• Warum das Netzwerk für die Erkennung von Bedrohungen einbezogen werden muss


Das Netzwerk zur Erkennung von Cyber-Attacken nutzen

Die wachsende Kreativität mit der sich Hacker durch Cyberattacken Zutritt in fremde Netze verschaffen, ist für die Security Verantwortlichen zu einer großen Herausforderung geworden.
Um Bedrohungen dennoch zeitnah zu erkennen, müssen Daten aus der gesamten IT-Umgebung konsolidiert und analysiert werden.


Trotz des Einsatzes von IDS/IPS (Intension Detection System / Intension Prevention System) und EDR (Endpoint Detention & Response)-Lösungen bleiben dennoch „blinde Flecken“. So kann zum Beispiel eine Lateral Movement Attacke, bei der sich ein Angreifer schrittweise durch ein Netzwerk bewegt, während er nach den wichtigsten Daten und Assets sucht, nur durch den Einsatz eines NDR (Network Detection & Response)-Systems aufgedeckt werden.

Eine NDR-Sicherheitslösung überwacht und analysiert den Netzwerkverkehr kontinuierlich und lernt auf diese Weise das normale Verhalten. Treten verdächtige Abweichungen vom Normalverhalten auf, alarmiert die NDR-Lösung die für die Sicherheit zuständigen Stellen. Zum Erkennen von Anomalien werden Verfahren der Künstlichen Intelligenz (KI) und des Maschinellen Lernens (ML) eingesetzt.

Das Netzwerk zur Erkennung von Cyber-Attacken nutzen
Bei einem Lateral Movement Angriff können zwischen dem Beginn einer Attacke und der Zielerreichung einige Monate vergehen. Die einzelnen Schritte des feindlichen Eindringens in die IT sind kleinteilig und werden dadurch in der Regel von IDS/IPS und EDR nicht erkannt. Eine Open NDR-Lösung verknüpft Informationen zu Datentransfers und kann aus der Kombination von Anomalien Angriffe erkennen.


Bei dem System von Corelight handelt es sich um eine Open NDR-Lösung, bei der jeder Kunde die Daten und das Format besitzt und auch die Erkennungsstrategie kontrolliert. Bei einer „geschlossenen“ Lösung hingegen liegen diese ausschließlich in der Hand des Herstellers.

Über im Netz verteilte Hardware Sensoren wird der Datenverkehr kontinuierlich analysiert. Die Angriffserkennung erfolgt auf Basis der bekannten Open-Source Analyse-Software Zeek. Optional kann für eine weiterreichende Alarmierung auch das Network Intrusion Detection System Suricata hinzu genommen werden.
Zudem ist es möglich, die gesammelten Daten an unterschiedliche Analytics-Engines beziehungsweise Reporting Plattformen, wie Elastic, Splunk oder Humio weiterzuleiten.