Anzeige

Cyber Security

Daten sind nicht nur die begehrte Beute von Cyberkriminellen, sondern auch ein wichtiger Rohstoff für die Cybersicherheit. Im Zeitalter der Daten können SOC-Teams und Analysten durch die schiere Datenmenge jedoch auch schnell überfordert werden.

Dabei ist noch nicht einmal die Rede von den Kosten der Datenaufnahme und Datenspeicherung. Vectra, Anbieter eine IT-Sicherheitsplattform auf Basis künstlicher Intelligenz erläutert: Welchen Wert liefern in diesem Zusammenhang Netzwerk-Metadaten und warum lässt sich dieser Grad an Sichtbarkeit mit anderen Ansätzen einfach nicht erreichen?

Netzwerk-Metadaten sind eine Aufzeichnung der gesamten Kommunikationen, die innerhalb eines Netzwerks stattfindet. Sie erfassen das Was, Wann, Wo und Wer der Netzwerkkommunikation. Netzwerkaufzeichnungen (pcaps) sind originalgetreue Datenströme, in denen die Verbindungs- und Nutzlastinformationen erfasst werden. Pcaps sind aufgrund ihrer Größe unhandlich und werden in der Regel nur in sehr zielgerichteten Szenarien eingesetzt. Netzwerk-Metadaten bieten eine ähnliche Sichtbarkeit wie Pcaps, sind jedoch weitaus besser skalierbar und können die Überwachung des gesamten Netzwerks ermöglichen.

Firewall-Protokolle reichen nicht

Firewalls werden in der Regel als Perimeter-Verteidigung eingesetzt. Sie sehen meist nur den Verkehr, der über die Firewalls fließt. Firewalls geben diesem Datenverkehr keinerlei Sichtbarkeit, sobald er das Gerät verlässt, und sind für den internen Netzwerkverkehr völlig blind.

Metadaten-Lösungen für das gesamte Netzwerk nutzen Netzwerk-TAPs (Test Access Ports) oder SPANs (Switch Port Analyzers), um den Datenverkehr innerhalb eines Netzwerks zu erfassen, während er sich von außen nach innen, von innen nach außen und intern bewegt. Dadurch wird sowohl der von außen eingehende Datenverkehr als auch der gesamte Datenverkehr unabhängig von seinem Ursprung auf seinem Weg durch ein internes Netzwerk sichtbar. Gesamtnetzwerk-Metadaten bieten daher eine hervorragende Sichtbarkeit des gesamten Datenverkehrs im Netzwerk.

Liefern EDR- und Event-Logs nicht die volle Sichtbarkeit des internen Netzwerkverkehrs?

Nein, denn Endpoint Detection and Response (EDR)- und Event-Logs, also Ereignisprotokolle, sind zwar eine solide Informationsquelle, geben aber nicht den vollen Einblick in den internen Netzwerkverkehr. Normalerweise decken EDR- und Event-Logs nur verwaltete Geräte ab. Nicht erfasst werden nicht verwaltete Geräte, IoT-Geräte, Netzwerkdrucker, IP-Kameras oder sogar angeschlossene Thermostate. Diese nicht verwalteten Geräte können häufig die Quelle eines Eindringens in das Netzwerk sein und von einem Angreifer verwendet werden, um dauerhaften Zugriff auf das Netzwerk zu erhalten.

Wenn sich Unternehmen nur auf EDR- und/oder Event-Logs verwalteter Geräte verlassen, kann dies dazu führen, dass sie mit dem Angreifer Whack-a-Mole spielen, während sie versuchen, herauszufinden, wie und wo sich der Angreifer in ihrem Netzwerk versteckt.

Ein neuer Ansatz für Netzwerk-Metadaten und – und was damit möglich ist

„Moderne Lösungen wie Vectra Detect entdecken Angriffsverhalten im Netzwerk sowohl auf verwalteten als auch nicht verwalteten Geräten. Die Netzwerk-Metadaten ergänzen die netzwerkweiten Verhaltenserkennungen, indem sie es Benutzern ermöglichen, die Angreiferaktivitäten vollständig zu untersuchen und gezielte Gegenmaßnahmen zu ergreifen“, erklärt Andreas Müller, Director DACH bei Vectra.

Die genutzten Netzwerk-Metadaten liegen im Zeek-Format (auch Bro genannt), so dass sich vorhandene Zeek-Workloads schnell und einfach migrieren lassen. Mit den Netzwerk-Metadaten von Grund auf neu zu beginnen, ist ebenfalls schnell und einfach möglich, da Inhalte, die von der großen Zeek-Community erstellt wurden, problemlos genutzt werden können.

„Wir haben die Netzwerk-Metadaten durch das Hinzufügen von Konzepten wie Hosts erheblich erweitert. So integrieren wir auch KI- und ML-Anreicherungen, um die Daten besser zu verstehen und zu kontextualisieren“, erläutert Andreas Müller. „Zusätzlich gibt es mittlerweile Daten-Pipeline-Lösungen, die es Unternehmen ermöglichen, diese Daten in ihrem SIEM, Data Lake oder in der Cloud zu speichern. Ergänzt werden kann diese um eine gehostete Datenplattform, die die Verfügbarkeit und Funktionsfähigkeit der Daten gewährleistet und zusätzlichen Wert aus diesen Daten erschließt. Die Nutzung solcher Lösungen ermöglicht die Untersuchung von Vorfällen, die Verfolgung von Angreifern, die Analyse der Angriffsaktivitäten und unterstützt die Einhaltung von Compliance- und Audit-Szenarien.“

Grundsätzlich ermöglichen um KI- und ML-erweiterte Netzwerk-Metadaten:

  • Durchführung detaillierter und gründlicher Untersuchungen zur Verfolgung von Angreifern, während sie sich durch ein Netzwerk bewegen.
  • Jagd auf Angreifer innerhalb des Netzwerks unter Verwendung der eigenen Erfahrung oder des fachspezifischen Wissens des Kunden.
  • Überwachung der Angriffsfläche und Einhaltung von Compliance-Anforderungen durch Auffinden veralteter Protokolle, schwacher Zugangsdaten und bekanntermaßen schlechter Konfigurationen.
  • Aufbewahrung eines Datensatzes zum Nachweis für Audits und Compliance.
  • Unternehmen können sicherstellen, dass sie online bleiben, indem sie in Gebrauch befindliche Zertifikate, die kurz vor dem Ablaufdatum stehen, überwachen.

Darüber hinaus leistet die KI-gestützte Erkennung von Cyberbedrohungen:

  • Erstellung automatischer Erkennungen für die Dinge, die Benutzern in den Netzwerk-Metadaten wichtig sind, indem sie umfangreiche Erkenntnisse nutzen, um sich einen Vorsprung zu verschaffen.
  • Beschleunigte Untersuchungen mit kontextbezogenen Erkenntnissen aus Netzwerk-Metadaten für schnellere und bessere Ergebnisse bei jeder Sicherheitsuntersuchung.

www.vectra.ai


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!