NetFlow/sFlow/IPFIX für Detection sind in vielen Unternehmen die unterschätzten Arbeitspferde der Netzwerküberwachung: Sie liefern skalierbare Sichtbarkeit über „wer spricht wann wie viel mit wem“ – auch dann, wenn Payload durch TLS verschlüsselt ist oder Packet Capture zu teuer wird. Gleichzeitig führen Flow-Daten regelmäßig zu falschen Erwartungen: Sie sind keine vollständige Forensik, ersetzen kein EDR und…
Eine durchdachte IDS/IPS Placement Strategy entscheidet darüber, ob ein Intrusion Detection System (IDS) oder Intrusion Prevention System (IPS) in der Praxis wirklich schützt – oder nur teure Logdaten produziert. Viele Teams investieren in gute Sensoren, Signaturen und Threat-Feeds, übersehen aber den wichtigsten Hebel: den Platz im Netzwerk. Denn ein IDS/IPS sieht immer nur das, was…
Wenn ein SIEM zu viele Alerts erzeugt, liegt das Problem selten nur an „schlechten Regeln“. Häufig fehlt der Kontext, um Ereignisse richtig einzuordnen: Ist es ein physischer Link-Flap oder ein Angriff? Ein legitimer Admin-Login oder Credential Abuse? Ein erwarteter Service-Call oder ein API-Scan? Genau hier hilft der Ansatz SIEM-Use-Cases nach OSI: Indem Sie Use Cases…
UEBA für Netzwerktraffic wird häufig als „KI im SIEM“ missverstanden – dabei ist der Kern viel pragmatischer: Verhalten sichtbar machen, Abweichungen messen und daraus priorisierte Ermittlungsansätze ableiten. Gerade bei Netzwerkdaten ist das schwierig, weil klassische Logik („wenn Portscan, dann Alarm“) schnell an Grenzen stößt: Cloud-Native Workloads sind kurzlebig, Services skalieren automatisch, und verschlüsselter Traffic reduziert…
Deception Technology ist in vielen Security-Programmen noch immer ein „Nice-to-have“, obwohl sie in der Praxis oft genau dort wirkt, wo klassische Kontrollen zu spät kommen: beim lateralen Bewegungsmuster im internen Netz, bei stiller Reconnaissance und bei unautorisierten Zugriffsversuchen, die sich wie „normale“ Administration tarnen. Ein Honey-VLAN oder ein Honey-Service setzt auf ein simples Prinzip: Legitimer…
„Nutzbares“ Logging ist mehr als das bloße Sammeln von Ereignissen: Es bedeutet, dass Logs in Stresssituationen – etwa bei Incident Response, Forensik oder Availability-Problemen – schnell beantwortbare Fragen ermöglichen. In der Praxis scheitert das oft an fehlenden Feldern, inkonsistenten Zeitstempeln, unklarer Identität oder daran, dass Netzwerk- und Security-Teams unterschiedliche Begriffe verwenden. Eine OSI-schichtbasierte Checkliste schafft…
Ein MITM-Investigation-Playbook (Man-in-the-Middle) hilft, Verdachtsmomente strukturiert in belastbare Evidence zu übersetzen – und zwar so, dass Netzwerk-, SecOps- und IR-Teams eine gemeinsame Sprache haben. In modernen Unternehmensnetzen sind MITM-Szenarien nicht nur „klassisches“ ARP-Spoofing im LAN. Sie reichen von Layer-2-Manipulation (MAC-Move, Rogue Gateway), über Layer-3-Anomalien (asymmetrische Pfade, unerwartete Next-Hops), bis zu Layer-4-Indikatoren (Reset-/Retransmit-Spikes, Session-Rebinding) und Layer-7-Spuren…
Wer Data-Exfiltration untersuchen muss, steht häufig vor einer heiklen Frage: Handelt es sich um DNS-Tunneling oder um HTTPS-Exfiltration? Beide Wege sind in Enterprise-Umgebungen realistisch, beide lassen sich mit legitimen Protokollen tarnen – und beide erzeugen unterschiedliche Spuren. Die Herausforderung liegt weniger in „einem einzelnen Alarm“, sondern in der sauberen Beweisführung: Welche Host(s) haben welche Daten…
Den Blast Radius eines Incidents messen bedeutet, den tatsächlichen und potenziellen Wirkungsbereich eines Sicherheitsvorfalls präzise zu bestimmen: Welche Systeme, Identitäten, Netzsegmente, Daten und Geschäftsprozesse sind betroffen – direkt oder indirekt? Das Hauptkeyword „Blast Radius eines Incidents messen“ ist dabei nicht nur ein Reporting-Begriff, sondern eine operative Disziplin. In modernen Umgebungen mit Cloud, Remote Work, Microservices…
Die Frage „Wann ist ein Incident Security- vs. Reliability-Issue?“ taucht in der Praxis häufiger auf, als viele Teams zugeben – besonders in hybriden Umgebungen, in denen Cloud-Services, CI/CD, Identity-Plattformen und Netzwerkkomponenten eng verzahnt sind. Ein Ausfall kann aussehen wie ein klassisches Reliability-Problem (z. B. Timeouts, hohe Latenz, kaputte Deployments), während die eigentliche Ursache ein Sicherheitsereignis…
Got questions? Ideas? Fill out the form below & our specialist will contact you.