Vectra rät Unternehmen gegen den Fluss zu schwimmen

Künstliche Intelligenz läuft klassischen Sicherheitsmethoden den Rang ab

München, (PresseBox) - Die Analyse der Flow-Daten wird nach wie vor von verschiedenen Anbietern als effektive Sicherheitslösung angepriesen. Bei einem genauen Blick auf die jüngsten erfolgreichen Cyberangriffe, erscheint dieser Ansatz aber überholt. Metadatenanalyse mittels künstlicher Intelligenz ist hingegen ein völlig anderer Ansatz und erweist sich nach Meinung von Vectra Networks als besser für zeitgemäßes automatisiertes Bedrohungsmanagement.

Zahlreiche Sicherheitsanbieter betrachten die Analyse der Flow-Daten  (Traffic Flow Analysis) weiterhin als einen geeigneten Ansatz, um Verhaltensanomalien innerhalb von Netzwerken zu erkennen und zu analysieren. Dabei handelt es sich jedoch nur um eine jahrzehntealte Technik in einem neuen Gewand. Ursprünglich konzipiert, um die Netzwerk-Uptime zu überwachen, wurde die Analyse der Flow-Daten umgerüstet, um nach Denial-of-Services-Angriffen zu suchen. In ihrer neuesten Form soll diese Technik dazu dienen, Anomalien zu finden, die auf Kompromittierung hindeuten sowie eine schnelle und effiziente Antwort auf Ereignisse (Incident Response) unterstützen.

Grundsätzliche Fragen stellen sich dabei, wie und ob diese Technologie tatsächlich Probleme löst: Ist eine Lösung, welche die Analyse der Flow-Daten nutzt, wirklich effektiv und effizient beim Auffinden von Bedrohungen? Verbessert diese Technik die manuelle Analyse von Bedrohungen durch Experten, indem sie schneller und effizienter wird?

Wie ursprünglich beabsichtigt, funktioniert die Analyse der Flow-Daten gut für Statistiken zum Netzwerk-Traffic und die Suche nach Problemen hinsichtlich der „Netzwerkgesundheit“. Die Fähigkeiten zur Erkennung und Analyse von Verhaltensanomalien sind aber sehr begrenzt. Genau darauf kommt es aber an, um bereits aktive Cyberangreifer im Netzwerk zu identifizieren und zu stoppen.  

Wo sich die konventionelle Methode schwertut

„Die Suche nach dem Verhaltenskontext in der Analyse der Flow-Daten erfordert hochqualifizierte Sicherheitsexperten, um Datenpakete und Protokolle sinnvoll zu analysieren. Dies erfolgt in der Praxis jedoch oft manuell mit veralteten Werkzeugen“, erklärt Gérard Bauer, Vice President EMEA bei Vectra Networks. „Dieser Prozess macht es schwierig, Ereignisse zu korrelieren und harmlose, ungewöhnliche Verhaltensweisen von echten Angriffen zu unterscheiden. Zudem ist diese Vorgehensweise durch hohen Personalbedarf recht kostenintensiv.“

Von Network-Flow-Analysis-Tools (NFA) behaupten Anbieter, dass sie sich dazu eignen, um Botnets zu erkennen, bevor diese Schaden anrichten. Aber was ist, wenn es nur ein Spam-Relay ist? Während man eine mögliche Bedrohung verhindert, verbreitet sich ein potenzieller  Angriff durch verborgene Tunnel im HTTPS-Verkehr.

Das Finden von ungewöhnlichem Verhalten bedeutet nicht immer, dass ein Angreifer im Netzwerk ist. Angreifer, die gezielt vorgehen, werden schlau sein und ihr Verhalten wird schwer erkennbar sein. Das Rennen darum, Angreifer in Netzwerken auf die schnellste und effizienteste Weise zu finden, erfordert mehr als umgewidmete Monitoring-Tools, die nur ungewöhnliches Verhalten im Netzwerk finden.

Mehr Automatisierung möglich – und nötig

Im Gegensatz dazu, lassen sich mit Hilfe künstlicher Intelligenz automatisch Metadaten aus erfassten Netzwerkpaketen analysieren. Dies ermöglicht es Sicherheitsteams, Angreifer schneller und effizienter in jeder Phase des Cyberangriffs aufzuspüren. Diese Phasen beinhalten versteckte Command-and-Control-Kommunikation, interne Netzwerkaufklärung, seitliche Bewegung im Netzwerk, frühe Anzeichen eines Ransomware-Angriffs, kommerzielles Botnet-Verhalten und die Exfiltration von Daten. Es ist auch wichtig, kompromittierte Hosts automatisch zu beurteilen und zu priorisieren, um zu erkennen, wer die Opfer von Bedrohungen sind und ob es sich um relevante Angriffe handelt.

Eine solche Automatisierung ermöglicht es, die Suche nach Angriffen, deren Erkennung und Priorisierung in wenigen Minuten durch einen Junior-Security-Analysten vornehmen zu lassen. Hochqualifizierte  Experten müssen sich nicht mehr mit der Analyse der Flow-Daten beschäftigen und können sich anderen Aufgaben widmen.

Metadaten überbrücken die Kluft zwischen konventionellen Tools und Rohdatenanalyse durch das schnelle Erkennen und Verstehen des Verhaltens der Angreifer. Diese Methode der Analyse ist zudem skalierbar, um mit den immensen Datenmengen in einer ständig wachsenden Infrastruktur zurechtzukommen.

Angriffe erkennen, die wirklich kritisch sind

„Die Analyse von Metadaten durch künstliche Intelligenz bei der Berechnung der Genauigkeit der Bedrohungswahrscheinlichkeit und des Risikos ermöglicht es die Angriffe zu erkennen, die am kritischsten sind. Die Metadatenanalyse liefert die nötigen  Details, um schneller zu erkennen, zu kategorisieren und zu reagieren, indem in den Protokollen, die von größtem Interesse sind, tiefer nachgeforscht wird“, führt Gérard Bauer aus.

Wird die Analyse der Flow-Daten mit KI-basierter Metadatenanalyse verglichen, gilt es folgendes zu beachten:


Metadatenanalyse arbeitet in Echtzeit. Die Analyse der Flow-Daten ist langsam, da sie eine Sammlung von Metriken von Paketen darstellt und keine Echtzeit-Paketanalyse durchführt.
Die Analyse der Flow-Daten erfordert einen qualifizierten Sicherheitsanalysten, um sich durch Metriken der Netzwerkkonnektivität zu arbeiten und dadurch einen Angriff zu finden und anomale Vorgängen im Netzwerk zu korrelieren. Dieser manuelle Ansatz verlangsamt und verteuert den gesamten Prozess.
Metadaten sind reich an Informationen und bilden das gesamte Bedrohungsszenario ab. Die Analyse der Flow-Daten identifiziert nur allgemeine Netzwerkmetriken auf einem hohen Niveau und verzichtet oft auf Websitenamen, Benutzer und Anwendungsdaten, die benötigt werden, um finale Entscheidungen zu treffen.
Der Analyse der Flow-Daten fehlen wichtige Informationen, damit ein Sicherheitsanalyst schnell Maßnahmen ergreifen sowie Daten interpretieren und verstehen kann.
Die Notwendigkeit von Sekundärsystemen und ein Mangel an Kontext erschwert die Skalierbarkeit der Analyse der Flow-Daten. Für Sicherheitsanalysten ist sie arbeitsintensiv, während Angreifer mehr Zeit haben, das Netzwerk auszuspionieren, sich auszubreiten und Daten zu stehlen.


„Die heutige Bedrohungssituation erfordert einen praktikablen und automatisierten Ansatz für das Erkennen von Bedrohungen, um Cyberangreifer im Netzwerk schnell zu finden und zu stoppen. Die KI-basierte Metadatenanalyse erweist sich hier als zeitgemäße und effiziente Lösung“, fasst Gérard Bauer abschließend zusammen.

Vectra Networks GmbH

Vectra Networks™ ist der führende Anbieter von Lösungen für die Echtzeit-Erkennung von laufenden Cyber-Angriffen. Die automatisierte Threat-Management-Lösung des Unternehmens kontrolliert permanent den internen Netzwerkverkehr, um Cyber-Angriffe zu erkennen, während sie noch stattfinden. Die Lösung korreliert dann die Bedrohungen mit den Hosts, die angegriffen werden, und stellt einen einzigartigen Kontext bereit, was die Angreifer konkret ausführen. Unternehmen sind somit schneller in der Lage, Schaden zu verhindern oder zu begrenzen. Vectra räumt jenen Angriffen Vorrang ein, die das größte Risiko für das Unternehmen darstellen, und ermöglicht es so den Unternehmen, unverzüglich zu entscheiden, wie sie ihre Zeit und Ressourcen am sinnvollsten verwenden sollten. 2015 wurde Vectra von Gartner als "Cool Vendor in Security Intelligence" ausgezeichnet. Gartner würdigte damit das Unternehmen dafür, dass es sich den Herausforderungen bei der Erkennung von Bedrohungen nach einem Sicherheitsvorfall stellt. Zu den Investoren von Vectra zählen Khosla Ventures, Accel Partners, IA Ventures und AME Cloud Ventures. Der Hauptsitz des Unternehmens befindet sich in San Jose, Kalifornien. Weitere Informationen erhalten Sie unter www.vectranetworks.com

Diese Pressemitteilungen könnten Sie auch interessieren

Weitere Informationen zum Thema "Sicherheit":

Nur Safety plus Security macht Prozessanlagen sicher

Nach ei­ner IBM-Stu­die ist die Wahr­schein­lich­keit ei­nes Cy­ber­an­griffs bei Pro­duk­ti­ons­an­la­gen höh­er als in der "Fi­nan­z­in­du­s­trie". Der Bei­trag soll zei­gen, dass nur ei­ne Lö­sung, die Funk­ti­ons- und IT-Si­cher­heit kom­bi­niert, Un­ter­neh­men in der Öl- und Gas­in­du­s­trie ein Höchst­maß an Ge­samt­si­cher­heit er­mög­licht.

Weiterlesen

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.