Der Hersteller von Netzwerk-Monitoring-Lösungen, Sycope, hat sich nicht nur auf die Netzwerk-überwachung spezialisiert, sondern auf Basis der Echtzeit-Flussanalyse lassen sich auch Sicherheits-bedrohungen identifizieren und vermeiden. Netzpalaver sprach mit Tomasz Bartel, Sales Director bei Sycope, darüber, warum die Analyse von Sicherheitsproblemen auf Protokollebene effektiver ist, welche weiteren Mechanismen und Methoden Sycope dazu implementiert hat und wie sich Sycope in vorhandene Netzwerkinfrastruktur und Sicherheitsframeworks integriert.
Netzpalaver: Wie verbessert die neue Deduplizierung von Sycope die Effektivität der Netzwerküberwachung und -sicherheit?
Tomasz Bartel: Datendeduplizierung ist eine Technik, die Unternehmen hilft, Speicherplatz zu sparen und die Effizienz ihrer Datenanalyse zu verbessern, indem sie doppelte Datenkopien identifiziert und entfernt. Der Einsatz von Datendeduplizierung auf Netflow-Daten kann dringend benötigten Speicherplatz reduzieren und den Datenanalyseprozess beschleunigen. In Sycope wird der Deduplizierungsmechanismus verwendet, um doppelte Datenflüsse aus mehreren Quellen zu entfernen, was eine genauere Darstellung des Verkehrsvolumens und der Verkehrswege auf der Grundlage von Netflow-Daten ermöglicht. Dies hilft Unternehmen, ihre Netzwerknutzung und -leistung für fundierte Entscheidungen zur Optimierung zu treffen.
Netzpalaver: Könnten Sie die Fähigkeiten und Vorteile der Sycope-Cyber-Threat-Intelligence (Sycope-CTI) -Systeme bei der Identifizierung und Entschärfung von Cyber-Bedrohungen erklären?
Tomasz Bartel: Das Sycope-CTI-System kann in das Sycope-Netflow-Monitoring-System integriert werden, um Cyber-Bedrohungen zu identifizieren und liefert gleichzeitig Echtzeit-Informationen über aufkommende Bedrohungen und Schwachstellen. Die CTI- Integration ermöglicht es Administratoren ihren Netzwerkverkehr auf potenzielle Sicherheitsrisiken zu überwachen und verdächtige Aktivitäten mit einer schnellen Reaktion auf potenzielle Bedrohungen zu beheben.
Netzpalaver: Können Sie das Konzept der dynamischen Baselines und Trends in der Sycope-Lösung näher erläutern? Wie trägt es zu einer effektiven Netflow-Überwachung bei?
Tomasz Bartel: Die dynamische Basisline und die Trendfunktion von Sycope sind leistungsstarke Tools für die Netflow-Überwachung, die es ermöglichen, Daten über einen bestimmten Zeitraum zu analysieren, Muster und Trends zu erkennen, wie verändern sich Daten und es bietet Vorhersagen über zukünftiges Verhalten an. Dies kann besonders nützlich sein, um Verschiebungen oder Änderungen in den Netzwerkverkehrsmustern zu erkennen, um ein umfassenderes Verständnis der Netzwerkleistung zu erhalten. Sycope unterstützt den IT-Betrieb, die Sicherheit oder die Überwachung der Netzwerkleistung. Die dynamische Baseline und Trends ermöglichen fundierte Entscheidungen auf der Grundlage der gesammelten Daten.
Netzpalaver: Was unterscheidet die Benutzerskripte von Sycope und wie verbessern sie die Fähigkeiten der Lösung als Network-Detection-and-Response-System (NDR-System)?
Tomasz Bartel: Verfügbare NPM-Lösungen besitzen normalerweise keine Benutzerskripte, die jedoch die Fähigkeiten eines NDR-Systems auf verschiedene Weisen verbessern:
Anpassungsfähigkeit: Benutzerskripte ermöglichen es, das Sycope-System nach ihren spezifischen Anforderungen anzupassen und zu erweitern. Diese Flexibilität kann dabei helfen, die Lösung an unterschiedliche Netzwerkumgebungen, individuelle Anforderungen oder aufkommende Bedrohungen anzupassen.
Automatisierung: Benutzerskripte können repetitive Aufgaben oder komplexe Workflows im NPM-System automatisieren. Dadurch können automatisierte Aktionen und Reaktionen auf bestimmte Netzwerkereignisse, Warnungen oder Anomalien definiert werden, der manuelle Aufwand wird reduziert und die Reaktionszeit verbessert.
Integration: Die Integration mit anderen Systemen, Tools oder APIs wird durch Benutzerskripts erleichtert und ermöglicht es einer NDR-Lösung, Daten auszutauschen, Informationen zu korrelieren oder Aktionen mit externen Systemen wie SIEM (Security-Information and Event-Management) -Lösungen, Threat-Intelligence-Plattformen oder Ticketingsystemen auszulösen.
Erweiterte Analyse: Benutzerskripte können erweiterte Analysetechniken in das NDR-System integrieren, wie zum Beispiel maschinelles Lernen (ML), Anomalie-Erkennung oder Verhaltensanalyse und somit die Fähigkeiten der Lösung verbessern. Anspruchsvolle Bedrohungen oder verdächtige Aktivitäten werden besser identifiziert, die signaturbasierten Erkennungsmethoden möglicherweise entgehen.
Community-Beiträge: Die Zusammenarbeit innerhalb von Benutzer-Communities wird durch Benutzerskripte gefördert. Durch das Teilen von Skripten, Techniken oder Erkennungsmethoden profitiert die Community und trägt dazu bei, die Wirksamkeit und Abdeckung des NDR-Systems kontinuierlich zu verbessern.
Netzpalaver: Wie integriert sich die Netzwerküberwachungs- und Sicherheitslösung von Sycope mit vorhandener Netzwerkinfrastruktur und Sicherheitsframeworks?
Tomasz Bartel: Sycope bietet eine Ergänzung und eine weitere Informationsquelle über Sicherheitsvorfälle im Netzwerk an. Unsere API ermöglicht es, das Sycope-System in Unternehmenslösungen (z.B. das Servicedesk-System) zu integrieren und zusätzliche oder benutzerdefinierte Dashboards zu erstellen. Sycope kann sich mit jeder Netzwerkinfrastruktur integrieren. Gleichzeitig basiert unser Sicherheitsmodul auf dem MITRE-ATT&CK-Framework, um Sicherheitsteams dabei zu helfen, erkannte Ereignisse leicht zu verstehen.
#Sycope