ExtraHop Reveal(x): Automatisiertes Threat Management in Echtzeit

Angriffe auf kritische IT-Komponenten aufdecken und automatisiert überprüfen

IT-Security-Teams verfügen heute zwar über Zugriff auf wahre Massen an Daten, allerdings hat dies bisher nicht unbedingt zu einer höheren Effizienz beim Erkennen von Angriffen geführt. Die Network Traffic Analytics (NTA)-Lösung ExtraHop Reveal(x) verfolgt nicht nur das Ziel, „tote Winkel“ bei der Überwachung von IT-Systemen zu beseitigen, sondern auch den Zweck, den „Geräuschpegel“ von Alarmmeldungen durch den Einsatz von hochwertigen Verhaltensanalysen zu senken.

Darüber hinaus verringert Reveal(x) durch das automatisierte Untersuchen ungewöhnlichen Verhaltens deutlich die Zeit, die benötigt wird, um entsprechende Maßnahmen zu ergreifen – und zwar von Tagen auf Sekunden. Die Lösung setzt dabei auf neue Machine-Learning- und Traffic-Analyse-Technologien.

Maschinelles Lernen zur Verhaltensanalyse

ExtraHop Reveal(x) geht weit über regelbasiertes Erkennen und statistisches Modellieren hinaus; es führt Verhaltensanalysen mithilfe von Machine-Learning-Methoden durch.

Die fortschrittliche Machine-Learning-Methode von ExtraHop ist eine hoch sichere und skalierbare Technologie, die leistungsfähige Detektoren auf Grundlage von Dimensionsreduktion und „Anomaly Detection“ einsetzt. Damit erkennt sie neues und verdächtiges Verhalten in Echtzeit.

Im Wesentlichen helfen diese Techniken dabei, noch effektivere Machine-Learning-Modelle zu erstellen. Dabei werden die Merkmale (auch Dimensionen genannt), die in den Daten verfügbar sind, wissenschaftlich überprüft und hinsichtlich ihrer Eignung und Auswirkung auf die Ergebnisse des Modells bewertet. Die Merkmale mit den größten Auswirkungen werden dann im Modell verwendet. Die Analyseprozesse werden damit effizienter.

Die umfangreichen Metadaten, die aus dem Netz extrahiert werden, liefern mehr als 4.600 Merkmale, die für das Training der Machine-Learning-Modelle verwendet werden. Seit 2014 haben die ExtraHop-Wissenschaftler und Cybersecurity-Experten die Systeme so verfeinert, dass sie mittlerweile höchste Präzision erreichen.

Darüber hinaus können auch die Anwender selbst Feedback über von ihnen entdeckten sicherheitsrelevanten Aktivitäten melden und damit dazu beitragen, dass die Präzision kontinuierlich besser wird (Supervised Machine Learning). Die Wire Data, die von der Reveal(x)-Plattform generiert wird, bieten wiederum eine exzellente Struktur und Grundlage für eine weiterführende Analyse.

Die ExtraHop Reveal(x) Appliances senden ein relevantes und pseudonymisiertes Subset der Wire Data zum Entdecken von Verhaltensanomalien in die Cloud. Die Kombination aus Netzwerk-Appliances und cloudbasiertem Machine Learning wurde bewusst gewählt, denn sie überwindet das Problem der „Datengravität“. Die für die Machine-Learning-Funktionen erforderlichen Daten werden nämlich dort extrahiert, wo sie sich befinden (im Netzwerk), und dann in einem deutlich „schlankeren“ Format dorthin geschickt, wo sich die skalierbaren Rechenressourcen befinden (in der Cloud).

Andere cloudbasierte Analyselösungen verlangen, dass Rohdaten zum Erkennen von Anomalien in die Cloud geschickt werden. Dies begrenzt die Skalierbarkeit allerdings deutlich.

Im Gegensatz dazu ist die Reveal(x)-Architektur hoch skalierbar und kann täglich eine Reihe von Machine-Learning-Algorithmen auf mehr als ein Pentabyte an Daten anwenden. Wesentlich dafür ist, dass eine einzige ExtraHop Appliance je nach Modell permanent bis zu 100 Gbit/s an Datenverkehr analysieren kann.

Jeder Kunde verfügt über seine eigene dedizierte Cloud-Instanz, es werden also keine Daten vermischt. Darüber hinaus werden die Daten on-premises pseudonymisiert, bevor sie in die Cloud gesendet werden, und dann wieder zurückidentifiziert, wenn die Anomalien an die Appliance gesendet werden. Damit werden sensible Informationen geschützt und ein optimaler Datenschutz wird für den Kunden gewährleistet, ein wichtiger Schritt beim Einhalten globaler Datenschutzvorschriften wie der EU-DSGVO.

Ein besserer Ansatz, ein effizienterer Workflow

Reveal(x) behebt die sogenannte „Cybersecurity-Lücke“, d. h. die Zeitspanne zwischen dem Eindringen des Angreifers in das Firmennetz und dem Erkennen des Angriffs durch das angegriffene Unternehmen, indem es auf Wire Data zurückgreift, die die konzentrierten Informationen aus allen Anwendungstransaktionen enthalten. Es erkennt, klassifiziert und priorisiert automatisch alle Geräte, Clients und Anwendungen im Netzwerk und setzt maschinelles Lernen ein, um sofort zuverlässige Erkenntnisse zu liefern.

Die meisten Netzwerkangriffe neigen dazu, bekannten Mustern oder Phasen zu folgen. Diese Phasen können zu einer Angriffskette zusammengefasst werden, um den Verlauf eines Angriffs zu charakterisieren. ExtraHop Reveal(x) erkennt ungewöhnliches Netzwerkverhalten direkt in Verbindung mit den verschiedenen Phasen der Angriffskette und hebt so selbst schwer erkennbare Aktivitäten besonders hervor:

• Befehls- und Kontroll-Traffic (Command and Control) — Kommunikation zwischen einem internen kompromittierten Gerät und einem verdächtigen System außerhalb des Netzwerks zur Unterstützung eines Angriffs

• Interne Aufklärung (Internal Reconnaissance) — Angreifer sucht nach offenen Ports und aktiven Hosts, Brute-Force-Angriffen, versuchten Logins und ungewöhnlichen Zugriffsmustern

• Ausbreitung im Netz (Lateral Movement) — Bewegung des Angreifers durch das Firmennetzwerk von Gerät zu Gerät, um nach Daten und kritischen Assets zu suchen, sowie die Ausbreitung von Ransomware

• Abfluss von Daten (Exfiltration) — große Dateitransfers, ungewöhnliche Lese-/Schreibmuster und ungewöhnliche Anwendungs- und Benutzeraktivitäten von einer IT-Komponente entweder direkt oder über einen Stopover-Host

Aktuelles zum Thema ExtraHop