newsletter
contact us
LinkedIn

Wir sind für Sie da!

Kontaktieren Sie uns.

salutation
Wir werden uns so schnell wie möglich bei Ihnen melden.

Exeon Analytics AG

Grubenstrasse 12
CH-8045 Zürich
Schweiz

Telefon: +41 44 500 77 21

NDR: Das neue Standbein der Cybersecurity

Prävention und Abschirmung gelten noch immer als das Mittel der Wahl bei dem Versuch, die eigenen IT-Systeme zu schützen. Dass dieser Ansatz aber nicht ausreicht, lässt sich mittlerweile fast täglich in den Medien lesen. Aktuelle Fälle wie die Attacke auf Microsoft Exchange, Colonial Pipeline in den Vereinigten Staaten oder jüngst Siegfried in der Schweiz verdeutlichen die Gefahren: Betriebsunterbrechungen, Vertrauensverlust bei Kunden und Partern, Produktmängel oder rechtliche Konsequenzen. Einer der zurzeit gängigsten Ansätze von Hackern ist der sogenannte Ransomware-Angriff – zu Deutsch: das Erpressen von Lösegeld im Austausch gegen die Nicht-Veröffentlichung oder Rück-Entschlüsselung von unlesbar gemachten Daten. 

So lange ein Unternehmen als lohnenswertes Ziel erkannt wird, ist es auch im Visier potenzieller Angreifer – gleich, welcher Grösse oder Branche. Die jedoch im eigenen System aufzuspüren und auszuschalten, ist eine Mammutaufgabe, die sich allein mit automatisierter, KI-gestützter Netzwerküberwachung erfolgreich und effizient durchführen lässt. 

Die Suche nach den „Kronjuwelen“

Eine IT-Sicherheitsinfrastruktur zu unterhalten, ist bei Unternehmen seit Jahrzehnten ein Muss, wobei die IT Security den Hackern idealerweise stets einen Schritt voraus ist. Doch auch Angreifer gehen kontinuierlich mit der Zeit gehen und feilen an ihren Methoden. Die Professionalisierung zeigt sich auch in den Strategien, die die Hacker verfolgen: Oft verbringen sie ganze Wochen damit, sich geduldig vorzubereiten, den Angriff aus auszuführen und im Inneren eines Unternehmensnetzwerks die „Kronjuwelen“ unter den Daten zu suchen – und das in der Regel ohne entdeckt zu werden. 

Dies geschieht häufig durch die Infiltrierung mit Schadsoftware. Hacker etablieren dadurch einen Kommunikationskanal ins Innere des Systems und können so ein internes Endgerät unbemerkt fernsteuern. Darüber lassen sich schliesslich Daten verschlüsseln oder stehlen. Cobalt Strike, eine an sich legal erhältliche Softwarelösung, die von Unternehmen für interne Tests zum Einsatz kommt, wird von Hackern nicht selten für ihre Zwecke missbraucht.  

Sind die Angreifer erst im System, etwa über Phishing-Mails, stellt die Malware – versteckt im regulären Datenverkehr – einen so genannten Command-&-Control-(C&C-)Kanal her, über den die Angreifer dann die weitere Steuerung übernehmen. Kundendaten, Patente oder kritische Systeme, die keinesfalls ausfallen dürfen, sind dann das Ziel der Suche, die sich über den etablierten Kommunikationskanal stehlen oder auch verschlüsseln lassen – beides mit dem Ziel, das Opfer zu erpressen. 

Die Suche nach der Nadel im Heuhaufen

Um dies zu vermeiden, ist es unerlässlich, Bedrohungen, Angriffe und Datenlecks möglichst sofort zu entdecken und Gegenmassnahmen einzuleiten, bevor der Schaden erst entsteht. Sicherheitstechnisch gestaltet sich diese Idee jedoch nicht einfach: Unternehmensnetzwerke produzieren Unmengen an Informationen. Diese manuell auf verdächtige Aktivitäten hin zu untersuchen, entspricht der sprichwörtlichen Suche nach der Nadel im Heuhaufen: Die IT-Abteilung muss manuell analysieren, eigene Algorithmen entwickeln und dabei das ganze System im Auge behalten. 

Alleine eine Übersicht über alle zu schützenden Netzwerke oder Geräte anzufertigen, ist für viele Unternehmen eine Herausforderung. Bei verdächtigen Aktivitäten ist es umso komplexer, deren Gefahrenpotenzial zu beurteilen. Die Teams müssen sich erst langwierig eine Übersicht verschaffen, was Angreifern oft alle Zeit verschafft, die sie brauchen. Erschreckenderweise dauert es dadurch im Durchschnitt mehrere Wochen, bis ein solche Cyber-Angriff entdeckt wird. 

Mit Künstlicher Intelligenz lässt sich Netzwerkverkehr unkompliziert und automatisiert analysieren. Das System lernt dabei die Routinevorgänge im Netzwerk kennen und detektiert dazu aber auch untypische Aktivitäten oder sich ändernde Verbindungsmuster. Da diverse Cyber-Bedrohungen jeweils spezifische Muster aufweisen, lassen sich entsprechende Algorithmen einsetzen, die den Datenverkehr selbstständig unter die Lupe nehmen.

Anomalien erkennen

Dieser Ansatz nennt sich Network Detection & Response (NDR). Ähnlich einer Alarmanlage schlägt NDR an, sobald der Einbrecher ins Haus gelangt ist – und nicht erst, wenn er sich bereits in Ruhe umsieht oder etwa nach dem Versuch, Daten zu entwenden. 

Security-Teams kann die Technologie auch anderweitig unter die Arme greifen, zum Beispiel bei der Untersuchung und Bekämpfung von Vorfällen, die häufig viel Zeit in Anspruch nimmt. Die Korrelation, Bewertung und Priorisierung solcher Alarme erfolgt automatisiert. Dies geschieht unter Zuhilfenahme von Daten von anderen Sicherheitssystemen – wie Endpoint Detection, Geräteüberwachung, Antivirus-Programme oder auch Zugriffsmanagement –, wobei auch Alarme mit typischen Bedrohungs- oder Angriffsmustern berücksichtig werden. Auf diese Weise kann das System selbst Bewertungen und Priorisierungen vornehmen und beschränkt die Zahl der zu untersuchenden Vorfälle auf ein Minimum.  

IT-Security-Teams sind daher besser in der Lage, Bedrohungen zu erkennen sich ihrer anzunehmen, da sie jederzeit über den vollen Überblick über einen laufenden Angriff verfügen. Begleitend dazu macht die KI unter Berücksichtigung des Angriffsmusters Vorschläge, wie dieser abgewehrt werden kann. 

Network-Detection-and-Response-Lösungen auf Grundlage von KI-Technologie sorgen dafür, dass selbst unübersichtlichste Netzwerke konsequent überwacht und verdächtige Vorgänge bekämpft werden können. Sie sorgen also dafür, dass die klassische Cybersecurity neben der Prävention nun über ein zusätzliches Standbein verfügt: das der Reaktion in Echtzeit. 

Autorin: Carola Hug, COO Exeon Analytics 

Trusted by