RSA ECAT Umfassende Transparenz und Erkennung von Bedrohungen am Endpunkt AUF EINEN BLICK RSA ECAT ermöglicht Sicherheitsteams Folgendes: Aufdecken von Advanced Threats, die andernfalls verborgen bleiben würden Schnelle Analyse verdächtiger Endpunktaktivitäten und Bestätigung von Infektionen Sofortige Feststellung des vollen Ausmaßes einer Infizierung Ergreifen von Maßnahmen in Bezug auf eine verdächtige Datei UMFASSENDE TRANSPARENZ AN ENDPUNKTEN ERFORDERLICH Sicherheitsteams müssen stetig ihre Taktiken weiterentwickeln, um Angreifern und den neuesten Bedrohungen einen Schritt voraus zu bleiben. In letzter Zeit ist dies viel schwieriger geworden. Angreifer entwickeln sich weiter und verwenden ausgeklügelte Techniken, um in Unternehmen einzudringen, und gehen außerdem mittlerweile gezielter vor. Sie wenden beträchtliche Ressourcen auf, um Informationen über Unternehmen auszukundschaften und spezielle Schadsoftware zu entwickeln, die traditionelle Sicherheitstechnologien umgeht. Viele Unternehmen verlassen sich in erster Linie immer noch auf präventive, signaturbasierte Tools, um diese Bedrohungen fernzuhalten. Diese vermitteln allerdings ein falsches Gefühl der Sicherheit. Ohne die Fähigkeit, Infizierungen schnell zu erkennen und entsprechende Aktionen durchzuführen, hängen Unternehmen dem Angreifer stets hinterher und das Risiko von Datenverlusten und negativen Geschäftsauswirkungen steigt signifikant an. Deshalb steigen Unternehmen auf RSA ECAT um. Mit RSA ECAT haben Sicherheitsteams folgende Möglichkeiten: oder einen verdächtigen Prozess durch Blockierung und somit Begrenzung der Auswirkungen potenzieller Bedrohungen Aufdecken von Advanced Threats, die andernfalls verborgen bleiben würden Schnelle Analyse verdächtiger Endpunktaktivitäten und Bestätigung von Infektionen Sofortige Feststellung des vollen Ausmaßes einer Infizierung und Ergreifen von Maßnahmen, um negative Geschäftsauswirkungen zu begrenzen Mit RSA ECAT können Sicherheitsteams Advanced Threats durch eine umfassende Endpunkttransparenz und Erkennung von Anomalien schneller aufdecken, verdächtige Aktivitäten zur Bestätigung von Infektionen rasch selektieren und analysieren, die notwendigen Informationen für Maßnahmen sammeln, um die Bedrohung abzuwehren, und negative Geschäftsauswirkungen begrenzen. Mehr aufdecken Schneller analysieren Maßnahmen ergreifen AUFDECKEN VON ADVANCED THREATS DURCH VERHALTENSBASIERTE ERKENNUNG Damit Sicherheitsanalysten Schadsoftware und andere Bedrohungen an Endpunkten – sowohl bei Servern als auch Benutzersystemen – schnell erkennen und darauf reagieren können, benötigen sie zunächst einen vollständigen Einblick in die Vorgänge am Endpunkt. RSA ECAT erreicht eine umfassende Transparenz am Endpunkt auf die folgende Weise: • DATENBLATT Monitoring und Warnmeldungen in Echtzeit: RSA ECAT überwacht kontinuierlich die Aktivität an den Endpunkten – sowohl innerhalb als auch außerhalb des Unternehmensnetzwerks – und kann bei verdächtigen Aktivitäten Warnmeldungen in Echtzeit ausgeben, womit eine frühe Warnung zu potentiellen Infizierungen bereitgestellt wird. • MRI-Ansicht durch einzigartige Scantechniken: RSA ECAT nutzt einzigartige Scantechnologien, um in den Kern des Endpunkts einzutauchen und Anomalien aufzudecken. Durch eine prozessbasierte Liveanalyse des Arbeitsspeichers, die Direktuntersuchung des physischen Laufwerks und die Analyse des Netzwerkverkehrs identifiziert RSA ECAT verdächtige Aktivitäten und kennzeichnet sie für eine weitere Überprüfung. Unbekannte Dateien werden automatisch zur weiteren Analyse an einen zentralen Speicherort heruntergeladen. • Erfassen des vollständigen Bestands und Profils des Endpunkts innerhalb von Minuten, ohne Anwender zu beeinträchtigen: RSA ECAT sammelt einen vollständigen Bestand aller Aktivitäten auf dem Endpunkt und stellt die erforderlichen Informationen für die Analyse und Bestätigung von Infektionen bereit. Endpunktscans werden innerhalb von fünf bis zehn Minuten abgeschlossen, wodurch Analysten die benötigten Daten schnell erhalten. Damit sind sie nicht nur produktiver, sondern können einen Angriff auch in den frühen Phasen abwehren. Die gesamte Datenspeicherung und der Großteil der Analyse finden auf dem Server statt, wodurch die Stellfläche des ECAT-Agent klein gehalten wird (ungefähr 2 MB auf der Festplatte, 10-20 MB im Arbeitsspeicher) und die Auswirkungen auf Anwender reduziert werden. • Automatisches Scannen beim Laden unbekannter Dateien: Aufgrund der Menge der täglich neu erstellten Schadsoftware und der erweiterten, zielgerichteten Beschaffenheit vieler Angriffe ist es von entscheidender Bedeutung, dass bei neuen Dateien, die in der Umgebung geladen werden, ein transparenter Einblick vorhanden ist, um diese Angriffe schneller zu erkennen. RSA ECAT startet automatisch einen Systemscan, wenn eine neue, unbekannte Datei an einem Endpunkt geladen wird. Dadurch ist ein schneller Einblick in das Verhalten der Datei und die Auswirkung auf das System möglich, durch den Analysten schnell erkennen können, ob es sich um eine schädliche Datei handelt, und entsprechende Maßnahmen ergreifen können. DIE WICHTIGSTEN VORTEILE Reduzierung der Dauer für die Erkennung und Validierung infizierter Rechner Reduzierung der Zeit für die Incident-Untersuchung mit sofort verwertbaren Informationen Reduzierung der Verweildauer von Angreifern Reduzierung des Risikos der Exfiltration sensibler Daten Steigern der Transparenz für Endpunktaktivitäten im gesamten Unternehmen zur schnellen Feststellung des Ausmaßes eines Angriffs Reduzierung der Reaktionszeit in Bezug auf Incidents von Tagen auf nur wenige Minuten SCHNELLE ANALYSE UND BESTÄTIGUNG VON INFEKTIONEN In einem typischen Unternehmen gibt es oft wesentlich mehr Probleme als das Sicherheitsteam bewältigen kann. Es ist enorm wichtig, dass das Team über eine effektive und effiziente Möglichkeit verfügt, Probleme schnell zu identifizieren und zu selektieren. RSA ECAT bietet Sicherheitsteams erweiterte Analysemöglichkeiten, um die Identifizierung und Untersuchung von Problemen zu priorisieren und zu beschleunigen. RSA ECAT verfügt über folgende Fähigkeiten: • Automatische Markierung verdächtiger Endpunktaktivitäten für weitere Ermittlungen: Verdächtige Aktivitäten werden durch einen intelligenten Algorithmus zur Risikobewertung priorisiert, der mithilfe erweiterter maschineller Lernverfahren eine schnellere Erkennung eines umfassenderen verdächtigen Endpunktverhaltens ermöglicht. Diese Risikostufenbewertung innerhalb von RSA ECAT bietet einen klaren visuellen Einblick in die potenzielle Bedrohungsstufe der Endpunkte und der Datei oder Prozesse. Mit diesen direkt verfügbaren genauen und wichtigen Informationen können Sicherheitsteams einfacher Warnmeldungen selektieren, ihre Untersuchungen fokussieren und ihre begrenzten Ressourcen besser nutzen. • Baseline für Ihre Umgebung und Aufrechterhaltung eines globalen Repository aller gefundenen Dateien: RSA ECAT verwaltet ein globales Repository mit allen in der Umgebung gefundenen ausführbaren Dateien und den damit verbundenen IP-Adressen. Mit RSA ECAT erhalten Sicherheitsanalysten die Flexibilität, zum einen Whitelists mit bekannt sicheren (vertrauenswürdigen) Dateien anzulegen und bei Ermittlungen aus der Anzeige herauszufiltern und zum anderen Blacklists für bekannt schädliche Dateien und IP-Adressen zu definieren, damit diese sofort gekennzeichnet werden, wenn sie auf Endpunkten gefunden werden. Damit wird die Zeit für Ermittlungen reduziert und Sicherheitsteams erhalten Kontextinformationen dazu, auf wie vielen Rechnern eine bestimmte Datei gefunden wurde, ob die Datei auf einem Rechner aktiv oder inaktiv ist und welche Rechner eine Verbindung mit einer bestimmten IP-Adresse hergestellt haben. • Durchführen verschiedener Prüfungen der Dateilegitimität: RSA ECAT führt Prüfungen durch, mit denen Sicherheitsanalysten bestimmen können, ob eine Datei schädlich ist. Dabei wird auch die Legitimität von Dateizertifikaten und Hashfunktionen geprüft, nach bekannten Bedrohungen gesucht, indem YARA-Regeln genutzt, STIXDaten importiert und mehrere AV-Engines über OPSWAT Metascan genutzt werden, Codeänderungen durch Schadsoftware erkannt und vieles mehr. RSA ECAT kann außerdem automatisch Kopien von ausführbaren Dateien für weitere Analysen vom Risikobewertung in der ECAT-Oberfläche Endpunkt zurückziehen. Das trägt dazu bei, Ermittlungen zu vereinfachen und die Kosten zu senken. • Bereitstellen einer umfassenden Transparenz über Endpunkte, Netzwerkdaten und Protokolle hinweg: Durch Kombination einer genauen Ansicht des Endpunktverhaltens von RSA ECAT mit umfangreichen Daten aus Netzwerkpaketen und Protokollen in RSA Security Analytics können Analysten sehen und nachvollziehen, was in ihrer Umgebung vor sich geht, und Incidents innerhalb von Sekunden bis ins kleinste Detail untersuchen und die entsprechende Maßnahme ergreifen. BESTIMMUNG DES UMFANGS UND EFFIZIENTE REAKTION AUF INCIDENTS „Diese Lösung stellt wirklich ein leistungsstarkes Mikroskop dar, mit dem wir unser Ereigniszeitfenster um 50 Stunden reduzieren konnten…pro Host.“ Director im Critical Incident Response Sobald eine Infektion bestätigt wurde, müssen Sicherheitsteams zielgerichtete Maßnahmen dagegen vornehmen. Von entscheidender Bedeutung bei einer effektiven Risikobekämpfung ist die Möglichkeit zu ermitteln, wie weit eine bestimmte Infektion vorangeschritten ist. Wenn beispielsweise erkannt wurde, dass ein Rechner infiziert ist, muss festgestellt werden können, welche anderen Rechner in der Umgebung ebenfalls infiziert sind. Ohne diese Transparenz wissen Sicherheitsteams nicht, ob es zu einer Ausbreitung des gezielten Angriffs gekommen ist und das Unternehmen folglich immer noch gefährdet sein könnte. Mit RSA ECAT haben Sicherheitsteams folgende Möglichkeiten: • Sofortige Feststellung des Ausmaßes einer Infektion: RSA ECAT identifiziert alle anderen infizierten Endpunkte, wodurch Sicherheitsteams sofort wissen, wie weit sich die Schadsoftware ausgebreitet hat. Durch einen Klick mit der rechten Maustaste auf eine schädliche Datei zeigt RSA ECAT alle anderen Rechner mit derselben Datei an und Sicherheitsteams erfahren, welche anderen Rechner korrigiert werden müssen. • Sammeln wichtiger forensischer Daten: RSA ECAT sammelt schnell wichtige Daten, die für eine forensische Untersuchung benötigt werden. Das Sammeln ähnlicher forensischer Daten mit anderen Lösungen kann die Ressourcen der Systeme stark auslasten und außerdem lange dauern. Mit RSA ECAT können Analysten ganz einfach komplette Prozess- und Arbeitsspeicherauszüge erstellen sowie die Master File Table (MFT) und alle bearbeiteten/gelöschten Dateien anzeigen. • Präzises Blockieren: RSA ECAT identifiziert den genauen Speicherort der schädlichen Dateien für eine präzise Korrektur. Durch Ermittlung des genauen Speicherorts und des Persistenzmechanismus der schädlichen Dateien können Sicherheitsanalysten eine Datei dann als Element der Negativliste kategorisieren. Wenn die Datei als Element der Negativliste definiert ist, kann der Analyst sie blockieren und in Quarantäne verschieben. Wenn sich die Datei in Quarantäne befindet, kann sie aus dem System gelöscht werden. Eine Blockierung kann entweder auf Unternehmensebene oder für eine Auswahl an einzelnen Rechnern aktiviert werden. Center, Technologiehersteller DEN RSA STORE BESUCHEN Erhalten Sie noch heute ein Angebot für RSA ECAT! store.emc.com/rsaasoc KONTAKT Für weitere Informationen darüber, wie Produkte, Services und Lösungen von EMC Sie bei der Bewältigung Ihrer Geschäfts- und IT-Herausforderungen unterstützen können, nehmen Sie Kontakt mit Ihrem EMC Vertriebsmitarbeiter oder autorisierten Reseller vor Ort auf, oder besuchen Sie unsere Website unter http://germany.emc.com/rsa. Angreifer werden weiterhin ausgefeilte Taktiken anwenden, um herkömmlichen perimeterund signaturbasierten Verteidigungsmechanismen zu entgehen, und Unternehmen jeder Größe in allen Branchen ins Visier nehmen. Für eine bessere Verteidigung gegen die ständige Bedrohung durch gezielte Schadsoftware und eine Reduzierung von Datenverlusten müssen Unternehmen die Transparenz von Endpunkten erhöhen, Infektionen schneller bestätigen und Aktionen durchführen, um Auswirkungen auf das Unternehmen zu begrenzen. Mit RSA ECAT können Sicherheitsteams Advanced Threats durch umfassende Endpunkttransparenz schneller aufdecken, schnell selektieren und verdächtige Aktivitäten zur Bestätigung von Infektionen analysieren. Außerdem haben sie die nötigen Informationen, um Aktionen durchzuführen und Auswirkungen auf das Unternehmen zu begrenzen. EMC2, EMC, das EMC Logo und RSA sind eingetragene Marken oder Marken der EMC Corporation in den USA und anderen Ländern. VMware ist eine eingetragene Marke oder Marke der VMware, Inc. in den USA und anderen Ländern. © Copyright 2015 EMC Deutschland GmbH. Alle Rechte vorbehalten. Veröffentlicht in Deutschland. 07/15 Datenblatt H11886 EMC ist der Ansicht, dass die Informationen in diesem Dokument zum Zeitpunkt der Veröffentlichung korrekt sind. Die Informationen können jederzeit ohne vorherige Ankündigung geändert werden.
© Copyright 2024 ExpyDoc
