Partner-Post Dossier in Kooperation mit Exeon Analytics und Ensec

NDR-Technologien: Deep Packet Inspection vs. Logdaten-Analyse

Uhr
von Gregor Erismann, Chief Commercial Officer, Exeon Analytics

NDR-Lösungen (Network Detection & Response) sind für die zuverlässige Überwachung von ­Unternehmensnetzwerken unerlässlich geworden. Da jedoch traditionelle NDR-Technologien an ihre Grenzen stossen, braucht es neue Ansätze – so beispielsweise die Analyse von Logdaten.

Rolf Scheurer, CTO, Ensec (l.), und Gregor Erismann, Chief Commercial Officer, Exeon Analytics. (Source: zVg)
Rolf Scheurer, CTO, Ensec (l.), und Gregor Erismann, Chief Commercial Officer, Exeon Analytics. (Source: zVg)

Deep Packet Inspection (DPI) ist der traditionelle Ansatz zur Überwachung von Unternehmensnetzwerken. DPI überwacht den Unternehmensverkehr, indem es alle Datenpakete untersucht, die durch bestimmte Verbindungspunkte oder Core-Switches fliessen. Um Cyberbedrohungen zu erkennen, spiegeln und analysieren die Kollektoren den Netzwerkverkehr. DPI erlaubt damit detaillierte Analysen des Datenverkehrs und wurde deshalb lange Zeit sehr geschätzt. Angesichts der zunehmenden Verschlüsselung des Netzwerkverkehrs und der wachsenden Komplexität von Unternehmensnetzwerken werden DPI-basierte Analysen allerdings zunehmend blind, um fortgeschrittene Cyberangriffe zu erkennen.

Warum reicht DPI nicht aus, um fortgeschrittene ­Cyberangriffe zu erkennen?

DPI liefert eine detaillierte Analyse der Datenpakete, die durch den überwachten Core-Switch fliessen. Da allerdings nicht der ganze Netzwerkverkehr durch Core-Switches fliesst, bietet der DPI-Ansatz keinen Einblick in das gesamte IT-/OT-Netzwerk. Da­rüber hinaus schränkt der zunehmend verschlüsselte Datenverkehr die Wirksamkeit von DPI stark ein, da die Inhalte der Datenpakete nicht analysiert werden können. Dies kann zu gravierenden Sicherheitslücken führen. Denn verschlüsselter Datenverkehr bietet auch Möglichkeiten, fortgeschrittene Cyberbedrohungen wie etwa Ransomware-Angriffe zu verstecken. Ausserdem erfordert DPI spezielle Hardwaresensoren und enorme Mengen an Rechenleistung, um die Datenpakete ausgiebig zu untersuchen. Dies führt zu einem hohen Speicherbedarf und kann den Netzwerkbetrieb in datenintensiven Netzwerken erheblich verlangsamen, was DPI zu einer unpraktikablen Lösung für Netzwerke mit grossen Datenvolumina macht.

Der neue Ansatz: Metadaten-Analyse

Die Logdaten-basierte Analyse des Netzwerkverkehrs ist eine leistungsstarke und zukunftsgerichtete Alternative, um Netzwerke zu überwachen. Durch die Verwendung von Logdaten für die Netzwerkanalyse können Sicherheitsteams die gesamte Netzwerkkommunikation überwachen, die durch physische, virtualisierte oder Cloud-Netzwerke läuft, und verfügen somit über Visibilität in das gesamte IT-/OT-Netzwerk. Dieses Analyseverfahren erfasst Protokolldaten aus mehreren Netzwerkquellen (Switches, Cloud-Protokolle, Firewalls usw.) und nutzt fortschrittliche ML-Algorithmen, um die wichtigsten Schlüsselattribute dieser Datenpakete zu untersuchen. Das Logdaten-basierte Verfahren bleibt von verschlüsseltem Datenverkehr unbeeinträchtigt, da es Bewegungsanomalien ausschliesslich anhand von Metainformationen detektiert. Zudem erfordert dieses Analyseverfahren nur ein Bruchteil der für DPI erforderlichen Rechenleistung. Ausserdem benötigt die Logdaten-basierte Methode keine Hardwaresensoren, da die bestehende Infrastruktur für die Datengenerierung genutzt wird.

Fazit

Zwar bietet DPI detaillierte Analysekapazitäten, allerdings betrifft diese Netzwerkanalyse lediglich unverschlüsselte Datenpakete, die über ausgesuchte Verbindungspunkte übertragen werden. NDR-Lösungen, die auf Logdaten basieren, können Cyberangriffe im gesamten Netzwerk erkennen, adressieren und verhindern, ohne die Limitierungen von DPI zu erfahren. Dies macht die Logdaten-Analyse zu einer robusten und zukunftssicheren Lösung zum Schutz komplexer Netzwerke mit hoher Bandbreite.

----------

NDR nutzt fortschrittliche Verfahren des maschinellen Lernens

Network Detection & Response ist wie ein Alarmsystem für Netzwerke. Sobald es einen Angriff erkennt, warnt es davor. Wo die Vorteile dieser Lösungen liegen, sagen Gregor Erismann, CCO von Exeon Analytics, und Rolf Scheurer, CTO von Ensec. Interview: Coen Kaat

Wie sicher sind moderne Unternehmensnetzwerke vor Cyberangriffen?

Gregor Erismann: Da sich jedes Unternehmensnetzwerk im Aufbau und in den verwendeten Sicherheitsmassnahmen unterscheidet, kann die Frage so generell nicht beantwortet werden. Grundsätzlich investieren Unternehmen jedoch immer mehr in ihre Cyberinfrastruktur und somit in die Sicherung ihrer Netzwerke. Dies ist auch notwendig, da Unternehmensnetzwerke immer verteilter und komplexer werden. Dennoch nimmt die Zahl der Cyberangriffe auf Unternehmen erheblich zu. Dabei suchen Hacker Lücken und Schwachstellen in Netzwerken oder bei Drittlösungen und nutzen diese gezielt aus. Da erfolgreiche Cyberangriffe nicht nur die Datensicherheit und Kontinuität des Betriebs gefährden, sondern auch schwerwiegende finanzielle oder Reputations-Konsequenzen haben können, wird das Thema Cybersicherheit immer wichtiger. Und schliesslich müssen in diesem Zusammenhang auch aktuelle, geopolitische Entwicklungen in die Betrachtung einbezogen werden, die nochmals eine zusätzliche Herausforderung für einen möglichst umfassenden Schutz von Unternehmensnetzwerken darstellen.

Wie kann Network Detection & Response (NDR) dabei helfen, Unternehmensnetzwerke zu sichern?

Erismann: NDR-Lösungen überwachen und analysieren kontinuierlich den Netzwerkverkehr, um verdächtige Datenbewegungen frühzeitig zu erkennen. Dabei kommen fortschrittliche Verfahren des maschinellen Lernens zum Einsatz. Durch die Überwachung des Datenverkehrs lernen NDR-Lösungen das normale Netzwerkverhalten, um dann auf Verhaltensanomalien automatisiert zu reagieren und Sicherheitsteams zu informieren. Somit funktioniert NDR gewissermassen wie ein Alarmsystem, das Alarm schlägt, wenn im System Indikatoren für einen Cyberangriff gefunden wurden.

Was sind die Vorteile Log-basierter NDR-Lösungen?

Erismann: Im Gegensatz zu traditionellen basieren moderne NDR-Lösungen auf der Logdaten-Analyse und können somit problemlos und ohne Verwendung von zusätzlichen Sensoren in die bestehende Cyberinfrastruktur eingebunden werden. Dabei nutzen fortschrittliche Algorithmen die vorhandene Netzwerkinfrastruktur, um Logdaten zu extrahieren und die relevantesten Schlüsselattribute zu analysieren. Dadurch wird ein Bruchteil der Rechenleistung anderer NDR-Lösung benötigt und es können auch verschlüsselte Daten untersucht werden. Die gesammelte Intelligenz wird in spezifischen Dashboards aufbereitet, um Sicherheitsteam zeitnah und verlässlich über Cyberbedrohungen im Unternehmensnetzwerk zu informieren. Somit bieten Log-basierte NDR-Lösungen eine intuitive Visualisierung aller Datenflüsse über das gesamte IT/OT-Netzwerk. Ein weiterer Vorteil ist, dass die analysierten Daten zu keinem Zeitpunkt den Netzwerk-Perimeter der Kunden verlassen – was bei traditionellen NDR-Lösungen bisher nicht der Fall war.

In welchem Zusammenhang steht die ETH Zürich mit Exeon, einem Log-basierten NDR?

Erismann: Die preisgekrönten Algorithmen von Exeon sind das Resultat von über zehn Jahren Forschung an der ETH Zürich. Die Technologie entstand aus einer Kombination aus digitaler Forensik mit Fokus auf Datensicherheit und automatisierten Big-Data-Analysen von Netzwerk-Logdaten. Nach verschiedenen Iterationen und Prototypen entstand dann die hochskalierbare NDR-Lösung von Exeon als Spin-off der ETH.

Wie werden moderne NDRs im Unternehmens­netzwerk aufgesetzt?

Rolf Scheurer: Moderne NDRs, die auf der Analyse von Logdaten basieren, können flexibel und ohne weitere Hardwaresensoren in der Unternehmensinfrastruktur platziert werden. Wichtig ist, dass die relevanten Log-Quellen wie Applikationen, Sicherheitsgateways/Firewalls, Web-Access-Lösungen und DNS-Resolver ihre Logdaten der NDR-Lösung zur Verfügung stellen, um die Datenbasis für die Logdaten-Analyse sicherzustellen. Die Analyse selbst erfolgt unmittelbar innerhalb der Kunden-Infrastruktur, ohne dass eine Herstelleranbindung vorausgesetzt wird. Dies vereinfacht die Vertragslage hinsichtlich des Informations- und Datenschutzes wesentlich.

Wie ergänzen NDR-Lösungen die bestehende Sicherheitsinfrastruktur?

Scheurer: Die technische Sicherheitsinfrastruktur besteht neben den aktiven Komponenten, die Inhalte klassifizieren und blockieren, aus einer wachsenden Anzahl an passiven Systemen, die Intelligenz über das aktuelle Lagebild liefern. Dies wurde ermöglicht durch die Entwicklung im Bereich der Datenanalyse der letzten zehn Jahre. Moderne NDR-Lösungen ergänzen die Sicherheitsinfrastruktur insofern, dass es die bestehenden Datenquellen vereinheitlicht, mit fortschrittlichen Algorithmen das Verhalten analysiert und die Sicherheitsteams bei ungewöhnlichen Mustern alarmiert.

Wie arbeiten Sicherheitsteams mit NDR-Systemen?

Scheurer: NDRs liefern Informationen zur Kommunikationssphäre der Cybersicherheit des Unternehmens. Diese Intelligenz wird mit anderen Events in der Sicherheitsabteilung, etwa bezüglich Endpunkte oder den Applikationen, verdichtet. Sobald das NDR-System eine Anomalie anzeigt, ist eine Bearbeitung des Events durch einen Analysten notwendig. Um ein einfaches Beispiel zu geben: Es wird durch die NDR-Lösung ein "Alarm" ausgelöst, dass ein System neu regelmässig eine kurze verschlüsselte Verbindung mit einem System im Internet aufbaut. Bei der Bearbeitung des KI-gestützten Events erkennt der Analyst, dass seine Fachapplikation aktualisiert wurde und nun regelmässig Telemetriedaten zum Hersteller sendet.

Bieten NDRs wirklich den erhofften Schutz für Unternehmensnetzwerke?

Scheurer: Der Schutz der Unternehmensinfrastruktur basiert auf einer Kombination aus Technologie, Prozessen und den Mitarbeitenden. Wird die NDR-Lösung in der Landschaft der IT-Security-Systeme mit den notwendigen Prozessen platziert und verbunden, verbessert sich die Visibilität in der Kommunikationssphäre der IT grundlegend. Diese Visibilität steigert die IT-Sicherheit sowie den Schutz des Unternehmensnetzwerks.

Webcode
DPF8_250612