Wie die Analyse des Netzwerk-Traffics bei der Bekämpfung fortschrittlicher Bedrohungen hilft

Moderne Hackerangriffe werden immer komplexer und überfordern damit herkömmliche Lösungen für Endpoint- und Netzwerksicherheit. Zwar ist Ransomware die Wahl für Cyberkriminelle die schnellen Bitcoins hinterherjagen, Sicherheitsverantwortliche fürchten heute jedoch viel mehr Advanced Persistent Threats (APTs). Denn diese bleiben im schlimmsten Fall jahrelang unentdeckt und ermöglichen Cyberkriminellen über lange Zeit hinweg umfangreiche Datenmengen zu stehlen und geben ihnen dauerhaft Zugriff auf sensible Dateien wie Produktionspläne, Entwicklungsberichte, Kommunikationsdaten oder Sitzungsprotokolle. Eine ständige Analyse des Datenverkehrs im Netzwerk kann jedoch auch solche Angriffe aufdecken.

 

Kriminelle, die APTs lancieren, verwenden höchsten Aufwand darauf, dass die entscheidenden Vorgänge beim digitalen Einbruch einen legitimen Anschein haben. Dies gelingt ihnen zum Beispiel, indem sie reale Nutzernamen und Passworte von Administratoren oder Topmanagern phishen oder indem sie noch unbekannte Schwachpunkte legitimer Anwendungen missbrauchen und ihre Spurennach gelungenem Einbruch in die IT-Systeme wieder löschen.

Derzeit gängige Sicherheitslösungen erkennen solcherart getarnte Angriffe nicht oder erst viel zu spät. Nur durch eine intelligente Analyse des Netzwerk-Traffics (Network Traffic Security Analytics, NTSA), die typisches Verhalten erlernt und dadurch Abweichungen erkennt, lassen sich APTs identifizieren. NTSA ergänzt die in den meisten Unternehmen bestehenden Abwehrmaßnahmen wie Firewalling und Endpoint Security, weil sie etwas hat, das kein anderes Sicherheitstool hat: Detaillierte Kenntnisse über das typische Verhalten jedes Endpunkts im Netzwerk.

 

Der Security-GAU: Advanced Persistent Threats

Gegen welche Art von Angriffen schützt NTSA? Zum Beispiel um diesen, der Ende 2018 die weltweit größte Hotelkette Marriott erwischte: Ein APT kompromittierte rund 500 Millionen Daten von Kunden. Es handelte sich um einen mehrschichtigen Angriff. Die Cyberkriminellen verfolgten den Ansatz, langfristig Zugang auf die Daten zu erhalten und große Mengen an wertvollen, sensiblen Informationen zu sammeln. Dies stellt die ressourcenintensivste Form der Cyberkriminalität dar. Die Angreifer arbeiten in Kooperation oder im Auftrag staatlicher Stellen oder sind Teil der organisierten Kriminalität und haben in der Regel ein klar definiertes Ziel. Und obwohl sie dieses teilweise über geradezu plumpe Angriffswaffen wie Phishing anvisieren, ist das Wirkung des Angriffs oft verheerend.

Was APTs von anderen Angriffen unterscheidet, ist ihre Fähigkeit langfristig von Sicherheitslösungen unentdeckt zu bleiben, während sie unbemerkt sensible Daten exfiltrieren. Zu einigen Angriffsmethoden gehört es, die eingesetzten Sicherheitslösungen genauestens zu studieren, um erst dann Malware einzusetzen, wenn man sich sicher ist, dass sie unerkannt bleibt.

 

Alle Angriffe hinterlassen Spuren

Um solche ausgeklügelten Angriffe zu erkennen, ist eine Kombination verschiedener Sicherheitstechnologien erforderlich – aber vor allem die Analyse des Netzwerk-Traffics. Denn APTs, so gründlich sie auch konzipiert sein mögen, hinterlassen Spuren im Netzwerk, die sich anhand von Netzwerk-Metadaten nachverfolgen lassen. NTSA nutzt diese Metadaten, um detaillierte Kenntnisse über das Verhalten jedes Endpunkts im Netzwerk zu liefern und anomales Verhalten zu entlarven. Aus sicherheitstechnischer Sicht schließt die Netzwerk-Traffic-Analyse die Lücke zwischen Next-Gen-Firewalls und IDS/IPS und ergänzt Netzwerküberwachung und EDR (Endpoint Detection&Response).

 

So funktioniert die Analyse des Netzwerk-Traffics

Die wichtigste Stärke von NTSA ist es, aus den verfügbaren Netzwerk-Metadaten eine normale Verhaltensbasis für alle Geräte und Anwendungen in einem Netzwerk zu modellieren. Die Lösung nutzt dann diese Basis, um das aktuelle Verhalten abzugleichen. Weicht dieses zu sehr von der Basis ab, erkennt die Lösung eine potenziell bedrohliche Netzwerkaktivität und erzeugt einen Alarm. So kann NTSA neue Bedrohungen erkennen, die von bisherigen Lösungen nicht erkannt wurden. NTSA nutzt Künstliche Intelligenz sowie Verhaltens- und Bedrohungsanalyse, um ausgefeilte Bedrohungen zu erkennen. Sie speichert Metadaten für zur nachträglichen Erkennung von Bedrohungen, also Forensik und Compliance.

 

Die Analyse von verschlüsseltem Datenverkehr

Ein großer Teil des Datenverkehrs ist heute aus Gründen der Datensicherheit und des Datenschutzes verschlüsselt. Ein wesentlicher Vorteil der NTSA ist die Fähigkeit, Metadaten von verschlüsseltem Datenverkehr zu untersuchen, ohne die Sicherheit der Daten oder die Privatsphäre des Dateninhabers zu beeinträchtigen.

 

Weitere Vorteile von Network Traffic Analytics

NTA bietet die agentenlose Überwachung aller Ereignisse im Netzwerk jedes einzelnen Endpunkts in Echtzeit, samt detaillierter Netzwerkprotokolle. Diese detaillierte Einsicht hilft nicht nur bei der forensischen Analyse, sondern schafft auch komplette Transparenz, da jedes Gerät im Netzwerk inbegriffen ist. Somit erweitert NTSA seine Schutzwirkung auch auf Geräte, deren eigene, integrierte Sicherheit mangelhaft ist, wie es etwa oft bei BYOD- oder IoT-Szenarien vorkommt.

NTSA hilft auch in Hinsicht auf Compliance. Die DSGVO verlangt von Unternehmen, die Opfer von Datenschutzverletzungen wurden, schnell detaillierte Informationen über böswillige Aktivitäten nach einem Verstoß bereitzustellen. Auf NTSA aufbauende Lösungen unterstützen Unternehmen bei der Einhaltung von Compliance-Standards, indem sie Informationen über den Netzwerkdatenverkehr über einen längeren Zeitraum aufzeichnen. Die Aufzeichnung enthält nur Metadaten und der Zugriff lässt sich auf Berechtigte, wie den Datenschutzbeauftragten, beschränken.

Fortschrittliche Lösungen, welche die Analyse des Netzwerkverkehrs nutzen, kombinieren das Wissen über bekannte Bedrohungen außerdem mit fortgeschrittenem maschinellem Lernen und Heuristiken, um die Netzwerk-Metadaten in Echtzeit zu analysieren und Bedrohungsaktivitäten und verdächtige Verkehrsmuster genau zu erkennen. Die Analysen und Warnmeldungen können automatisiert werden. Dies vermeidet Fehlalarme und stellt einen für Menschen lesbaren Kontext her. So verkürzen die Lösungen die Zeit für Untersuchungen und die Effektivität der Security-Teams.

 

NTSA – Der Netzwerk-Detektiv im Sicherheitsportfolio

Die immer komplexer werdenden IT-Umgebungen in Unternehmen stehen heute vor vielen Bedrohungen. Erfolgreiche Angriffe können Unternehmen finanziell schwer treffen. Um diese Bedrohungen abzuwenden, benötigen Unternehmen eine proaktivere Sicherheitsarchitektur, die über Endpoint-Security hinausgeht und die Erkennung von Bedrohungen in der gesamten IT-Umgebung verbessert. Die Bekämpfung ausgeklügelter, mehrstufiger Angriffe, wie etwa APTs, erfordert auch eine mehrschichtige Verteidigung. Die Netzwerk Traffic Security Analyse kann eine bestehende Sicherheitsarchitektur um eine spezialisierte, netzwerkbasierte Verteidigungslinie ergänzen. Sie analysiert das Verhalten auf Netzwerkebene und liefert Daten, die potenziell kompromittierte Systeme und riskantes oder bösartiges Nutzerverhalten aufzeigen. Wer Daten exfiltrieren will, muss sie zu guter Letzt irgendwann im Netzwerk bewegen. Wenn ein Unternehmen diese Bewegung registriert, kann es sich schützen.

Liviu Arsene, Bitdefender

 

 

 

 

2002 search results for „Sicherheit Netzwerk“

Digitale Transformation: Die Netzwerksicherheit ist geschäftskritisch

So bedienen Unternehmen die Anforderungen an Konnektivität und Datensicherheit. Die digitale Transformation führt zu einem rasanten Wachstum an Netzwerkendpunkten, die es zu versorgen und zu managen gilt. Gleichzeitig steigt die Gefahr durch Cyberangriffe. Gemischte Netzwerkarchitekturen aus On-Premises- und Cloud-Lösungen sind das Mittel der Wahl.   Sicherheitsexperten gehen davon aus, dass mehrere hundert Millionen Malware-Proben im…

Sind Artificial Intelligence & Machine Learning die Lösung für mehr Sicherheit im Netzwerk?

Wie können Unternehmen ihre Netzwerksicherheit verbessern? Netzwerksicherheit ist und bleibt eines der brennenden Themen für IT-Verantwortliche. Jeden Tag gibt es neue Cyberangriffe, die nicht nur finanzielle Folgen haben, sondern auch dem Ruf von Unternehmen erheblich schaden können. Der Netzwerk-Edge-Bereich ist dabei der Punkt, an dem sich Unternehmens- und Kundendaten treffen, wo Benutzer interagieren, IoT-Geräte angebunden…

Netzwerksicherheit: große Herausforderungen und neue Lösungsansätze

Infografik zeigt Probleme und Lösungswege auf. Im Vorfeld der IT Security Fachmesse it-sa steht das Thema Sicherheit sogar noch stärker im Fokus vieler Unternehmen als sonst. Vor allem die Netzwerksicherheit gehört für viele IT-Verantwortliche heute zu den Top-Prioritäten, denn ohne Netzwerke findet kein Austausch von Informationen statt. Zudem bilden sie die Grundlage für die Digitalisierung…

Unternehmensnetzwerke – mit Automatisierung die Sicherheit erhöhen

Die Sicherheit zu erhöhen, ist die Top-Priorität unter den Netzwerkmaßnahmen von Unternehmen. Dafür wird es auch höchste Zeit, wie unsere Infografik, die in Zusammenarbeit mit Extreme Networks entstanden ist, zeigt. Nur knapp die Hälfte der Führungskräfte sehen ihr Unternehmen so gut wie möglich auf IT-Angriffe vorbereitet. Ein Lösungsansatz zur Erhöhung der Sicherheit können automatisierte Netzwerke…

Drastische Zunahme von privaten Endgeräten und IoT-Devices in Unternehmensnetzwerken sorgt für enorme Sicherheitsrisiken

Durchschnittlich 1.856 private Endgeräte und IoT-Devices verbinden sich in Deutschland pro Tag und Unternehmen mit dem Netzwerk der Organisation – ungemanagt von der IT. Zugleich glauben fast 90 Prozent der IT-Verantwortlichen, eine effektive Sicherheits-Policy zu haben. Infoblox, Spezialist für Netzwerksteuerung und Anbieter von Actionable Network Intelligence, veröffentlicht Ergebnisse einer neuen Studie, die besorgniserregende Sicherheitslücken durch…

Kritische Beurteilung der Ausfallsicherheit für jedes vierte Unternehmensnetzwerk

Das IT-Netzwerk ist das zentrale Nervensystem im Unternehmen – trotzdem wird es in vielen Unternehmen stiefmütterlich behandelt. Zu diesem Ergebnis kommt eine aktuelle Studie, die den Status quo und die Prozesse rund um das Netzwerkmanagement in mittelständischen und großen Unternehmen untersucht [1]. Ein Viertel der befragten IT-Verantwortlichen urteilt, dass das eigene Netzwerk sich hinsichtlich Ausfallsicherheit…

Sicherheitslücken in IP-Kameras öffnen Netzwerk für Angreifer

Unsichere IP-Kameras sind weiteres Beispiel für IoT-Geräte, deren Hersteller die Grundzüge der IT-Sicherheit vernachlässigen und so Nutzer und Netzwerke gefährden.   Der Sicherheitsanbieter F-Secure hat 18 zum Teil kritische Sicherheitslücken in IP-Kameras des Herstellers Foscam gefunden. Angreifer können aufgrund der Schwachstellen die Kontrolle über die Kameras übernehmen, auf den Video-Feed zugreifen und Daten auf den…

IFA-Trends unter der IT-Sicherheitslupe: Der Feind in meinem Netzwerk

Die IFA steht kurz bevor und dieses Jahr drehen sich viele Neuerungen rund um das große Schlagwort Vernetzung. Zwei große Trends der diesjährigen Messe, nämlich sogenannte Wearable-Technologies und Smart Homes, sollen Verbrauchern den Alltag erleichtern – könnten aber durch unzureichende Sicherheitsvorkehrungen schnell zum Einfallstor für Schadsoftware werden. Ransomware ist seit Jahren ein Dauerthema. Im zweiten…

Sicherheitspraxis: Benutzerbasierte Überwachung im Netzwerk

Lückenlose Identifizierung der Nutzer und Geräte gilt unter Sicherheitsexperten als entscheidende Komponente einer Präventionsstrategie für die Netzwerksicherheit. Mitarbeiter, Kunden und Partner verbinden sich zu unterschiedlichen Aufbewahrungsorten von Daten innerhalb des Netzwerks sowie zum Internet, um ihre Arbeit zu verrichten zu können. Diese gesamte Gruppe einschließlich ihrer vielen Geräte stellen die Nutzer des Netzwerks dar. Sicherheitsexperten…

Schwachstellenanalyse: Sicherheitslücken in Unternehmensnetzwerken

In fast 85.000 Fällen boten vor allem falsch konfigurierte Systeme und ungepatchte Software Angreifern die Möglichkeit, das Unternehmensnetzwerk zu infiltrieren. Eine im Frühjahr 2016 durchgeführte Untersuchung von Firmennetzwerken durch die finnischen Cyber-Security-Spezialisten von F-Secure identifizierte tausende von schwerwiegenden Sicherheitslücken, durch die sich Angreifer unbemerkt Zugang zu den Unternehmen verschaffen hätten können. Mit Hilfe von F-Secure…

Industrielle Steuerungssysteme: Fünf Sicherheitstipps für SCADA-Netzwerkmanagement

  Gerade im Zusammenhang von Industrie 4.0 beziehungsweise Smart Factory und Digitalisierung in der Produktion ist das SCADA-Netzwerk ein heißes Eisen für die IT-Abteilungen vieler Unternehmen. SCADA (Supervisory Control and Data Acquisition) ist ein industrielles Steuerungssystem, das in vielen Bereichen – wie etwa Fertigung, Energie, Wasser, Energie und Transport – zum Einsatz kommt. SCADA-Systeme stellen…

Automatisierung der Netzwerksicherheit erhöht Schutzlevel spürbar

Sicherheitsprofis führen gegen eine Automatisierung oft Argumente ins Feld, die auf subjektiver Wahrnehmung beruhen. IT-Sicherheitsprofis sehen sich täglich mit einer endlos scheinenden To-do-Liste konfrontiert: Regeln aktualisieren, Berichte erstellen, Schutzmaßnahmen erweitern, Ergebnisse analysieren, versteckte Bedrohungen finden, mehrere Implementierungen verwalten etc. Automation scheint die perfekte Antwort darauf zu sein. Die meisten Sicherheitsexperten sind aber hin- und hergerissen…

Netzwerksicherheit: SaaS-Anwendungen müssen sicher bereitgestellt werden

Der Bericht »Application Usage and Threat Report (AUTR)« [1], der auf der Grundlage von Daten von mehr als 7.000 Unternehmen weltweit basiert, behandelt reale Trends in der Anwendungsnutzung und kritische Entwicklungen, wie Angreifer versuchen, Unternehmen zu infizieren. Er bietet auch praktische Empfehlungen zur Verhinderung von Cyberangriffen. SaaS nimmt zu Die Ergebnisse unterstreichen die rasant wachsende…

IT-Sicherheitsgesetz hin oder her: Geschützte Prozessnetzwerke sind heute ein Muss

Vor allem kleinere Betreiber kritischer Infrastrukturen warten derzeit noch ab, ob sie wirklich unter das neue IT-Sicherheitsgesetz fallen. Das könnte sich als schwerer Fehler herausstellen. Unabhängig davon, ob das Gesetz auch für sie gilt oder nicht, sind sie einer realen Bedrohung durch Cyber-Angriffe ausgesetzt – und sollten deshalb unbedingt für ein Mindestmaß an Sicherheit sorgen.…

Tipps für bessere Netzwerksicherheit für verteilte Unternehmen

Wie die jüngsten Sicherheitsvorfälle gezeigt haben, sind die Angreifer schnell darin, Schwachstellen zu ihrem Vorteil auszunutzen, um in verteilte Umgebungen einzudringen. Sicherheitsteams müssen daher ebenso schnell sein. »Es die Effektivität und Effizienz ihrer Sicherheitsarchitektur und Überwachungsmaßnahmen auf aktuellem Stand zu halten, um Sicherheitsverletzungen zu vermeiden«, so Thorsten Henning, Senior Systems Engineering Manager Central & Eastern…

Viele Unternehmen entscheiden sich für Netzwerk-Performance statt Netzwerk-Sicherheit

Eine Studie mit dem Titel »Network Performance and Security« untersuchte die Herausforderungen, vor denen Unternehmen stehen, wenn sie die Sicherheit und gleichzeitig den optimalen Betrieb ihrer Netzwerkinfrastruktur sicherstellen sollen [1]. Die Studie zeigt, dass eine beunruhigend hohe Anzahl der 504 befragten IT-Profis erweiterte Firewall-Funktionen deaktiviert, um signifikante Einbußen bei der Netzwerk-Performance zu vermeiden. Meist betrifft…

Sicherheitsteams verdienen einen besseren Ansatz für Erkennung und Reaktion auf Cyberangriffe

Für viele Unternehmen ist das IT-Sicherheitsteam die erste Verteidigungslinie gegen alle bekannten und unbekannten Bedrohungen. Die zentrale Aufgabe solcher Teams besteht darin, Bedrohungen in ihrer gesamten digitalen Umgebung zu identifizieren, zu untersuchen und zu entschärfen. Da die Angreifer zunehmend automatisierter und komplexer vorgehen, verlassen sich Sicherheitsteams auf einen mehrschichtigen Ansatz zur Prävention, wie Palo Alto…

Wettlauf zwischen Angreifern und Verteidigern – KI und IT-Sicherheit

Die vom Bundesministerium für Bildung und Forschung (BMBF) initiierte Plattform Lernende Systeme (PLS) hat das Ziel, künstliche Intelligenz und maschinelles Lernen im Sinne der Gesellschaft zu gestalten. Im aktuellen Whitepaper »Künstliche Intelligenz und IT-Sicherheit« analysiert die Arbeitsgruppe »IT-Sicherheit, Privacy, Recht und Ethik« der PLS eines der Spannungsfelder der KI. Beigetragen haben dazu auch Experten des…

Tatort Diensthandy: Datensicherheitsrisiken bedenken

Smartphones zählen mittlerweile auch im Job zum Alltag – sei es für das Verfassen einer E-Mail zwischendurch oder zur kurzfristigen Terminabsprache. Doch spätestens seitdem die Medien darüber berichtet haben, dass einige Unternehmen Mitarbeitern die Nutzung von WhatsApp aufgrund der EU-Datenschutzgrundverordnung, kurz EU-DSGVO, verbieten, wissen viele, dass die dienstliche Nutzung von Handys datenschutzrechtliche Gefahren birgt. »Bei…

Weitere Artikel zu