Verbesserung der Netzwerksicherheit: Revolutionierung der risikobasierten Alarmierung

Exeon product mockup - RBA blog.webp

Was ist risikobasierte Alarmierung?

Risk-based alerting (RBA) ist eine Strategie, die Datenanalyse und Priorisierung nutzt, um Warnungen oder Benachrichtigungen auszugeben, wenn potenzielle Risiken bestimmte, vordefinierte Werte erreichen. Es werden der Schweregrad und die potenziellen Auswirkungen einer Warnung bewertet und beispielsweise eine Warnung, die auf eine mögliche Datenverletzung oder eine kritische System Kompromittierung hinweist, einer höheren Risikostufe zugeordnet als eine Warnung, die sich auf einen isolierten Vorfall mit geringen Auswirkungen bezieht. Sobald den erkannten Ereignissen Risikobewertungen und Verstärkungsfaktoren zugewiesen wurden, kann das System Warnmeldungen auf der Grundlage der zugehörigen Risikostufen priorisieren. Ereignissen mit höherem Risiko wird eine höhere Priorität zugewiesen und zur sofortigen Bearbeitung durch Sicherheitsanalysten oder zu automatischen Reaktionsmechanismen eskaliert.

Dieser Ansatz gilt als effizienter und effektiver als eine Generierung von Warnmeldungen für jedes mögliche Ereignis und hilft Unternehmen, Risiken gezielter zu verwalten und darauf richtig zu reagieren. Im Laufe der Zeit sollte die risikobasierte Alarmierung auf der Grundlage der Erfahrungen und Anpassungen eines Unternehmens weiterentwickelt und verbessert werden. Diese Anpassungsfähigkeit soll sicherstellen, dass die Sicherheitsstrategie angesichts der sich verändernden Bedrohungslandschaft wirksam bleibt. Und schliesslich geht es auch ums Geld: Durch die Ausrichtung auf Hochrisikobereiche und -bedrohungen können Unternehmen ihre Sicherheitsbudgets effizienter einsetzen und sicherstellen, dass die Investitionen dort getätigt werden, wo sie am dringendsten benötigt werden.

Network Detection and Response (NDR) ermöglicht es Unternehmen, mithilfe von kontinuierlichem Monitoring, "Machine Learning" und Kontextinformationen fortschrittliche Threat Scores zu erstellen, die potenziell auch auf den unternehmenseigenen Risikoannahmen aufbauend priorisiert und kategorisiert werden können, um die Identifizierung von Bedrohungen und die Reaktion darauf zu verbessern

How RBA reduces alert volumes - Exeon graph 4.webp

NDR geht die Extra-Meile: Standardmässig

NDR-Lösungen überwachen den Netzwerkverkehr, Endpunkte und andere Datenquellen kontinuierlich, um potenziell verdächtige oder bösartige Aktivitäten zu identifizieren. Sie sammeln und aggregieren Daten aus verschiedenen Quellen, wie Netzwerkgeräte, Server, Applikationen und Endpoints. Diese Daten umfassen Netzwerkprotokolle (NetFlow, IPFIX, Firewall-Protokolle) sowie andere Kommunikations-Protokolle, Events und Alerts oder Verbindungen, die von den Systemen generiert oder von internen Servern ausgelöst werden.

Die gesammelten Daten werden vom NDR normalisiert und angereichert, um sicherzustellen, dass sie in einem einheitlichen Format vorliegen und so viel Kontext wie möglich enthalten. Die Anreicherung umfasst das Hinzufügen von Meta-Daten, Asset-Details, User-Informationen und die möglichen Auswirkungen des Ereignisses, z. B. Quelle und Ziel. So wird ein noch umfassenderes Monitoring über mögliche Anomalien, kontextbezogene Informationen über den Netzwerkverkehr und das Benutzerverhalten möglich.

Die Echtzeit-Verhaltensanalyse von Netzwerkverkehr und Benutzeraktionen durch das NDR und der umfassende Kontext verbessern die Genauigkeit der Risikobewertung und ermöglichen eine schnelle Identifizierung und Reaktion, selbst auf fortgeschrittene Vorfälle, APTs (Advanced Persistent Threats).

Wie ExeonTrace, ein führender ML-basierter NDR, Metadaten analysiert, um Netzwerktransparenz, Anomalie Erkennung und Reaktion auf Vorfälle zu  ermöglichen

Wie gut funktioniert die risikobasierte Alarmierung mit NDR?

Der Mehrwert einer Network Detection and Response (NDR)-Lösung für die Risiko-basiertes Alerting ist neben den kontinuierlichen Überwachungsfunktionen die Implementierung von maschinellem Lernen: Sie erleichtert die risikobasierte Alarmierung, indem sie fortschrittliche Analysen, Kontextinformationen, Bedrohungsdaten und Verhaltensanalysen einsetzt, um potentielle Risiken im Zusammenhang mit erkannten Events in den verschiedenen Netzwerkbereichen zu bewerten. NDR-Lösungen können Ereignisse unterschiedlich gewichtet auslösen und auf der Grundlage der Risikobewertungen auf Vorfälle reagieren, indem sie z. B. schadhafte Endpoints isolieren oder bösartigen Datenverkehr blockieren.

Die Schweizer NDR Lösung ExeonTrace verfügt über eine dynamische Analyse- und maschinelle Lernfunktionen. Sie setzt verhaltensbasierte Anomalie-Erkennungstechniken ein, mit denen Bedrohungen aufgrund von Abweichungen vom normalen Netzwerk- und Benutzerverhalten identifiziert werden können.

Die Machine-Learning-Algorithmen in ExeonTrace erkennen Muster und Anomalien im Netzwerkverkehr. Die Algorithmen können mit oder ohne vorab zugewiesene Risikowerte Alarm schlagen, basierend auf Abweichungen von bestimmten Mustern. Ungewöhnliche Aktivitäten mit hohen Anomaliewerten in kritischen Netzwerkbereichen können als risikoreiche Events gekennzeichnet werden. Während SIEMs meist nur Events generieren, können NDRs sehr gut zwischen einem Event und einem Alarm unterscheiden. Ein Event ist eine - z.B. von SIEM beobachtete - Änderung des normalen Verhaltens des Systems oder einer Person, z.B. wenn Router-ACLs aktualisiert wurden, die Firewall-Policy gepusht wurde etc. Ein wichtigerer Alarm ist hingegen die Benachrichtigung, wenn ein bestimmtes Ereignis eingetreten ist, das anhand von SOC-Definitionen, Bedrohungsmustern oder ML-Algorithmen als abnormal und potenziell verdächtig definiert oder identifiziert und in einen Kontext gebracht wurde, und das dann über das NDR gesendet wird, um Maßnahmen für das Sicherheitsteam zu veranlassen, z. B. wenn eine bösartige, laufende Kommunikation zwischen Endpunkten stattfindet: Die generierten Ereignisse werden immer nach einem Threat Score bewertet, und bei Überschreitung eines bestimmten Schwellenwertes werden Alarme ausgelöst.

Um die risikobasierte Alarmierung zu verbessern, beinhaltet ExeonTrace das Konzept, des "Risk Boosting". Es arbeitet also mit diesem zusätzlichen Verstärkungsfaktor für das Netzwerk: In der Konfiguration können SOC-Analysten Netzwerke/IPs angeben, die sie höher gewichten wollen. Das verbessert die risikobasierte Alarmierung und ermöglicht die Priorisierung der Alarme auf der Grundlage ihrer potenziellen Bedrohungsstufe, während sie die einzelnen Anomalien unabhängig von ihrer Assetklasse monitoren.

Durch das Herausfiltern von Alarmen mit geringerer Priorität oder von falsch-positiven Alarmen kann die “Alarm-Ermüdung” verringert werden: Die Verwendung von "Verstärkungsfaktoren", die standardmässig auf eins eingestellt, kann durch eine Verringerung der Skala für weniger kritische Netze auf einen Wert unter 1 gesetzt, zu weniger Warnmeldungen führen. Ein Risikofaktor, der als ein Vielfaches von 1 eingestellt ist, wird zu einer höheren Anzahl von Warnmeldungen im Vergleich zur vorherigen Situation führen und sollte insbesondere für kritische Netze eingesetzt werden.

ExeonTrace - Young man in server room with laptop screen (1).webp

Bessere Sichtbarkeit und schnellere Qualifizierung für Ihr RBA: NDR vs. SIEM

Die risikobasierte Alarmierung in einem Sicherheitsinformations- und Ereignisverwaltungssystem (SIEM) ist zwar möglich, aber nicht ohne Probleme. Allein die hohe Zahl an Events kann sowohl zu falsch negativen als auch zu falsch positiven Meldungen führen, wodurch möglicherweise echte Bedrohungen übersehen oder Sicherheitsteams mit Warnmeldungen niedriger Priorität überfordert werden. Da NDR (Network Detection and Response) in erster Linie netzwerkorientiert arbeitet, eignet es sich gut für die Erkennung und Eindämmung von netzwerkbedingten Bedrohungen, während Tools, wie das sehr umfassende SIEM, möglicherweise nicht die gleiche Tiefe bei der Netzeinsicht erreichen.

Die risikobasierte Alarmierung mit einem NDR und maschinellem Lernen kann die Anzahl der falsch-positiven und irrelevanten Alarme reduzieren, so dass sich die Sicherheitsteams auf die tatsächlichen Bedrohungen konzentrieren. Das bedeutet, dass weniger Zeit mit der Untersuchung von Nicht-Problemen verschwendet, wird: Anders als bei einem SIEM wird die “Alarm-Fatigue” und die Verschwendung von Ressourcen minimiert, was eine entscheidende Komponente einer proaktiven und effektiven Cybersicherheitsstrategie mit NDR ist.

Mithilfe von maschinellem Lernen im NDR kann die Reaktion auf Hochrisikowarnungen automatisiert werden, während SIEM-Systeme oftmals erst manuelle Eingriffe für ihre Reaktionsmassnahmen erfordern. Die Algorithmen des maschinellen Lernens können historische Daten analysieren, um potenzielle zukünftige Bedrohungen vorherzusagen.

Das System kann sich an neue und sich entwickelnde Bedrohungen anpassen, indem es kontinuierlich aus den eingehenden Daten lernt und seine Fähigkeiten zur Risikobewertung für das RBA mit der Zeit verbessert.

Durch die Konzentration auf Warnmeldungen mit hohem Risiko erleichtern NDR-Systeme auch den organisierten und effizienten Incident-Response-Prozess. Die Entscheidungsfindung wird gestrafft und es wird sichergestellt, dass der Aufwand für die Reaktion, dem Risiko angemessen ist. Sogar eine automatisierte Reaktion auf Vorfälle ist möglich, wie z. B. die Isolierung gefährdeter Endpunkte oder die Blockierung von bösartigem Datenverkehr, während SIEM-Systeme möglicherweise erst manuelle Eingriffe für Reaktionsmassnahmen erfordern.

Darüber hinaus stellt sich die Frage nach der subjektiven Priorisierung von Warnmeldungen und der Bedeutung von genauen Kontextinformationen. Insider-Bedrohungen können in den Schatten gestellt werden, und Datenqualität und Altsysteme können zu blinden Flecken führen. Die Einhaltung gesetzlicher Vorschriften ist möglicherweise nicht mit der risikobasierten Alarmierung vereinbar, was sich auf Unternehmen auswirkt, die bestimmten Vorschriften unterliegen.

Einfach, aber effizient: Weniger Fehlalarme, mehr Erkennung

Zusammenfassend lässt sich sagen, dass eine risikobasierte Alarmierung zwar die Sicherheit erhöht, aber auch Probleme wie Fehlalarme, Komplexität, sich entwickelnde Bedrohungen, Ressourcenzuweisung, Insider-Bedrohungen und Datenqualität berücksichtigen muss. NDR-Lösungen sind dahingehend besser für das risikobasierte Alerting geeignet, da sie sich auf die Echtzeit-Transparenz des Netzwerks, die Verhaltensanalyse und die Reduzierung von Fehlalarmen konzentrieren. Während SIEM-Systeme ihre Stärken in der Protokollverwaltung und der historischen Analyse haben, stellt NDR eine wichtige Komponente im Hinblick auf die sich entwickelnde Bedrohungslandschaft und die Notwendigkeit einer frühzeitigen Risikobewertung dar.

Wenn Sie genauere Informationen darüber wünschen, wie dies konkret für Unternehmen und spezifische Anwendungsfälle funktioniert, laden Sie das unten stehende Whitepaper herunter oder sprechen Sie mit einem unserer Sicherheitsexperten.

Mehr Sicherheit, weniger Fehlalarme

Ein Whitepaper über Angriffserkennung und Risikobewertung

Whitepaper
Klaus Nemelka

Author:

Klaus Nemelka

Product Marketing Manager

email:

klaus.nemelka@exeon.com

Share:

Published on:

28.11.2023