Schneller Cyberattacken erkennen mittels KI-gestützter Metadatenanalyse

business-2089534_1920Die Analyse der Flow-Daten wird nach wie vor von verschiedenen Anbietern als effektive Sicherheitslösung angepriesen. Bei einem genauen Blick auf die jüngsten erfolgreichen Cyberangriffe, erscheint dieser Ansatz aber überholt. Metadatenanalyse mittels künstlicher Intelligenz ist hingegen ein völlig anderer Ansatz und erweist sich nach Meinung von Vectra Networks als besser für zeitgemäßes automatisiertes Bedrohungsmanagement.

Zahlreiche Sicherheitsanbieter betrachten die Analyse der Flow-Daten  (Traffic-Flow-Analysis) weiterhin als einen geeigneten Ansatz, um Verhaltensanomalien innerhalb von Netzwerken zu erkennen und zu analysieren. Dabei handelt es sich jedoch nur um eine jahrzehntealte Technik in einem neuen Gewand. Ursprünglich konzipiert, um die Netzwerk-Uptime zu überwachen, wurde die Analyse der Flow-Daten umgerüstet, um nach Denial-of-Services-Angriffen zu suchen. In ihrer neuesten Form soll diese Technik dazu dienen, Anomalien zu finden, die auf Kompromittierung hindeuten sowie eine schnelle und effiziente Antwort auf Ereignisse (Incident-Response) unterstützen.

Grundsätzliche Fragen stellen sich dabei, wie und ob diese Technologie tatsächlich Probleme löst: Ist eine Lösung, welche die Analyse der Flow-Daten nutzt, wirklich effektiv und effizient beim Auffinden von Bedrohungen? Verbessert diese Technik die manuelle Analyse von Bedrohungen durch Experten, indem sie schneller und effizienter wird?

Wie ursprünglich beabsichtigt, funktioniert die Analyse der Flow-Daten gut für Statistiken zum Netzwerk-Traffic und die Suche nach Problemen hinsichtlich der „Netzwerkgesundheit“. Die Fähigkeiten zur Erkennung und Analyse von Verhaltensanomalien sind aber sehr begrenzt. Genau darauf kommt es aber an, um bereits aktive Cyberangreifer im Netzwerk zu identifizieren und zu stoppen.

Wo sich die konventionelle Methode schwertut

„Die Suche nach dem Verhaltenskontext in der Analyse der Flow-Daten erfordert hochqualifizierte Sicherheitsexperten, um Datenpakete und Protokolle sinnvoll zu analysieren. Dies erfolgt in der Praxis jedoch oft manuell mit veralteten Werkzeugen“, erklärt Gérard Bauer, Vice President EMEA bei Vectra Networks. „Dieser Prozess macht es schwierig, Ereignisse zu korrelieren und harmlose, ungewöhnliche Verhaltensweisen von echten Angriffen zu unterscheiden. Zudem ist diese Vorgehensweise durch hohen Personalbedarf recht kostenintensiv.“

Von Network-Flow-Analysis-Tools (NFA) behaupten Anbieter, dass sie sich dazu eignen, um Botnets zu erkennen, bevor diese Schaden anrichten. Aber was ist, wenn es nur ein Spam-Relay ist? Während man eine mögliche Bedrohung verhindert, verbreitet sich ein potenzieller Angriff durch verborgene Tunnel im HTTPS-Verkehr.

Das Finden von ungewöhnlichem Verhalten bedeutet nicht immer, dass ein Angreifer im Netzwerk ist. Angreifer, die gezielt vorgehen, werden schlau sein und ihr Verhalten wird schwer erkennbar sein. Das Rennen darum, Angreifer in Netzwerken auf die schnellste und effizienteste Weise zu finden, erfordert mehr als umgewidmete Monitoring-Tools, die nur ungewöhnliches Verhalten im Netzwerk finden.

Mehr Automatisierung möglich – und nötig

Im Gegensatz dazu, lassen sich mit Hilfe künstlicher Intelligenz automatisch Metadaten aus erfassten Netzwerkpaketen analysieren. Dies ermöglicht es Sicherheitsteams, Angreifer schneller und effizienter in jeder Phase des Cyberangriffs aufzuspüren. Diese Phasen beinhalten versteckte Command-and-Control-Kommunikation, interne Netzwerkaufklärung, seitliche Bewegung im Netzwerk, frühe Anzeichen eines Ransomware-Angriffs, kommerzielles Botnet-Verhalten und die Exfiltration von Daten. Es ist auch wichtig, kompromittierte Hosts automatisch zu beurteilen und zu priorisieren, um zu erkennen, wer die Opfer von Bedrohungen sind und ob es sich um relevante Angriffe handelt.

Eine solche Automatisierung ermöglicht es, die Suche nach Angriffen, deren Erkennung und Priorisierung in wenigen Minuten durch einen Junior-Security-Analysten vornehmen zu lassen. Hochqualifizierte Experten müssen sich nicht mehr mit der Analyse der Flow-Daten beschäftigen und können sich anderen Aufgaben widmen.

Metadaten überbrücken die Kluft zwischen konventionellen Tools und Rohdatenanalyse durch das schnelle Erkennen und Verstehen des Verhaltens der Angreifer. Diese Methode der Analyse ist zudem skalierbar, um mit den immensen Datenmengen in einer ständig wachsenden Infrastruktur zurechtzukommen.

Angriffe erkennen, die wirklich kritisch sind

„Die Analyse von Metadaten durch künstliche Intelligenz bei der Berechnung der Genauigkeit der Bedrohungswahrscheinlichkeit und des Risikos ermöglicht es die Angriffe zu erkennen, die am kritischsten sind. Die Metadatenanalyse liefert die nötigen  Details, um schneller zu erkennen, zu kategorisieren und zu reagieren, indem in den Protokollen, die von größtem Interesse sind, tiefer nachgeforscht wird“, führt Gérard Bauer aus.

Wird die Analyse der Flow-Daten mit KI-basierter Metadatenanalyse verglichen, gilt es folgendes zu beachten:

  1. Metadatenanalyse arbeitet in Echtzeit. Die Analyse der Flow-Daten ist langsam, da sie eine Sammlung von Metriken von Paketen darstellt und keine Echtzeit-Paketanalyse durchführt.
  2. Die Analyse der Flow-Daten erfordert einen qualifizierten Sicherheitsanalysten, um sich durch Metriken der Netzwerkkonnektivität zu arbeiten und dadurch einen Angriff zu finden und anomale Vorgängen im Netzwerk zu korrelieren. Dieser manuelle Ansatz verlangsamt und verteuert den gesamten Prozess.
  3. Metadaten sind reich an Informationen und bilden das gesamte Bedrohungsszenario ab. Die Analyse der Flow-Daten identifiziert nur allgemeine Netzwerkmetriken auf einem hohen Niveau und verzichtet oft auf Websitenamen, Benutzer und Anwendungsdaten, die benötigt werden, um finale Entscheidungen zu treffen.
  4. Der Analyse der Flow-Daten fehlen wichtige Informationen, damit ein Sicherheitsanalyst schnell Maßnahmen ergreifen sowie Daten interpretieren und verstehen kann.
  5. Die Notwendigkeit von Sekundärsystemen und ein Mangel an Kontext erschwert die Skalierbarkeit der Analyse der Flow-Daten. Für Sicherheitsanalysten ist sie arbeitsintensiv, während Angreifer mehr Zeit haben, das Netzwerk auszuspionieren, sich auszubreiten und Daten zu stehlen.

„Die heutige Bedrohungssituation erfordert einen praktikablen und automatisierten Ansatz für das Erkennen von Bedrohungen, um Cyberangreifer im Netzwerk schnell zu finden und zu stoppen. Die KI-basierte Metadatenanalyse erweist sich hier als zeitgemäße und effiziente Lösung“, fasst Gérard Bauer abschließend zusammen.

#Netzpalaver #VectraNetworks #Metadatenanalyse