nationale Institut für Standards und Technologie" ist eine Bundesbehörde der Vereinigten Staaten und ist für Standardisierungsprozesse zuständig. Die Verschlüsselungsalgorithmen DES und AES, die Hashfunktionen der SHA-Familie sowie der FIPS-Standard sind hier hervorgegangen und veröffentlicht worden.
NTA Network Threat Analytics Datenverkehrsüberwachung zur Feststellung, ob der Datenfluss mit der Art des Datenverkehrs konsistent ist, der normalerweise in einem Netz beobachtet wird.
Persistence Persistenz Im Fall des "Advanced Persistent Threat" (APT - Erläuterung siehe oben), die fortgeschrittene andauernde Bedrohung.
Playbook Handlungsanleitung Handlungsanleitung im SOAR, um einen Alarm abzuarbeiten (automatisiert oder teilautomatisiert).
PowerShell PowerShell Framework zur Konfiguration und Verwaltung von Windows-Systemen.
RCE Remote Code Execution Angriffe mittels Remote Code Execution (RCE) ermöglichen es einem Hacker, beliebige Befehle oder bösartigen Code aus der Ferne auf einem Zielcomputer oder Endgeräten auszuführen.
RDP Remote Desktop Protocol Das Remote Desktop Protocol ist ein proprietäres Netzwerkprotokoll von Microsoft für den Fernzugriff auf Computer. (Quelle: https://de.wikipedia.org/wiki/Remote_Desktop_Protocol)
SASE Secure Access Service Edge SASE, Secure Access Service Edge, ist ein Architekturkonzept, bei dem WAN-Services und Sicherheitsfunktionen zu einer einheitlichen Cloud-nativen Lösung kombiniert werden. SASE besteht aus: SD-WAN und Security Services wie Secure Web, Firewall as a Service, Zero Trust Network Access, Cloud Access Security Broker und sicheres DNS.
SecMon Security Monitoring Security Monitoring bezeichnet die kontinuierliche Überwachung der Sicherheit von IT-Systemen. Ziel ist die Erkennung von Anomalien und verdächtigen Vorgängen, die Hinweis auf eine Cyberattacke sein können. Diese Hinweise werden geprüft und bewertet, um dann ggf. zeitnah die angemessenen Gegenmaßnahmen einleiten zu können.
SIEM Security Information and Event Management SIEM dient der Computersicherheit einer Organisation. Security Information and Event Management kombiniert die zwei Konzepte Security Information Management und Security Event Management für die Echtzeitanalyse von Sicherheitsalarmen, die aus unterschiedlichen Quellen generiert werden können, wie z.B. Anwendungen und Netzwerkkomponenten.
SOAR Security Orchestration, Automation and Response SOAR stellt Software und Verfahren zur Verfügung, mit denen sich Informationen über Sicherheitsbedrohungen sammeln und analysieren lassen. Auf deren Basis kann eine automatische Reaktion erfolgen. Ziel ist es, das Bedrohungs- und Schwachstellenmanagement in einem Unternehmen zu verbessern.
SOC Security Operations Center Ein Security Operations Center (SOC), teils auch unter der Bezeichnung Cyber Defense Center bekannt, ist eine Kommandozentrale für Cyber Security Experten und dient der zeitnahen Erkennung von Sicherheitsvorfällen. In einem SOC werden alle Experten, Werkzeuge und Prozesse kombiniert, mit dem Ziel, IT-Sicherheitsrisiken zu verhindern, zu entdecken, zu analysieren, zu bewerten, deren Behebung zu beschreiben und zu kontrollieren sowie im Bedarfsfall bei der Umsetzung von Gegenmaßnahmen zu unterstützen und eine Beweissicherung einzuleiten.
SSH Secure Shell Secure Shell oder SSH bezeichnet ein kryptographisches Netzwerkprotokoll für den sicheren Betrieb von Netzwerkdiensten über ungesicherte Netzwerke. (Quelle: https://de.wikipedia.org/wiki/Secure_Shell)
SzA System zur Angriffserkennung Unter einem System zur Angriffserkennung versteht man eine technische Maßnahme zur frühzeitigen Erkennung von Cyber-Angriffen, die Informationssysteme schützt sowie die Schadensreduktion und Schadensvermeidung unterstützt.
UBA User Behaviour Analytics Die Analyse des Benutzerverhaltens ist ein Cybersicherheitsprozess zur Überwachung der Benutzer eines Systems, mit dem Ziel der Erkennung von Insider-Bedrohungen, von gezielten Angriffen und Finanzbetrug.
Use Case Anwendungsfall Erkennungsmechanismus im Regelwerk einer Analytics Engine, um einen bestimmten Sicherheitsvorfall entdecken zu können.
vSOC Virtual SOC Ein vSOC ist ein outgesourctes Security Operations Center bei einem Dienstleister für Managed Detection and Response.
XDR Extended Detection and Response Die Extended Detection and Response (XDR) bietet transparente Einblicke in Daten über Netzwerke, Clouds, Endpunkte und Anwendungen hinweg. Gleichzeitig werden Analysen und Automatisierung genutzt, um aktuelle und zukünftige Bedrohungen zu erkennen, zu analysieren, zu verfolgen und zu beseitigen.
XSOAR Extended Security Orchestration, Automation and Response SOAR-Lösung von Palo Alto Networks

 

indevis Endpoint Security

indevis setzt als Endpoint Security-Lösung auf die Software Cortex XDR von Palo Alto Networks. Sollten auch Sie für Ihr Unternehmen Handlungsbedarf im Bereich Endpoint Security sehen, so setzen Sie sich bitte gerne mit Ihrem Vertriebsbetreuer in Verbindung: Sprechen Sie uns an! +49 (89) 45 24 24-100.