sdecoret - stock.adobe.com
Technologien für mehr Transparenz im Firmennetz
Viele Unternehmen wissen nicht genau, was in ihrem Netz wirklich geschieht. Das trifft vor allem auch auf hybride oder Multi-Cloud-Umgebungen zu. Hier hilft nur mehr Transparenz.
Eine möglichst umfassende Transparenz im eigenen Netzwerk spielt eine immer größere Rolle in der IT-Sicherheit. Weil das Firmennetz alle Arten von Daten überträgt – sowohl erwünschte als immer wieder auch unerwünschte – ist es die ideale Stelle, um böswilliges Verhalten zu identifizieren und um Verbindungen zwischen möglicherweise verseuchten Infrastrukturkomponenten und Endgeräten zu kontrollieren.
Dazu kommt, dass moderne Werkzeuge zur Datenanalyse und zur automatisierten Identifikation von Vorfällen immer besser mit Security-Lösungen zusammenarbeiten, die die Transparenz im Netzwerk erhöhen sollen. Auf diese Weise lässt sich die Zeit verkürzen, in der die Tools Gefahren für Ihre Daten erkennen und bekämpfen können. Im Folgenden stellen wir vier spezifische Technologien vor, die Transparenz im Netzwerk nutzen, um Firmennetze besser abzusichern.
Künstliche Intelligenzen als Unterstützung beim sicheren Betrieb der IT
Auf den ersten Blick mögen AIOps-Plattformen (Artificial Intelligence for IT Operations) nur dann sinnvoll erscheinen, wenn es um das Monitoring von Netzen geht. Sie sind aber auch in der Lage, einzigartige Einblicke in die eigene aktuelle Sicherheitslage zu gewähren. So kann ein AIOps-Tool etwa Anomalien im Traffic-Fluss erkennen und dann Alarme auslösen. Veränderungen im Datenfluss können auf Malware oder die gerade stattfindende Ausbreitung eines Angriffs hinweisen. Das Überwachen solcher Verbindungen ist äußerst nützlich, um diese Art von Sicherheitsverletzungen zu erkennen und zu isolieren.
Die in einer AIOps-Plattform enthaltene KI (künstliche Intelligenz) ist außerdem im Stande, Konfigurationsfehler bei der eingesetzten Infrastrukturhardware und auf den Endgeräten zu erkennen, die das Netzwerk ansonsten verwundbar gegenüber Cyberattacken machen. Diese Analysen können automatisiert werden. Außerdem lassen sie sich einsetzen, um die erkannten Schwachstellen zu schließen und um die Zeit bis zur Behebung der Sicherheitslöcher teilweise erheblich zu reduzieren.
Fortgeschrittene Dienste zur Threat Intelligence
Bei der Überwachung von Netzwerken zur Abwehr von Bedrohungen versuchen manche Lösungen, vor allem aus dem Bereich Threat Intelligence, neuen Gefahren bereits im öffentlich zugänglichen Internet auf die Schliche zu kommen. Viele der großen Sicherheitsanbieter haben solche Dienste bereits im Portfolio. Sie nutzen sie, um zahlreiche Daten zu erfassen, während sie noch das Internet durchqueren. Diese Daten werden dann in großem Umfang analysiert, um neue internetbasierte Gefahren schneller erkennen zu können.
Sobald eine neue Bedrohung aufgespürt wurde, kann der Threat-Intelligence-Anbieter Updates und Patches an die durch die Kunden genutzten Sicherheits-Tools verteilen. Dazu gehören Produkte zum Schutz der Endpoints vor Malware in den Unternehmen, aber auch Firewalls und IPS-Systeme (Intrusion Prevention Systems). Auf diese Weise erhalten Firmen nicht nur mehr Informationen darüber, was in ihren LANs und WANs geschieht, sondern auch über Ereignisse im Internet.
Managementplattformen für hybride und Multi-Cloud-Umgebungen
In Zeiten, in denen die Netzwerkarchitekturen weit über das Firmennetz hinaus bis in durch andere Unternehmen gemanagte Cloud-Strukturen reichen, muss das Thema Transparenz auch die genutzten Anwendungen sowie das Thema Performance für die Endnutzer umfassen. Das gilt gerade auch aus Security-Sicht.
Managementplattformen für hybride und Multi-Cloud-Umgebungen sorgen für mehr Transparenz, indem sie einen zusätzlichen virtuellen Layer über sowohl private als auch Cloud-Netze bereitstellen. Dieses Overlay fügt unterschiedlichste Netzwerkinfrastrukturen zusammen, so dass sie wie ein einziges Firmennetz genutzt werden können, das sich zentral managen und überwachen lässt.
Advanced Security Information and Event Management
Traditionelle SIEM-Plattformen (Security Information and Event Management) erhalten aus unterschiedlichsten Quellen Log-Dateien und Daten über sicherheitsrelevante Ereignisse. Die gesammelten Informationen werden dann kombiniert und genutzt, um Angriffe und Einbruchsversuche in ein Firmennetz zu erkennen.
Manche SIEM-Anbieter haben bereits damit begonnen, zusätzlich zu den schon bislang gesammelten Log- und Event-Daten auch den Traffic im Netzwerk und die übertragenen Datenpakete zu überwachen und zu analysieren.
Dieser erweiterte Einblick in das Netzwerk ermöglicht ein detaillierteres und besser verständliches Bild der auftretenden sicherheitsrelevanten Ereignisse. Zu den erfassten Daten gehören dann nicht nur die Security-Events, die aus den Log-Dateien und Event-Messages stammen, sondern auch die teilweise äußerst granularen Informationen aus den im Netz per Network Capture aufgezeichneten Datenpaketen. Durch diese Kombination lassen sich neue Bedrohungen ebenfalls schneller aufdecken.