Share
Beitragsbild zu Network Detection and Response: Fundierte Traffic-Analysen mithilfe von Künstlicher Intelligenz

Network Detection and Response: Fundierte Traffic-Analysen mithilfe von Künstlicher Intelligenz

In einem Unternehmensnetzwerk werden heute zahlreiche Cloud- und On-Premise-Applikationen sowie Server zusammengeführt, die auf unterschiedlichste und teilweise sehr komplexe Art und Weise miteinander kommunizieren. Vielen Unternehmen fällt es daher schwer, einen Gesamtüberblick über ihre Netzwerkaktivitäten zu behalten. Network-Detection-and-Response-(NDR)-Systeme helfen dabei. Besonders effektiv sind solche Lösungen, wenn sie bereits bestehende Logdaten mit Künstlicher Intelligenz analysieren.

Durchschnittlich 24 Tage dauert es, bis ein Unternehmen realisiert, dass es einem Cyber-Angriff zum Opfer gefallen ist. Denn in größeren Firmen finden Millionen von Interaktionen und hunderttausende Webserver-Kontakte statt. Und zwischen diesen Aktivitäten können sich Angreifer praktisch unsichtbar machen. Erschwerend kommt hinzu, dass sich die meisten Sicherheitslösungen vor allem auf die Abwehr externer Bedrohungen und weniger auf Unregelmäßigkeiten innerhalb des Netzwerks konzentrieren.

Traditionelle Network-Detection-and-Response-Systeme spiegeln den kompletten Netzwerkverkehr und analysieren diesen anschließend mithilfe von Künstlicher Intelligenz. Diese Technologie ist allerdings zunehmend ineffektiv, weil sie verschlüsselte Netzwerkdaten nicht analysieren kann. Darüber hinaus generiert die Spiegelung des gesamten Netzwerkverkehrs riesige Datenmengen, welche die Performance des Netzwerks negativ beeinflussen. Das Spiegeln des Datenverkehrs reicht daher nicht mehr aus, um Unregelmäßigkeiten und Angriffe zu erkennen.

Schutz des Netzwerks durch Analyse der bestehenden Metadaten

Abhilfe schaffen moderne Network-Detection- and Response-Lösungen, die bestehende Netzwerk-Logdaten analysieren – etwa Log-Daten von Firewalls, Switches, NetFlow-Kollektoren, Internet Protocol Flow Information Export (IPFIX), Secure Web Gateways sowie Gateways zu nativen Clouds wie AWS, Google und Azure. Viele Firmen zeichnen solche Daten bereits auf – beispielsweise aus Compliance-Gründen. Damit verfügen sie bereits über die Datengrundlage. Allerdings fehlen ihnen die Algorithmen, um diese detailliert zu untersuchen.

Während Security-Information-&-Event-Management (SIEM)-Systeme sich auf die Datenaggregation und einfache Datenanalysen konzentrieren, detektiert eine NDR-Lösung Anomalien innerhalb der Netzwerkaktivitäten. Damit bietet sie eine Art Sicherheitsnetz für den Fall, dass sich eine Bedrohung etwa an der Antiviren-Software oder den Firewalls vorbeischleust.

Mithilfe vordefinierter und trainierter Algorithmen lassen sich so Cyber-Bedrohungen schneller erkennen und stoppen. NDR-Lösungen unterstützen die Security-Teams in der Erkennung der einzelnen Schritte, die Cyberkriminelle beispielsweise bei einem APT- (Advanced Persistent Threat) oder Ransomware-Angriff unternehmen – von der Bewegung im Unternehmensnetz bis zur Exfiltration der Daten. Dafür rekonstruiert der Machine Learning Algorithmus, was normale, erwartete Aktivitäten sind und was nicht. Aktivitäten, die von der Norm abweichen, werden herausgefiltert, genauer analysiert und vom Algorithmus nach deren Gefahrenpotenzial bewertet.

Visibility, Anomaly Detection and Response

Von KI-gestützten Analysen der Netzwerkdaten können Anwenderunternehmen gleich in dreierlei Hinsicht profitieren: Visualisierungstechnologien ermöglichen es, schnelle, interaktive Drill-Downs für eine hohe Sichtbarkeit (Visibility) über die gesamte IT-Infrastruktur zu erstellen. Zweitens bewirken vordefinierte und trainierte ML-Modelle, sowie die Korrelation zusätzlicher Datenquellen eine zuverlässige Anomalieerkennung. Ungewöhnliche Muster im Datenverkehr werden also sofort erkannt und nach deren Gefahrenpotenzial bewertet. Die Anomalie wird an ein Security Team gemeldet, das anhand von automatisch generierten Handlungsvorschlägen und Visualisierungen der Hintergrunddaten schnell und gezielt reagieren kann (Response). Dabei priorisieren Algorithmen die Vorfälle, indem sie verschiedene Netzwerkbereiche danach unterteilen, wie unternehmenskritisch sie sind. Im Vorteil sind zudem NDR-Lösungen, die über Schnittstellen zu bestehenden SOAR-/Ticket-Systemen verfügen und in der Lage sind, Geräte über bestehende Firewalls und NAC-Systeme zu sperren.

Klare Vorteile gegenüber herkömmlichen Lösungen

Ein KI-gestütztes NDR-System ist in der Lage, Anomalien und Cyber-Angriffe mithilfe von selbstlernenden Algorithmen aufzuspüren, bevor die Angreifer kritische Daten stehlen oder sonstige Schäden anrichten können. Durch die Überwachung und Analyse des gesamten Traffic lassen sich kompromittierte interne Geräte schneller und leichter aufgrund ihres veränderten Verhaltens im Netzwerk erkennen. Aufgrund der zunehmenden Verschlüsselung des Netzwerkverkehrs und der wachsenden Datenmengen ist es zentral, die Netzwerke nicht durch Datenspiegelungen zu belasten und die Analysen stattdessen auf leichtgewichtigen Logdaten zu basieren. Darüber hinaus bieten NDR-Systeme, die ohne Datenspiegelung arbeiten, den Vorteil, dass sie ohne Hardware-Sensoren funktionieren und sich als  virtuelle Appliance schneller und einfacher aufsetzen lassen als traditionelle NDR-Lösungen. Damit sind diese ideal für Unternehmen mit verteilten Netzwerk-Infrastrukturen. Moderne NDR-Lösungen eignen sich für alle Arten von Netzwerkarchitekturen, seien es private Netze und zugehörige Rechenzentren, öffentliche Cloud-Umgebungen oder hybride Infrastrukturen.

Autor: Gregor Erismann, CMO bei Exeon Analytics

 

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Fachartikel

Featured image for “Warum ist Data Security Posture Management (DSPM) entscheidend?”

Warum ist Data Security Posture Management (DSPM) entscheidend?

Featured image for “CVE-2024-47176 – Linux-Privilegienerweiterung über CUPS-Schwachstelle”

CVE-2024-47176 – Linux-Privilegienerweiterung über CUPS-Schwachstelle

Featured image for “Was die PCLOB-Entlassungen für das EU-US-Datenschutzabkommen bedeuten”

Was die PCLOB-Entlassungen für das EU-US-Datenschutzabkommen bedeuten

Featured image for “Sicher und besser fahren: Was NIS2 für Internetknoten und ihre Kunden bedeutet”

Sicher und besser fahren: Was NIS2 für Internetknoten und ihre Kunden bedeutet

Featured image for “2,3 Millionen Organisationen setzen auf DMARC-Compliance”

2,3 Millionen Organisationen setzen auf DMARC-Compliance

Studien

Featured image for “Gartner-Umfrage: Nur 14% der Sicherheitsverantwortlichen können Datensicherheit und Geschäftsziele erfolgreich vereinen”

Gartner-Umfrage: Nur 14% der Sicherheitsverantwortlichen können Datensicherheit und Geschäftsziele erfolgreich vereinen

Featured image for “Zunehmende Angriffskomplexität”

Zunehmende Angriffskomplexität

Featured image for “Aufruf zum Handeln: Dringender Plan für den Übergang zur Post-Quanten-Kryptographie erforderlich”

Aufruf zum Handeln: Dringender Plan für den Übergang zur Post-Quanten-Kryptographie erforderlich

Featured image for “IBM-Studie: Gen-KI wird die finanzielle Leistung von Banken im Jahr 2025 steigern”

IBM-Studie: Gen-KI wird die finanzielle Leistung von Banken im Jahr 2025 steigern

Featured image for “Smartphones – neue Studie zeigt: Phishing auch hier Sicherheitsrisiko Nr. 1”

Smartphones – neue Studie zeigt: Phishing auch hier Sicherheitsrisiko Nr. 1

Whitepaper

Featured image for “eBook: Cybersicherheit für SAP”

eBook: Cybersicherheit für SAP

Featured image for “Global Threat Report 2025: Chinesische Cyberspionage-Aktivitäten nehmen um 150 % zu, wobei die Taktiken immer aggressiver werden und zunehmend KI zur Täuschung eingesetzt wird”

Global Threat Report 2025: Chinesische Cyberspionage-Aktivitäten nehmen um 150 % zu, wobei die Taktiken immer aggressiver werden und zunehmend KI zur Täuschung eingesetzt wird

Featured image for “Die 5 Stufen von CTEM – Ihr Leitfaden zur Umsetzung”

Die 5 Stufen von CTEM – Ihr Leitfaden zur Umsetzung

Featured image for “BSI veröffentlicht IT-Grundschutz-Profil für kleine und mittlere Flughäfen”

BSI veröffentlicht IT-Grundschutz-Profil für kleine und mittlere Flughäfen

Featured image for “Tatort Website und 300 Prozent mehr Endpoint Malware”

Tatort Website und 300 Prozent mehr Endpoint Malware

Hamsterrad-Rebell

Featured image for “Data Security Posture Management – Warum ist DSPM wichtig?”

Data Security Posture Management – Warum ist DSPM wichtig?

Featured image for “Verborgene Cloud-Risiken? Bedrohungen in M365, Azure & Co. erkennen”

Verborgene Cloud-Risiken? Bedrohungen in M365, Azure & Co. erkennen

Featured image for “Messung des ROI in der Cybersicherheit”

Messung des ROI in der Cybersicherheit

Featured image for “Europäischer Datenschutztag”

Europäischer Datenschutztag

Featured image for “Kompetenzen erlangen: OT-Sicherheit aus der Praxis für die Praxis”

Kompetenzen erlangen: OT-Sicherheit aus der Praxis für die Praxis