Die Bedeutung von Netzwerk-Metadaten für Cybersicherheit

Wenn Perimeter-Verteidigung an ihre Grenzen stößt

Daten sind nicht nur die begehrte Beute von Cyberkriminellen, sondern auch ein wichtiger Rohstoff für die Cybersicherheit. Im Zeitalter der Daten können SOC-Teams und Analysten durch die schiere Datenmenge jedoch auch schnell überfordert werden.

Dabei ist noch nicht einmal die Rede von den Kosten der Datenaufnahme und Datenspeicherung. Vectra, Anbieter eine IT-Sicherheitsplattform auf Basis künstlicher Intelligenz erläutert: Welchen Wert liefern in diesem Zusammenhang Netzwerk-Metadaten und warum lässt sich dieser Grad an Sichtbarkeit mit anderen Ansätzen einfach nicht erreichen?

Anzeige

Netzwerk-Metadaten sind eine Aufzeichnung der gesamten Kommunikationen, die innerhalb eines Netzwerks stattfindet. Sie erfassen das Was, Wann, Wo und Wer der Netzwerkkommunikation. Netzwerkaufzeichnungen (pcaps) sind originalgetreue Datenströme, in denen die Verbindungs- und Nutzlastinformationen erfasst werden. Pcaps sind aufgrund ihrer Größe unhandlich und werden in der Regel nur in sehr zielgerichteten Szenarien eingesetzt. Netzwerk-Metadaten bieten eine ähnliche Sichtbarkeit wie Pcaps, sind jedoch weitaus besser skalierbar und können die Überwachung des gesamten Netzwerks ermöglichen.

Firewall-Protokolle reichen nicht

Firewalls werden in der Regel als Perimeter-Verteidigung eingesetzt. Sie sehen meist nur den Verkehr, der über die Firewalls fließt. Firewalls geben diesem Datenverkehr keinerlei Sichtbarkeit, sobald er das Gerät verlässt, und sind für den internen Netzwerkverkehr völlig blind.

Metadaten-Lösungen für das gesamte Netzwerk nutzen Netzwerk-TAPs (Test Access Ports) oder SPANs (Switch Port Analyzers), um den Datenverkehr innerhalb eines Netzwerks zu erfassen, während er sich von außen nach innen, von innen nach außen und intern bewegt. Dadurch wird sowohl der von außen eingehende Datenverkehr als auch der gesamte Datenverkehr unabhängig von seinem Ursprung auf seinem Weg durch ein internes Netzwerk sichtbar. Gesamtnetzwerk-Metadaten bieten daher eine hervorragende Sichtbarkeit des gesamten Datenverkehrs im Netzwerk.

Liefern EDR- und Event-Logs nicht die volle Sichtbarkeit des internen Netzwerkverkehrs?

Nein, denn Endpoint Detection and Response (EDR)– und Event-Logs, also Ereignisprotokolle, sind zwar eine solide Informationsquelle, geben aber nicht den vollen Einblick in den internen Netzwerkverkehr. Normalerweise decken EDR- und Event-Logs nur verwaltete Geräte ab. Nicht erfasst werden nicht verwaltete Geräte, IoT-Geräte, Netzwerkdrucker, IP-Kameras oder sogar angeschlossene Thermostate. Diese nicht verwalteten Geräte können häufig die Quelle eines Eindringens in das Netzwerk sein und von einem Angreifer verwendet werden, um dauerhaften Zugriff auf das Netzwerk zu erhalten.

Wenn sich Unternehmen nur auf EDR- und/oder Event-Logs verwalteter Geräte verlassen, kann dies dazu führen, dass sie mit dem Angreifer Whack-a-Mole spielen, während sie versuchen, herauszufinden, wie und wo sich der Angreifer in ihrem Netzwerk versteckt.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Ein neuer Ansatz für Netzwerk-Metadaten und – und was damit möglich ist

„Moderne Lösungen wie Vectra Detect entdecken Angriffsverhalten im Netzwerk sowohl auf verwalteten als auch nicht verwalteten Geräten. Die Netzwerk-Metadaten ergänzen die netzwerkweiten Verhaltenserkennungen, indem sie es Benutzern ermöglichen, die Angreiferaktivitäten vollständig zu untersuchen und gezielte Gegenmaßnahmen zu ergreifen“, erklärt Andreas Müller, Director DACH bei Vectra.

Die genutzten Netzwerk-Metadaten liegen im Zeek-Format (auch Bro genannt), so dass sich vorhandene Zeek-Workloads schnell und einfach migrieren lassen. Mit den Netzwerk-Metadaten von Grund auf neu zu beginnen, ist ebenfalls schnell und einfach möglich, da Inhalte, die von der großen Zeek-Community erstellt wurden, problemlos genutzt werden können.

„Wir haben die Netzwerk-Metadaten durch das Hinzufügen von Konzepten wie Hosts erheblich erweitert. So integrieren wir auch KI- und ML-Anreicherungen, um die Daten besser zu verstehen und zu kontextualisieren“, erläutert Andreas Müller. „Zusätzlich gibt es mittlerweile Daten-Pipeline-Lösungen, die es Unternehmen ermöglichen, diese Daten in ihrem SIEM, Data Lake oder in der Cloud zu speichern. Ergänzt werden kann diese um eine gehostete Datenplattform, die die Verfügbarkeit und Funktionsfähigkeit der Daten gewährleistet und zusätzlichen Wert aus diesen Daten erschließt. Die Nutzung solcher Lösungen ermöglicht die Untersuchung von Vorfällen, die Verfolgung von Angreifern, die Analyse der Angriffsaktivitäten und unterstützt die Einhaltung von Compliance- und Audit-Szenarien.“

Grundsätzlich ermöglichen um KI- und ML-erweiterte Netzwerk-Metadaten:

  • Durchführung detaillierter und gründlicher Untersuchungen zur Verfolgung von Angreifern, während sie sich durch ein Netzwerk bewegen.
  • Jagd auf Angreifer innerhalb des Netzwerks unter Verwendung der eigenen Erfahrung oder des fachspezifischen Wissens des Kunden.
  • Überwachung der Angriffsfläche und Einhaltung von Compliance-Anforderungen durch Auffinden veralteter Protokolle, schwacher Zugangsdaten und bekanntermaßen schlechter Konfigurationen.
  • Aufbewahrung eines Datensatzes zum Nachweis für Audits und Compliance.
  • Unternehmen können sicherstellen, dass sie online bleiben, indem sie in Gebrauch befindliche Zertifikate, die kurz vor dem Ablaufdatum stehen, überwachen.

Darüber hinaus leistet die KI-gestützte Erkennung von Cyberbedrohungen:

  • Erstellung automatischer Erkennungen für die Dinge, die Benutzern in den Netzwerk-Metadaten wichtig sind, indem sie umfangreiche Erkenntnisse nutzen, um sich einen Vorsprung zu verschaffen.
  • Beschleunigte Untersuchungen mit kontextbezogenen Erkenntnissen aus Netzwerk-Metadaten für schnellere und bessere Ergebnisse bei jeder Sicherheitsuntersuchung.

www.vectra.ai

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.