Ciscos neue Sicherheitstechnik „Encrypted Traffic Analytics“ (ETA) steht ab sofort allen Anwendern mit passender Hardware zur Verfügung. Der US-Konzern hatte ETA letzten Sommer zusammen mit seiner „New Network“-Architektur angekündigt (LANline berichtete, siehe auch dieses Interview). Nach umfangreicher Testphase mit ausgewählten Unternehmen im vergangenen Jahr können damit nun laut Herstellerangaben knapp 50.000 Anwenderunternehmen Schadprogramme in verschlüsseltem Datenverkehr identifizieren, ohne dabei den Datenschutz zu beeinträchtigen. Die Installation der Lösung erfolge einfach per Software-Upgrade.

ETA ist – neben Stealthwatch, Ciscos SaaS-Lösung für Netzwerk-Monitoring und Security Analytics, sowie Talos, der Cisco-eigenen Threat-Intelligence-Mannschaft – der dritte Pfeiler im Security-Ansatz von Ciscos „New Network“- (oder auch „Network Intuitive“-)Konzept. Zudem unterstützt ETA laut dem Netzwerkausrüster nun fast alle hauseigenen Enterprise-Routing-Plattformen, einschließlich Zweigstellen-Router (ISR und ASR) sowie Virtual Cloud Services Router (CSR).

Die Notwendigkeit zur Analyse verschlüsselter Datenströme wird in den kommenden Jahren zunehmen, so Cisco mit Verweis auf Gartner-Prognosen. Denn laut Gartner werden 2019 mehr als 80 Prozent des Web-Traffics eines Unternehmens verschlüsselt sein und über die Hälfte der Malware-Kampagnen Verschlüsselung nutzen.

Um Malware zu erkennen, kombiniert ETA Netzwerk-Monitoring mit Machine Learning (ML). Dazu analysiert die Lösung Datenpakete inklusive Paketlänge und Zeiten. Mittels ML passe sie sich an Veränderungen an, so Cisco. Gleichzeitig sei der Datenschutz gewährleistet, da ETA wichtige Erkenntnisse im verschlüsselten Traffic über passives Monitoring erhalte. Sprich: ETA erkennt verdächtigen Datenverkehr anhand von Netzwerkdetails wie Ursprungsdomäne in Kombination mit ML-basierter Analyse, ohne den gesamten Netzwerkverkehr entschlüsseln zu müssen. Anschließend entschlüsselt und blockiert es nur verdächtige Datenflüsse.

Zur Einhaltung von Compliance-Standards für verschlüsselten Traffic identifiziert ETA laut Cisco-Angaben die Verschlüsselungsqualität jeder Netzwerk-Kommunikation. So könne ein Unternehmen ermitteln, welche Daten verschlüsselt sind, und so ein besseres Sicherheitsniveau erreichen. Die Ergebnisse sieht das Security-Team in Stealthwatch, sie lassen sich laut Cisco aber auch in Monitoring- und Audit-Tools von Drittanbietern exportieren. Dies vergrößere die Reichweite von Monitoring-Agenten, die nur Endgeräte überwachen.

Das Netzwerk erfasse so auch IoT- und Mobilgeräte, für die bislang kein Monitoring-Tool verfügbar ist. Da es bereits heute mehr Smartphone und Tablets als Desktop-PCs und Notebooks gibt, Tendenz weiter steigend, werde ein umfassendes netzwerkbasiertes Monitoring inklusive verschlüsseltem Traffic für einen ausreichenden Schutz immer wichtiger, betont man bei Cisco.

Weitere Informationen finden sich unter www.cisco.de.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.