Das Enterprise Immune System

Erkennt und wehrt Cyberbedrohungen in Echtzeit ab
Bedrohungserkennung und eigenständige Reaktion in Echtzeit
Maschinelles Lernen und AI
Keine Regeln oder Signaturen

Das Enterprise Immune System ist die weltweit fortschrittlichste Technologie für maschinelles Lernen im Bereich der Cyberabwehr. Inspiriert von den Selbstlernfähigkeiten des menschlichen Immunsystems verleiht Darktrace‘s richtungsweisende Technologie Unternehmen die Möglichkeit, sich in einer Ära hoch entwickelter und allgegenwärtiger Cyberbedrohungen verteidigen zu können.

Das menschliche Immunsystem ist unglaublich komplex und passt sich kontinuierlich an neue Formen von Bedrohungen an, wie beispielsweise die ständig mutierende DNA von Viren. Dabei lernt es, was für den menschlichen Körper normal ist, und identifiziert und neutralisiert Ausreißer, die nicht in das Muster des Normalen passen.

Darktrace wendet genau diese Logik auf Unternehmens- und Industrieumgebungen an. Mithilfe von maschinellem Lernen und KI-Algorithmen erlernt die Enterprise Immune System-Technologie konsequent die Gewohnheiten – die sogenannten „Patterns of Life“ – aller Geräte und Nutzer in einem Netzwerk. Durch die Korrelation dieser Erkenntnisse mit erwarteten Mustern werden Bedrohungen erkannt, die sonst unbemerkt bleiben würden.

Wie das menschliche Immunsystem muss auch das Enterprise Immune System Bedrohungen oder Aktivitätsmuster nicht schon kennen, um zu verstehen, dass sie eine potenzielle Gefahr darstellen. So kann es ohne Vorwissen oder Signaturen ausgeklügelte, getarnte Angriffe im Netzwerk automatisch in Echtzeit entdecken und abwehren.

Mit dem Enterprise Immune System von Darktrace können wir uns sicher sein, dass wir gegen moderne, hoch entwickelte Angriffe bestens gerüstet sind.
Dane Sanderson, Global Security Direktor, Trek

Darktrace Threat Visualizer

Bringen Sie Licht in Ihr Netzwerk

Der Darktrace Threat Visualizer ist eine Oberfläche für die 3D-Visualisierung von Bedrohungen in Echtzeit. Neben Warnmeldungen zu Bedrohungen liefert der Threat Visualizer eine grafische Übersicht über Aktivitäten im Netzwerk und bietet sowohl für Sicherheitsexperten als auch für das Management eine benutzerfreundliche Oberfläche.

Mithilfe moderner Visualisierungsmethoden benachrichtigt der Threat Visualizer Analysten automatisch über ernst zu nehmende Vorfälle und Bedrohungen in ihren Umgebungen, damit sie bestimmte Bereiche der Infrastruktur proaktiv untersuchen können.

Vorteile
  • 3D-Visualisierung der gesamten Netzwerktopologie
  • Echtzeitübersicht des Bedrohungsstatus im Unternehmen
  • Intelligentes Clustering von Anomalien
  • Übergreifende Ansichten – übergeordnete Netzwerktopologie, spezifische Cluster, Subnetze und Host-Ereignisse
  • Durchsuchbare Protokolle und Ereignisse
  • Wiedergabe historischer Daten
  • Übersichtliche Darstellung des Gesamtverhaltens von Geräte- und externen IPs
  • Konzipiert für Management und Sicherheitsanalysten

Vollständige Transparenz

Die Visualisierungsmethoden ermöglichen auch einen Gesamtüberblick über das Unternehmensnetzwerk für das Management und schließen so etwaige Verständnislücken in der Vorstandsetage. Führungskräfte erhalten einen verständlichen Einblick in Sicherheitsprobleme, werden mit der Netzwerkumgebung vertraut gemacht und können so bessere Entscheidungen treffen.

Darktrace bringt Licht in unsere Systeme und vermittelt einen visuellen Überblick über das, was unter der Haube vor sich geht’.
Conor Claxton, COO, Macrosynergy

KI & Maschinelles Lernen

Erlernt das „Ich“ Ihres Unternehmens – automatisch

Künstliche Intelligenz und maschinelles Lernen eröffnen gänzlich neue Möglichkeiten in der Cybersicherheit. Mit neuen Methoden des maschinellen Lernens lassen sich die Genauigkeit der Bedrohungserkennung und Einblicke in Netzwerke deutlich verbessern, da wesentlich mehr Daten ausgewertet werden können. Zudem läuten diese Methoden eine neue Ära autonomer Reaktion ein, in der eine Maschine genügend Intelligenz besitzt, um zu verstehen, wie und wann sie gegen Bedrohungen vorgehen muss.

Darktrace verwarf von Anfang an die Annahme, dass sich aus Daten von vergangenen Angriffen auf zukünftige Angriffe schließen lässt. Die Cyber-KI-Plattform verlässt stattdessen auf unbewachtes maschinelles Lernen, um Netzwerkdaten in großem Umfang zu analysieren und Milliarden von wahrscheinlichkeitsbasierten Berechnungen auf Grundlage dieser Beobachtungen durchzuführen. Statt sich auf Kenntnisse vergangener Bedrohungen zu verlassen, klassifiziert die Plattform eigenständig Daten und erkennt relevante Muster.

Die weltweit führende Cyber-KI von Darktrace zeigt Abweichungen vom „normalen“ Verhalten auf, die ein Eingreifen erfordern, und hilft so tausenden Unternehmen auf der ganzen Welt sämtliche Arten von Bedrohungen zu erkennen und abzuwehren. Damit ist sie die bewiesenste, skalierbarste und präzieseste Plattform ihrer Art, die heutzutage in Unternehmen eingesetzt wird.

Die KI von Darktrace erkennt Bedrohungen, die andere übersehen.
William Reid, Leiter IT, Wyndham New Yorker
Die KI von Darktrace erkennt Bedrohungen, die andere übersehen – und wehrt sie ab

Die KI von Darktrace für die Cyberabwehr basiert auf einzigartige Methoden des maschinellen Lernens, die von Mathematikern im britischen Cambridge entwickelt wurden, immer weiterentwickelt werden und auf die bereits tausende Unternehmen weltweit vertrauen.

Das Enterprise Immune System kann in Echtzeit Freund von Feind unterscheiden und erkennt Cyberbedrohungen, bevor sie sich ausbreiten. Darüber hinaus ist die selbstlernende Technologie in der Lage, Bedrohungen abzuwehren, die ihre Wirkung mit einer für den Menschen nicht nachvollziehbaren Geschwindigkeit entfalten.

Unabhängig davon, ob Sie es mit einer Insider-Bedrohung oder einer andauernden Kompromittierung zu tun haben, ob Sie Ziel eines Ransomware-Angriffs geworden sind oder ein Element im Netzwerk gehackt wurde: Darktrace erkennt die kaum merklichen Hinweise auf abnormale Aktivitäten und schützt Ihre kritischsten Systeme.

Weltklassige Experten

Unsere Spezialisten für maschinelles Lernen in Cambridge

Unsere Softwareingenieure sind Experten für maschinelles Lernen und Mathematik. Durch eine wegweisende neue Anwendung der Bayesianischen Statistik, dem sogenannten Bayesianischen Filter, legten sie das Fundament für die mehrfach ausgezeichnete Enterprise Immune System-Technologie von Darktrace und deren wahrscheinlichkeitsbasierten Ansatz für die Erkennung von Cyberbedrohungen.

Mithilfe der Bayesianischen Statistik können Schlüsse aus großen Datenmengen gezogen und die geschätzten Wahrscheinlichkeiten eines bestimmten Ereignisses anhand weiterer gewonnener Informationen laufend aktualisiert werden. Der Bayesianische Filter ermöglicht die Anwendung dieses Ansatzes ohne einen Supercomputer zu benötigen.

Unser Forschungs- und Entwicklungsteam im britischen Cambridge bringt immer wieder neue Innovationen hervor, die ständig die Grenzen dessen, was in den Bereichen Cybersicherheit und Künstlicher Intelligenz möglich ist, verschieben.

Fallstudien

Von Darktrace erkannt: Fallstudien

Darktrace ist in der Lage, ein breites Spektrum an bereits eingenisteten Bedrohungen, laufenden Angriffen und Schwachstellen zu erkennen – von gehackten IoT-Geräten und kriminellen Kampagnen über Insider-Bedrohungen bis hin zu latenten Schwachstellen. Die folgenden ausgewählten Fallstudien zeigen unterschiedlichste Bedrohungsszenarien, die Darktrace in Echtzeit erkannte, bevor ernsthafter Schaden entstand.

Externer Angriff auf einen Cloud-Server

Darktrace entdeckte einen Brute-Force-Angriff auf einen Server in einer Cloud-Infrastruktur, die aufgrund von Nachlässigkeit nicht vom Internet abgekoppelt war.

Wäre der Angriff erfolgreich gewesen, wäre das gesamte Netzwerk kompromittiert worden, dar eine Verbindung zwischen der Cloud und dem physischen Netzwerk bestand. Die Aktivität stellte nicht nur ein erhebliches Sicherheitsrisiko dar. Es bestand auch die Gefahr einer Serverüberlastung, weil ständig versucht wurde, eine Verbindung herzustellen.

Erkenntnisse von Darktrace:
  • Über einen Zeitraum von vier Wochen wurden mehr als 8.000 Verbindungsversuche von über 100 verschiedenen Quelladressen beobachtet.
  • Dabei wurde systematisch versucht, mit ein und demselben Benutzernamen Zugang zu einem cloudbasierten RDP-Server zu erhalten: „hello“.
  • Auf die Aktivität entfiel der Großteil des Datenverkehrs zum und vom Server.
Hochkomplexer Ransomware-Angriff

Im Netzwerk eines Telekommunikationsunternehmens fand Darktrace einen bislang unbekannten, hochkomplexen Ransomware-Stamm. Die Ransomware verbreitete sich automatisch und schneller als gewöhnliche Schadprogramme dieser Art. Begonnen hatte alles mit einem Mitarbeiter, der die Sicherheitsprotokolle des Unternehmens nicht beachtete und seine privaten E-Mails abrief. Dabei tappte er vermutlich in eine Falle und lud eine schädliche Datei herunter. Sekunden später stellte sein Gerät eine Verbindung zu einem externen Server im Tor-Netzwerk her.

Neun Sekunden nach Beginn der SMB-Verschlüsselung sendete Darktrace einen Alert mit dem Hinweis, dass die Anomalie untersucht werden muss. Das Verhalten dauerte 24 weitere Sekunden an, während Darktrace sein Verständnis kontinuierlich der Abweichung anpasste, die sich langsam zu einer ernsthaften Bedrohung entwickelte. Das Sicherheitsteam hatte bereits ihr Wochenende begonnen, als Darktrace Antigena eingriff und automatisch alle Versuche unterbrach, verschlüsselte Dateien in Netzwerkdateifreigaben zu schreiben.

Erkenntnisse von Darktrace:
  • Das Gerät des Mitarbeiters schickte eine Reihe anormaler HTTP-Anfragen an ungewöhnliche externe Domains.
  • Das Gerät lud eine verdächtige .exe-Datei herunter.
  • SMB-Freigaben wurden gelesen und verschlüsselt.
Biometrischer Scanner als Angriffsziel

Bei einem multinationalen Fertigungsunternehmen machte sich ein Angreifer bekannte Sicherheitslücken zunutze, um einen biometrischen Scanner zu manipulieren, welcher der Zugangskontrolle zu Maschinen und Anlagen diente. Der Angreifer begann, die auf dem Gerät gespeicherten Fingerabdruckdaten zu verändern.

Wäre die Bedrohung nicht bemerkt worden, hätte der Angreifer seine eigenen Fingerabdruckdaten in die Datenbank einspeisen können, um sich Zugang zu den Anlagen zu verschaffen. Normale Anti-Malware- und signaturbasierte Lösungen hatten die subtile Aktivität nicht erkannt, die zu dem Kompromittieren führten.

Erkenntnisse von Darktrace:
  • Nach der Installation erkannte Darktrace verdächtige Telnet-Verbindungen, die von einem externen Computer ausgingen.
  • Über den externen Computer wurde mit Standardzugangsdaten auf den Scanner zugegriffen; mithilfe von Root-Rechten wurden CPU-Daten abgerufen.
  • Der Angreifer versuchte dann, auch andere interne Systeme unter seine Kontrolle zu bringen.
  • Weitere Untersuchungen ergaben, dass die Erreichbarkeit des Scanners über Telnet-Port 23 in der IP-Datenbank von shodan.io vermerkt war.
Manipulation eines Videokonferenzsystems

Ein internationales Sportunternehmen eröffnete eine Reihe neuer Büros auf der ganzen Welt und schaffte eine Videokonferenzlösung an, um die tägliche Kommunikation zwischen den Teams zu vereinfachen. Beim Erlernen des „Pattern of Life“ des Unternehmens stellte Darktrace ungewöhnliches Verhalten bei einem bestimmten Gerät im Netzwerk fest – dem Videokonferenzsystem im Sitzungssaal des Vorstands. Ein Angreifer hatte sich ohne Authentifizierung Remote-Zugriff verschafft und begonnen, Audiodaten aus dem Unternehmen zu schleusen.

Durch den Diebstahl vertraulicher Gesprächsdaten von Besprechungen gelangten sensible Firmeninformationen in die Hände des Angreifers. Wäre der Angreifer unentdeckt geblieben, hätte er sogar PoS-Geräte unter seine Kontrolle bringen und weiteren Schaden anrichten können.

Erkenntnisse von Darktrace:
  • Ein einziges internes Gerät verband sich extern über Telnet.
  • Auffallend große Datenmengen wurden an sechs ungewöhnliche externe Computer übertragen.
  • Vor der Installation von Darktrace wurde ein Backdoor-Trojaner auf dem Gerät abgelegt.
  • Das Gerät verband sich über FTP, Telnet und HTTP mit verdächtigen externen Servern.
Ungewöhnliche Datenübertragung in private Cloud

Ein verärgerter Mitarbeiter beschloss, an seinem letzten Tag im Unternehmen große Mengen an Kundendaten zu stehlen. Diese wollte er in seine Dropbox hochladen.

Die Nutzung von Dropbox war in dem Unternehmen gang und gäbe, deshalb ging er wohl davon aus, dass niemand sein Vorhaben bemerken würde. Während Legacy-Tools das Verhalten nicht als bedrohlich erkannt hätten, konnte Darktrace dank seines selbstlernendes Ansatzes kleinste Abweichungen von normalen Mustern präzise feststellen. Somit wurden die unerlaubten Datentransfers erkannt, bevor der Mitarbeiter die Informationen tatsächlich entwenden konnte.

Erkenntnisse von Darktrace:
  • Ein Firmenserver übertrug 17 GB an Daten zu Dropbox, was für den betroffenen Server ungewöhnlich viel war.
  • Die Nutzung von Dropbox war in dem Unternehmen zwar üblich, aber Datenübertragungen erfolgten selten über den betroffenen Server.
  • Die Daten enthielten Informationen über die Standorte der Kunden des Unternehmens.
Automatisierter Diebstahl von Zugangsdaten

Das Netzwerk eines Gesundheitsdienstleisters wurde mit einem Malware-Stamm infiziert, der Zugangsdaten von Benutzern stehlen sollte. Kaum im Netzwerk, breitete sich die Malware aus, indem sie Programme in sensible Ordner auf anderen Geräten kopierte und versuchte, Anmeldedaten zu erraten.

Der Angreifer versuchte, Zugangsdaten aus dem Netzwerk abzufischen. Diese Form von Malware war mit in Bedrohungsdatenbanken erfassten Arten von Schadsoftware nicht vergleichbar – und sie war automatisiert. Das Sicherheitsteam konnte daher nicht schnell genug reagieren und herkömmliche Abwehrmechanismen waren nicht in der Lage, die Malware zu erkennen. Darktrace erkannte dank seines KI-basierten Verständnisses der normalen Aktivitäten von Benutzern und Organisationen das Kopieren der Programme und den unbefugten Zugriff auf die Passwort-Manager als abnormales Verhalten.

Erkenntnisse von Darktrace:
  • Infizierte Geräte legten Programme in sensiblen Ordnern ab.
  • Die Dateitransfers erfolgten schneller, als durch Benutzereingaben möglich gewesen wäre.
  • Die Geräte versuchten, mit einer verdächtigten externen Infrastruktur zu kommunizieren.
Sich selbst modifizierender Keylogger

Einige der raffiniertesten Angriffe, die Darktrace aufspürt, beinhalten ‚aktive Abwehrmechanismen‘, die eine Erkennung durch herkömmliche Schutzsysteme verhindern. In einem Fall wurde für einen solchen Angriff Malware eingesetzt, die sich selbst modifiziert und sich so in aller Ruhe im Netzwerk einer großen Universität einnisten konnte. Der Angreifer verwendete ein Tool namens Smoke Malware Loader, das eigenständig Benutzerkennwörter abgreift. Durch die dynamische Veränderung ihrer Signatur und die Erstellung gefälschter Fehlermeldungen zur Tarnung versuchte die Malware, ihre Anwesenheit im Netzwerk zu verschleiern.

Das Verhalten der Malware war trügerisch, ähnelte es doch mehr einem gezielten Angriff als einer herkömmlichen, wahllosen Kampagne. Darktrace analysierte diese hochkomplexe Vorgehensweise bis ins kleinste Detail und stellte anhand einer Reihe anormaler Verhaltensweisen die Existenz einer schwerwiegenden Anomalie fest, die ein sofortiges Eingreifen erforderte.

Erkenntnisse von Darktrace:
  • Die Malware wurde von einer ungewöhnlichen externen Quelle heruntergeladen.
  • Daten, die vermutlich Kennwörter enthielten, wurden an ein äußerst ungewöhnliches Ziel übertragen.
  • Auf die Datenübertragungen folgte eine Flut von Fehlermeldungen über fehlgeschlagene Verbindungsversuche.
  • Das Beaconing stellte eine signifikante Abweichung vom normalen Verhalten der Geräte dar.
Bitcoin-Mining durch einen Insider

Ein Informatiker bei einem Finanzdienstleister – der Zugang zu den Serverfarmen des Unternehmens hatte – kommunizierte mit einem Firmengerät mit einem ungewöhnlichen externen Endpoint.

Es kam heraus, dass der Mitarbeiter gewinnbringendes Bitcoin-Mining betreiben wollte. Darktrace erkannte das Zusammenspiel von ungewöhnlicher IP, Hostname, RDP-Aktivität und SMB-Abfragen als Teil eines größeren Bedrohungsmusters, und identifizierte die Aktivität in Echtzeit.

Erkenntnisse von Darktrace:
  • Auf dem Gerät des Mitarbeiters wurden anormale RDP-Aktivitäten und SMB-Abfragen beobachtet.
  • Das Gerät verband sich mit dem Heimnetzwerk des Nutzers, das wiederum mit einem FTP-Server verbunden war.
  • Auf dem Server befand sich ein Ordner mit dem Namen des Unternehmens.
  • Der Ordner enthielt mehrere Dateien mit Mining-Trojanern für die Generierung von Kryptowährungen.
Datenausschleusung aus einem Stromnetz

Im SCADA-System eines Stromnetzbetreibers im Nahen Osten entdeckte Darktrace einen internen Server, der kompromittiert worden war und Daten zu einem externen Angreifer schleuste.

Das Stromnetz war ein begehrtes Angriffsziel, sodass die Datenausschleusung besonders besorgniserregend war. Darktrace entdeckte diesen raffinierten Cyberangriff dank seines selbstlernendes Ansatzes und das Sicherheitsteam konnte schnell und entschlossen eingreifen, bevor kritische Informationen das Netzwerk verlassen konnten.

Erkenntnisse von Darktrace:
  • Es wurde eine anormale SSH-Verbindung zwischen dem Server und einem externen Gerät festgestellt, das zuvor noch nie mit dem betreffenden Server kommuniziert hatte.
  • Der Server sendete ungewöhnlich große Datenmengen über ICMP-Verbindungen nach draußen.
  • Vor dem Aufbau der SSH-Verbindungen gab es mehrere fehlgeschlagene Versuche, SSH-Verbindungen mithilfe von Zugangscodes herzustellen, die online als Werkseinstellungen registriert waren.
Datendiebstahl über Geheimversteck im Fußboden

Nach der Installation in einem Unternehmensnetzwerk entdeckte Darktrace ein nicht autorisiertes Gerät im Rechenzentrum des Unternehmens, das sich anormal verhielt. Das Sicherheitsteam hatte von diesem Gerät keine Ahnung. Nachdem Darktrace in den darauffolgenden beiden Wochen immer wieder auf die anormale Aktivität hinwies, beschloss das Unternehmen, Nachforschungen anzustellen. Das Team entdeckte im Rechenzentrum einen kleinen Computer im Fußboden. Das Gerät war hinten am Server eingesteckt und griff Daten ab. Es wurde ein Angriff vermutet, der entsprechend untersucht wurde.

Weiter: Produkte