Packet Capture für Forensics ist eines der wenigen Werkzeuge, das im Incident Response nahezu universell funktioniert: Wenn Sie Pakete an den richtigen Stellen erfassen, bekommen Sie belastbare Evidence – unabhängig davon, ob ein Alert aus EDR, NDR, SIEM oder einem Ticket stammt. Gleichzeitig ist Packet Capture in der Praxis oft frustrierend, weil „einfach irgendwo mitschneiden“…
Ein OSI-Modell für Security Architecture Reviews: Template mit den richtigen Fragen ist ein pragmatischer Ansatz, um Architektur-Reviews reproduzierbar, vollständig und nachvollziehbar zu machen. In vielen Organisationen laufen Reviews sonst nach Bauchgefühl: Der eine fragt nach „Zero Trust“, der nächste nach „Logging“, ein dritter nach „Verschlüsselung“ – und am Ende bleiben Lücken, weil niemand systematisch geprüft…
NetFlow/sFlow/IPFIX für Detection sind in vielen Unternehmen die unterschätzten Arbeitspferde der Netzwerküberwachung: Sie liefern skalierbare Sichtbarkeit über „wer spricht wann wie viel mit wem“ – auch dann, wenn Payload durch TLS verschlüsselt ist oder Packet Capture zu teuer wird. Gleichzeitig führen Flow-Daten regelmäßig zu falschen Erwartungen: Sie sind keine vollständige Forensik, ersetzen kein EDR und…
Eine durchdachte IDS/IPS Placement Strategy entscheidet darüber, ob ein Intrusion Detection System (IDS) oder Intrusion Prevention System (IPS) in der Praxis wirklich schützt – oder nur teure Logdaten produziert. Viele Teams investieren in gute Sensoren, Signaturen und Threat-Feeds, übersehen aber den wichtigsten Hebel: den Platz im Netzwerk. Denn ein IDS/IPS sieht immer nur das, was…
Wenn ein SIEM zu viele Alerts erzeugt, liegt das Problem selten nur an „schlechten Regeln“. Häufig fehlt der Kontext, um Ereignisse richtig einzuordnen: Ist es ein physischer Link-Flap oder ein Angriff? Ein legitimer Admin-Login oder Credential Abuse? Ein erwarteter Service-Call oder ein API-Scan? Genau hier hilft der Ansatz SIEM-Use-Cases nach OSI: Indem Sie Use Cases…
UEBA für Netzwerktraffic wird häufig als „KI im SIEM“ missverstanden – dabei ist der Kern viel pragmatischer: Verhalten sichtbar machen, Abweichungen messen und daraus priorisierte Ermittlungsansätze ableiten. Gerade bei Netzwerkdaten ist das schwierig, weil klassische Logik („wenn Portscan, dann Alarm“) schnell an Grenzen stößt: Cloud-Native Workloads sind kurzlebig, Services skalieren automatisch, und verschlüsselter Traffic reduziert…
Deception Technology ist in vielen Security-Programmen noch immer ein „Nice-to-have“, obwohl sie in der Praxis oft genau dort wirkt, wo klassische Kontrollen zu spät kommen: beim lateralen Bewegungsmuster im internen Netz, bei stiller Reconnaissance und bei unautorisierten Zugriffsversuchen, die sich wie „normale“ Administration tarnen. Ein Honey-VLAN oder ein Honey-Service setzt auf ein simples Prinzip: Legitimer…
„Nutzbares“ Logging ist mehr als das bloße Sammeln von Ereignissen: Es bedeutet, dass Logs in Stresssituationen – etwa bei Incident Response, Forensik oder Availability-Problemen – schnell beantwortbare Fragen ermöglichen. In der Praxis scheitert das oft an fehlenden Feldern, inkonsistenten Zeitstempeln, unklarer Identität oder daran, dass Netzwerk- und Security-Teams unterschiedliche Begriffe verwenden. Eine OSI-schichtbasierte Checkliste schafft…
Layer-7-DDoS unterscheidet sich grundlegend von klassischen volumetrischen Angriffen: Nicht Bandbreite ist zwingend der Engpass, sondern die Anwendungsschicht. Angreifer zielen darauf ab, teure Funktionen zu triggern (Datenbankabfragen, Suche, Warenkorb, Login), Caches zu umgehen oder Sessions zu missbrauchen, bis Webserver, Application Server oder nachgelagerte Systeme (Auth, Payment, Third-Party-APIs) kollabieren. Das Heimtückische daran: Die Requests können „gültig“ wirken,…
SSRF in Cloud-Infrastrukturen ist für viele Security-Teams ein unangenehmes Thema, weil es im Incident-Fall oft gleichzeitig „offensichtlich“ und kaum belastbar nachweisbar wirkt. Server-Side Request Forgery bedeutet, dass eine Anwendung im Auftrag eines Angreifers ausgehende Requests ausführt – nicht vom Client aus, sondern vom Server, Container oder einer Function innerhalb Ihrer Cloud-Umgebung. Genau das macht SSRF…
Got questions? Ideas? Fill out the form below & our specialist will contact you.