Fachartikel

Seite 2 - Network Detection and Response für KMU

Machine Learning trainiert KI in der Beurteilung des Netzverkehrs
Hacker hinterlassen also im Netzverkehr genügend Spuren, die von einem definierten normalen Verhalten in der Datenübertragung abweichen. Diese Spuren sind verdächtig und sollten genauer untersucht werden. Wenn es sich dann um eine Malware handelt, muss eine Response stattfinden. Dieser kann aus einem Hinweis für den Administrator bestehen oder automatisch erfolgen, basierend auf vorher festgelegten Playbooks, einem vorab definierten Maßnahmenkatalog zur Abwehr.


NDR veranlasst mithilfe definierter Playbooks auch Abwehraktionen. Diese laufen entweder automatisiert ab oder
müssen vom Administrator noch genehmigt werden.

Um dies zu ermöglichen, kommt die KI eines modernen Network-Detection-and-Response-Werkzeugs ins Spiel. Dessen Ziel ist es, ein Schema des IT-Normalverkehrs so feingliedrig wie möglich festzulegen, wobei legitime Veränderungen berücksichtigt werden, um abweichende Muster so schnell wie möglich erkennen zu können. Damit der Sollzustand zutreffend definiert wird, Attacken durch KI besser und möglichst ohne False Positives entdeckt werden und diese Fähigkeit kontinuierlich trainiert wird, braucht es Machine Learning. Für Machine Learning gibt es drei unterschiedliche Möglichkeiten: Unüberwachtes Lernen, überwachtes Lernen und halbüberwachtes Lernen. Sie alle zielen darauf ab, dass die KI verdächtige Muster im externen und internen Datenverkehr hochauflösend erkennt.

Hinweise für untypischen Netzverkehr
Jede Bewegung eines Angreifers und jede Veränderung im externen und internen Netzverkehr wird durch den Abgleich von typischen, unverdächtigen Mustern mit anormalen und damit verdächtigen Mustern sichtbar. Bösartige Aktivitäten, die sich durch die KI-Engine heutiger Network-Detection-and-Response-Werkzeugen entdecken lassen, sind beispielsweise:

  • Malware erstellt regelmäßig viele neue Domänen mithilfe von Algorithmen für die Hackerkommunikation. Die Nutzung solcher Domänen kann die KI einer Network Detection leicht erkennen.
  • Um Firewalls und Security-Audits auszutricksen, findet die böswillige Kommunikation mit dem C&C-Server und die Exfiltration von Daten häufig verschlüsselt statt. Am Fluss der Pakete und Bytes im Datenverkehr erkennt KI den bösartigen Verkehr.
  • Verschlüsselte Brute-Force-Attacken: Hierbei entdeckt Künstliche Intelligenz Verschlüsselungsprotokolle und atypisches Login-Verhalten.
  • Modifikationen von Malware und Ransomware: Machine Learning erstellt eine Sammlung von Malwaremodellen zur Klassifizierung von bekannten Malwarefamilien.
  • Login-Zeiten und -Orte, die Häufigkeit und der Zugriff auf Applikationen oder Systeme können auch auffällig sein. KI entwickelt Normalkurven für einen zu erwartenden Datenverkehr zu bestimmten Zeiten und liefert damit Indizien, wo und wann etwas Verdächtiges stattgefunden hat.
Fazit
Für den optimalen Schutz agieren NDR, EDR und andere Technologien komplementär. Durch KI und ML kann NDR mittlerweile auch KMU sinnvoll bei der Sicherung ihres Netzwerks unterstützen. Gerade im Response-Bereich ist aber die Zusammenarbeit mit anderen Sicherheitstechnologien von größter Bedeutung. Das lässt sich zum Beispiel über eine RESTful-API realisieren, um Endpoint-Protection-Tools und Firewalls zu Aktionen zu veranlassen, wie zum Beispiel das Sperren von Ports oder die Quarantäne von befallenen Endpunkten.

Seite 1: NDR im Gesamtbild der Cyberabwehr
Seite 2: Hinweise für untypischen Netzverkehr


<< Vorherige Seite Seite 2 von 2

2.02.2022/ln/Paul Smit, Director Customer Services bei ForeNova

Nachrichten

Zwei Zero-Day-Lücken gefährden Exchange-Server [30.09.2022]

Angreifer nutzen offenbar zwei neue Sicherheitslücken in Exchange Server, für die es bislang keinen Patch gibt und die ihnen eine Codeausführung aus der Ferne ermöglichen. Im Rahmen der Attacken verschaffen sich die Hacker per Webshell dauerhaften Zugang zu den Servern. Doch gibt es für Admins zumindest einen Workaround, um die Angriffe abzuwehren. [mehr]

Passgenaue Zugriffsrechte [29.09.2022]

Illumio stellt "Illumio Endpoint" vor. Dieses ersetzt "Illumio Edge" und soll verhindern, dass sich Angriffe von Laptops auf Clouds und Rechenzentren ausbreiten. Durch hybrides Arbeiten ist die Angriffsfläche gewachsen, neue Bedrohungen sind entstanden und die Cyberrisiken für Unternehmen damit gestiegen. [mehr]

Tipps & Tools

Online-Intensivseminar "Hyper-V unter Windows Server 2019" [12.09.2022]

Allen Public-Cloud-Trends zum Trotz: Die lokale Virtualisierung ist bei vielen Unternehmen nach wie vor die sicherere Basis des IT-Betriebs. Lernen Sie in unserem dreitägigen Intensivseminar deshalb, wie diese optimal mit Microsofts Hyper-V gelingt. Dabei führt Sie die Onlineveranstaltung durch die komplette Arbeit mit virtuellen Maschinen – vom Erstellen, dem Anbinden ans Netz bis hin zur Versorgung mit passendem Speicher – Hochverfügbarkeit und Replikation der VMs inklusive. Die Veranstaltung findet vom 19. bis 21. Oktober virtuell statt. Zögern Sie nicht, sich Ihren Platz zu sichern – für Abonnenten gilt wie immer ein Sondertarif. [mehr]

Intensivseminar "Office 365 bereitstellen und absichern" in München oder online [8.08.2022]

Die Clouddienste von Office 365 vereinfachen die Bereitstellung der Office-Applikationen für die Anwender und können Lizenzgebühren sparen. Doch auf den Admin kommen ganz neue Aufgaben zu, die unser dreitägiges Intensivseminar "Office 365 bereitstellen und absichern" praxisnah adressiert. So widmen wir uns neben der Auswahl der geeigneten Lizenzform der Vorbereitung der Infrastruktur und zeigen die Verwaltung und Absicherung von Exchange, SharePoint Online und Teams. Die Veranstaltung findet Ende September in München statt – parallel dazu können Sie auch online teilnehmen. [mehr]

Buchbesprechung

The Security Culture Playbook

von Perry Carpenter und Kai Roer

Anzeigen