Das Inline Threat Intelligence and Protection System erkennt auch Angriffe, die anderen Sicherheitssystemen verborgen bleiben und stoppt diese, bevor sie Schaden anrichten.

Bild: iStock, Aaltazar
2 Bewertungen

Verborgene Muster und Verhaltensweisen bei Cyberattacken erkennen Wächter für die Fertigung

07.07.2020

Auf unterschiedlichsten Wegen dringen Angreifer in Unternehmensnetzwerke ein. Doch egal, ob die Attacke über einen Konfigurationsfehler, eine Softwareschwachstelle oder per Manipulation von Mitarbeitern erfolgt – spätestens im Netzwerk muss der Eindringling Spuren hinterlassen. Eine neue Kategorie von Security Systemen sorgt für maximalen Schutz vor Cyberattacken.

Zum Schutz von IT-Netzwerken beziehungsweise der Informationstechnik in Produktionsumgebungen sind aktuell häufig Intrusion Detection and Prevention Systeme (IDS/IDP) im Einsatz. Diese arbeiten mehrheitlich signaturbasiert und können daher prinzipbedingt auch nur bekannte Angriffe erkennen und stoppen. Ähnliches gilt für Security Incident and Event Management Systeme (SIEM), die im Wesentlichen Protokolldateien mit Hilfe von Mustern nach Auffälligkeiten durchforsten und bei einem Treffer Alarm schlagen.

In die Lücke zwischen IDS und SIEM stößt daher seit kurzem eine neue Kategorie von Security Systemen, die als Inline Threat Intelligence and Protection Systeme (TIPS) bezeichnet werden. Der cognitix Threat Defender sammelt Informationen aus dem Netzwerkverkehr in Echtzeit, reichert diese mit Kontextinformationen aus unterschiedlichen Quellen an und kann so auch verborgene Muster und Verhaltensweisen erkennen.

Was leistet der Threat Defender?

Als sogenannte Inline Threat Intelligence Platform kombiniert der cognitix Threat Defender bewährte Sicherheitstechnologien wie IDS/IDP und SIEM mit einer Anomalieerkennung für Netzwerkgeräte beziehungsweise Netzwerkverkehr und aktivem „Threat Hunting“. Beim Threat Hunting kooperieren Mensch und Maschine, um proaktiv Angriffsmuster zu erkennen, bevor diese einen Schaden verursachen.

Der „Maschine“ bzw. der Software fällt dabei die Aufgabe zu, riesige Datenmengen in kürzester Zeit zu untersuchen und dem Menschen entsprechende Hinweise auf mögliche Attacken zu liefern. Der Administrator kann mit diesen Informationen dann die richtigen Schlüsse ziehen und Strategien zum Umgang mit der Bedrohung entwickeln.

Worin unterscheidet sich die TIPS-Lösung?

Der cognitix Threat Defender ist keine Firewall im herkömmlichen Sinne des Perimeterschutz. Stattdessen könnte man seine Funktionalität eher als Firewall für die Überwachung des internen Netzwerkverkehrs beschreiben. Anders als bei „klassischen“ Firewalls sind für seinen Einsatz auch keine Änderungen am Netzwerk wie zum Beispiel Zoning erforderlich. Denn der cognitix Threat Defender arbeitet auf Layer 2 des OSI Modells und verhält sich damit selbst wie ein Switch im Netzwerk. Daher kann er prinzipiell auch an jedem beliebigen Punkt ins Netzwerk integriert werden.

Wie erfolgt die Netzwerkeinbindung?

Der cognitix Threat Defender wird als physikalische Appliance aktiv oder passiv in das zu überwachende Netzwerk eingebunden. Während das System im passiven Modus lediglich Informationen und Warnungen bereitstellt, kann es im aktiven Modus auch direkt in den Netzwerkverkehr eingreifen. So ist es beispielsweise möglich, die Kommunikation von Netzwerkgeräten mit bestimmten Netzwerksegmenten automatisiert zu unterbinden, wenn die Anomalieerkennung oder Threat Analyse eine Bedrohung identifiziert hat.

Der cognitix Threat Defender ist entweder als vorkonfigurierte (Hardware-)Appliance oder als Software für die Installation auf eigener Hardware verfügbar. Unabhängig von der Netzwerkgeschwindigkeit und der Anzahl der überwachten Assets benötigen cognitix Threat Defender Appliances grundsätzlich eine SSD mit einer Kapazität von mindestens 256 GB und eine CPU mit 4 Threads (zum Beispiel 4 Cores). Für den Arbeitsspeicher sind 16 GB oder mehr zu empfehlen.

Beim Einsatz eigener Hardware ist darüber hinaus zu beachten, dass das System den Legacy-BIOS-Boot-Modus unterstützt (UEFI-Support kommt im Laufe des Jahres), da die Installation mittels eines bootfähigen USB-Sticks erfolgt. cognitix Appliances benötigen darüber hinaus mindestens drei Netzwerkkarten: eine für die Outband Managementschnittstelle und mindestens zwei für das Empfangen und Senden des Netzwerkverkehrs. Die Netzwerkkarten für die Durchleitung des Netzwerkverkehrs benötigen einen Intel Chipsatz, der vom Data Plane Development Kit (DPDK) unterstützt werden muss.

Welche Kernfunktionen gibt es?

Die Kernfunktion und Arbeitsweise des cognitix Threat Defender lässt sich grob in die beiden Bereiche „Inline- bzw. verhaltensbasierte Korrelation“ und „Netzwerksegmentierung“ unterteilen. Die verhaltensbasierte Korrelation übernimmt dabei die Aufgabe, den Datenverkehr zu analysieren und Ereignisse über mehrere Verkehrsströme hinweg in Echtzeit zu korrelieren. Dafür zeichnet die Engine zunächst Kombinationen verschiedener Attribute wie beispielsweise IP- / MAC-Adressen, URLs und Netzwerkprotokolle in einer Tabelle auf und reichert diese gespeicherten Daten dann mit zusätzlichen Informationen an, die der cognitix Threat Defender aus externen Quellen bezieht. Externe Quellen sind zum Beispiel IoA und IoC-Listen sowie Signaturen für die Paketanalyse des integrierten Intrusion Detection Systems. IoAs (Indicator of Attack) und IoCs (Indicator of Compromise) zeigen dabei an, dass ein System mit Malware infiziert sein könnte.

Mit der Netzwerksegmentierung erzeugt der Threat Defender ein virtuelles Overlay Netzwerk über dem physischen Netzwerk. Auf diese Weise lässt sich das Netzwerk mit statischen und dynamischen Netzwerkobjekten logisch segmentieren, ohne dass dabei die physische Netzwerk-Topologie geändert werden muss. Diese Vorgehensweise gibt dem Administrator eine enorme Flexibilität bei der Anwendung von Richtlinien (Policies) auf spezifischen Datenverkehr.

So lässt sich beispielsweise der Schutz zwischen den logischen Netzwerksegmenten erhöhen, indem Richtlinien gezielt auf Geräte angewendet werden, die eine bestimmte Art von Netzwerkverkehr initiieren oder empfangen. Einmal definiert, können Richtlinien auch wiederverwendet werden, etwa zur Reduktion der Bandbreite oder zur Unterbrechung bestimmter Netzwerkverbindungen. Richtlinien lassen sich also auch auf eine ganze Gruppe von Assets / Segmenten anwenden und müssen daher nicht für jedes Objekt einzeln erstellt werden.

Sinnvolle Ergänzung

Der cognitix Threat Defender ergänzt IT-Sicherheitseinrichtungen wie Firewalls und Virenscanner auf äußerst sinnvolle Weise. Durch die kontinuierliche Analyse und Auswertung des Netzwerkverkehrs erkennt er auch Angriffe, die anderen Sicherheitssystemen verborgen bleiben und stoppt diese, bevor sie Schaden anrichten.

Zusätzlich kann der cognitix Threat Defender mit Hilfe von Richtlinien den Netzwerkverkehr auch für Benutzer, Geräte und / oder Applikationen einschränken. Administratoren erhalten damit ein mächtiges Werkzeug, um beispielsweise fremde Geräte im Netzwerk zu identifizieren und zu blocken oder die Nutzung bestimmter Protokolle und Anwendungen zu unterbinden.

Bildergalerie

  • Umfassender Schutz: Integration des cognitix Threat Defender

    Bild: Genua

  • Risiken im Blick: Dashboard-Ansicht des cognitix Threat Defender

    Bild: Genua

Firmen zu diesem Artikel
Verwandte Artikel