Continuous Threat Detection (kontinuierliche Bedrohungserkennung)

Die Continuous Threat Detection (CTD) oder kontinuierliche Bedrohungserkennung ist die Grundlage der Claroty-Plattform.

Unkategorisiert

Kontinuierliche Bedrohungserkennung: Datenblatt

Die kontinuierliche Erkennung von Bedrohungen erweitert grundlegende Cybersicherheitskontrollen auf industrielle Netzwerke.

Unkategorisiert

Claroty-Unterstützung für MITRE ATT & CK für ICS Framework: White Paper

In diesem Dokument wird detailliert beschrieben, inwieweit die Claroty-Plattform gegnerische Techniken erkennen kann, die in MITRE ATT & CK für ICS-Framework aufgeführt sind.

Unkategorisiert

Anwendungsfall: Reaktion auf Vorfälle für Remotebenutzeraktivitäten

Dieses Anwendungsbeispiel zeigt, wie die SRA- und CTD-Komponenten der Claroty-Plattform es IT- und OT-Mitarbeitern ermöglichen können, auf Vorfälle im Zusammenhang mit nicht autorisierten Aktivitäten von OT-Remotebenutzern zu reagieren.

CTD KENNENLERNEN

Die kontinuierliche Bedrohungserkennung bietet grundlegende Cybersicherheitskontrollen, die die vier Grundpfeiler für die Sicherheit industrieller Netzwerke unterstützen: AUFZEIGEN, SCHÜTZEN, ERKENNEN und VERBINDEN.

Wirksame industrielle Cybersicherheit beginnt damit, dass man weiß, was geschützt werden muss. Doch im Gegensatz zu ihren IT-Gegenstücken sind die meisten industriellen Netzwerke von Natur aus anfällig und verwenden proprietäre Protokolle, die es schwierig machen, Industrieressourcen und die ihnen zugrunde liegenden Prozesse zu identifizieren. So hilft Ihnen CTD, diese Herausforderung zu meistern:

  • Mit der branchenweit größten Bibliothek an proprietären Protokollen und drei verschiedenen Scan-Methoden bietet CTD 100%ige Transparenz für alle drei Risikovariablen in Ihrem industriellen Netzwerk: OT-, IoT- und IIoT-Ressourcen, Verbindungen und Prozesse.
  • Dieses Maß an Transparenz ist sowohl in Bezug auf die Breite als auch auf die Tiefe unübertroffen. Sie erstreckt sich auf serielle Netzwerke, detaillierteste Angaben zu jeder industriellen Ressource, alle Aktionen und Änderungen, die während der Netzwerksitzungen vorgenommen wurden, und sogar die Codeabschnitte und Tag-Werte aller industriellen Prozesse.
  • Die Enterprise Management Console (EMC-Konsole) von CTD stellt sicher, dass diese Transparenz skalierbar ist und mühelos über alle angeschlossenen Standorte hinweg verwaltet werden kann. Die EMC-Konsole stellt eine zentrale Datenansicht für alle OT-, IoT- und IIoT-Ressourceninformationen dar und bietet sowohl vorgefertigte als auch anpassbare Berichte, die für die Führungsebene geeignet sind.

Die Segmentierung von industriellen Netzwerken ist eine wesentliche Maßnahme zur Steigerung der Cybersicherheit, aber herkömmliche Methoden zur Segmentierung sind unerschwinglich kostspielig, zeitintensiv und erfordern in der Regel erhebliche Ausfallzeiten. Die CTD-Funktion „Virtual Zones“ (virtuelle Zonen) schafft hier Abhilfe. So funktioniert’s:

  • CTD nutzt künstliche Intelligenz, um Ihr gesamtes Netzwerk in virtuelle Zonen zu unterteilen. Dabei handelt es sich um richtliniendefinierte Gruppen von Ressourcen, die unter normalen Umständen miteinander kommunizieren.
  • Wenn Sie über keine physische oder logische Segmentierung verfügen, können Sie virtuelle Zonen als kostengünstige, effiziente Alternative verwenden, die vergleichbare Funktionen zu einem Bruchteil der Kosten bietet.
  • Wenn Sie aufgrund regulatorischer Vorschriften oder aus anderen Gründen eine physische oder logische Segmentierung implementieren möchten, können Sie diese Initiativen erheblich beschleunigen, indem Sie die virtuellen Zonen als Blaupause verwenden.
  • Böswillige oder anderweitig anormale Aktivitäten, die gegen die Richtlinien von Virtual Zones verstoßen, lösen sofort eine Warnung aus, die kontextbezogen und risikobasiert ausgewertet wird, um die Priorisierung und Reaktionsmaßnahmen zu unterstützen.
  • Sie können CTD problemlos in Ihre vorhandenen Firewalls und NAC-Lösungen integrieren, um die Richtlinien für virtuelle Zonen proaktiv durchzusetzen und aktive Angriffe automatisch zu entschärfen.

Ungepatchte Schwachstellen und andere Sicherheitslücken sind in industriellen Netzwerken besonders häufig anzutreffen, weil letztere nur begrenzt transparent sind, auf Altsysteme angewiesen sind und nur in begrenzten Zeiträumen gepatcht werden können. Diese Merkmale führen zu einem beträchtlichen inhärenten Risiko, das nur schwer zu erfassen, geschweige denn zu bewältigen ist. So kann CTD helfen:

  • CTD vergleicht die kleinsten Details einer jeden industriellen Ressource mit einer umfangreichen Datenbank von unsicheren Protokollen, Fehlkonfigurationen und Schwachstellen, die von Claroty verfolgt werden, sowie mit den neuesten CVE-Daten der NVD, um die Schwachstellen Ihres Netzwerks schnell und mit unübertroffener Präzision zu ermitteln.
  • Von CTD ausgelöste Schwachstellenwarnungen werden automatisch kontextualisiert und auf der Grundlage des individuellen Risikos, das sie für Ihr spezifisches Netzwerk darstellen, bewertet, so dass Sie einfacher und effektiver Prioritäten setzen und die wichtigsten Schwachstellen beseitigen oder anderweitig kompensieren können.
  • Die CTD-Funktion „Attack Vector Mapping“ (Zuordnung von Angriffsvektoren) analysiert mithilfe von künstlicher Intelligenz alle Schwachstellen und entsprechenden Risiken in Ihrem Netzwerk, um die wahrscheinlichsten Wege zu ermitteln, über die ein Angreifer das Netzwerk kompromittieren könnte. Mit diesen Informationen können Sie sich noch besser auf die wichtigsten Schwachstellen konzentrieren.
  • Die CTD Enterprise Management Console (EMC-Konsole) beinhaltet eine Funktion zur Zuweisung von benutzerdefinierten Attributen (Global Custom Attributes). Damit können Sie den Ressourcen an allen Standorten benutzerdefinierte Attribute zuweisen, wie z. B. Geschäftskritikalität, Ressourceneigentümer und andere Kontextinformationen, um die Priorisierung und die Durchführung von Abhilfemaßnahmen zu unterstützen.
  • Alle CTD-Funktionen zum Risiko- und Schwachstellenmanagement werden durch das preisgekrönte Forschungsteam von Claroty unterstützt. Als Marktführer bei der Aufdeckung industrieller Schwachstellen war das Team das erste, das Signaturen für die berüchtigten Ripple20- und Wibu-Schwachstellen sowie für die Bedrohungsakteure, die auf diese Schwachstellen abzielen, entwickelte und veröffentlichte und sie den Claroty-Kunden unmittelbar zur Verfügung stellte.

Kein industrielles Netzwerk ist immun gegen Bedrohungen, daher ist es unerlässlich, diese schnell und effektiv zu erkennen und darauf zu reagieren. Dies ist unter anderem schwierig aufgrund der einzigartigen Spezifikationen industrieller Netzwerke und der Bedrohungen, die auf sie abzielen. CTD gibt Ihnen ein robustes Modell zur Bedrohungserkennung an die Hand, mit dem Sie diese Herausforderungen meistern können. So funktioniert’s:

  • CTD überwacht Ihr Netzwerk auf alle fünf Anzeichen für potenzielle Bedrohungen. Dazu gehören:
    • 1. Frühindikatoren für Angriffe, wie anormale DNS-Scans oder fehlgeschlagene Anmeldeversuche
    • 2. Das Vorhandensein bekannter Bedrohungssignaturen mithilfe der neuesten Snort- und YARA-Regeln, einschließlich der vom Claroty Forschungsteam entwickelten eigenen Regeln
    • 3. Verhaltensanomalien, die mit Zero-Day-Angriffen in Verbindung gebracht werden, wie z. B. atypische Kommunikation zwischen Ressourcen
    • 4. Technische Vorgänge im Zusammenhang mit APT-Aktivitäten (Advanced Persistent Threats, hochentwickelte anhaltende Bedrohungen), wie z. B. unerwartete Prozesswertänderungen
    • 5. Jede Aktivität oder jeder Indikator, der Ihre benutzerdefinierten Kriterien erfüllt
  • CTD filtert automatisch Fehlalarme heraus und fasst alle zusammenhängenden Ereignisse in einer einzigen Meldung zusammen. Dies trägt nicht nur dazu bei, Ihre Priorisierung und Reaktion zu optimieren, sondern verringert auch das Phänomen der Ermüdung durch häufige Fehlalarme und gibt Ihnen mehr Zeit, sich auf die wichtigsten Bedrohungen zu konzentrieren.
  • Die „Wisdom of the Crowd“-Funktion von CTD, die auf der Claroty Cloud basiert, reichert die Warnmeldungen mit Reputationskontext an, der aus ähnlichen Ereignissen aus dem riesigen Kundenstamm von Claroty gewonnen wird. Dieser schnelle Einblick in die Stichhaltigkeit eines Vorfalls kann dazu beitragen, Ihre Priorisierung und Reaktion zu optimieren.
  • CTD ist vollständig in unsere SRA-Plattform für sicheren Fernzugriff integriert. Das bedeutet, dass Sie Vorfälle im Zusammenhang mit den Aktivitäten von SRA-Benutzern direkt von der EMC-Konsole aus erkennen und darauf reagieren können. Wenn ein Fernbenutzer eine nicht autorisierte Änderung vornimmt, haben Sie die Möglichkeit, die Sitzung dieses Benutzers zu überwachen und zu unterbrechen.
  • Da all diese Funktionen vom renommierten Claroty-Forschungsteam unterstützt werden, haben Sie immer die neuesten Bedrohungssignaturen und Abhilfemaßnahmen zur Hand und können diese in die Schutzmaßnahmen Ihres industriellen Netzwerks integrieren.

CTD IM DETAIL

Die intuitive Benutzeroberfläche von CTD bietet einen Überblick über alle Ressourcen, Prozesse, Sitzungen und die damit verbundenen Risiken und Schwachstellen in industriellen Netzwerken in einer einzigen Ansicht.

CTD-Funktionen im Rampenlicht

Besuchen Sie unseren Blog und erfahren Sie mehr über die besonderen Merkmale der kontinuierlichen Bedrohungserkennung (CTD)

Unseren Blog besuchen

Demo anfordern