Verhaltensbasierte Netzwerkanalyse
Was ist da in unserem Netzwerk los?
Klassische IT-Sicherheitstools lassen einige Schlupflöcher offen. Wenn Cyberkriminelle sie ausnutzen, können sie im Unternehmensnetzwerk oft unbemerkt schalten und walten, wie sie wollen. Verhaltensbasierte Netzwerkanalyse ermöglicht es Unternehmen, dieses Treiben zu stoppen.
Zur Abwehr von Cyberangriffen setzen Unternehmen klassischerweise auf einen Mix aus Tools für Perimeter- und Endgerätesicherheit. Mit Firewalls, Intrusion-Detection- und Intrusion-Prevention-Systemen schützen sie die Grenzen ihrer Netzwerke und mit Antiviren-Software ihre Endgeräte. So unverzichtbar diese Tools sind, so unvollständig sind sie auch, denn sie können gefährliche Schlupflöcher hinterlassen.
Kriminelle sind oft einen entscheidenden Schritt voraus
Ein Problem ist, dass solche Sicherheitssysteme üblicherweise signaturbasiert funktionieren. Sie können nur Bedrohungen identifizieren und stoppen, die sie bereits kennen. Indem Cyberkriminelle ihre Angriffstechniken und ihre Schadsoftware permanent modifizieren, sind sie oft einen entscheidenden Schritt voraus. Die IT-Sicherheitsanbieter aktualisieren ihre Systeme zwar sofort, wenn eine neue Variante bekannt ist. Bis dahin schaffen es Angreifer aber immer wieder, unbemerkt in Unternehmensnetzwerke einzudringen und Malware zu installieren.
Ein ähnliches Problem sind Zero-Day-Attacken. Entdecken Kriminelle bislang unbekannte Schwachstellen in Betriebssystemen oder Softwareanwendungen, nutzen sie diese sofort aus, um sich Zugang zu den Netzwerken von Unternehmen zu verschaffen, die diese Systeme einsetzen. Sobald die Hersteller die Sicherheitslücken bemerken, veröffentlichen sie zwar Sicherheitspatches, um sie zu schließen. Bis solche Schwachstellen bekannt sind, vergeht aber oft viel Zeit. Außerdem vernachlässigen viele Unternehmen das regelmäßige Einspielen dieser Patches. Dies ermöglicht es den Cyberkriminellen, direkt über solche Schwachstellen und an den IT-Sicherheitstools vorbei in Unternehmenssysteme einzudringen.
Ein weiteres Problem ist, dass die klassischen IT-Sicherheits-Tools für Insider-Bedrohungen blind sind. Wenn Personen, die einen legitimen Zugang zu IT-Systemen haben, diesen Zugang missbrauchen, um Daten zu manipulieren, zu stehlen oder Malware zu installieren, bekommen diese Tools das schlichtweg nicht mit. Die Gefahr, Opfer eines solchen Insider-Angriffs zu werden, ist größer, als man denken mag, zumal oft nicht nur die eigenen Mitarbeitenden legitime Zugänge besitzen, sondern auch Angestellte von Partnern, Zulieferern, Dienstleistern oder IT-Lieferanten. Mögliche Motive für „Insider Jobs“ gibt es ebenso viele: von Verbitterung über den Arbeitgeber über finanzielle Gewinne durch den Verkauf gestohlener Daten bis hin zu Bestechungsgeldern von Cyberkriminellen für die Installation ihrer Schadsoftware.
Anomalien im Netzwerk erkennen und markieren
Diesen Problemen können Unternehmen mit verhaltensbasierter Netzwerkanalyse (Network Behavior Analysis, NBA) zu Leibe rücken. NBA-Lösungen beobachten permanent den Datenverkehr im Unternehmensnetzwerk und sind in der Lage, Anomalien zu erkennen und Aktivitäten aufzudecken, die auf böswillige Absichten hindeuten.
Solche Lösungen sammeln Netzwerkdaten wie Adressen, Ports, Protokolle, Netzwerkpakete oder Zeitstempel von Routern, Switches und anderen Netzwerkgeräten und leiten daraus zunächst eine Baseline ab. Damit ist der für ein normales Netzwerkverhalten typische Datenverkehr gemeint. Mit Hilfe von Machine-Learning-Algorithmen erlernen sie dabei die Traffic-Charakteristika jedes einzelnen Nutzers und sämtlicher Netzwerkdienste. Anschließend überwachen sie den Datenverkehr, indem sie laufend die Baseline mit dem tatsächlichen Traffic vergleichen. Anwendungen nutzen plötzlich andere Ports? Im Netzwerk ist ein ungewöhnlich hohes Datenvolumen zu beobachten? Der Traffic steigt zu einer anderen Zeit als dem morgendlichen Arbeitsbeginn stark an? Ein unbekanntes Gerät hat sich im Netzwerk angemeldet? Ein Mitarbeiter nutzt plötzlich ein Gerät mit einer anderer ID?
Dies können Hinweise darauf sein, dass sich Kriminelle im Unternehmensnetzwerk befinden oder Insider am Werk sind. Wenn NBA-Lösungen solche Anomalien und Aktivitäten feststellen, alarmieren sie die Sicherheitsverantwortlichen und zeigen ihnen auf, wo das ungewöhnliche Verhalten auftritt und welche Systeme davon betroffen sind. Die Verantwortlichen können dadurch den Ursachen und den potenziellen Auswirkungen zielgerichtet und schnell auf den Grund gehen. Handelt es sich tatsächlich um einen Angriff, haben sie die Möglichkeit, ihn zu stoppen, den Schaden zu minimieren und die Daten der NBA-Lösung für die Überführung der Täter zu nutzen.
Gestaffelte Verteidigung
Verhaltensbasierte Netzwerkanalyse bildet eine wichtige Komponente von „Defense in Depth“-Architekturen. Bei diesem IT-Sicherheitsansatz lassen sich verschiedene Tools, Mechanismen und Richtlinien zu einem System aus gestaffelten Verteidigungslinien kombinieren. Gelingt es einem Angreifer, eine Linie zu überwinden, konfrontiert man ihn mit einer weiteren. Dadurch steigt die Wahrscheinlichkeit erheblich, Attacken zu erkennen und abzuwehren oder zumindest rechtzeitig zu stoppen, bevor sie großen Schaden anrichten.
NBA-Lösungen erhöhen aber nicht nur die IT-Sicherheit. Sie unterstützen Unternehmen auch maßgeblich dabei, die Application Experience zu optimieren. Durch verhaltensbasierte Netzwerkanalyse können sie auch Probleme erkennen, die zu langen Ladezeiten oder eingeschränkter Verfügbarkeit von Anwendungen führen könnten – und haben die Möglichkeit, sie frühzeitig zu beseitigen. Damit stellen sie eine bestmögliche Performance ihrer Applikationen sicher und sorgen für zufriedene Nutzer.
Thomas Schuller ist Regional Director DACH bei Progress.
Lesen Sie mehr zum Thema
