NDR: Die neue Säule der Cybersicherheit
Prävention und Schutz gelten nach wie vor als Mittel der Wahl, wenn es um die Absicherung der eigenen IT-Systeme geht. Dass dieser Ansatz jedoch nicht ausreicht, ist mittlerweile fast täglich in den Medien zu lesen. Aktuelle Fälle wie der Angriff auf Microsoft Exchange, Colonial Pipeline in den USA oder jüngst Siegfried in der Schweiz verdeutlichen die Gefahren: Betriebsunterbrechungen, Vertrauensverlust bei Kunden und Partnern, Produktmängel oder rechtliche Konsequenzen. Eine der häufigsten Vorgehensweisen von Hackern ist derzeit der so genannte Ransomware-Angriff - also die Erpressung eines Lösegeldes für die Nichtveröffentlichung oder Entschlüsselung von unlesbar gemachten Daten.
Solange ein Unternehmen als lohnendes Ziel erkannt wird, ist es auch im Visier potenzieller Angreifer - unabhängig von Größe und Branche. Diese im eigenen System aufzuspüren und zu eliminieren, ist jedoch eine Mammutaufgabe, die allein mit automatisierter, KI-gestützter Netzwerküberwachung erfolgreich und effizient durchgeführt werden kann.
Die Suche nach den "Kronjuwelen"
Die Aufrechterhaltung einer IT-Sicherheitsinfrastruktur ist für Unternehmen seit Jahrzehnten ein Muss, wobei die IT-Sicherheit den Hackern idealerweise immer einen Schritt voraus ist. Doch auch die Angreifer gehen ständig mit der Zeit und verfeinern ihre Methoden. Die Professionalisierung zeigt sich auch in den Strategien, die Hacker verfolgen: Sie verbringen oft ganze Wochen mit der geduldigen Vorbereitung, der Durchführung des Angriffs und der Suche nach den "Kronjuwelen" unter den Daten in einem Unternehmensnetzwerk - und das meist unentdeckt.
Dies geschieht häufig durch das Einschleusen von Schadsoftware. Hacker bauen damit einen Kommunikationskanal ins Innere des Systems auf und können so unbemerkt ein internes Endgerät fernsteuern. Dies kann dann dazu genutzt werden, Daten zu verschlüsseln oder zu stehlen. Cobalt Strike, eine legal erhältliche Softwarelösung, die von Unternehmen für interne Tests eingesetzt wird, wird von Hackern häufig für eigene Zwecke missbraucht.
Sind die Angreifer erst einmal in das System eingedrungen, zum Beispiel über Phishing-E-Mails, baut die Malware - versteckt im regulären Datenverkehr - einen so genannten Command & Control (C&C)-Kanal auf, über den die Angreifer dann die weitere Kontrolle übernehmen. Kundendaten, Patente oder kritische Systeme, die unter keinen Umständen ausfallen dürfen, sind dann das Ziel der Suche, die über den etablierten Kommunikationskanal gestohlen oder auch verschlüsselt werden kann - beides mit dem Ziel, das Opfer zu erpressen.
Die Suche nach der Nadel im Heuhaufen
Um dies zu vermeiden, ist es wichtig, Bedrohungen, Angriffe und Datenlecks möglichst sofort zu erkennen und Gegenmaßnahmen einzuleiten, bevor der Schaden entsteht. In Bezug auf die Sicherheit ist diese Idee jedoch nicht einfach: Unternehmensnetzwerke produzieren riesige Mengen an Informationen. Diese manuell auf verdächtige Aktivitäten zu untersuchen, gleicht der sprichwörtlichen Suche nach der Nadel im Heuhaufen: Die IT-Abteilung muss manuell analysieren, eigene Algorithmen entwickeln und das gesamte System im Auge behalten.
Allein die Erstellung einer Übersicht über alle zu schützenden Netzwerke oder Geräte ist für viele Unternehmen eine Herausforderung. Bei verdächtigen Aktivitäten ist es noch komplexer, deren Gefahrenpotenzial einzuschätzen. Die Teams müssen sich lange Zeit nehmen, um sich einen Überblick zu verschaffen, was den Angreifern oft alle Zeit gibt, die sie brauchen. Erschreckenderweise bedeutet dies, dass es im Durchschnitt mehrere Wochen dauert, bis ein solcher Cyberangriff entdeckt wird.
Mit künstlicher Intelligenz kann der Netzverkehr einfach und automatisch analysiert werden. Das System lernt die Routineabläufe im Netz und erkennt auch untypische Aktivitäten oder veränderte Verbindungsmuster. Da verschiedene Cyber-Bedrohungen jeweils spezifische Muster aufweisen, können entsprechende Algorithmen eingesetzt werden, um den Datenverkehr eigenständig zu untersuchen.
Erkennung von Anomalien
Dieser Ansatz wird als Network Detection & Response (NDR) bezeichnet. Ähnlich wie eine Alarmanlage schlägt NDR zu, sobald der Eindringling das Haus betreten hat - und nicht erst, wenn er sich bereits in Ruhe umschaut oder beispielsweise versucht, Daten zu stehlen.
Die Technologie kann den Sicherheitsteams auch in anderer Hinsicht helfen, etwa bei der Untersuchung und Reaktion auf Vorfälle, die oft viel Zeit in Anspruch nimmt. Die Korrelation, Bewertung und Priorisierung solcher Alarme erfolgt automatisch. Dies geschieht mit Hilfe von Daten aus anderen Sicherheitssystemen - wie z. B. Endpunkt-Erkennung, Geräteüberwachung, Antivirenprogramme oder Zugriffsmanagement - wobei auch Alarme mit typischen Bedrohungs- oder Angriffsmustern berücksichtigt werden. Auf diese Weise kann das System selbst Bewertungen und Priorisierungen vornehmen und die Zahl der zu untersuchenden Vorfälle auf ein Minimum beschränken.
IT-Sicherheitsteams sind somit besser in der Lage, Bedrohungen zu erkennen und ihnen zu begegnen, da sie jederzeit einen vollständigen Überblick über einen laufenden Angriff haben. Parallel dazu macht die KI Vorschläge zur Abwehr des Angriffs, wobei sie das Angriffsmuster berücksichtigt.
Network Detection & Response-Lösungen auf Basis von KI-Technologie sorgen dafür, dass auch komplexeste Netzwerke konsequent überwacht und verdächtige Vorgänge bekämpft werden können. Sie sorgen so dafür, dass die klassische Cybersecurity neben der Prävention ein weiteres Standbein bekommt: die Reaktion in Echtzeit.