Erweiterte Erkennung und Reaktion
Eine KI-verstärkte Sicherheitsebene, die traditionellen signaturbasierten Systemen hinzugefügt werden soll, um besser auf Zero-Day-Angriffe zu reagieren, indem Netzwerkmuster durch Wahrscheinlichkeitsmodelle analysiert werden.
Sicherheit durch KI-basierte Techniken
Network Detection and Response (Netzwerkerkennung und Reaktion) oder XDR sind einfach ausgedrückt KI-Modelle, die darauf trainiert wurden, bestimmte Muster innerhalb eines Netzwerks zu analysieren. Im Gegensatz zu signaturbasierten Systemen basieren sie auf Wahrscheinlichkeit.
-
- Sie gehören zu den wenigen Systemen, die auf einen Zero-Day-Angriff reagieren können
- Warnungen und Antworten funktionieren mit einer gewissen Genauigkeit. Ja-Nein-Antworten gehören der Vergangenheit an
- Sie reagieren nicht nur auf aktive Angriffe, sondern können auch bei Angriffsverhalten warnen.
- Die KI kann sich an die Besonderheiten jedes Systems anpassen und darauf spezialisiert werden. Ein generisches Modell ist üblicherweise weniger effektiv
- Sie kann sowohl die Netzwerkarchitektur als auch die Benutzerberechtigungen neu konfigurieren, um aktiv auf Bedrohungen zu reagieren.
Marktübersicht
Die heutige Network Detection and Response (XDR) hat eine lange Geschichte, die sich aus der Netzwerksicherheit und der Netzwerk-Traffic-Analyse (NTA) entwickelt hat. Die historische Definition von Netzwerksicherheit besteht darin, eine Perimeter-Firewall und Angriffserkennungssysteme zu verwenden, um den in das Netzwerk eingehenden Datenverkehr zu überwachen. Mit der Weiterentwicklung der IT- und Sicherheitstechnologie ist die Definition jetzt aber viel breiter, da moderne Angriffe komplexere Ansätze nutzen.
Raffinierte Cyberangreifer erfinden ständig neue und effektivere Methoden für ihre Angriffe. Ihr Ausweichverhalten und die unsichtbaren Fußspuren, die sie hinterlassen, ändern sich mit schwindelerregender Häufigkeit. Althergebrachte Sicherheitslösungen, die darauf ausgelegt sind, Angreifer fernzuhalten, sind gegenüber diesen sich ständig ändernden Bedrohungsverhalten blind und geben Cyberkriminellen freie Hand beim Ausspähen, Verbreiten und Stehlen.
Es gibt viele Produkte, die unter das Dach der Netzwerksicherheit fallen. Der ganzheitliche Umgang mit ihnen, um Risiken und Bedrohungen im Netzwerk zu erkennen und darauf zu reagieren, ist eine Herausforderung. Hier kommt die XDR ins Spiel. XDR als Technologiekategorie versucht zunächst NTA, IDS, UEBA und TIP zu einer einzigen übergeordneten Plattform sowohl zur Erkennung als auch für die Reaktion zu verdichten.
Zweitens geht sie weit über NTA hinaus, indem sie durch maschinelles Lernen und Autokorrelation als Gehirn hinter allen anderen Netzwerksicherheitsprodukten fungiert.
Was sind die wichtigen Punkte im Zusammenhang mit der Lösung XDR?
360-Grad-Datenerfassung
XDR konzentriert sich nicht unbedingt auf einen bestimmten Aspekt des Netzwerks, sondern extrahiert stattdessen Metadaten aus allen verfügbaren Quellen (Protokolle, IDS-Ereignisse, Netflow, Traffic-Dateien …). Dies ermöglicht der KI einen vollständigen Überblick über jeden Aspekt des Netzwerks.
Datennormalisierung
Alle gesammelten Daten müssen auf einen Standard normalisiert werden, damit die KI-Modelle sie richtig verarbeiten können. Daten können in Echtzeit mit anderen Quellen wie Bedrohungsinformationen, Geolokalisierung usw. angereichert werden.
Hohe Genauigkeit bei Warnsystemen
Die KI ist darauf trainiert, nur dann zu reagieren, wenn sie Bedrohungen mit hoher Wahrscheinlichkeit identifiziert. Auf diese Weise überlastet das System das IT-Personal nicht mit ständigen Warnungen, sondern bietet zuverlässige Warnsysteme, denen das Sicherheitsteam vertrauen kann.
Automatisierte Reaktion
Obwohl eine KI nur als Alarmsystem programmiert werden kann, reichen ihre Fähigkeiten weit darüber hinaus. Angesichts eines möglichen Angriffs können KI-Systeme das Netzwerk und die Benutzerberechtigungen neu konfigurieren, um Angriffe in Echtzeit zu isolieren und zu eliminieren.
XDR verstehen
Network Detection and Response (XDR) besteht aus einer Reihe von Cybersicherheitslösungen und -techniken, die das Netzwerk eines Unternehmens ständig überwachen, indem sie den gesamten Netzwerkverkehr für beispiellose Sichtbarkeit sammeln und Verhaltensanalysen, maschinelles Lernen, KI usw. nutzen, um Cyber-Bedrohungen und anomales Verhalten zu erkennen und mit einer Reihe von Gegenmaßnahmen auf diese Bedrohungen zu reagieren, sowohl präventiv als auch reaktiv, und sich gleichzeitig mit anderen Cybersicherheits-Tools/Lösungen zu integrieren.
Leistungsstarke XDR-Lösungen verwenden fortschrittliche Werkzeuge für maschinelles Lernen und künstliche Intelligenz, um gegnerische Taktiken, Techniken und Verfahren zu modellieren, um Verhaltensmuster von Angreifern mit hoher Präzision zu erkennen.
Sie decken sicherheitsrelevanten Kontext auf, extrahieren detailgetreue Daten und korrelieren Ereignisse über Zeit, Benutzer und Anwendungen, um die Überwachungs-, Reaktions- und Sicherheitsfunktionen in Organisationen drastisch zu verbessern. Sie streamen auch Sicherheitserkennungen und Bedrohungskorrelationen an traditionellere Sicherheitssysteme (Firewall, SIEM …) und Lösungen für umfassende Sicherheitsbewertungen.
Heute bilden immer ausgefeiltere Verhaltensanalysen, maschinelles Lernen und künstliche Intelligenz (KI) von Cloud-, virtuellen und Vor-Ort-Netzwerken das Rückgrat von XDR-Lösungen. KI-Modelle können das Vertrauens- und Risikoniveau einer Bedrohung immer genauer bestimmen und angemessene Reaktionen innerhalb der Netzwerkinfrastruktur und der Benutzerberechtigungssysteme automatisieren.
Lösung und Produkte
Der Hintergrund
Der Kern von Network Detection and Response basiert auf verschiedenen Arten von KIs, ist aber nicht darauf beschränkt. Sobald eine potenzielle Bedrohung erkannt wird, muss man auf das Netzwerk einwirken können, um eine solche Bedrohung zu isolieren oder zu eliminieren.
In dieser Phase setzt das Lösungsportfolio von bintec elmeg an. Wir sind nicht nur in der Lage, die Berechtigungen des kompromittierten Benutzers innerhalb des Netzwerks zu isolieren, sondern unsere bahnbrechenden Erkennungs- und Reaktionssysteme sind auch in der Lage, die Netzwerkarchitektur selbst zu modifizieren und aktualisierte Konfigurationen an Router zu senden, um die Kommunikations- und Ausbreitungsmechanismen von Bedrohungen vollständig zu eliminieren.
Eine Lösungsumgebung für eine umfassende Reaktion
Nicht nur KI-Modelle greifen in die XDR-Konfiguration ein. Wir bringen für jedes Problem eine Lösung.
-
- Analyzer bietet eine vollständige Datenerfassung und Normalisierung durch das System sowie eine Big-Data-Umgebung, in der unsere KI-Algorithmen ausgeführt und neu trainiert werden können. Dadurch ist es möglich, dass unsere Modelle keinen generalistischen Ansatz verfolgen, sondern personalisierte Algorithmen für jedes Szenario anbieten, was unsere Genauigkeit und Eignung für jeden Kunden erheblich erhöht.
- Durch unser hochmodernes SD-WAN können wir die Netzwerktopologie erhöhen oder darauf reagieren, um sie zu ändern. Selbst in anfälligen Systemszenarien oder veralteten signaturbasierten Sicherheitssystemen können wir durch Isolieren der kompromittierten Knoten, unabhängig davon, ob es sich um Benutzer oder Computer handelt, die Verbreitung im System im Falle eines Angriffs verhindern.
- Durch die Integration mit Active-Directory-Systemen können wir im Falle eines Angriffs auch auf die Benutzerberechtigungen einwirken, was uns bei Bedarf die Möglichkeit einer viel granulareren Reaktion innerhalb der Unternehmen unserer Kunden bietet.
- XDR kann für die Sicherheitssysteme eines Unternehmens von großem Wert sein, aber es kann nicht von sich aus handeln. Aus diesem Grund bieten wir die Integration mit be.Safe oder der Firewall der nächsten Generation, um Sicherheitsadministratoren im Falle eines vermuteten Angriffs Empfehlungen für deterministische Regeln zu geben.
Kombinierte Reaktion von Hardware und Software
Die meisten Anbieter auf dem XDR-Markt haben verschiedene Varianten von Softwarekonzepten für XDR. Es erfordert aber das Wissen und die Erfahrung eines Hardware- und Netzwerkanbieters wie bintec elmeg, um sowohl auf Software- als auch auf Hardwareebene agieren zu können.
Da wir unsere Lösungsumgebungen sowohl in der Cloud als auch vor Ort bereitstellen können, bieten wir die höchste Anpassungsfähigkeit an die Bedürfnisse unserer Kunden sowie die Möglichkeit für unsere Benutzer, entweder die Standard-KI von bintec elmeg zu verwenden oder die Netzwerk- und Deep-Learning-Modelle neu zu trainieren, um personalisiertere und genauere Erkennungs- und Alarmfunktionen zu erhalten.
Die XDR von bintec elmeg ist auf dem besten Weg, die Bedrohungserkennung und -prävention sowie die Reaktionseffektivität und Gesamtlösungseffizienz weiter zu verbessern. Indem XDR mehr Datenquellen umfasst und proaktive Erkennungsfunktionen für Bedrohungen entwickelt, um XDR oder Extended Detection and Response zu werden, und während sich das Produkt weiterentwickelt, werden wir sehen, dass diese Funktionen innerhalb des Produktportfolios von bintec elmeg Realität werden.
Use Cases
Erkennung verdächtiger Aktivitäten und verdächtigen Datenverkehrs
Nutzung von Plattformen zur Bedrohungserkennung mit KI-Techniken und Überwachung zur Generierung automatischer Reaktionen
Datenlecks
Erkennung von Zugriffsversuchen auf vertrauliche Daten oder Datenverlust durch böswillige Benutzeraktivitäten.
Erkennung verdächtiger Aktivitäten und verdächtigen Datenverkehrs
Nutzung von Plattformen zur Bedrohungserkennung mit KI-Techniken und Überwachung zur Generierung automatischer Reaktionen.
Herausforderung
Angreifer können Sicherheitsverletzungen verursachen, indem sie Geräte infizieren, um Malware über das Netzwerk zu verbreiten oder als Bots zu agieren, um die Organisation selbst oder andere Unternehmen massiv anzugreifen. Sie können auch Anmeldeinformationen stehlen oder sich unbefugten Zugriff auf das Netzwerk verschaffen, um so viele Informationen wie möglich von innen zu erhalten – diese Art von Angriffen werden als Lateral-Movement-Angriffe bezeichnet.
Lösungen
Plattformen zur Datenverkehrsvisualisierung und Protokollanalyse ermöglichen es, alles zu überwachen, was im Netzwerk vor sich geht, ohne die Geräte stärker zu belasten oder Kommunikationsverzögerungen zu verursachen. Wenn Sie Informationen über das typische Verhalten des Netzwerkes haben, können Sie Datenverkehrsmuster erzeugen, welche die Erkennung anormalen Verhaltens ermöglichen, wie z. B. mehrere IPs, die auf dasselbe Ziel zugreifen, um einen Denial-of-Service-Angriff durchzuführen, oder Versuche, auf Netzwerke zuzugreifen, die für ein bestimmtes Gerät nicht zulässig sind. Auf diese Weise können automatische Reaktionen generiert werden, die Geräte deaktivieren, bei denen der Verdacht besteht, dass sie infiziert wurden, oder den Zugriff oder die Anmeldeinformationen widerrufen, wenn sie beim Versuch entdeckt werden, auf vertrauliche Informationen zuzugreifen, obwohl sie das nicht sollten. So werden sie daran gehindert, ihr Ziel zu erreichen.
Warum bintec elmeg?
Die be.SD-WAN- und be.Safe XDR-Lösungen von bintec elmeg analysieren das gesamte Netzwerkverhalten, wenden Techniken des maschinellen Lernens und der künstlichen Intelligenz an, um verdächtiges Verhalten zu erkennen, und ergreifen automatisch die erforderlichen Korrekturmaßnahmen, um das Netzwerk zu kontrollieren.
Datenlecks
Erkennung von Zugriffsversuchen auf vertrauliche Daten oder Datenverlust durch böswillige Benutzeraktivitäten.
Herausforderung
Sensible Unternehmensinformationen sind ein begehrtes Ziel für Hacker, und es gibt eine Vielzahl von Möglichkeiten, wie sie an diese gelangen können: Sie können zum Beispiel versuchen, Geräte zu infizieren, um diese Informationen an einen Server außerhalb des Netzwerks zu senden und so verfügbar zu machen, ohne dass die Organisation entdeckt, dass ein Datenleck vorhanden ist. Es kann auch vorkommen, dass ein interner Mitarbeiter mit Zugriff auf solche Informationen beschließt, diese an eine öffentliche Speicherplattform zu senden, die nicht als verdächtig gilt, um sie beim Verlassen des Unternehmens zu verwenden oder gewinnbringend zu verkaufen.
Lösungen
Diese Art von Verhalten kann durch DLP-Regeln (Data Loss Prevention) erkannt werden. Netzwerkverkehr nach außen kann mit Sicherheitstools analysiert werden, die ausgehenden Datenverkehr oder Datenverkehr zu bestimmten spezifischen Plattformen entschlüsseln, auf denen sensible Daten gespeichert werden, und wobei vordefinierte Muster erkannt werden können (z. B. bestimmte Textzeichenfolgen, Kreditkartennummern, Kontonummern usw.). Wenn Sie diese Art von Datenverkehr erkennen, können Sie einfach eine Warnung starten, damit der böswillige Benutzer nicht weiß, dass er entdeckt wurde. So können Sie Beweise gegen ihn sammeln oder auch automatisch alle Übertragungen blockieren, die als nicht autorisiert erkannt werden. Sie können das Gerät sogar vollständig für den Zugriff auf das Netzwerk deaktivieren.
Warum bintec elmeg?
Die be.Safe-Lösungen von bintec elmeg analysieren den gesamten Datenverkehr, der das Unternehmen verlässt, um jeden Zugriff auf als bösartig eingestufte Webseiten oder Server zu erkennen, Muster zu analysieren und diese Verbindungen zu blockieren, um Datenlecks zu verhindern.
powered by Borlabs Cookie