Schwerpunkte

KI-gestützte Netzwerküberwachung

Angriffe entdecken, bevor Schaden entsteht

11. Juni 2021, 07:30 Uhr   |  Autor: Dr. David Gugelmann / Redaktion: Diana Künstler | Kommentar(e)


Fortsetzung des Artikels von Teil 1 .

Sicherheit ebenso wichtig wie Performance

Die Überwachung von Netzwerken ist im Grunde eine Selbstverständlichkeit und bereits seit langem Standard. Doch stand hier primär die Performance des Systems im Vordergrund. Sicherheitstechnisch gestaltet sich die Idee schwieriger: Firmen-Netzwerke produzieren Unmengen an Logdaten, oft Millionen oder gar Milliarden von Datenpunkten täglich. Diese manuell auf verdächtige Aktivitäten hin zu untersuchen ist extrem aufwändig, größere Firmen beschäftigen ganze Teams dazu. Analysen müssen von Hand angefertigt und entsprechende Algorithmen geschrieben werden, um das System im Blick zu behalten .

All dies ist, wenig überraschend, nicht effektiv. Schon nur die Erstellung einer Netzwerkübersicht oder eines Inventars der zu schützenden Netzwerke oder Geräte ist für viele Unternehmen eine große Herausforderung. Wenn dann eine verdächtige Aktivität auffällt, ist die Analyse und Bewertung von entdeckten Gefahren mühsam. Zudem haben Security-Teams beinahe ständig mit Fehlalarmen zu kämpfen. Die wirklich gefährlichen Vorfälle können also leicht im Datenwust untergehen. Die eigentliche Bekämpfung von Gefahren ist darüber hinaus auch deshalb sehr aufwändig, da sich die Teams aus einzelnen Informationen zuerst ein Gesamtbild des Angriffs (beziehungsweise dessen Ausmaß) machen müssen.

Network Detection & Response

Der Einsatz Künstlicher Intelligenz (KI) in der Netzwerküberwachung löst dieses Problem. Sie kann den Netzwerkverkehr eigenständig und kontinuierlich analysieren und lernt einerseits, welche Vorgänge im Netzwerk normal sind und erkennt andererseits dadurch atypische Verhalten oder sich ändernde Verbindungsmuster. Da diverse Cyberbedrohungen dazu jeweils spezifische Muster aufweisen, können entsprechend entwickelte (bedrohungsspezifische) KI-Algorithmen eingesetzt werden, um die Netzwerkdaten automatisch auf diese Bedrohungsmuster hin zu analysieren.

Der Name für dieses neue KI-Sicherheitskonzept lautet Network Detection & Response (NDR). NDR eröffnet ein neues Feld in der Cyber Security und funktioniert dabei wie eine Alarmanlage, die anschlägt, sobald der Einbrecher ins Haus gelangt ist – und nicht erst nach im Schnitt über einem halben Jahr, wenn sich der Datendieb längst eingerichtet und bedient hat. Im Beispiel von Cobalt Strike hätte eine NDR-Lösung beispielsweise die Attacke kurz nach der Infiltration beim Versuch der Etablierung eines Command-&Control-Kanals entdecken können. Spätestens während der internen Ausbreitung hätte sie dann die Attacke als solche erkannt – nach nur wenigen Stunden oder einem Tag, anstelle von Wochen oder gar Monaten.

Der Einsatz von KI in der Cyber Security endet aber nicht bei der reinen Überwachung eines Netzwerks. Die Technik kann die Security-Teams auch bei der oftmals sehr zeitintensiven Untersuchung und Bekämpfung von Vorfällen unterstützen. Zum einen wird nicht für jede Anomalie ein Alarm ausgelöst, denn ungewöhnliche Aktivitäten finden sich im IT-Netzwerk zuhauf – etwa in Form eines automatischen Software-Updates, das scheinbar aus dem Nichts beginnt. Gute NDR-Lösungen können diese leicht ausschließen, da sie gleichzeitig an verschiedenen Orten im System präsent sind und über solche Vorgänge Bescheid wissen.

Zudem werden ausgelöste Alarme automatisch korreliert, bewertet und priorisiert, damit Security-Teams selbst bei vielen Alarmen den Blick auf das Wesentliche nicht verlieren. Dabei werden die Alarme nicht nur mit anderen Netzwerkdaten angereichert, sie können zudem auch mit Daten von anderen Sicherheitssystemen (zum Beispiel Endpoint Detection beziehungsweise Geräteüberwachung, Antivirus-Programme, Zugriffsmanagement) abgeglichen und angereichert werden. Auch können Alarme mit typischen Bedrohungs- oder Angriffsmustern (und deren Gefahrenstufe) abgeglichen werden. So lassen sich Bedrohungen mit KI automatisch bewerten und priorisieren – und Fehlalarme minimieren, damit sich die Security-Teams auf die relevanten Vorfälle konzentrieren können.

Schließlich greift die KI den Security-Teams auch dann unter die Arme, wenn sie die identifizierten Bedrohungen effizient untersuchen und bekämpfen wollen. Komplexe Firmennetzwerke lassen sich damit ebenso wie die verdächtigen Vorkommnisse verständlich darstellen und die Teams bei der Bekämpfung spezifischer Muster unterstützen. Ein Angriff wird ganzheitlich dargestellt, so dass die Teams schnell einen Überblick über den Angriff und dessen Ausmaß beziehungsweise dessen Angriffspunkte, sowie die kompromittierten Server und Geräte. KI kann dazu auch Vorschläge machen, wie die Teams idealerweise vorgehen (nach Angriffsmuster, analysierter Lage, Best Practices, oder Ähnliches). Dank KI können selbst komplexeste Netzwerke übersichtlich dargestellt und überwacht werden. Verdächtige Aktivitäten werden nicht nur schnell erkannt, dies ermöglicht auch deren effiziente Bekämpfung. So ergänzt KI-getriebene NDR die traditionellen, auf Prävention ausgerichteten Cybersecurity-Massnahmen mit einem kontinuierlichen Schutz in Echtzeit.

Dr. David Gugelmann, CEO und Gründer von Exeon Analytics

Seite 2 von 2

1. Angriffe entdecken, bevor Schaden entsteht
2. Sicherheit ebenso wichtig wie Performance

Auf Facebook teilen Auf Twitter teilen Auf Linkedin teilen Via Mail teilen

Das könnte Sie auch interessieren

Verwandte Artikel

funkschau