von Redaktion IT-A…
Lesezeit
1 Minute
Seite 2 - Network Detection and Response für KMU
Machine Learning trainiert KI in der Beurteilung des Netzverkehrs
Hacker hinterlassen also im Netzverkehr genügend Spuren, die von einem definierten normalen Verhalten in der Datenübertragung abweichen. Diese Spuren sind verdächtig und sollten genauer untersucht werden. Wenn es sich dann um eine Malware handelt, muss eine Response stattfinden. Dieser kann aus einem Hinweis für den Administrator bestehen oder automatisch erfolgen, basierend auf vorher festgelegten Playbooks, einem vorab definierten Maßnahmenkatalog zur Abwehr.
Um dies zu ermöglichen, kommt die KI eines modernen Network-Detection-and-Response-Werkzeugs ins Spiel. Dessen Ziel ist es, ein Schema des IT-Normalverkehrs so feingliedrig wie möglich festzulegen, wobei legitime Veränderungen berücksichtigt werden, um abweichende Muster so schnell wie möglich erkennen zu können. Damit der Sollzustand zutreffend definiert wird, Attacken durch KI besser und möglichst ohne False Positives entdeckt werden und diese Fähigkeit kontinuierlich trainiert wird, braucht es Machine Learning. Für Machine Learning gibt es drei unterschiedliche Möglichkeiten: Unüberwachtes Lernen, überwachtes Lernen und halbüberwachtes Lernen. Sie alle zielen darauf ab, dass die KI verdächtige Muster im externen und internen Datenverkehr hochauflösend erkennt.
Hinweise für untypischen Netzverkehr
Jede Bewegung eines Angreifers und jede Veränderung im externen und internen Netzverkehr wird durch den Abgleich von typischen, unverdächtigen Mustern mit anormalen und damit verdächtigen Mustern sichtbar. Bösartige Aktivitäten, die sich durch die KI-Engine heutiger Network-Detection-and-Response-Werkzeugen entdecken lassen, sind beispielsweise:
Für den optimalen Schutz agieren NDR, EDR und andere Technologien komplementär. Durch KI und ML kann NDR mittlerweile auch KMU sinnvoll bei der Sicherung ihres Netzwerks unterstützen. Gerade im Response-Bereich ist aber die Zusammenarbeit mit anderen Sicherheitstechnologien von größter Bedeutung. Das lässt sich zum Beispiel über eine RESTful-API realisieren, um Endpoint-Protection-Tools und Firewalls zu Aktionen zu veranlassen, wie zum Beispiel das Sperren von Ports oder die Quarantäne von befallenen Endpunkten.
Seite 1: NDR im Gesamtbild der Cyberabwehr
Seite 2: Hinweise für untypischen Netzverkehr
ln/Paul Smit, Director Customer Services bei ForeNova
Hacker hinterlassen also im Netzverkehr genügend Spuren, die von einem definierten normalen Verhalten in der Datenübertragung abweichen. Diese Spuren sind verdächtig und sollten genauer untersucht werden. Wenn es sich dann um eine Malware handelt, muss eine Response stattfinden. Dieser kann aus einem Hinweis für den Administrator bestehen oder automatisch erfolgen, basierend auf vorher festgelegten Playbooks, einem vorab definierten Maßnahmenkatalog zur Abwehr.
NDR veranlasst mithilfe definierter Playbooks auch Abwehraktionen. Diese laufen entweder automatisiert ab oder
müssen vom Administrator noch genehmigt werden.
müssen vom Administrator noch genehmigt werden.
Um dies zu ermöglichen, kommt die KI eines modernen Network-Detection-and-Response-Werkzeugs ins Spiel. Dessen Ziel ist es, ein Schema des IT-Normalverkehrs so feingliedrig wie möglich festzulegen, wobei legitime Veränderungen berücksichtigt werden, um abweichende Muster so schnell wie möglich erkennen zu können. Damit der Sollzustand zutreffend definiert wird, Attacken durch KI besser und möglichst ohne False Positives entdeckt werden und diese Fähigkeit kontinuierlich trainiert wird, braucht es Machine Learning. Für Machine Learning gibt es drei unterschiedliche Möglichkeiten: Unüberwachtes Lernen, überwachtes Lernen und halbüberwachtes Lernen. Sie alle zielen darauf ab, dass die KI verdächtige Muster im externen und internen Datenverkehr hochauflösend erkennt.
Hinweise für untypischen Netzverkehr
Jede Bewegung eines Angreifers und jede Veränderung im externen und internen Netzverkehr wird durch den Abgleich von typischen, unverdächtigen Mustern mit anormalen und damit verdächtigen Mustern sichtbar. Bösartige Aktivitäten, die sich durch die KI-Engine heutiger Network-Detection-and-Response-Werkzeugen entdecken lassen, sind beispielsweise:
- Malware erstellt regelmäßig viele neue Domänen mithilfe von Algorithmen für die Hackerkommunikation. Die Nutzung solcher Domänen kann die KI einer Network Detection leicht erkennen.
- Um Firewalls und Security-Audits auszutricksen, findet die böswillige Kommunikation mit dem C&C-Server und die Exfiltration von Daten häufig verschlüsselt statt. Am Fluss der Pakete und Bytes im Datenverkehr erkennt KI den bösartigen Verkehr.
- Verschlüsselte Brute-Force-Attacken: Hierbei entdeckt Künstliche Intelligenz Verschlüsselungsprotokolle und atypisches Login-Verhalten.
- Modifikationen von Malware und Ransomware: Machine Learning erstellt eine Sammlung von Malwaremodellen zur Klassifizierung von bekannten Malwarefamilien.
- Login-Zeiten und -Orte, die Häufigkeit und der Zugriff auf Applikationen oder Systeme können auch auffällig sein. KI entwickelt Normalkurven für einen zu erwartenden Datenverkehr zu bestimmten Zeiten und liefert damit Indizien, wo und wann etwas Verdächtiges stattgefunden hat.
Für den optimalen Schutz agieren NDR, EDR und andere Technologien komplementär. Durch KI und ML kann NDR mittlerweile auch KMU sinnvoll bei der Sicherung ihres Netzwerks unterstützen. Gerade im Response-Bereich ist aber die Zusammenarbeit mit anderen Sicherheitstechnologien von größter Bedeutung. Das lässt sich zum Beispiel über eine RESTful-API realisieren, um Endpoint-Protection-Tools und Firewalls zu Aktionen zu veranlassen, wie zum Beispiel das Sperren von Ports oder die Quarantäne von befallenen Endpunkten.
Seite 2: Hinweise für untypischen Netzverkehr
| << Vorherige Seite | Seite 2 von 2 |
ln/Paul Smit, Director Customer Services bei ForeNova
