für SaaS verfügbar: ab sofort | für On-Premises verfügbar: ab KW 43<\/em><\/p>\n\n\n\n Indem du den Enginsight Pulsar-Agent auf deinen Servern und Clients ausrollst, etablierst du ein hostbasiertes Intrusion Detection System (IDS). Basis des IDS ist die Analyse des Netzwerkverkehrs mittels Deep Packet Inspection (DPI). Das ermöglicht dir, für Cyberattacken typische Angriffsmuster frühzeitig zu erkennen, um entsprechende Gegenmaßnahmen einzuleiten.<\/p>\n\n\n\n Auf einer neu gestalteten Übersichtsseite sammeln wir alle, auf den Hosts detektierten, Vorfälle. Filtere die Events nach Zeitraum, Dringlichkeit und Angriffsart und analysiere, ob sich in deiner IT-Infrastruktur ein sicherheitskritischer Vorfall ereignet hat.<\/p>\n\n\n\n Hackerattacken laufen meist nach einem ähnlichen Muster ab und durchlaufen mehrere Stufen (Stages). Nach dem Sammeln von möglichst vielen Informationen versucht der Hacker sich Zugriff zu verschaffen, ihn zu behalten und sich im Netzwerk auszubreiten. Basierend auf dem detektierten Verhalten im Netzwerk, geben wir an, auf welcher Stufe der Angreifer sich bereits befindet, nämlich:<\/p>\n\n\n\n Indem du eine Attacke anklickst, gelangst du zu einer neuen Detailansicht, die dir weitergehende Informationen zum stattgefundenen Angriff liefert. In einem Profil des Angreifers erfährst du,<\/p>\n\n\n\n In einer Verlaufsübersicht kannst du den Ablauf der Attacken nachvollziehen und eine Visualisierung verdeutlicht dir den zeitlichen Verlauf. Die weiterführenden Details zu den einzelnen Events kannst du mittels Searchbar durchsuchen und filtern.<\/p>\n\n\n\n Die Detailansicht hilft dir, genaue Analysen über den Ablauf von Cyberattacken zu ziehen und darauf zu reagieren.<\/p>\n\n\n\n Auf IP-Blacklists sammeln verschiedene Anbieter in Datenbanken IP-Adressen, die durch schädliches Verhalten aufgefallen sind, etwa Cyberattacken ausgeführt oder Systeme ausspioniert haben. Wenn IP-Adressen von Blacklists mit Ihren IT-Systemen kommunizieren, kann dies ein Hinweis darauf sein, dass gerade eine Cyberattacke ausgeführt wird bzw. die Möglichkeiten einer Hackerattacke geprüft wird. <\/p>\n\n\n\n Bots, deren IP auf Blacklists stehen, scannen permanent öffentlich erreichbare auf Sicherheitslücken. Tritt Blacklisted IP-Traffic allerdings im internen Netzwerk auf, ist dies ein Hinweis auf einen Konfigurationsfehler.<\/p>\n\n\n\n Um noch mehr schädliche IP-Adressen zu identifizieren, haben wir die Datenbasis der Blacklisten deutlich vergrößert und können nun auf über 300.000 Adressen zurückgreifen, die laufend aktualisiert werden. Dafür crawlen wir eine Vielzahl von Blacklisted IP-Datenbanken, unter anderem blocklist.de, badips.com, voipbl.org. Wir geben stets an, auf welcher Blacklist bzw. auf welchen Blacklists sich die IP-Adresse befindet.<\/p>\n\n\n\n Die Verschlüsselung des Datenverkehrs via SSL\/TLS<\/a> ermöglicht eine sichere Kommunikation im Internet. Da jedoch einige SSL\/TLS-Verfahren veraltet und nicht mehr sicher sind, prüfen Angreifer alle vom Server angebotenen SSL\/TLS-Chiffren auf Sicherheitslücken. Ein solcher Scan zur Informationsbeschaffung kann die Grundlage für eine Cyberattacke bilden. Der Enginsight Pulsar-Agent erkennt dank Deep Packet Inspection (DPI), wenn ein Scan auf SSL\/TLS-Chiffren durchgeführt wird.<\/p>\n\n\n\n Übrigens: Ob du für deine Webseiten die Best Practice der SSL\/TLS-Konfiguration umgesetzt hast, kannst du dauerhaft mit dem Enginsight Observer überwachen.<\/p>\n\n\n\n Die Deep Packet Inspection erkennt die folgenden Angriffsmuster:<\/em><\/strong><\/p>\n\n\n\n <\/p>\n<\/div>\n<\/div>\n\n\n\n Alarme sind eine effiziente Möglichkeit, über Veränderungen und sicherheitsrelevante Events informiert zu bleiben. Damit du nicht in einer Alarmflut versinkst, sondern nur die Mitteilungen erhältst, die dich wirklich interessieren, kannst du mit Enginsight passgenaue Alarme schalten. Drei neue Alarme eröffnen dir in Version 2.13.0 noch mehr Möglichkeiten, um Sicherheitsrisiken und Probleme frühzeitig zu erkennen.<\/p>\n\n\n\n Offene Ports sind unter Umständen ein Sicherheitsrisiko, das von Hackern genutzt wird, um IT-Systeme zu infiltrieren. Deshalb sollten prinzipiell nur Ports geöffnet sein, die für die Funktion des IT-Systems auch notwendig sind. Mit dem neuen Endpunkte-Alarm „Neuer offener Port“ benachrichtigt dich Enginsight, wenn der Observer an einem überwachten Endpunkt einen neuen geöffneten Port detektiert. So behältst du die Kontrolle über die Ports und kannst die Aktion überprüfen. Zum Beispiel, ob die Öffnung des Ports tatsächlich notwendig war und wie sie aus Security-Sicht zu bewerten ist.<\/p>\n\n\n\n In der Dokumentation<\/a> erfährst du, welche gewöhnlichen Ports der Observer von außen überprüft. Mit dem Enginsight Pulsar-Agent<\/a>, der direkt auf dem Server installiert ist, kannst du von innen auch ungewöhnliche Ports überwachen und ebenfalls einen Alarm auf neue offene Ports schalten.<\/p>\n\n\n\n Hilfreich sind die Alarme auf neue offene Ports beispielsweise für CISOs oder MSSPs, um ein Vier-Augen-Prinzip bei Port-Öffnungen einzuführen. Via Tag kannst du einen Alarm auf alle (relevanten) Endpunkte bzw. Hosts schalten.<\/p>\n\n\n\n In den Einstellungen deiner Endpunkte kannst du Weiterleitungen hinterlegen, die aktiv sein sollen. Der Observer überprüft, ob die Weiterleitungen wie gewünscht funktionieren. Der neue Alarm „Unerwartete Weiterleitung“ löst eine Benachrichtigung aus, sollten die Weiterleitungen nicht wie hinterlegt funktionieren.<\/p>\n\n\n\n Mit der Systemevent-Analyse erkennst du erfolgreiche und fehlgeschlagene Anmeldeversuche bei Servern und Clients, auf denen der Enginsight Pulsar-Agent installiert ist. Das hilft dir, unberechtigte Zugriffe oder Cyberattacken aufzudecken. Bisher konntest du ebenso einen Alarm auf erfolgreiche wie fehlgeschlagene Login-Versuche schalten. Der neue Alarm „Anmeldeversuch eines nicht existierenden Benutzers“ erlaubt dir eine präzisere Eingrenzung.<\/p>\n\n\n\n Mit der letzten Enginsight Version haben wir das Security-Monitoring von Webseiten durch unseren Observer grundlegend überarbeitet. Durch zwei Neuerungen im Detail verbessern sich Usability und Einstellungsmöglichkeiten.<\/p>\n\n\n\n In den erweiterten Einstellungen deiner Endpunkte kannst du festlegen, wann eine Webseite als erreichbar angesehen werden soll. Standardmäßig gehen wir von einer menschlichen Erreichbarkeit aus. Das heißt, wenn der Status Code 200 zurückgegeben wird. Deaktivierst du die Option ‚Human Accessible‘ wird der Status Code nicht mehr berücksichtigt und lediglich die technische Erreichbarkeit geprüft.<\/p>\n\n\n\n Mit dem Observer erhältst du eine dauerhafte Überwachung deiner Webseiten. Das ermöglicht, dass du dich über unmerkliche Veränderungen mit Alarmen benachrichtigen lassen kannst. Nimmst du aktiv Veränderungen an deiner Webseite vor und möchtest deine Anpassungen überprüfen, kannst du jetzt manuell die Ergebnisse aktualisieren. Das erspart dir die Wartezeit bis zum nächsten automatischen Scanning. So kannst du beispielsweise unmittelbar überprüfen, ob Änderungen deiner HTTP-Header-Konfigurationen wirksam geworden sind und unseren Empfehlungen entsprechen.<\/p>\n\n\n\n Mit den automatischen Pentets von Enginsight kannst du ebenso einzelne Server und Webseiten wie ganze IT-Infrastrukturen auditieren. Handling und Performance des Pentests haben wir nochmals verbessert.<\/p>\n\n\n\n Der Fortschritt des Penetrationstests lässt sich jetzt besser nachvollziehen. Die Fortschrittsanzeige findest du künftig direkt in der Übersicht des Audit Reports. Die Prozentzahl gibt dir an, von wie vielen Targets alle Stufen des Pentests abgeschlossen worden sind. In fünf Stufen erfährst du zudem, an welcher Stelle der Pentest beim aktuellen Target steht.<\/p>\n\n\n\n Schließt der Hacktor eine Stufe ab, wird sie mit einem grünen Haken markiert. Sollte ein Fehler auftreten, sodass der Pentest nicht weiter ausgeführt werden kann, erscheint ein Ausrufezeichen. Dies kann beispielsweise vorkommen, wenn die Verbindung zum Hacktor abbricht.<\/p>\n\n\n\nMit dem IDS Cyberattacken erkennen und analysieren<\/h2>\n\n\n\n
Neue Übersichtsseite für Netzwerkanomalien<\/h3>\n\n\n\n
![\"\"](\"https:\/\/enginsight.com\/wp-content\/uploads\/2020\/10\/intrusion_detection_overview-1024x581.png\")
<\/a>Stufe der Attacke analysieren<\/h3>\n\n\n\n
\n
Detailansicht zu Angreifer und Verlauf<\/h3>\n\n\n\n
\n
![\"\"](\"https:\/\/enginsight.com\/wp-content\/uploads\/2020\/10\/intrusion_detection_details-1024x581.png\")
<\/a>Datenbasis für Blacklisted IPs vergrößert<\/h3>\n\n\n\n
SSL\/TLS Cipher Enumeration<\/h3>\n\n\n\n
\n
\n
\n
\n
Neue Alarme<\/h2>\n\n\n\n
Neuer offener Port eines Endpunktes<\/h3>\n\n\n\n
Unerwartete Weiterleitung einer Webseite<\/h3>\n\n\n\n
Anmeldeversuch eines nicht existierenden Benutzers<\/h3>\n\n\n\n
Websecurity-Monitoring<\/h2>\n\n\n\n
Webseiten-Erreichbarkeit spezifizieren<\/h3>\n\n\n\n
Manuelles Aktualisieren<\/h3>\n\n\n\n
Automatische Penetrationstest<\/h2>\n\n\n\n
Mehr Informationen in der Audit-Übersicht<\/h3>\n\n\n\n
\n
![\"\"](\"https:\/\/enginsight.com\/wp-content\/uploads\/2020\/10\/Audit-Reports-1024x574.png\")
<\/a>
![\"\"](\"https:\/\/enginsight.com\/wp-content\/uploads\/2020\/10\/Prozess_Pentest.png\")
<\/a>