Paketüberwachung und Unternehmenssicherheit – passt das zusammen?

2. Juli 2024

Richtig oder falsch: Die Paketüberwachung eignet sich am besten für die Fehlerbehebung bei Netzwerk- oder Anwendungsproblemen, nicht für die Cybersicherheit. Wenn Sie mit „richtig“ geantwortet haben, werden Sie vielleicht überrascht sein, dass viele Unternehmen paketbasierte Überwachung nutzen, um Sicherheitsbedrohungen, die sich über eine zunehmend verteilte Netzwerkinfrastruktur ausbreiten, besser zu erkennen, zu untersuchen und darauf zu reagieren. In Ergänzung zu anderen Sicherheitslösungen wie Security Information and Event Management (SIEM) und Endpoint Detection and Response (EDR) bieten paketbasierte Network Detection and Response (NDR)-Lösungen den Sicherheitsteams zunehmend detaillierte Netzwerkkontexte und Untersuchungsmöglichkeiten, die für die Erfüllung der modernen Cybersicherheitsanforderungen erforderlich sind.

Obwohl die Paketüberwachung traditionell für die Analyse von Netzwerken, die Verwaltung des Datenverkehrs und zur Identifizierung von Leistungsproblemen verwendet wurde, finden große Unternehmen zusätzliche Vorteile in der Verwendung einer einzigen paketbasierten Datenquelle sowohl für Netzwerk- als auch für Sicherheitszwecke.

Erkennung von Bedrohungen, Aufspüren von Anomalien und rückblickende Ermittlungen

Mit der rasanten Zunahme von Bring-your-own-device (BYOD)- und Internet of Things (IoT)-Anwendungen, die in SaaS-Umgebungen ausgeführt werden, ist die Überwachung der verbundenen Geräte eine große Herausforderung von Unternehmen. IoT-Geräte unterstützen zum Beispiel keine EDR-Agenten. Außerdem kann bösartige Software ihre Spuren auf Endgeräten verwischen, was die Erkennung von Eindringlingen erschwert. Mit intelligenten Metadaten angereicherte Netzwerkpakete bieten den Sicherheitsteams von Unternehmen jedoch eine Alternative, die diese Lücken in der Sicherheitstransparenz mit Erkenntnissen füllen kann, die auf der Grundlage des Netzwerkverkehrs in Echtzeit generiert werden.

Laut einer Umfrage zur Nutzung von Packet Intelligence in Unternehmen nutzen viele Sicherheitsteams Netzwerkdaten zur Unterstützung anderer Sicherheitslösungen, wobei die Erkennung von Bedrohungen in Echtzeit als führender Anwendungsfall für die Paketüberwachung in den letzten 12 Monaten genannt wurde. Durch die Kombination von Threat-Intelligence-Feeds mit umfassender Sicherheitstransparenz in Netzwerkumgebungen können potenzielle Bedrohungen früher erkannt werden, bevor sie der Netzwerkinfrastruktur Schaden zufügen oder sensible Daten gefährden. Unternehmen können außerdem mithilfe von zuvor erfassten, aus Paketen abgeleiteten Netzwerk-Metadaten im Falle einer Datenverletzung oder Malware das Problem rückwirkend bis zu seinem Ursprung zurückverfolgen. Neben der Untersuchung und Erkennung von Bedrohungen ist die Überwachung von Datenpaketen auch hilfreich, um zu überprüfen, ob andere Sicherheitsgeräte korrekt funktionieren. So können paketbasierte NDR-Lösungen beispielsweise bestätigen, dass die Mikrosegmentierung des Netzwerks wie vorgesehen funktioniert.

Seit der Pandemie sind Unternehmen zunehmend dazu übergegangen, den Remote-Zugriff in der Cloud und am Netzwerkrand zu nutzen. Packet Intelligence kann dabei helfen, ein grundlegendes Sicherheitsniveau für diese neuen Umgebungen festzulegen, da es bereits in den Netzwerkdomänen der meisten Unternehmen eingesetzt wird, die früher ausschließlich auf dem Firmengelände angesiedelt waren. Die meisten Unternehmen erfassen entweder bereits Paketdaten in der Cloud oder planen dies. Nur 15 Prozent der Befragten haben keine Pläne, Paketüberwachung für die Cloud-Sicherheit zu nutzen.

Hindernisse für die Überwachung von Datenpaketen für die Sicherheit

Es gibt aber auch Hindernisse, die der Verwendung von Paketaufzeichnungen für die Cybersicherheit entgegenstehen. Zu diesen Hindernissen gehören: Mitarbeitende, die nicht in der Analyse auf Paketebene geschult sind, die Unfähigkeit zur Skalierung auf hohe Datenverkehrsraten (z. B. 40 Gbit/s), schlechte Analyseleistung (z. B. dauert es zu lange, bis Abfrageergebnisse vorliegen), Betriebskosten (z. B. ist zu viel Speicherkapazität erforderlich) und die Möglichkeit, verschlüsselten Datenverkehr anzuzeigen.

Diese Hindernisse können überwunden werden, wenn fortschrittliche, auf Deep Packet Inspection basierende NDR-Tools eingesetzt werden, die darauf ausgelegt sind, Einblick in moderne Netzwerkumgebungen zu gewähren, die auf höchste Paketraten skalieren können und zudem intelligente Indizierungs- und Komprimierungstechniken verwenden, um den Speicherbedarf zu minimieren und reaktionsschnelle Analysen zu gewährleisten.

Der Mythos ist entkräftet

Zusammenfassend lässt sich sagen, dass die Paketüberwachung detailliert, genau und geräteunabhängig ist, was sie zur idealen Lösung für IT-Teams macht, die eine Cybersecurity-Lösung suchen, die geräteübergreifend funktioniert und sowohl in On- als auch in Off-Premises-Umgebungen eingesetzt werden kann. Unternehmen, die eine digitale Transformation hin zu Cloud- und Edge-basierten Infrastrukturen durchlaufen, oder alle, die ein wenig mehr Sicherheit in Bezug auf die Netzwerk- und Datensicherheit ihres Unternehmens benötigen, können fortschrittliche, auf Deep Packet Inspection basierende Netzwerkerkennungs- und -reaktionslösungen einsetzen, um eine zusätzliche Verteidigungsebene zu schaffen.

Die Zeiten, in denen Netzwerke ausschließlich vor Ort betrieben wurden, sind vorbei. Angesichts der Tatsache, dass Remote-/Hybridarbeit und Anwendungen in der Cloud auf dem Vormarsch sind, benötigen Sicherheitsteams eine paketbasierte NDR-Lösung, die nahtlos in verschiedenen Umgebungen eingesetzt werden kann und genau die Details liefert, die für die Sicherheit der Netzwerke erforderlich sind. In der Vergangenheit wurde die Paketüberwachung in der Tat in erster Linie zur Fehlersuche eingesetzt. Heutzutage erkennen Sicherheitsteams jedoch den Wert der Paketüberwachung für die Cyberabwehr, um Angriffe zu entschärfen, bevor sie Schaden anrichten.

Autor: Tom Bienkowski, Leiter Produktmarketing bei NETSCOUT