Zuverlässige Intrusion Prevention auch bei verschlüsseltem Netzwerkverkehr und Zero-Day-Angriffen

gregor_erismann[1]

Die Schweizer Exeon Analytics bietet eine Lösung zur Erkennung von Eindringlingen an, die weit über die Fähigkeiten herkömmlicher Intrusion Prevention Systeme (IPS) hinausgeht. So kann ExeonTrace insbesondere auch Zero-Day-Attacken erkennen, gegen die IPS-Lösungen aufgrund ihrer Signatur-basierenden Erkennung keinen Schutz bieten können. Solche Systeme eignen sich zwar zur automatisierten Erkennung und Abwehr bekannter Angriffe, müssen jedoch für einen umfassenden Schutz durch andere Security-Lösungen ergänzt werden.

Je nach Untersuchung ist heute 80 bis 90 Prozent des globalen Netzwerkverkehrs verschlüsselt – mit weiter steigender Tendenz. Diese Verschlüsselung schützt die Vertraulichkeit und Integrität sensibler Geschäftsdaten. Auf der anderen Seite kann der signaturbasierte Erkennungsansatz von IPS und anderen Lösungen nicht auf verschlüsselte Nutzdaten angewendet werden, um Einbruchsversuche zu erkennen und zu verhindern. Um diese Einschränkung zu überwinden, müsste die Firewall den gesamten Datenverkehr entschlüsseln, was zu einer Vielzahl weiterer Sicherheitsprobleme führen kann. ExeonTrace hingegen basiert auf der Analyse von Metadaten und ist daher in der Lage, auch die verschlüsselte Netzwerkkommunikation zu untersuchen und entsprechende Angriffe zu erkennen.

NDR bietet ein Gesamtbild statt einzelner Alarme

Darüber hinaus generieren IPS-Lösungen in der Regel zwar einzelne Warnungen, korrelieren diese Alarme jedoch nicht, um ein Gesamtbild der Bedrohungslandschaft zu erstellen. Dies macht es den Sicherheitsteams schwer, eine echte Bedrohung von falschen Warnungen zu unterscheiden oder diese nach deren Gefährlichkeit zu beurteilen. Diese Einschränkung kann die Reaktionszeit erheblich beeinträchtigen und Angreifern einen Vorsprung verschaffen, um in das Unternehmen einzubrechen. Im Gegensatz zu IPS verlässt sich ExeonTrace als NDR-Lösung (Network Detection and Response) nicht auf eine signaturbasierte Entdeckung von Cyberangriffen. Stattdessen verwendet es Algorithmen für maschinelles Lernen, um die Netzwerkkommunikation nahezu in Echtzeit zu untersuchen.

Erst Korrelation liefert ein Gesamtbild

So erstellt ExeonTrace über die kontinuierliche Analyse des Rohdatenverkehrs eine Basislinie des „normalen“ Netzwerkverhaltens. Bei Abweichungen davon analysiert und korreliert die Lösung erstmal die Anomalien und generiert dann gegebenenfalls Alarme, um auf eine potenzielle Bedrohung innerhalb der Netzwerkumgebung hinzuweisen. Dieses KI-basierte Verfahren ermöglicht auch die Erkennung unbekannter Zero-Day-Angriffe, für die noch keine Signaturen existieren. Die ExeonTrace NDR-Plattform verfügt beispielsweise über ein ML-Modell, das den Domain Generation Algorithm (DGA) erkennen kann, der im SolarWinds Sunburst-Angriff von 2020 verwendet wurde. Auch neuartige Malware, für die noch keine Signatur verfügbar ist, wird über die ML Algorithmen erkannt.

„Während IPS bekannte Angriffe erkennen und Unternehmen in die Lage versetzen können, einige Netzwerkschwachstellen automatisch zu beseitigen, können NDR-Lösungen dabei helfen, ausgefeiltere und noch unbekannte Angriffe zu erkennen und darauf zu reagieren“, so Gregor Erismann, CCO von Exeon Analytics. “ Wenn das IPS versagt oder es einem Angreifer gelingt, in das Netzwerk einzudringen, ermöglicht eine NDR-Lösung eine schnelle Erkennung und eine effiziente Bearbeitung.“ Zudem können problemlos Ereignisse bestehender IPS/IDS-Lösungen in die Bewertung von Bedrohungen eingehen, um Unternehmen einen umfassenden und kontinuierlichen Schutz vor Angreifern zu bieten.