Seite 2 - Network Detection and Response für KMU

Lesezeit
1 Minute
Bis jetzt gelesen

Seite 2 - Network Detection and Response für KMU

02.02.2022 - 14:00
Veröffentlicht in:
Machine Learning trainiert KI in der Beurteilung des Netzverkehrs
Hacker hinterlassen also im Netzverkehr genügend Spuren, die von einem definierten normalen Verhalten in der Datenübertragung abweichen. Diese Spuren sind verdächtig und sollten genauer untersucht werden. Wenn es sich dann um eine Malware handelt, muss eine Response stattfinden. Dieser kann aus einem Hinweis für den Administrator bestehen oder automatisch erfolgen, basierend auf vorher festgelegten Playbooks, einem vorab definierten Maßnahmenkatalog zur Abwehr.


NDR veranlasst mithilfe definierter Playbooks auch Abwehraktionen. Diese laufen entweder automatisiert ab oder
müssen vom Administrator noch genehmigt werden.

Um dies zu ermöglichen, kommt die KI eines modernen Network-Detection-and-Response-Werkzeugs ins Spiel. Dessen Ziel ist es, ein Schema des IT-Normalverkehrs so feingliedrig wie möglich festzulegen, wobei legitime Veränderungen berücksichtigt werden, um abweichende Muster so schnell wie möglich erkennen zu können. Damit der Sollzustand zutreffend definiert wird, Attacken durch KI besser und möglichst ohne False Positives entdeckt werden und diese Fähigkeit kontinuierlich trainiert wird, braucht es Machine Learning. Für Machine Learning gibt es drei unterschiedliche Möglichkeiten: Unüberwachtes Lernen, überwachtes Lernen und halbüberwachtes Lernen. Sie alle zielen darauf ab, dass die KI verdächtige Muster im externen und internen Datenverkehr hochauflösend erkennt.

Hinweise für untypischen Netzverkehr
Jede Bewegung eines Angreifers und jede Veränderung im externen und internen Netzverkehr wird durch den Abgleich von typischen, unverdächtigen Mustern mit anormalen und damit verdächtigen Mustern sichtbar. Bösartige Aktivitäten, die sich durch die KI-Engine heutiger Network-Detection-and-Response-Werkzeugen entdecken lassen, sind beispielsweise:

  • Malware erstellt regelmäßig viele neue Domänen mithilfe von Algorithmen für die Hackerkommunikation. Die Nutzung solcher Domänen kann die KI einer Network Detection leicht erkennen.
  • Um Firewalls und Security-Audits auszutricksen, findet die böswillige Kommunikation mit dem C&C-Server und die Exfiltration von Daten häufig verschlüsselt statt. Am Fluss der Pakete und Bytes im Datenverkehr erkennt KI den bösartigen Verkehr.
  • Verschlüsselte Brute-Force-Attacken: Hierbei entdeckt Künstliche Intelligenz Verschlüsselungsprotokolle und atypisches Login-Verhalten.
  • Modifikationen von Malware und Ransomware: Machine Learning erstellt eine Sammlung von Malwaremodellen zur Klassifizierung von bekannten Malwarefamilien.
  • Login-Zeiten und -Orte, die Häufigkeit und der Zugriff auf Applikationen oder Systeme können auch auffällig sein. KI entwickelt Normalkurven für einen zu erwartenden Datenverkehr zu bestimmten Zeiten und liefert damit Indizien, wo und wann etwas Verdächtiges stattgefunden hat.
Fazit
Für den optimalen Schutz agieren NDR, EDR und andere Technologien komplementär. Durch KI und ML kann NDR mittlerweile auch KMU sinnvoll bei der Sicherung ihres Netzwerks unterstützen. Gerade im Response-Bereich ist aber die Zusammenarbeit mit anderen Sicherheitstechnologien von größter Bedeutung. Das lässt sich zum Beispiel über eine RESTful-API realisieren, um Endpoint-Protection-Tools und Firewalls zu Aktionen zu veranlassen, wie zum Beispiel das Sperren von Ports oder die Quarantäne von befallenen Endpunkten.

Seite 1: NDR im Gesamtbild der Cyberabwehr
Seite 2: Hinweise für untypischen Netzverkehr


<< Vorherige Seite Seite 2 von 2





ln/Paul Smit, Director Customer Services bei ForeNova

Tags

Ähnliche Beiträge

Mit Mikrosegmentierung Sicherheitsrisiken minimieren

Netzwerksegmentierung dient der Abwehr von Schadsoftware, die sich nach der Infiltration des Netzwerks seitlich darin ausbreitet. Die Mikrosegmentierung untergliedert noch granularer, sodass zwischen einzelnen Unterbereichen des Netzwerks der Zugang beschränkt ist. Werden diese beiden Methoden miteinander kombiniert, lässt sich die Cybersicherheit eines Unternehmens merklich verbessern und Sicherheitsrisiken reduzieren.

Dezentrale digitale Identitäten: Eine Bestandsaufnahme

Die eigene digitale Identität ist ein komplexes Konstrukt aus verschiedenen Arten von Nutzerkonten, Anmeldedaten, Historien und weiteren Informationen, die in Gesamtheit den Online-Fußabdruck einer Person ergeben. Oder besser: Ergeben würden, denn diese einzelnen Bestandteile sind üblicherweise hochfragmentiert bei verschiedenen Unternehmen gespeichert. Mit dem Konzept dezentraler digitaler Identitäten gibt es aber inzwischen eine Alternative.