Glossar

API: Application Programming Interface; liefert eine Kommunikationsschnittstelle zwischen unterschiedlichen Softwareanwendungen oder Hardwaregeräten.
ATT&CK: Adversarial Tactics, Techniques and Common Knowledge; eine Datenbank zur Bedrohungsaufklärung, die von MITRE betrieben wird.
Verhaltensbasierte Korrelation: Ist ein Gerät mit einer Form von Malware infiziert, ändert sich sein Verhalten im Netzwerk. Zum Beispiel werden neue Verbindungen zu Servern hergestellt, die vorher nie kontaktiert wurden. Die Malware versucht sich im Netzwerk auszubreiten und weitere Systeme und Schwachstellen auszukundschaften. Um dieses Verhalten von den normalen Aktionen eines Geräts zu unterscheiden und in legitimem Datenverkehr versteckte Bedrohungen zu erkennen, muss aus dem gesamten Netzwerkdatenverkehr des Geräts auf sein Verhalten geschlossen werden. Indem die unterschiedlichen Datenströme eines Geräts über die Zeit korreliert werden, kann sein Verhalten bestimmt werden. Dann können Abweichungen vom bekannten zulässigen Verhalten erkannt werden, die auf Infektionen oder schädliche Elemente hinweisen. Siehe auch die detaillierte Konzeptbeschreibung.
BIOS: Basic Input/Output System; Firmware, die während des Bootvorgangs die Hardware initialisiert und Laufzeitdienste für das Betriebssystem und andere Programme bereitstellt.
BYOD: Bring Your Own Device (auch Gerätemanagement genannt); die Praxis, Netzwerkbenutzern den Zugriff auf das (meist drahtlose) Netzwerk einer Organisation mit ihren eigenen Computern, Smartphones, Tablets und anderen Geräten zu ermöglichen. BYOD hat große Auswirkungen auf Netzwerke mit einer großen und vielfältigen Benutzerbasis, wie Bildungseinrichtungen oder große und kleine Unternehmensnetzwerke.
C&C: Command and Control; eine C&C-Server-Infrastruktur steuert in der Regel eine Reihe von Bots. Netzwerkverkehr zu bekannten Command-and-Control-Servern ist ein sicheres Zeichen für eine Infektion.
CIDR: Classless Inter-Domain Routing; ein Verfahren zur Vergabe von IP-Adressen und IP-Routing. Eine IP-Adresse wird mit der Anzahl der führenden 1-Bits in der Netzmaske angegeben, z.B. 192.0.2.0/24 für IPv4, 2001:db8::/32 für IPv6. Zum Beispiel ist 10.10.10.100/24 äquivalent zu IP 10.10.10.100 mit Netzmaske 255.255.255.0
DMZ: Demilitarisierte Zone; ein spezielles Netzwerksegment zwischen zwei anderen größeren Segmenten, um sichere Dienste und eine spezielle Filterung des Netzwerkverkehrs zu ermöglichen. Der Netzwerkzugriff ist von jeder Seite auf die Anwendungsproxys und Dienste innerhalb der DMZ erlaubt, aber nicht von einer Seite direkt auf die andere. Nur die Dienste innerhalb der DMZ können einen (kontrollierten) Netzwerkzugriff auf beide Seiten initiieren.
DNO: Dynamisches Netzwerkobjekt; dynamische Listen von Adressen (MAC, IPv4 oder IPv6), die in den Quell-/Zielbedingungen der Policy und Regeln verwendet werden. Geräteadressen werden durch Regelaktionen hinzugefügt, zum Beispiel wenn ein bestimmtes Verhalten für ein Gerät erkannt wird. Der Satz von Policy-Regeln, der für ein bestimmtes Gerät gilt, kann sich dynamisch ändern, je nachdem, ob das Gerät in einem DNO enthalten ist oder nicht. DNO bilden die Grundlage für sich selbst modifizierende Policy-Regeln und bewirken die Isolation und Prävention von Bedrohungen.
DNS: Domain Name System; ein System, das verwendet wird, um strukturierte, für Menschen lesbare Namen wie „www.genua.de“ in maschinenlesbare Daten zu übersetzen, wie IPv4-Adressen, IPv6-Adressen, zuständige Mailserver usw.
DPDK: Data Plane Development Kit; ein quelloffener Satz von Bibliotheken für die Datenebene und NIC-Treibern für die schnelle Paketverarbeitung.
ETT: Event-Tracking-Tabelle; Policy-spezifische Tabellen, die Paare von angereicherten Attributen von Datenströmen über die Zeit verfolgen und korrelieren. Regeln können das Vorhandensein bestimmter Attribute abfragen oder deren Anzahl zählen. So wird basierend auf den in früheren Datenströmen gesehenen Attributen bestimmt, wie zukünftige Datenströme behandelt werden. Dies bildet die Grundlage für verhaltensbasierte Korrelation, um das Verhalten von Benutzern und Geräten zu ermitteln und bösartiges Verhalten zu überwachen. Siehe auch die Konzeptbeschreibung von Event-Tracking-Tabellen.
External: Bei der Einrichtung von Netzwerkobjekten bezeichnet External den Bereich des Netzwerks, der nicht von Threat Defender gesehen wird.
Datenstrom: Auch „Flow“; logisch zusammenhängende Pakete, die zu derselben Kommunikation gehören. Zum Beispiel stellen Request und Response einer HTTP-Verbindung einen Datenstrom dar. Ein ICMP Ping und das zugehörige ICMP Echo können auch als ein Datenstrom betrachtet werden.
Gateway: Das Gateway in einem Schicht 3-Netzwerksegment ist das Gerät, an das der Datenverkehr gesendet wird, wenn das Ziel nicht innerhalb desselben Netzwerksegments liegt. Das Gateway ist der Standard-Router, der ein bestimmtes Netzwerksegment mit dem Rest der Netzwerke verbindet.
Grün: Grün ist die vierte Farbe des Regenbogens, zwischen Gelb und Blau. Sie wird oft mit Natur, Leben, Frühling und Reichtum assoziiert.
HTTP: Hypertext Transfer Protocol; wird für die unverschlüsselte Kommunikation über Computernetzwerke, einschließlich des Internets, verwendet, um Text und ähnliche Dokumente von einem Server zum Client zu übertragen. Am häufigsten von Webbrowsern verwendet, aber auch von Anwendungen und Schadsoftware.
HTTPS: Verschlüsselte Version von HTTP; Transport Layer Security (TLS, früher bekannt als SSL) wird verwendet, um die Verbindung zu verschlüsseln und den reinen HTTP-Verkehr zu umkapseln. Die Echtheit des Servers und optional des Clients wird über Zertifikate und Zertifizierungsstellen sichergestellt.
Hyper-threading: Die proprietäre Implementierung von simultanem Multithreading (SMT) von Intel. Für jeden physischen Prozessorkern adressiert das Betriebssystem zwei virtuelle Kerne und verteilt die Arbeitslast nach Möglichkeit auf diese. Ein physikalischer Kern erscheint daher für das Betriebssystem als zwei Prozessoren, was die gleichzeitige Planung von zwei Prozessen pro Kern ermöglicht.
IDS: Intrusion Detection System, siehe IDS/IPS
IPS: Intrusion Prevention System, siehe IDS/IPS
IDS/IPS: Intrusion Detection System/Intrusion Prevention System; eine Software oder Appliance, die Pakete und Daten auf zahlreiche Muster von bösartigem Verhalten und verschiedene Arten von Risiken untersucht und analysiert. Wenn ein IDS/IPS als Erkennungssystem eingesetzt wird, löst es einen Alarm aus. Wenn es als Präventionssystem eingesetzt wird, werden sofort Maßnahmen ergriffen, um den bösartigen Datenverkehr zu blockieren und die Netzwerkadministratoren zu alarmieren.
IETF: Internet Engineering Task Force; eine offene Standardisierungsorganisation, die freiwillige Internetstandards entwickelt und fördert.
Internal: Bei der Einrichtung von Netzwerkobjekten bezeichnet Internal den Bereich des Netzwerks, den Threat Defender sieht.
IoA: Indicator of Attack (Angriffsindikator); eine Markierung, die einen bevorstehenden oder laufenden Angriff anzeigt. IoA-Listen enthalten zum Beispiel IP-Adressen bekannter Botnets. Der Netzwerkverkehr von diesen Adressen kann in der Regel sofort blockiert werden, um Angriffe und Infektionen zu verhindern.
IoC: Indicator of Compromise (Gefährdungsindikator); eine Markierung, die anzeigt, dass das Gerät mit Malware infiziert sein könnte. IoC-Listen enthalten URLs, Domänen und IP-Adressen, die nur im Datenverkehr zwischen der Malware und ihren C&C-Servern oder beim Exfiltrieren von Daten zu sehen sind. Wenn Geräte auf Domänen zugreifen, die zur Verteilung von Malware verwendet werden, kann dies ebenfalls ein Zeichen für eine bevorstehende Infektion sein.
IP-Adresse: Eine Internetprotokoll-Adresse ist eine numerische Kennzeichnung, die jedem Gerät zugewiesen wird, das an einem Computernetzwerk teilnimmt, das das Internetprotokoll zur Kommunikation verwendet. Für Menschen lesbare Namen werden über DNS in IP-Adressen übersetzt. Es gibt IPv4- und IPv6-Adressen.
IPFIX: Internet Protocol Flow Information Export; bietet einen gemeinsamen, universellen Standard für den Austausch von Netzüberwachungsinformationen von Routern, Sensoren und anderen Geräten. Er definiert, wie IP-Flow-Informationen formatiert und von einem Sender zu einem Empfänger übertragen werden sollen.
IPv4: Internetprotokoll Version 4. IPv4-Adressen sind 32-Bit-Adressen und werden durch 4 Oktette dezimaler Ziffern dargestellt, die durch einen Punkt getrennt sind, zum Beispiel 172.16.254.1.
IPv6: Internetprotokoll Version 6 wurde als Reaktion auf die Erschöpfung der verfügbaren IPv4-Adressen geschaffen. IPv6-Adressen sind 128-Bit-Adressen und werden durch 8 Oktette hexadezimaler Ziffern dargestellt, die durch einen Punkt getrennt sind, zum Beispiel 2001:db8:0000:0000:0000:0000:0000:0000. IPv6-Adressen können abgekürzt werden, indem Oktette, die 0000 sind, durch einen Doppelpunkt ersetzt werden. Zum Beispiel kann die vorherige Adresse auch als 2001:db8:: geschrieben werden.
Schicht 2: Die Sicherungsschicht im OSI-Netzwerkmodell. Diese Schicht stellt die funktionalen und prozeduralen Mittel zur Verfügung, die für die Übertragung von Daten zwischen Netzwerkeinheiten erforderlich sind.
Schicht 3: Die Vermittlungsschicht im OSI-Netzwerkmodell. Diese Schicht sorgt für die Weiterleitung von Paketen, einschließlich des Routings durch zwischengeschaltete Router.
Schicht 4: Die Transportschicht im OSI-Netzwerkmodell. Diese Schicht stellt die Protokolle für Host-zu-Host-Kommunikationsdienste für Anwendungen bereit.
Schicht 7: Die Anwendungsschicht im OSI-Netzwerkmodell. Diese Schicht ist dem Endnutzer am nächsten. Diese Schicht interagiert mit Softwareanwendungen, die eine Kommunikationskomponente enthalten.
MAC-Adresse: Media-Access-Control-Adresse; eine eindeutige Kennung, die einer Netzwerkschnittstelle zugewiesen wird, die für die Netzwerkkommunikation verwendet wird. Eine MAC-Adresse wird einem Gerät vom Hersteller zugewiesen und daher ändert sich diese Adresse im Gegensatz zu einer IP-Adresse normalerweise nicht. MAC-Adressen werden in der Notation durch sechs Gruppen von zwei hexadezimalen Ziffern dargestellt, die durch Bindestriche oder Doppelpunkte getrennt sind, zum Beispiel 01:23:45:67:89:ab.
Malware: Schadsoftware, die das System infiziert und unerwünschte und möglicherweise schädliche Aktionen durchführt. Untertypen sind Trojaner, Würmer, Ransomware und andere.
Multihoming: Anschluss eines Hosts oder eines Computernetzwerks an mehr als ein Netzwerk, um die Zuverlässigkeit bzw. Leistung zu erhöhen.
MISP: Malware Information Sharing Platform; eine Open-Source-Software für den Austausch von Bedrohungsdaten.
Netzwerksegmentierung: Ein Netzwerk kann aus verschiedenen Gründen in kleinere Segmente unterteilt werden. Meistens sollen so die einzelnen Segmente voreinander geschützt werden. Jedes Segment hat seinen eigenen Schicht-3-Adressbereich und es werden Router eingesetzt, um den Netzwerkverkehr von einem Segment zum anderen weiterzuleiten. Werden diese Router mit einer Firewall kombiniert, kann der Zugriff von einem Segment auf ein anderes mit Firewall-Regeln gesteuert werden, die den Datenverkehr zulassen oder blockieren. Siehe auch Netzwerksegmentierung mit Threat Defender.
Netzwerk-Switch: Hardware, die Netzwerkgeräte auf Schicht 2 (der Ethernet-Schicht) verbindet. Geräte werden anhand ihrer MAC-Adresse identifiziert und der Switch leitet den Datenverkehr je nach Bedarf an ein bestimmtes Zielgerät weiter oder sendet ihn an alle Geräte.
NIC: Network Interface Controller; Netzwerkkarte, die einen Computer mit einem Computernetzwerk verbindet.
NUMA: Non-Uniform Memory Access; eine Computerspeicherarchitektur, die beim Multiprocessing verwendet wird, bei dem die Speicherzugriffszeit von der Speicherposition relativ zum Prozessor abhängt. Unter NUMA kann ein Prozessor auf seinen eigenen lokalen Speicher schneller zugreifen als auf nicht-lokalen Speicher.
OSI: Open Systems Interconnection; ein konzeptionelles Modell, das die Kommunikationsfunktionen eines Kommunikationssystems unabhängig von seiner zugrunde liegenden internen Struktur und Technologie charakterisiert. Es unterteilt das System in Abstraktionsschichten.
OUI: Organizationally Unique Identifier; identifiziert eindeutig den Anbieter oder Hersteller einer Hardware. In Verbindung mit einer 24-Bit-Zahl bildet die OUI die MAC-Adresse eines Gerätes.
Paket: Ein Paket ist eine Einheit von Daten, die zwischen kommunizierenden Geräten übertragen wird. Ein Paket enthält sowohl die zu sendende Meldung als auch Steuerinformationen, wie Quell- und Zieladresse, Quell- und Zielport, Transportprotokoll und Sequenznummer.
PEN: Private Enterprise Number; öffentliche Registrierungsnummer, die von der IANA erstellt und verwaltet wird.
Policy: Ein Satz von Regeln, Event-Tracking-Tabellen und dynamischen Netzwerkobjekten, um legitimes bzw. bösartiges Verhalten zu beschreiben und auf dieses Verhalten zu reagieren. Während eine einzelne Regel nur auf einen bestimmten Datenstrom reagieren kann, reagiert eine Policy auf das Verhalten eines Geräts und kann sich auf den gesamten Netzwerkverkehr des Geräts auswirken, indem sie beispielsweise ein infiziertes Gerät vollständig isoliert.
Port: Portnummern sind Kommunikationsendpunkte, die die Netzwerkkommunikation ermöglichen. Verschiedene Ports werden für unterschiedliche anwendungsspezifische oder prozessspezifische Zwecke verwendet. Zum Beispiel verwendet das HTTP-Protokoll Port 80.
Proxy-Server: Ein Proxy-Server fungiert als Vermittler für Anfragen von Clients, die Ressourcen von anderen Servern suchen. Ein Client verbindet sich mit dem Proxy-Server und fordert einen Dienst (z. B. eine Verbindung, eine Webseite usw.) an, der von einem anderen Server verfügbar ist. Der Proxy-Server wertet dann die Anfrage aus.
QUIC: Quick UDP Internet Connections; ein Transportschichtprotokoll.
Regel: Ein Satz von Bedingungen für Datenverkehrsparameter, der bestimmte Aktionen auslöst. In Kombination mit cognitix Event-Tracking-Tabellen (ETT) und dynamischen Netzwerkobjekten (DNO) können komplexe Policy-Regeln zur Beschreibung des Verhaltens von Geräten erstellt werden.
SCTP: Stream Control Transmission Protocol; ein Kommunikationsprotokoll, das ähnliche Funktionen wie UDP und TCP bietet, sowie Multihoming und redundante Pfade.
Single-Pass: Während eines einzigen Durchgangs durch cognitix Threat Defender klassifiziert die Korrelations- und Policy-Engine den Datenverkehr und wendet Policy-Regeln auf ihn an, wodurch Verzögerungen und die Nutzung von Ressourcen minimiert werden.
SNMP: Simple Network Management Protocol; ein Protokoll zur Überwachung von Netzwerkgeräten mit Hilfe eines zentralen Überwachungssystems. cognitix Threat Defender unterstützt SNMPv2 und SNMPv3.
SPAN: Switched Port Analyzer; Port Mirroring
Spoofing: Indem sich Angreifer als etwas anderes ausgeben, versuchen sie, Zugriff auf erhöhte Berechtigungen zu erhalten oder sich beim Eindringen in und Angriff auf Netzwerke zu verstecken. Ein lokaler Angreifer könnte zum Beispiel seine MAC-Adresse fälschen und sich als Netzwerkdrucker tarnen, um eine Entdeckung zu verhindern. Oder ein Angreifer könnte die IP-Adresse eines anderen Benutzers nachahmen, um sich als dieser Benutzer auszugeben und an IP-basierten Firewall-Regeln vorbei auf sensiblere Netzwerkbereiche zuzugreifen.
Subnetz: Ein Subnetz ist ein Segment des Netzwerks, das physikalisch durch das Routing von Netzwerkgeräten bzw. logisch durch die unterschiedliche Adressierung der Knoten getrennt ist. Die Aufteilung des Netzwerks in Subnetze erhöht die Leistung, indem der Datenverkehr von Netzwerksegmenten isoliert wird, in denen er nicht benötigt wird, und sie erhöht die Sicherheit, indem der Zugriff isoliert wird. Der Adressierungsbereich eines Subnetzes wird durch seine IP-Adresse und die Subnetzmaske definiert. Die Verbindung zu anderen Netzwerken wird über Gateways und Router hergestellt.
syslog: Ein Standard für die Meldungsprotokollierung. Er ermöglicht die Trennung der Software, die Meldungen erzeugt, des Systems, das sie speichert, und der Software, die sie meldet und analysiert. syslog wird von einer Vielzahl von Plattformen und Geräten unterstützt.
TCP: Transmission Control Protocol; ein Protokoll, das definiert, wie die Kommunikation über ein IP-Netzwerk aufgebaut und aufrechterhalten wird. Es bietet Host-zu-Host-Verbindungen auf der Transportschicht des OSI-Modells.
TCP Reset: Alle Pakete einer TCP-Verbindung enthalten einen TCP-Header mit einem Bit, das als „Reset“-Flag (RST) bezeichnet wird. Wenn dieses Bit auf 1 gesetzt ist, zeigt es an, dass der empfangende Computer die Verwendung dieser TCP-Verbindung sofort beenden und alle weiteren Pakete verwerfen soll, deren Header anzeigen, dass sie zu dieser Verbindung gehören. Ein TCP Reset trennt eine TCP-Verbindung sofort.
Bedrohungsaufklärung: Informationen über Bedrohungen, Angreifer, Malware, Ressourcen, Angriffsvektoren, Gegenmaßnahmen und Präventionstaktiken, um Wissen über die Bedrohungen zu erlangen, die das Netzwerk betreffen. Wenn Bedrohungsaufklärung mit der Echtzeit-Korrelation des Netzwerkverkehrs und der Sicherheitsereignisse kombiniert wird, entsteht die nötige Situationserkennung, um aktuelle Bedrohungen zu bewerten und darauf zu reagieren.
TLS / SSL: Transport Layer Security, früher Secure Sockets Layer (SSL) genannt, ist ein Protokoll zur Verschlüsselung von Informationen, die über ein Netzwerk, einschließlich des Internets, übertragen werden. SSL kann für die sichere Kommunikation mit einem Webserver (HTTPS) und für den Zugriff entfernter Benutzer auf ein Netzwerk über ein virtuelles privates Netzwerk verwendet werden.
UDP: User Datagram Protocol; ermöglicht Anwendungen, Meldungen an andere Hosts in einem IP-Netzwerk zu senden.
UEFI: Unified Extensible Firmware Interface; definiert eine Software-Schnittstelle zwischen einem Betriebssystem und der Plattform-Firmware.
URL: Uniform Resource Locator; eine für Menschen lesbare Textzeichenfolge, die auf eine Netzwerkressource verweist. Eine URL besteht meist aus einem vollständigen Domänennamen und dem Pfad im Server. Zum Beispiel steht https://www.genua.de/it-sicherheitsloesungen für den Domänennamen www.genua.de und die Pfadkomponente /it-sicherheitsloesungen. URLs werden am häufigsten im Internet verwendet, wo sie auch als Webadressen bezeichnet werden. URLs können auch beim Web-Filtering verwendet werden, um den Zugriff auf bestimmte Websites zu sperren.
UUID: Universally Unique Identifier; 128-Bit-Nummer die Informationen in Computersystemen identifiziert.
VLAN: Virtual Local Area Network; wird verwendet, um ein einzelnes lokales Netzwerk (LAN) logisch in verschiedene Teile zu unterteilen, die unabhängig voneinander arbeiten. Durch Hinzufügen des VLAN-Tags zur Schicht 2-Kapselung des Netzwerkverkehrs können sich mehrere Schicht 3-Netzwerke eine physikalische Verbindung teilen, ohne sich gegenseitig zu beeinträchtigen.
VPN: Virtual Private Network; erweitert ein privates Netzwerk über ein öffentliches Netzwerk. Anwendungen, die über ein VPN laufen, profitieren von der Funktionalität, Sicherheit und Verwaltung des privaten Netzwerks. Ein VPN wird durch den Aufbau einer virtuellen Punkt-zu-Punkt-Verbindung unter Verwendung von dedizierten Verbindungen, virtuellen Tunneling-Protokollen und/oder Verkehrsverschlüsselung erstellt.
Schwachstelle: Eine Schwäche eines Systems oder einer Software, die ausgenutzt werden kann. Schwachstellen werden in der Regel durch Fehler in der Implementierung verursacht, aber einige werden auch durch Probleme im Design eines Protokolls oder Prozesses verursacht. Bekannte Schwachstellen werden nach Schweregrad kategorisiert, abhängig von den Auswirkungen im Falle ihrer Ausnutzung. Einige Schwachstellen führen zum Absturz des Zieldienstes, während andere genutzt werden können, um auf Daten zuzugreifen, die sonst nicht erreichbar wären. Andere Schwachstellen können ausgenutzt werden, um beliebigen Code auszuführen und erhöhte Berechtigungen für weitere Exploits zu erhalten.
Zero Day: Eine Schwachstelle, die nicht allgemein bekannt ist und für die keine Vorbeugung oder Lösung verfügbar ist. Exploits für Zero Days werden zu höheren Preisen verkauft, da sie sicheren Zugriff auf das Zielsystem versprechen.
Zero Trust: Je komplexer Netzwerke werden, desto verteilter werden Anwendungen und desto häufiger kommt es zu Interaktionen mit Fremdsystemen. Die klassische Vorstellung vom vertrauenswürdigen lokalen Netzwerk versus der nicht vertrauenswürdigen Außenwelt muss verworfen werden. Stattdessen kann nicht einmal den lokalen Netzwerken vertraut werden.