Netzwerk-Erkennung und -Reaktion: Die nächste Grenze im Kampf gegen das menschliche Problem

Cyber Security News

Justin Jett, Director of Audit and Compliance bei Plixer, erörtert den Wandel bei der Analyse des Netzwerkverkehrs und was dies für die Cybersicherheit bedeutet.

Letztes Jahr veröffentlichte Gartner einen Marktleitfaden zu Network Detection and Response (NDR). Früher unter dem Namen Network-Traffic-Analytics bekannt, über den ich bereits in der Vergangenheit ausführlich gesprochen habe, hat sich NDR dahingehend verändert, dass es nicht nur eine wichtige Rolle bei der Unterstützung von Netzwerk- und Sicherheitsteams bei der Identifizierung von Bedrohungen spielt, sondern diese Teams auch in die Lage versetzt, auf diese Bedrohungen zu reagieren. Diese Namensänderung bedeutet, dass Netzwerkdaten bei der Abwehr von Bedrohungen immer wichtiger werden und eine Schlüsselkomponente für eine mehrschichtige Sicherheitsposition darstellen.

Was bedeutet NDR vor diesem Hintergrund für die Zukunft der Cybersicherheit, während wir uns auf den Rest des Jahres 2021 vorbereiten?

Cyber-Kriminelle hacken immer noch Menschen

Während sich die Technologie weiterentwickelt und Netzwerk- und Sicherheitsexperten immer ausgefeiltere Techniken entwickeln, um Angriffe zu stoppen, bleibt eine Sache wahr: Der Mensch ist immer noch ein großes Problem in der Gleichung. Um ehrlich zu sein, ist der Mensch immer noch das größte Problem (lesen Sie diesen Artikel in der Nähe, wie Sie mit einigen dieser Probleme umgehen können, wenn Sie weniger Ressourcen haben).

Ein kürzlich veröffentlichter Beitrag von Fortinet zeigt, dass Social Engineering und Phishing immer noch einen großen Anteil an den Angriffen haben. Insbesondere rechtzeitige Angriffe sind oft äußerst effektiv, um die Schwachstellen von Personen aufzudecken und Cyberkriminellen zu ermöglichen, Menschen auszunutzen.

Dies ist so sehr der Fall, dass die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) vor dem Valentinstag einen “Verify Your Valentine”-Hinweis veröffentlicht hat, um die Zahl der Menschen zu reduzieren, die Opfer von Cyberkriminellen werden. Ein weiterer Artikel von Nevada IT Solutions hebt hervor, dass menschliche Fahrlässigkeit ein wichtiger Faktor für Cyberbedrohungen ist.

Auch abgesehen von den komplizierten Valentinsbetrügereien haben mit der steigenden Anzahl von Menschen, die von zu Hause aus arbeiten (und die zum größten Teil auf einem Allzeithoch bleiben), auch die Schwachstellen zugenommen, da die Unternehmen ihre Standards anpassen mussten, um an das Unternehmen angeschlossene Remote-/Heimnetzwerke einzubeziehen. Die ganze Zeit über haben Cyberkriminelle ihre Angriffe kontinuierlich ausgebaut, während die Welt um COVID-19 herum verwaltet wurde.

Einige große Änderungen für Unternehmen

Glücklicherweise scheint es Licht am Ende des Tunnels zu geben, wenn es um diese Art von Angriffen geht. Da die Analyse des Netzwerkverkehrs – vor allem dank Verbesserungen im Bereich des maschinellen Lernens – in den NDR Einzug gehalten hat, planen Unternehmen laut einem kürzlich erschienenen Artikel in Forbes große Veränderungen im Bereich der Cybersicherheit.

Konkret planen 96 Prozent der Führungskräfte von Unternehmen, ihre Cybersicherheitsstrategien anzupassen, und 55 Prozent geben eine Erhöhung der Cybersicherheitsbudgets an. Das Wichtigste dabei ist, dass die neuen Strategien mehr und mehr auf “automatisierte, adaptive Cybersicherheit” setzen werden.

Genau darauf ist der NDR aufgebaut: Man nimmt Metadaten des Netzwerkverkehrs und nutzt maschinelles Lernen und/oder künstliche Intelligenz, um Bedrohungen schnell zu identifizieren und die Reaktion zu automatisieren. Das sind großartige Neuigkeiten, denn das menschliche Problem ist nicht nur das Problem dafür, wie Cyberangriffe in ein Netzwerk gelangen, sondern das menschliche Problem ist auch dafür verantwortlich, wie Cyberangriffe übersehen werden, sobald sie im Netzwerk sind.

Lösen für Menschen: Post-Attack

Mit der zunehmenden Anzahl von Fehlalarmen in einer bestimmten Cybersicherheitsplattform steigt auch die Wahrscheinlichkeit, dass eine Person, die sich diese Warnungen ansieht, eine echte Bedrohung ignoriert oder übersieht. Dies ist ein einfaches mathematisches Problem, da Menschen nur so viele Daten aufnehmen können, bevor sie überlastet sind und das Rauschen die Oberhand gewinnt.

Um dieses Problem zu lösen, benötigen Netzwerk- und Sicherheitsteams ein System, das sie mit möglichst wenigen Warnungen versorgt und das einen Kontext liefert, der hilft, die Art und den Schweregrad der Bedrohung zu verstehen. In einem kürzlich erschienenen CSO-Artikel heißt es unter anderem, dass es problematisch ist, wenn “eine Metrik keinen Kontext liefert, ob sie gut oder schlecht ist, oder Sie und Ihr Team im Unklaren darüber lässt, wie sie die Bedeutung ableiten und darauf reagieren sollen.”

Dies ist insbesondere ein Problem für Log-Aggregationssysteme, wie sie von Sicherheitsinformations- und Ereignisverwaltungssystemen (SIEM) bereitgestellt werden, da Log-Daten zwar äußerst sachliche Informationen liefern, aber keinen Einblick in ihre Bedeutung. Normalerweise muss man viel weiter in anderen Systemen graben, um eine Antwort zu finden. Dies verschlimmert das Problem, denn in der kurzen Zeit, die IT-Teams an einem Tag zur Verfügung steht, kann das tiefe Graben in mehrere Systeme, um ein Problem zu finden, das Team zusätzlich blind machen.

Stattdessen sollten Netzwerk- und Sicherheitsteams zusammenkommen, um wertvolle Netzwerkdaten in einem System zu teilen, das nicht nur eine niedrige Anzahl von False Positives liefert (die meisten Anbieter werden sagen, dass sie das können), sondern das auch verwertbare und kontextbezogene Einblicke in Angriffe ermöglicht. Ein zusätzlicher Bonus sind aktivierte automatisierte Reaktionen, aber es kann einige Zeit dauern, bis Sicherheits- und Netzwerkexperten bereit sind, maschinell lernende Algorithmen bestimmen zu lassen, wann Netzwerkänderungen vorgenommen oder Geräte im Netzwerk unter Quarantäne gestellt werden müssen.

Bis dahin werden NDR-Systeme weiterhin eine Plattform bieten, um die menschlichen Herausforderungen zu reduzieren, die darin bestehen, Schaden im Netzwerk anzurichten und das Problem nicht schnell genug zu erkennen, sobald die Bedrohungen auftreten. Das Jahr 2021 wird das Jahr der NDR, und das könnte das menschliche Problem weniger problematisch machen.

Justin Jett ist Director of Audit and Compliance bei Plixer.

Weitere Erkenntnisse der InfoSec Insider-Community von Threatpost finden Sie auf unserer Microsite.

Einige Teile dieses Artikels stammen aus:
threatpost.com