A Luna Blue - stock.adobe.com
Mit Network Traffic Analytics Fehler aufspüren
Angriffe, die auf Endpunkten beginnen, hinterlassen Spuren im Netzwerk. NTA kann in Metadaten Abweichungen vom normalen Traffic erkennen, ohne Datenpakete entschlüsseln zu müssen.
Cyberbedrohungen werden immer ausgefeilter, da die Angreifer stets dazulernen und nach neuen Angriffswegen suchen. Die Vorschriften für Datensicherheit und Datenschutz verschärfen sich, während Lösungsanbieter in einem endlosen Kampf um Aufmerksamkeit mit aktuellen Nachrichten zu Sicherheitsbedrohungen für ordentlich Lärm sorgen. Dies führt oft dazu, dass ängstliche IT-Entscheider einfach noch mehr Tools kaufen, um die Sicherheit ihres Unternehmens zu erhöhen - anstatt auf die richtigen Tools zu setzen.
Der Ansturm von Cyberkriminellen hat Unternehmensnetzwerke in ein ewiges Schlachtfeld verwandelt und die Zunahme an Technologie trägt oft zusätzlich zum Chaos bei. IT-Mitarbeiter kämpfen tagtäglich mit IoT- und BYOD-Implementierungen, mit der Virtualisierung und Cloud-Integration in einer von Bedrohungen durchdrungenen digitalen Wirtschaft, in der es von der nationalstaatlichen Spionage über Hacktivismus bis hin zu altmodischem Diebstahl einfach alles gibt.
Wenn der klassische Ansatz nicht ausreicht
Herkömmliche Tools für die Perimeter- und Netzwerksicherheit - einschließlich Firewalls der nächsten Generation (NGFW) und fortschrittlicher Intrusion-Detection/Prevention-Systeme - sind störanfällig und ungenau. Sie erzeugen Warnmüdigkeit und können mit der sich ständig erweiternden Angriffsfläche und der Zunahme von Überwachungspunkten nicht Schritt halten. Infolgedessen werden große Mengen an willkürlichen Warnmeldungen ignoriert und ganze Gruppen von risikoreichen Geräten werden praktisch im Netzwerk unverwaltet gelassen, da ihr Verhalten nie überwacht oder analysiert wird.
Herkömmliche Netzwerksicherheitstools sind auch schlecht gerüstet, um sich gegen hochentwickelte Advanced Persistent Threats (APTs) zu schützen. Diese bleiben in vielen Fällen monatelang unentdeckt im Unternehmen, bevor sie zum Leben erwachen, Daten verschlüsseln oder mit gestohlenen sensiblen Daten aus der Infrastruktur zurück zu ihrer Basis kommunizieren. Auch IoT-Implementierungen, einschließlich solcher im industriellen Umfeld, sind anfällig für komplexe Angriffe, da sie oft nicht über einen integrierten Schutz verfügen und nicht mit einer herkömmlichen Antiviruslösung ausgestattet werden können.
Einfach ausgedrückt: Je mehr ein Unternehmen wächst und je mehr Technologie es aufbaut, desto komplexer wird seine IT-Landschaft und desto schwieriger wird es, einen Einbruch zu erkennen. Für einige spezialisierte Anbieter von Sicherheitslösungen ist dieser Problembereich in letzter Zeit zu einem Schwerpunkt der Entwicklung geworden.
Die Wahrheit liegt in den Daten
Angenommen, ein Unternehmen betreibt neben einer Endpoint Protection Platform (EPP) eine Next-Gen-Firewall, ein hochmodernes Intrusion Detection/Prevention System (IDS/IPS), eine EDR-Lösung (Endpoint Detection and Response) und sogar eine System Information and Event Management, kurz SIEM. Das ist eine ordentliche Cybersicherheitsausrüstung. Aber reicht sie aus, das Unternehmen unter allen Umständen zu schützen?
Hochentwickelte Bedrohungsakteure verwenden ausgeklügelte Exploit-Kits, um unterhalb der Firewall des Perimeters zu agieren, am Endpoint-Agenten vorbeizuschlüpfen und nie in den Konsolenprotokollen der Security Operations Center aufzutauchen. Ein weiteres Risiko, das es wert ist, in Betracht gezogen zu werden, ist eine böswillige Bedrohung „von innen“ oder unvorsichtige Mitarbeiter. Es könnte sein, dass sich diese mit einem Gerät, das nicht in der Infrastruktur berücksichtigt ist, im Netzwerk bewegen. Auch wenn die Cybersicherheitsausrüstung umfangreich ist, den Netzwerkverkehr kann sie nicht analysieren. Doch das müsste sie tun, um Anomalien zu identifizieren und diese in Echtzeit mit einer hohen Präzision zu klassifizieren und an das SOC-Team (Security Operations Center) zu melden. Zeit ist der wichtigste Faktor: Es geht darum, Angriffe zu erkennen, bevor es zu spät ist.
Den Fehler in der Matrix erkennen
Alle Angriffe, die von Endpunkten ausgehen, hinterlassen Spuren im Netzwerk: Malware telefoniert nach Hause, um zusätzliche Daten abzurufen, Befehls- und Steueranweisungen zu erhalten oder Daten zu exfiltrieren. Ebenso kommunizieren kompromittierte IoT-Geräte mit externen Zielen, um ihren Zweck zu erfüllen.
SOC-Teams benötigen einen Überblick über Bedrohungen auf Netzwerkebene und über Anomalien im Traffic in jedem klassischen, mobilen, virtuellen oder smart verbundenen Endpunkt ausgehen. Sie benötigen ein Tool, das riskante Benutzeraktionen oder unerwartetes Geräteverhalten erkennt, das zu Sicherheitsvorfällen und Datenlecks führen kann.
„Dadurch, dass sich NTA nur auf Metadaten stützt, ohne einzelne Datenpakete entschlüsseln zu müssen, liefert es Aussagen, die sich DSGVO-konform für Compliance-Berichte und –Audits verwenden lassen.“
Filip Truta, Bitdefender
Durch die Aufzeichnung von flow-basierten Netzwerk-Metadaten im Zeitverlauf und durch die Anwendung fortschrittlicher Continuous Machine-Learning-Modelle erkennen NTA-Lösungen (Network Traffic Analytics) selbst kleinste Abweichungen vom erwarteten Verhalten. NTA priorisiert alle Vorfälle für SOC-Teams, indem es zwischen geringfügig unterschiedlichen Ebenen von Netzwerkdaten unterscheidet, und bietet Schritt-für-Schritt-Anleitungen und Automatisierung bei der Lösung von Problemen. Aber wie wird das alles erreicht?
Eine NTA-Lösung nutzt teilüberwachtes Machine Learning, um seine Ziele zu erreichen. Im Gegensatz zu vollständig überwachten Ansätzen erfordert das teilüberwachte Machine Learning nicht nur gekennzeichnete Trainingsdaten. Stattdessen identifiziert es anhand relativ weniger gekennzeichneten Trainingsdaten die entscheidenden Muster und Trends im Live-Datenfluss, ohne dass menschliche Eingriffe erforderlich wären. Mit diesem Modell vergleicht und analysiert die Lösung Netzwerkdaten und führt Milliarden von wahrscheinlichkeitsbasierten Berechnungen auf der Grundlage der gewonnenen Erkenntnisse durch. Der Vorteil: Anstatt sich vollständig auf das Wissen über bestimmte frühere Bedrohungen zu verlassen, klassifiziert es selbständig Daten und erkennt Muster. Es bildet so ein Verständnis für das normale Verhalten im gesamten Netzwerk und erkennt jede Abweichung von dieser Grundlinie, die auf eine sich entwickelnde Bedrohung hindeuten könnte.
Dadurch, dass sich NTA nur auf Metadaten stützt, ohne einzelne Datenpakete entschlüsseln zu müssen, liefert es Aussagen, die sich DSGVO-konform für Compliance-Berichte und –Audits verwenden lassen. Die Wahl der richtigen Netzwerksicherheitslösung reduziert Störgeräusche und investigative Sackgassen für die IT-Verantwortlichen erheblich. Sie verkürzt die Zeit für manuelle Analysen und die Reaktion auf Bedrohungen und sie erhöht die Effektivität der Mitarbeiter des Security Operations Center. Dies hilft Unternehmen, Bedrohungen viel schneller aufzuspüren, die Exfiltration von Daten rechtzeitig zu stoppen und die Folgen komplexer Angriffe zu begrenzen.
Über den Autor:
Filip Truta ist Information Security Analyst bei Bitdefender.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.