UEBA für Netzwerktraffic: Verhalten mit OSI-Schichten verknüpfen

UEBA für Netzwerktraffic wird häufig als „KI im SIEM“ missverstanden – dabei ist der Kern viel pragmatischer: Verhalten sichtbar machen, Abweichungen messen und daraus priorisierte Ermittlungsansätze ableiten. Gerade bei Netzwerkdaten ist das schwierig, weil klassische Logik („wenn Portscan, dann Alarm“) schnell an Grenzen stößt: Cloud-Native Workloads sind kurzlebig, Services skalieren automatisch, und verschlüsselter Traffic reduziert…

Deception Technology: Honey-VLAN/Honey-Service aus OSI-Perspektive

Deception Technology ist in vielen Security-Programmen noch immer ein „Nice-to-have“, obwohl sie in der Praxis oft genau dort wirkt, wo klassische Kontrollen zu spät kommen: beim lateralen Bewegungsmuster im internen Netz, bei stiller Reconnaissance und bei unautorisierten Zugriffsversuchen, die sich wie „normale“ Administration tarnen. Ein Honey-VLAN oder ein Honey-Service setzt auf ein simples Prinzip: Legitimer…

„Nutzbares“ Logging: Checkliste wichtiger Felder pro Schicht

„Nutzbares“ Logging ist mehr als das bloße Sammeln von Ereignissen: Es bedeutet, dass Logs in Stresssituationen – etwa bei Incident Response, Forensik oder Availability-Problemen – schnell beantwortbare Fragen ermöglichen. In der Praxis scheitert das oft an fehlenden Feldern, inkonsistenten Zeitstempeln, unklarer Identität oder daran, dass Netzwerk- und Security-Teams unterschiedliche Begriffe verwenden. Eine OSI-schichtbasierte Checkliste schafft…

MITM-Investigation-Playbook: Evidence auf L2, L3, L4 und L7

Ein MITM-Investigation-Playbook (Man-in-the-Middle) hilft, Verdachtsmomente strukturiert in belastbare Evidence zu übersetzen – und zwar so, dass Netzwerk-, SecOps- und IR-Teams eine gemeinsame Sprache haben. In modernen Unternehmensnetzen sind MITM-Szenarien nicht nur „klassisches“ ARP-Spoofing im LAN. Sie reichen von Layer-2-Manipulation (MAC-Move, Rogue Gateway), über Layer-3-Anomalien (asymmetrische Pfade, unerwartete Next-Hops), bis zu Layer-4-Indikatoren (Reset-/Retransmit-Spikes, Session-Rebinding) und Layer-7-Spuren…

Data-Exfiltration untersuchen: DNS-Tunneling vs. HTTPS-Exfil

Wer Data-Exfiltration untersuchen muss, steht häufig vor einer heiklen Frage: Handelt es sich um DNS-Tunneling oder um HTTPS-Exfiltration? Beide Wege sind in Enterprise-Umgebungen realistisch, beide lassen sich mit legitimen Protokollen tarnen – und beide erzeugen unterschiedliche Spuren. Die Herausforderung liegt weniger in „einem einzelnen Alarm“, sondern in der sauberen Beweisführung: Welche Host(s) haben welche Daten…

Blast Radius eines Incidents messen: Segmentierung und Boundaries pro Schicht

Den Blast Radius eines Incidents messen bedeutet, den tatsächlichen und potenziellen Wirkungsbereich eines Sicherheitsvorfalls präzise zu bestimmen: Welche Systeme, Identitäten, Netzsegmente, Daten und Geschäftsprozesse sind betroffen – direkt oder indirekt? Das Hauptkeyword „Blast Radius eines Incidents messen“ ist dabei nicht nur ein Reporting-Begriff, sondern eine operative Disziplin. In modernen Umgebungen mit Cloud, Remote Work, Microservices…

Wann ist ein Incident Security- vs. Reliability-Issue?

Die Frage „Wann ist ein Incident Security- vs. Reliability-Issue?“ taucht in der Praxis häufiger auf, als viele Teams zugeben – besonders in hybriden Umgebungen, in denen Cloud-Services, CI/CD, Identity-Plattformen und Netzwerkkomponenten eng verzahnt sind. Ein Ausfall kann aussehen wie ein klassisches Reliability-Problem (z. B. Timeouts, hohe Latenz, kaputte Deployments), während die eigentliche Ursache ein Sicherheitsereignis…

Purple-Team-Übung nach OSI: Szenarien pro Schicht zum Training

Eine Purple-Team-Übung nach OSI verbindet die Stärken von Red Team (Angriffssicht) und Blue Team (Verteidigungssicht) in einem gemeinsamen, messbaren Training. Der entscheidende Vorteil: Statt „gewonnen“ oder „verloren“ zu diskutieren, optimieren beide Seiten gemeinsam Detection, Response und Hardening – basierend auf realistischen Szenarien und klarer Evidenz. Die OSI-Schichten bieten dabei eine überraschend praxistaugliche Struktur, weil sie…

Hardening-Baseline für Branch Offices: OSI als Checkliste

Eine Hardening-Baseline für Branch Offices ist eine der effektivsten Maßnahmen, um Security-Risiken in verteilten Umgebungen kontrollierbar zu machen. Filialen, Außenstellen und kleine Niederlassungen sind häufig technisch heterogen, werden unterschiedlich betrieben und sind oft weniger streng überwacht als zentrale Rechenzentren. Genau dort entstehen Lücken: unsichere Switch-Ports, überprivilegierte Remote-Zugänge, inkonsistente WLAN-Policies oder fehlendes Logging. Wer die Hardening-Baseline…

Netzwerksegmentierung für Security: Von VLAN bis Microsegmentation

Netzwerksegmentierung für Security ist eine der wirksamsten Maßnahmen, um die Ausbreitung von Angriffen zu begrenzen, kritische Systeme zu schützen und Sicherheitskontrollen dort zu platzieren, wo sie operativ am meisten bringen. In der Praxis geht es nicht nur um „ein paar VLANs“, sondern um ein abgestuftes Modell: grobe Trennung für Stabilität und Übersicht, feinere Zonierung für…