Wenn ein SIEM zu viele Alerts erzeugt, liegt das Problem selten nur an „schlechten Regeln“. Häufig fehlt der Kontext, um Ereignisse richtig einzuordnen: Ist es ein physischer Link-Flap oder ein Angriff? Ein legitimer Admin-Login oder Credential Abuse? Ein erwarteter Service-Call oder ein API-Scan? Genau hier hilft der Ansatz SIEM-Use-Cases nach OSI: Indem Sie Use Cases…
UEBA für Netzwerktraffic wird häufig als „KI im SIEM“ missverstanden – dabei ist der Kern viel pragmatischer: Verhalten sichtbar machen, Abweichungen messen und daraus priorisierte Ermittlungsansätze ableiten. Gerade bei Netzwerkdaten ist das schwierig, weil klassische Logik („wenn Portscan, dann Alarm“) schnell an Grenzen stößt: Cloud-Native Workloads sind kurzlebig, Services skalieren automatisch, und verschlüsselter Traffic reduziert…
Deception Technology ist in vielen Security-Programmen noch immer ein „Nice-to-have“, obwohl sie in der Praxis oft genau dort wirkt, wo klassische Kontrollen zu spät kommen: beim lateralen Bewegungsmuster im internen Netz, bei stiller Reconnaissance und bei unautorisierten Zugriffsversuchen, die sich wie „normale“ Administration tarnen. Ein Honey-VLAN oder ein Honey-Service setzt auf ein simples Prinzip: Legitimer…
„Nutzbares“ Logging ist mehr als das bloße Sammeln von Ereignissen: Es bedeutet, dass Logs in Stresssituationen – etwa bei Incident Response, Forensik oder Availability-Problemen – schnell beantwortbare Fragen ermöglichen. In der Praxis scheitert das oft an fehlenden Feldern, inkonsistenten Zeitstempeln, unklarer Identität oder daran, dass Netzwerk- und Security-Teams unterschiedliche Begriffe verwenden. Eine OSI-schichtbasierte Checkliste schafft…
Ein MITM-Investigation-Playbook (Man-in-the-Middle) hilft, Verdachtsmomente strukturiert in belastbare Evidence zu übersetzen – und zwar so, dass Netzwerk-, SecOps- und IR-Teams eine gemeinsame Sprache haben. In modernen Unternehmensnetzen sind MITM-Szenarien nicht nur „klassisches“ ARP-Spoofing im LAN. Sie reichen von Layer-2-Manipulation (MAC-Move, Rogue Gateway), über Layer-3-Anomalien (asymmetrische Pfade, unerwartete Next-Hops), bis zu Layer-4-Indikatoren (Reset-/Retransmit-Spikes, Session-Rebinding) und Layer-7-Spuren…
Wer Data-Exfiltration untersuchen muss, steht häufig vor einer heiklen Frage: Handelt es sich um DNS-Tunneling oder um HTTPS-Exfiltration? Beide Wege sind in Enterprise-Umgebungen realistisch, beide lassen sich mit legitimen Protokollen tarnen – und beide erzeugen unterschiedliche Spuren. Die Herausforderung liegt weniger in „einem einzelnen Alarm“, sondern in der sauberen Beweisführung: Welche Host(s) haben welche Daten…
Den Blast Radius eines Incidents messen bedeutet, den tatsächlichen und potenziellen Wirkungsbereich eines Sicherheitsvorfalls präzise zu bestimmen: Welche Systeme, Identitäten, Netzsegmente, Daten und Geschäftsprozesse sind betroffen – direkt oder indirekt? Das Hauptkeyword „Blast Radius eines Incidents messen“ ist dabei nicht nur ein Reporting-Begriff, sondern eine operative Disziplin. In modernen Umgebungen mit Cloud, Remote Work, Microservices…
Die Frage „Wann ist ein Incident Security- vs. Reliability-Issue?“ taucht in der Praxis häufiger auf, als viele Teams zugeben – besonders in hybriden Umgebungen, in denen Cloud-Services, CI/CD, Identity-Plattformen und Netzwerkkomponenten eng verzahnt sind. Ein Ausfall kann aussehen wie ein klassisches Reliability-Problem (z. B. Timeouts, hohe Latenz, kaputte Deployments), während die eigentliche Ursache ein Sicherheitsereignis…
Eine Purple-Team-Übung nach OSI verbindet die Stärken von Red Team (Angriffssicht) und Blue Team (Verteidigungssicht) in einem gemeinsamen, messbaren Training. Der entscheidende Vorteil: Statt „gewonnen“ oder „verloren“ zu diskutieren, optimieren beide Seiten gemeinsam Detection, Response und Hardening – basierend auf realistischen Szenarien und klarer Evidenz. Die OSI-Schichten bieten dabei eine überraschend praxistaugliche Struktur, weil sie…
Eine Hardening-Baseline für Branch Offices ist eine der effektivsten Maßnahmen, um Security-Risiken in verteilten Umgebungen kontrollierbar zu machen. Filialen, Außenstellen und kleine Niederlassungen sind häufig technisch heterogen, werden unterschiedlich betrieben und sind oft weniger streng überwacht als zentrale Rechenzentren. Genau dort entstehen Lücken: unsichere Switch-Ports, überprivilegierte Remote-Zugänge, inkonsistente WLAN-Policies oder fehlendes Logging. Wer die Hardening-Baseline…
Got questions? Ideas? Fill out the form below & our specialist will contact you.