Network Detection and Response: Fundierte Traffic-Analysen mithilfe von Künstlicher Intelligenz

In einem Unternehmensnetzwerk werden heute zahlreiche Cloud- und On-Premise-Applikationen sowie Server zusammengeführt, die auf unterschiedlichste und teilweise sehr komplexe Art und Weise miteinander kommunizieren. Vielen Unternehmen fällt es daher schwer, einen Gesamtüberblick über ihre Netzwerkaktivitäten zu behalten. Network-Detection-and-Response-(NDR)-Systeme helfen dabei. Besonders effektiv sind solche Lösungen, wenn sie bereits bestehende Logdaten mit Künstlicher Intelligenz analysieren.

Durchschnittlich 24 Tage dauert es, bis ein Unternehmen realisiert, dass es einem Cyber-Angriff zum Opfer gefallen ist. Denn in größeren Firmen finden Millionen von Interaktionen und hunderttausende Webserver-Kontakte statt. Und zwischen diesen Aktivitäten können sich Angreifer praktisch unsichtbar machen. Erschwerend kommt hinzu, dass sich die meisten Sicherheitslösungen vor allem auf die Abwehr externer Bedrohungen und weniger auf Unregelmäßigkeiten innerhalb des Netzwerks konzentrieren.

Traditionelle Network-Detection-and-Response-Systeme spiegeln den kompletten Netzwerkverkehr und analysieren diesen anschließend mithilfe von Künstlicher Intelligenz. Diese Technologie ist allerdings zunehmend ineffektiv, weil sie verschlüsselte Netzwerkdaten nicht analysieren kann. Darüber hinaus generiert die Spiegelung des gesamten Netzwerkverkehrs riesige Datenmengen, welche die Performance des Netzwerks negativ beeinflussen. Das Spiegeln des Datenverkehrs reicht daher nicht mehr aus, um Unregelmäßigkeiten und Angriffe zu erkennen.

Schutz des Netzwerks durch Analyse der bestehenden Metadaten

Abhilfe schaffen moderne Network-Detection- and Response-Lösungen, die bestehende Netzwerk-Logdaten analysieren – etwa Log-Daten von Firewalls, Switches, NetFlow-Kollektoren, Internet Protocol Flow Information Export (IPFIX), Secure Web Gateways sowie Gateways zu nativen Clouds wie AWS, Google und Azure. Viele Firmen zeichnen solche Daten bereits auf – beispielsweise aus Compliance-Gründen. Damit verfügen sie bereits über die Datengrundlage. Allerdings fehlen ihnen die Algorithmen, um diese detailliert zu untersuchen.

Während Security-Information-&-Event-Management (SIEM)-Systeme sich auf die Datenaggregation und einfache Datenanalysen konzentrieren, detektiert eine NDR-Lösung Anomalien innerhalb der Netzwerkaktivitäten. Damit bietet sie eine Art Sicherheitsnetz für den Fall, dass sich eine Bedrohung etwa an der Antiviren-Software oder den Firewalls vorbeischleust.

Mithilfe vordefinierter und trainierter Algorithmen lassen sich so Cyber-Bedrohungen schneller erkennen und stoppen. NDR-Lösungen unterstützen die Security-Teams in der Erkennung der einzelnen Schritte, die Cyberkriminelle beispielsweise bei einem APT- (Advanced Persistent Threat) oder Ransomware-Angriff unternehmen – von der Bewegung im Unternehmensnetz bis zur Exfiltration der Daten. Dafür rekonstruiert der Machine Learning Algorithmus, was normale, erwartete Aktivitäten sind und was nicht. Aktivitäten, die von der Norm abweichen, werden herausgefiltert, genauer analysiert und vom Algorithmus nach deren Gefahrenpotenzial bewertet.

Visibility, Anomaly Detection and Response

Von KI-gestützten Analysen der Netzwerkdaten können Anwenderunternehmen gleich in dreierlei Hinsicht profitieren: Visualisierungstechnologien ermöglichen es, schnelle, interaktive Drill-Downs für eine hohe Sichtbarkeit (Visibility) über die gesamte IT-Infrastruktur zu erstellen. Zweitens bewirken vordefinierte und trainierte ML-Modelle, sowie die Korrelation zusätzlicher Datenquellen eine zuverlässige Anomalieerkennung. Ungewöhnliche Muster im Datenverkehr werden also sofort erkannt und nach deren Gefahrenpotenzial bewertet. Die Anomalie wird an ein Security Team gemeldet, das anhand von automatisch generierten Handlungsvorschlägen und Visualisierungen der Hintergrunddaten schnell und gezielt reagieren kann (Response). Dabei priorisieren Algorithmen die Vorfälle, indem sie verschiedene Netzwerkbereiche danach unterteilen, wie unternehmenskritisch sie sind. Im Vorteil sind zudem NDR-Lösungen, die über Schnittstellen zu bestehenden SOAR-/Ticket-Systemen verfügen und in der Lage sind, Geräte über bestehende Firewalls und NAC-Systeme zu sperren.

Klare Vorteile gegenüber herkömmlichen Lösungen

Ein KI-gestütztes NDR-System ist in der Lage, Anomalien und Cyber-Angriffe mithilfe von selbstlernenden Algorithmen aufzuspüren, bevor die Angreifer kritische Daten stehlen oder sonstige Schäden anrichten können. Durch die Überwachung und Analyse des gesamten Traffic lassen sich kompromittierte interne Geräte schneller und leichter aufgrund ihres veränderten Verhaltens im Netzwerk erkennen. Aufgrund der zunehmenden Verschlüsselung des Netzwerkverkehrs und der wachsenden Datenmengen ist es zentral, die Netzwerke nicht durch Datenspiegelungen zu belasten und die Analysen stattdessen auf leichtgewichtigen Logdaten zu basieren. Darüber hinaus bieten NDR-Systeme, die ohne Datenspiegelung arbeiten, den Vorteil, dass sie ohne Hardware-Sensoren funktionieren und sich als  virtuelle Appliance schneller und einfacher aufsetzen lassen als traditionelle NDR-Lösungen. Damit sind diese ideal für Unternehmen mit verteilten Netzwerk-Infrastrukturen. Moderne NDR-Lösungen eignen sich für alle Arten von Netzwerkarchitekturen, seien es private Netze und zugehörige Rechenzentren, öffentliche Cloud-Umgebungen oder hybride Infrastrukturen.

Autor: Gregor Erismann, CMO bei Exeon Analytics