WannaCry mit SIEM detektieren

LogPoint stellt Applikation gegen Ransomware bereit

LogPoint stellt Applikation gegen Ransomware bereit

Plug & Play App in LogPoint und LogPoint Free integrieren

LogPoint`s Security Information and Event Management (SIEM) der nächsten Generation und Plattform für Big-Data-Analytik, stellt angesichts der weltweiten Bedrohung durch WannaCry, die nach der Ransomware benannte Plug & Play WannaCry-Applikation vor. Die Applikation lässt sich nahtlos in LogPoint und LogPoint Free integrieren und arbeitet mit Geräten wie Firewalls, Security Appliances, File-Share-Anwendungen etc. zusammen. Unternehmen erhalten ein effizientes Tool, um die weitere Ausbreitung der Ransomware im Netzwerk aufzuspüren und einzudämmen.

Sicherheitsforscher von LogPoint beobachten die zukünftige Entwicklung der Malware sehr genau. Tauchen neue Arten und Angriffsmuster auf, werden umgehend Updates eingespielt, um auch die neuesten Varianten schnell aufzuspüren. Die Applikation stöbert ungewöhnliche Verbindungen zu SMB-Services zwischen den Workstations auf und macht sich dabei die wurmartige Ausbreitung zu Nutze, denn sie sorgt für auffälliges Login-Verhalten im Netzwerk. Ein Beispiel für dieses Verhalten stellt der Aufbau von Verbindungen zwischen einzelnen Clients und eben nicht der direkte Verbindungsaufbau eines Clients zu einem Server dar. Darüber hinaus zeigt das Tool an, sobald Daten auf einem Client verschlüsselt werden und registriert dies ebenfalls als ungewöhnliches Verhalten.

Die Microsoft-Schwachstelle MS17-010, derer sich WannaCry bedient, wird durch das mit LogPoint interagierende Schwachstellen-Management Tool von Qualys entdeckt. Alle Scans von Qualys fließen in die SIEM-Lösung und lösen dann automatisch Alarme aus. Verschiedene Varianten der Ransomware versuchen sich darüber hinaus mit einer Domain zu verbinden, die inzwischen von einem Sicherheitsforscher deaktiviert wurde. Dieser Verbindungsaufbau lässt sich leicht nachverfolgen und die WannaCry-Applikation meldet diesen sofort.

Pascal Cronauer, Country Manager DACH bei LogPoint

„Die Zahlen, die WannaCry in den wenigen Stunden am 12. Mai erzielt hat, lesen sich beeindruckend und zeigen einmal mehr auf, wie schnell selbst große Unternehmen von Schadsoftware befallen werden können. Mit unserem Angebot stellen wir nun diesen Unternehmen eine Plug & Play-Lösung für unsere SIEM-Software bereit, die sofort Abhilfe schafft. Mit dem Anstieg der Verbreitung von Ransomware im letzten Jahr haben wir unsere Produkte Stück für Stück auch auf diese Art der Bedrohungen aktualisiert und werden dies auch weiterhin tun, damit in Unternehmen die Gefährdungen umgehend erkannt und entsprechend reagiert werden kann. Wir stellen also ein sofort einsatzbereites Hilfsmittel zur Verfügung,“ sagt Pascal Cronauer, Country Manager DACH bei LogPoint.

Weitere Informationen zur WannaCry Applikation