Was sind Gefährdungsindikatoren?
Definition von Gefährdungsindikatoren
Definition von Gefährdungsindikatoren
Gefährdungsindikatoren (Indicators of Compromise, IoCs) sind der Beleg dafür, dass ein Cyber-Angriff stattgefunden hat. Sie liefern wertvolle Informationen über das Geschehene, können aber auch zur Vorbereitung auf die Zukunft und zur Vorbeugung ähnlicher Angriffe dienen. Software zur Bekämpfung von Malware und ähnliche Sicherheitstechnologien arbeiten mit bekannten Gefährdungsindikatoren, wie z. B. Virensignaturen, um aktiv den Schutz vor schwer zu erfassenden Bedrohungen zu gewährleisten. Gefährdungsindikatoren können auch in heuristischen Analysen zum Einsatz kommen.
Erkennen komplexer und schwer zu fassender Malware und Abfangen von Gefährdungsindikatoren mit Forcepoint Advanced Malware Detection
Wie funktionieren Gefährdungsindikatoren?
Wenn ein Angriff durch Malware erfolgt, lassen sich in System- und Protokolldateien Spuren ihrer Aktivität finden. Diese Gefährdungsindikatoren stellen die Aktivitäten in Ihrem Netzwerk dar, die Sie sonst möglicherweise nicht in Echtzeit beobachten und die auf potenziell böswillige Aktivitäten hindeuten können. Wenn eine Sicherheitsverletzung festgestellt wird, werden Gefährdungsindikatoren bzw. „forensische Daten“ mithilfe dieser Dateien von IT-Experten gesammelt. Moderne Systeme zum Schutz vor Malware nutzen bekannte Gefährdungsindikatoren, um Infektionen mit Schadsoftware, Datenschutzverletzungen und andere Sicherheitsbedrohungen bereits im Frühstadium zu erkennen. So können Unternehmen Angriffe präventiv verhindern und Daten und IT-Systeme schützen.
Aktive Prävention, der Sie vertrauen können
Advanced Malware Detection von Forcepoint bietet hochgradig wirksame Sicherheitsmaßnahmen. Selbst überaus schwer zu erfassende Bedrohungen werden durch eine detaillierte Inhaltsuntersuchung von Aktivitäten auf mehreren Ebenen, inaktivem Code und anderen Gefährdungsindikatoren aufgedeckt, die von herkömmlichen Sandbox-Sicherheitstechnologien häufig übersehen werden.
Beispiele von Gefährdungsindikatoren
Sicherheitsverletzungen können viele verschiedene Formen annehmen. Eigenartige Netzwerkmuster, ungewöhnliches Kontoverhalten, unerwartete oder unerklärliche Konfigurationsänderungen und unbekannte neue Dateien auf Systemen können allesamt auf eine Datenschutzverletzung hinweisen.
Hier einige der derzeit häufigsten Gefährdungsindikatoren:
Ungewöhnlicher ausgehender Netzwerkdatenverkehr
Eines der offensichtlichsten Anzeichen für eine Sicherheitsverletzung sind Auffälligkeiten in den Mustern und im Volumen des Netzwerkdatenverkehrs. Neben der Analyse des Datenverkehrs, der in Ihr Netzwerk gelangt, sollten Sie auch die ausgehenden Daten überwachen. Änderungen im ausgehenden Datenverkehr können ein Hinweis darauf sein, dass in Ihrem Netzwerk ein Angriff stattfindet. Der beste Ansatz ist, alle Aktivitäten, also sowohl eingehende als auch ausgehende, in Ihrem Netzwerk zu überwachen.
Geografische Unregelmäßigkeiten
Wenn Sie schon einmal eine E-Mail von Ihrem E-Mail-Anbieter empfangen haben, in der Sie gewarnt werden, dass auf Ihr Postfach von einem anderen Land aus zugegriffen wurde, werden Sie verstehen, was eine geografische Unregelmäßigkeit ist. Sie wissen zu schätzen, wie nützlich diese Gefährdungsindikatoren für die Absicherung Ihrer Daten und personenbezogenen Informationen sein können.
Stellen Sie sich also vor, wie wertvoll Gefährdungsindikatoren, die geografische Unregelmäßigkeiten überwachen, für Unternehmen sein können. Diese Unregelmäßigkeiten in Zugriffs- und Anmeldemustern können nützliche Hinweise dafür liefern, dass Angreifer von einem anderen Land oder Kontinent aus die Fäden ziehen.
Auffälligkeiten bei Konten privilegierter Benutzer
Das ganz große Los ziehen Angreifer, denen es gelingt, Zugriff auf ein Konto mit weitreichenden Rechten zu erhalten. Normalerweise tun sie dies, indem sie sich Zugriff auf Konten mit administrativen Rechten verschaffen oder die Berechtigungen von Konten erweitern, auf die sie bereits Zugriff haben. Änderungen bei der Kontoaktivität, wie z. B. beim Volumen der Informationen, auf die zugegriffen wird oder die geändert werden, oder die Art des Systems, auf das zugegriffen wird, sind Gefährdungsindikatoren, die überwacht werden sollten.
Erheblicher Anstieg von Lesevorgängen in einer Datenbank
Die meisten Unternehmen speichern ihre vertraulichsten und personenbezogenen Daten in einem Datenbankformat. Aus diesem Grund sind Ihre Datenbanken stets ein bevorzugtes Ziel für Angreifer. Eine Spitze bei den Lesevorgängen in der Datenbank ist ein sicherer Indikator dafür, dass ein Angreifer versucht, Ihre Daten zu infiltrieren.