
In einem Unternehmensnetzwerk werden heute zahlreiche Cloud- und On-Premise-Applikationen sowie Server zusammengeführt, die auf unterschiedlichste und teilweise sehr komplexe Art und Weise miteinander kommunizieren. Vielen Unternehmen fällt es daher schwer, einen Gesamtüberblick über ihre Netzwerkaktivitäten zu behalten. Network-Detection-and-Response-(NDR)-Systeme helfen dabei. Besonders effektiv sind solche Lösungen, wenn sie bereits bestehende Logdaten mit Künstlicher Intelligenz analysieren.
Durchschnittlich 24 Tage dauert es, bis ein Unternehmen realisiert, dass es einem Cyber-Angriff zum Opfer gefallen ist. Denn in größeren Firmen finden Millionen von Interaktionen und hunderttausende Webserver-Kontakte statt. Und zwischen diesen Aktivitäten können sich Angreifer praktisch unsichtbar machen. Erschwerend kommt hinzu, dass sich die meisten Sicherheitslösungen vor allem auf die Abwehr externer Bedrohungen und weniger auf Unregelmäßigkeiten innerhalb des Netzwerks konzentrieren.
Traditionelle Network-Detection-and-Response-Systeme spiegeln den kompletten Netzwerkverkehr und analysieren diesen anschließend mithilfe von Künstlicher Intelligenz. Diese Technologie ist allerdings zunehmend ineffektiv, weil sie verschlüsselte Netzwerkdaten nicht analysieren kann. Darüber hinaus generiert die Spiegelung des gesamten Netzwerkverkehrs riesige Datenmengen, welche die Performance des Netzwerks negativ beeinflussen. Das Spiegeln des Datenverkehrs reicht daher nicht mehr aus, um Unregelmäßigkeiten und Angriffe zu erkennen.
Schutz des Netzwerks durch Analyse der bestehenden Metadaten
Abhilfe schaffen moderne Network-Detection- and Response-Lösungen, die bestehende Netzwerk-Logdaten analysieren – etwa Log-Daten von Firewalls, Switches, NetFlow-Kollektoren, Internet Protocol Flow Information Export (IPFIX), Secure Web Gateways sowie Gateways zu nativen Clouds wie AWS, Google und Azure. Viele Firmen zeichnen solche Daten bereits auf – beispielsweise aus Compliance-Gründen. Damit verfügen sie bereits über die Datengrundlage. Allerdings fehlen ihnen die Algorithmen, um diese detailliert zu untersuchen.
Während Security-Information-&-Event-Management (SIEM)-Systeme sich auf die Datenaggregation und einfache Datenanalysen konzentrieren, detektiert eine NDR-Lösung Anomalien innerhalb der Netzwerkaktivitäten. Damit bietet sie eine Art Sicherheitsnetz für den Fall, dass sich eine Bedrohung etwa an der Antiviren-Software oder den Firewalls vorbeischleust.
Mithilfe vordefinierter und trainierter Algorithmen lassen sich so Cyber-Bedrohungen schneller erkennen und stoppen. NDR-Lösungen unterstützen die Security-Teams in der Erkennung der einzelnen Schritte, die Cyberkriminelle beispielsweise bei einem APT- (Advanced Persistent Threat) oder Ransomware-Angriff unternehmen – von der Bewegung im Unternehmensnetz bis zur Exfiltration der Daten. Dafür rekonstruiert der Machine Learning Algorithmus, was normale, erwartete Aktivitäten sind und was nicht. Aktivitäten, die von der Norm abweichen, werden herausgefiltert, genauer analysiert und vom Algorithmus nach deren Gefahrenpotenzial bewertet.
Visibility, Anomaly Detection and Response
Von KI-gestützten Analysen der Netzwerkdaten können Anwenderunternehmen gleich in dreierlei Hinsicht profitieren: Visualisierungstechnologien ermöglichen es, schnelle, interaktive Drill-Downs für eine hohe Sichtbarkeit (Visibility) über die gesamte IT-Infrastruktur zu erstellen. Zweitens bewirken vordefinierte und trainierte ML-Modelle, sowie die Korrelation zusätzlicher Datenquellen eine zuverlässige Anomalieerkennung. Ungewöhnliche Muster im Datenverkehr werden also sofort erkannt und nach deren Gefahrenpotenzial bewertet. Die Anomalie wird an ein Security Team gemeldet, das anhand von automatisch generierten Handlungsvorschlägen und Visualisierungen der Hintergrunddaten schnell und gezielt reagieren kann (Response). Dabei priorisieren Algorithmen die Vorfälle, indem sie verschiedene Netzwerkbereiche danach unterteilen, wie unternehmenskritisch sie sind. Im Vorteil sind zudem NDR-Lösungen, die über Schnittstellen zu bestehenden SOAR-/Ticket-Systemen verfügen und in der Lage sind, Geräte über bestehende Firewalls und NAC-Systeme zu sperren.
Klare Vorteile gegenüber herkömmlichen Lösungen
Ein KI-gestütztes NDR-System ist in der Lage, Anomalien und Cyber-Angriffe mithilfe von selbstlernenden Algorithmen aufzuspüren, bevor die Angreifer kritische Daten stehlen oder sonstige Schäden anrichten können. Durch die Überwachung und Analyse des gesamten Traffic lassen sich kompromittierte interne Geräte schneller und leichter aufgrund ihres veränderten Verhaltens im Netzwerk erkennen. Aufgrund der zunehmenden Verschlüsselung des Netzwerkverkehrs und der wachsenden Datenmengen ist es zentral, die Netzwerke nicht durch Datenspiegelungen zu belasten und die Analysen stattdessen auf leichtgewichtigen Logdaten zu basieren. Darüber hinaus bieten NDR-Systeme, die ohne Datenspiegelung arbeiten, den Vorteil, dass sie ohne Hardware-Sensoren funktionieren und sich als virtuelle Appliance schneller und einfacher aufsetzen lassen als traditionelle NDR-Lösungen. Damit sind diese ideal für Unternehmen mit verteilten Netzwerk-Infrastrukturen. Moderne NDR-Lösungen eignen sich für alle Arten von Netzwerkarchitekturen, seien es private Netze und zugehörige Rechenzentren, öffentliche Cloud-Umgebungen oder hybride Infrastrukturen.
Autor: Gregor Erismann, CMO bei Exeon Analytics
Fachartikel

ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee

Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite

Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS

CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen

Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen
Studien

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen

BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher

Wie Cloud-Technologie die Versicherungsbranche revolutioniert
Whitepaper

Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise

Aufkommende Trends in der externen Cyberabwehr

Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen

Aktueller Datenschutzbericht: Risiko XXL am Horizont

Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen
Unter4Ohren

Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen

Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit
