IT-Security-Teams verfügen heute zwar über Zugriff auf wahre Massen an Daten, allerdings hat dies bisher nicht unbedingt zu einer höheren Effizienz beim Erkennen von Angriffen geführt. Die Network Traffic Analytics (NTA)-Lösung ExtraHop Reveal(x) verfolgt nicht nur das Ziel, „tote Winkel“ bei der Überwachung von IT-Systemen zu beseitigen, sondern auch den Zweck, den „Geräuschpegel“ von Alarmmeldungen durch den Einsatz von hochwertigen Verhaltensanalysen zu senken.
Darüber hinaus verringert Reveal(x) durch das automatisierte Untersuchen ungewöhnlichen Verhaltens deutlich die Zeit, die benötigt wird, um entsprechende Maßnahmen zu ergreifen – und zwar von Tagen auf Sekunden. Die Lösung setzt dabei auf neue Machine-Learning- und Traffic-Analyse-Technologien.
ExtraHop Reveal(x) geht weit über regelbasiertes Erkennen und statistisches Modellieren hinaus; es führt Verhaltensanalysen mithilfe von Machine-Learning-Methoden durch.
Die fortschrittliche Machine-Learning-Methode von ExtraHop ist eine hoch sichere und skalierbare Technologie, die leistungsfähige Detektoren auf Grundlage von Dimensionsreduktion und „Anomaly Detection“ einsetzt. Damit erkennt sie neues und verdächtiges Verhalten in Echtzeit.
Im Wesentlichen helfen diese Techniken dabei, noch effektivere Machine-Learning-Modelle zu erstellen. Dabei werden die Merkmale (auch Dimensionen genannt), die in den Daten verfügbar sind, wissenschaftlich überprüft und hinsichtlich ihrer Eignung und Auswirkung auf die Ergebnisse des Modells bewertet. Die Merkmale mit den größten Auswirkungen werden dann im Modell verwendet. Die Analyseprozesse werden damit effizienter.
Die umfangreichen Metadaten, die aus dem Netz extrahiert werden, liefern mehr als 4.600 Merkmale, die für das Training der Machine-Learning-Modelle verwendet werden. Seit 2014 haben die ExtraHop-Wissenschaftler und Cybersecurity-Experten die Systeme so verfeinert, dass sie mittlerweile höchste Präzision erreichen.
Darüber hinaus können auch die Anwender selbst Feedback über von ihnen entdeckten sicherheitsrelevanten Aktivitäten melden und damit dazu beitragen, dass die Präzision kontinuierlich besser wird (Supervised Machine Learning). Die Wire Data, die von der Reveal(x)-Plattform generiert wird, bieten wiederum eine exzellente Struktur und Grundlage für eine weiterführende Analyse.
Die ExtraHop Reveal(x) Appliances senden ein relevantes und pseudonymisiertes Subset der Wire Data zum Entdecken von Verhaltensanomalien in die Cloud. Die Kombination aus Netzwerk-Appliances und cloudbasiertem Machine Learning wurde bewusst gewählt, denn sie überwindet das Problem der „Datengravität“. Die für die Machine-Learning-Funktionen erforderlichen Daten werden nämlich dort extrahiert, wo sie sich befinden (im Netzwerk), und dann in einem deutlich „schlankeren“ Format dorthin geschickt, wo sich die skalierbaren Rechenressourcen befinden (in der Cloud).
Andere cloudbasierte Analyselösungen verlangen, dass Rohdaten zum Erkennen von Anomalien in die Cloud geschickt werden. Dies begrenzt die Skalierbarkeit allerdings deutlich.
Im Gegensatz dazu ist die Reveal(x)-Architektur hoch skalierbar und kann täglich eine Reihe von Machine-Learning-Algorithmen auf mehr als ein Pentabyte an Daten anwenden. Wesentlich dafür ist, dass eine einzige ExtraHop Appliance je nach Modell permanent bis zu 100 Gbit/s an Datenverkehr analysieren kann.
Jeder Kunde verfügt über seine eigene dedizierte Cloud-Instanz, es werden also keine Daten vermischt. Darüber hinaus werden die Daten on-premises pseudonymisiert, bevor sie in die Cloud gesendet werden, und dann wieder zurückidentifiziert, wenn die Anomalien an die Appliance gesendet werden. Damit werden sensible Informationen geschützt und ein optimaler Datenschutz wird für den Kunden gewährleistet, ein wichtiger Schritt beim Einhalten globaler Datenschutzvorschriften wie der EU-DSGVO.
Reveal(x) behebt die sogenannte „Cybersecurity-Lücke“, d. h. die Zeitspanne zwischen dem Eindringen des Angreifers in das Firmennetz und dem Erkennen des Angriffs durch das angegriffene Unternehmen, indem es auf Wire Data zurückgreift, die die konzentrierten Informationen aus allen Anwendungstransaktionen enthalten. Es erkennt, klassifiziert und priorisiert automatisch alle Geräte, Clients und Anwendungen im Netzwerk und setzt maschinelles Lernen ein, um sofort zuverlässige Erkenntnisse zu liefern.
Die meisten Netzwerkangriffe neigen dazu, bekannten Mustern oder Phasen zu folgen. Diese Phasen können zu einer Angriffskette zusammengefasst werden, um den Verlauf eines Angriffs zu charakterisieren. ExtraHop Reveal(x) erkennt ungewöhnliches Netzwerkverhalten direkt in Verbindung mit den verschiedenen Phasen der Angriffskette und hebt so selbst schwer erkennbare Aktivitäten besonders hervor:
In der diesjährigen Ausgabe des Gartner Network Performance Management (NPM) Magic Quadrant wurde der amasol-Herstellerpartnerr ExtraHop erstmalig in den „Leader“-Quadranten aufgenommen,...
Am 26. September fand bei amasol der Workshop „Real-Time Traffic Analytics“ statt, den wir gemeinsam mit unseren Partnern Ixia und ExtraHop organisierten. Im Rahmen der Veranstaltung erhielten...
Wie wichtig die Themen IT-Sicherheit und Cyberkriminalität mittlerweile sind, beweist allein schon die Tatsache, dass sich nicht mehr nur IT-Fachmedien mit diesen Themen auseinandersetzen, sondern...
Kontaktieren Sie uns – wir beraten Sie gerne
Torsten Schwarz
amasol AG
Campus Neue Balan
Claudius-Keller-Straße 3 B
81669 München
Tel.: +49 89 1894743-28
torsten.schwarz@amasol.de