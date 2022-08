Mit der Analyse von Metadaten statt der sonst üblichen Deep Packet Inspection (DPI) will das Schweizer Cybersecurity-Unternehmen Exeon Analytics eine modernisierte und zukunftssichere NDR-Lösung (Network Detection and Response) auf dem europäischen Markt etablieren.

Die Metadaten-Analyse ist laut Exeon im Gegensatz zu den etablierten, auf DPI basierten Verfahren von verschlüsseltem Datenverkehr nicht beeinträchtigt. Dies sei insofern relevant, da moderne Cyberangriffe wie APTs, Ransomware und Lateralbewegungen stark auf verschlüsselte Kommunikation für Angriffsanweisungen von entfernten Command-and-Control-Servern (C&C) setzen.

Traditionelle NDR-Lösungen detektieren solche Vorgänge typischerweise anhand umfassender Datenanalyse, die jedoch im Fall von verschlüsseltem Datenverkehr nicht vorgenommen werden kann. Exeons Technik basiert auf Metadaten, die auch im Falle von verschlüsseltem Datenverkehr komplett verfügbar sind.

„Der DPI-Ansatz bietet zwar eine detaillierte Analyse einzelner Datenpakete, erfordert jedoch eine immense Menge an Rechenleistung und ist blind, wenn es um verschlüsselten Netzwerkverkehr geht“, erläutert Gregor Erismann, CCO von Exeon Analytics. Die Metadatenanalyse erlaube es, diese Einschränkungen zu überwinden. Durch die Analyse von Metadaten lasse sich die Netzwerk-Kommunikation an jedem beliebigen Erfassungspunkt beobachten und mit Informationen anreichern, die Aufschluss über die verschlüsselte Kommunikation geben.

Mit der NDR-Lösung ExeonTrace können Sicherheitsteams auch in komplexen und verteilten IT/OT Netzwerken mit sehr hoher Bandbreite die gesamte Kommunikation inklusive des verschlüsselten Datenverkehrs überwachen, so das Versprechen. Um Sicherheitsteams mit Informationen über den gesamten Netzwerkverkehr zu versorgen, erfasse die Metadaten-Analyse eine Vielzahl von Attributen über die Netzwerk-Kommunikation, Anwendungen und Akteure. Zum Beispiel zeichne man die Quell-/Ziel-IP-Adressen, die Sitzungsdauer, die verwendeten Protokolle (TCP, UDP) und die Art der verwendeten Dienste auf.

Zudem können durch die Analyse von Logdaten viele weitere wichtige Attribute erfasst werden, die wirksam zur Erkennung und Verhinderung fortgeschrittener Cyberangriffe sind. Dazu zählen beispielsweise DNS- und DHCP-Informationen, die Zuordnung von Benutzern zu Systemen anhand von DC-Protokolldaten oder verschiedene Objekt-Hashes von Javascripts und Bildern.

Die Analyse von Metadaten, ergänzt durch System- und Anwendungsprotokolle, ermögliche es so den Sicherheitsteams, Netzwerk-Schwachstellen (etwa Shadow-IT) und Cyberbedrohungen frühzeitig zu erkennen, sowie die Visibilität in das gesamte IT/OT-Netzwerk zu schärfen. Darüber hinaus ermöglichen leichtgewichtige Metadaten eine effiziente Speicherung historischer Datensätze, was forensische Untersuchungen erheblich erleichtert, so der Security-Anbieter weiter.

Zudem ermöglicht der Einsatz einer NDR-Lösung, die auf dem Metadaten-Ansatz basiert, den gesamten Datenverkehr im Unternehmensnetzwerk zu überwachen, um verdächtige Aktivitäten und Schwachstellen auf allen mit dem Netzwerk verbundenen Geräten zu identifizieren - auch auf IoT-Geräten.