Prävention ist nur die halbe Miete Bedrohungserkennung mit NRD, EDR und XDR

Autor / Redakteur: Dr. David Gugelmann / Peter Schmitz

Bei Cybersecurity setzen viele Unternehmen immer noch ihren Fokus auf präventive Maßnahmen. Sind diese einmal überwunden, so können sich Cyberkriminelle meist ungehindert – und unentdeckt – im IT-Netzwerk bewegen und Daten manipulieren oder stehlen. KI-gestützte Netzwerküberwachung kann diesen Aktivitäten schnell einen Riegel vorschieben – noch bevor der eigentliche Schaden entsteht.

Firma zum Thema

Unternehmen müssen es schaffen, Bedrohungen, Attacken und Datenlecks sofort zu entdecken und Gegenmaßnahmen einzuleiten, bevor der Schaden entstehen kann.
Unternehmen müssen es schaffen, Bedrohungen, Attacken und Datenlecks sofort zu entdecken und Gegenmaßnahmen einzuleiten, bevor der Schaden entstehen kann.
(© Sergey Nivens - stock.adobe.com)

In seinem aktuellen Lagebericht warnt das Bundesamt für Sicherheit und Informationstechnik (BSI) vor der steigenden Anzahl von Ransomware-Angriffen – aber in zahlreichen Branchen zeigen sich die Entscheidungsträger noch nicht ausreichend für die Problematik sensibilisiert. Zahlreiche Vorfälle in der jüngeren Vergangenheit haben gezeigt, dass sich solche Angriffe als existenzbedrohend erweisen können – nicht nur weil Daten böswillig verschlüsselt, sondern auch kopiert und mit deren Verkauf gedroht werden kann.

Hinsichtlich Cybersecurity setzen Unternehmen noch immer vor allem auf Prävention und abschirmende Maßnahmen: Firewalls, Anti-Viren-Systeme, Verschlüsselung oder Zugriffsmanagement sollen Firmendaten, Infrastruktur und die Accounts der Mitarbeitenden vor Attacken schützen. Gelingt es Angreifern jedoch, diese Maßnahmen einmal zu überwinden, steht den Angreifern buchstäblich nichts mehr im Wege. Sie können sich dann oft unbemerkt im Innern des Netzwerkes einnisten und enorme Schäden anrichten.

Fast täglich berichten Medien von erfolgreichen Angriffen und Datendiebstählen. Die Frage ist also nicht mehr, ob ein Unternehmen angegriffen wird, sondern wann.

Mehr als 200 Tage lang unentdeckt

Laut einer Studie von IBM werden Cyberangreifer, die erfolgreich in ein Firmennetzwerk eingebrochen sind, im Durchschnitt erst nach 207 Tagen erkannt. Dies lässt sich damit erklären, dass viele Unternehmen nur eine sehr begrenzte Sicht auf die eigene IT-Landschaft haben. Oft werden zwar sehr viele Logdaten zu IT-Aktivitäten gesammelt. Diese Daten summieren sich aber oft zu Millionen bis Milliarden von Datensätzen pro Tag auf, was es schlicht unmöglich macht darin manuell die Spuren von Cyberangreifern zu finden. Das heißt, die Suche nach Cyberangreifern wird zu einer Suche nach der Nadel im Heuhaufen – und genau deshalb bleiben Angriffe oft so lange unentdeckt.

Ein Angreifer, der sich ganze Wochen oder gar Monate frei in einem Firmennetzwerk bewegt, kann verheerende Schäden anrichten: Betriebsunterbrechung, fehlerhafte Produkte, finanzielle Schäden und Reputationsverluste. Von solchen Cyberattacken betroffen sind Unternehmen aller Größenordnungen – selbst, wenn enorme Präventionsanstrengungen unternommen werden.

Schnelle Erkennung und Reaktion sind entscheidend

Der Schlüssel liegt darin, Bedrohungen, Attacken und Datenlecks sofort zu entdecken und Gegenmaßnahmen einzuleiten, bevor der Schaden entstehen kann. Dies lässt sich bewerkstelligen, indem das jeweilige Unternehmensnetzwerk kontinuierlich überwacht wird, um ungewöhnliche oder verdächtige Vorgänge sofort zu erkennen und dann Alarm zu schlagen. Denn Cyberkriminelle benötigen eine gewisse Zeit, um sich nach einem Einbruch im Netzwerk zurechtzufinden und die wirklich wertvollen Daten ausfindig zu machen – daher gilt, je schneller ein Unternehmen einen Cyberangriff erkennen kann, umso kleiner ist das Risiko, dass für das jeweilige Unternehmen ein Schaden entsteht.

KI für Cybersicherheit

Um Schlupflöcher proaktiv zu finden, sowie bereits infizierte Systeme rasch zu entdecken, sind wirksame Detektionsmechanismen nötig. Hierbei ist KI ein unverzichtbares Hilfsmittel, denn mit ihr wird es möglich, Angreifer zwischen Millionen bis Milliarden von Aktivitäten zu finden, das heißt, man kann tatsächlich die sprichwörtliche Nadel im Heuhaufen aufspüren. KI kann die bestehenden Logdaten analysieren und lernen, welche Vorgänge im Netzwerk normal sind, und so bei Abweichungen schnell Alarm schlagen. Die entsprechenden KI-Modelle werden je nach Einsatzgebiet entweder anhand von Beispieldaten im Voraus trainiert oder im jeweiligen Firmennetzwerk das reguläre Verhalten des Netzwerkes lernen. Der Name für diese Sicherheitstechnik lautet „Network Detection & Response“, kurz NDR.

Der Einsatz von KI in der Cybersecurity endet aber nicht bei der Überwachung des Netzwerks. Die Technik kann die Security-Teams auch bei der oftmals sehr zeitintensiven Untersuchung und Bekämpfung von Vorfällen unterstützen. Sie tut dies zum einen, indem ausgelöste Alarme automatisch bewertet und priorisiert werden, womit sich Fehlalarme minimieren lassen und die Security-Teams sich auf die relevanten Vorfälle konzentrieren können. Zum anderen greift NDR den Teams bei der Untersuchung und Bekämpfung von Bedrohungen unter die Arme. Indem komplexe Firmennetzwerke intuitiv visualisiert und Alarme direkt mit Kontextinformationen geliefert werden, können die Security-Teams viel zielgerichteter agieren.

Der nächste Schritt: Einheitliche Sicht über alle Security-Anwendungen

In einem Unternehmen fallen aber nicht nur Logdaten aus dem Netzwerk an, die mit der oben beschriebenen NDR-Technologie untersucht werden können, oft gibt es auch Komponenten wie Endpoint Detection & Response (EDR) oder klassische Intrusion Detection Systems (IDS), die ebenfalls fortlaufend Daten für ihren Anwendungsbereich generieren. Dazu kommen Logdaten von Präventionsmechanismen, wie Antivirus-Software oder Firewalls, sowie von Host- und Anwendungsprogrammen.

Vielen Firmen fällt es aber schwer, eine ganzheitliche Bedrohungserkennung zu schaffen. Security Incident- und Event Management- (SIEM-)Lösungen sind zwar stark im Sammeln dieser Daten, die datenquellenübergreifende Auswertung ist mit dieser Technologie aber schwierig, da die Abfragesprachen oft sehr kompliziert sind, die Systeme für Korrelationen schlecht skalieren und es an automatisierten Szenarien zur Bedrohungserkennung fehlt. Als Konsequenz müssen sich Security-Teams bedrohungsrelevante Ereignisse in tausenden von SIEM-Ereignissen zusammensuchen und manuell ein Gesamtbild für die Analyse erstellen. Dies hat einen hohen Preis: Laut einer Studie der Enterprise Strategy Group werden mehr als die Hälfte der kritischen Security Alerts gar nicht als solche wahrgenommen.

Der nächste Schritt, aufbauend auf NDR, ist die Extended Detection and Response (XDR). XDR abstrahiert, korreliert und konsolidiert Informationen aus den verschiedenen Datenquellen und erstellt so ein aufschlussreiches Gesamtbild der Bedrohungslage einer IT-Infrastruktur. Mit Machine Learning zur generellen Erkennung von Anomalien und spezialisierten Algorithmen zur Detektion typischer Angriffsmuster wird die Infrastruktur ganzheitlich überwacht. XDR ermöglicht so eine automatisierte, schnellere Erkennung von Gefahren, da Angriffe oft über mehrere Kanäle geschehen und somit in einem Gesamtbild deutlicher auftauchen. Weiter können durch die kombinierte Überprüfung verschiedener Informationsquellen Fehlalarme schneller ausgemerzt und die relevanten Bedrohungen priorisiert werden. Auch bei der Untersuchung und Verteidigung kann XDR ihre Stärken ausspielen, da sie den Security-Teams mehr Kontext zur Bedrohung liefert, deren Ausmaß über Quellen oder Systeme hinweg zusammenfasst sowie Vorschläge zur Eliminierung macht. So stärkt XDR die Cyberabwehr genau dort, wo sie bislang ihre größten Schwachstellen hatte.

Über den Autor

Dr. David Gugelmann ist Gründer und CEO von Exeon.

(ID:47298277)