Kombiniertes Security-Monitoring
SIEM ist nicht genug
Fortsetzung des Artikels von Teil 1
Metadaten oder Deep Packet Inspection
Viele NDR-Lösungen verwenden Deep Packet Inspection (DPI) zur Analyse und liefern daher sehr umfassende Informationen über den Inhalt der einzelnen Pakete. Allerdings sind solche Systeme wegen der aufwändigen Analyse oft nicht sehr performant. Zudem können sie nur unverschlüsselten Verkehr inspizieren, obwohl verschlüsselter Traffic in vielen Umgebungen bereits eine große Mehrheit ausmacht. Verarbeitet eine NDR-Lösung jedoch leichtgewichtige Logdaten aus den Paket-Headern und System-Log-Informationen, um Datenflüsse zu analysieren und zu visualisieren, kann sie auch verschlüsselten Datenverkehr analysieren. Auf diese Weise können Sicherheitsverantwortliche sonst vorhandene tote Winkel eliminieren, ohne in zusätzliche Hardware für die aufwändige Entschlüsselung und erneute Verschlüsselung zwischen den Endpunkten investieren zu müssen.
Durch die exakte Analyse des gesamten Datenverkehrs im Netzwerk können Metadaten-basierte NDR-Lösungen vollständige Netzwerktransparenz schaffen, da sie auch verschlüsselten und IoT-Verkehr integrieren können. Entsprechende Visualisierungs-Tools ermöglichen Sicherheitsanalysten dann die intuitive und schnelle Erfassung der Datenströme und die optische Erkennung von Anomalien und Sicherheitsvorfällen. Sie bieten somit einen besseren Überblick über das gesamte Unternehmensnetzwerk und alle potenziellen Bedrohungen darin. Zudem ist die netzwerkbasierte Datenerfassung deutlich fälschungssicherer als agentenbasierte Daten, was die Einhaltung von Compliance-Vorschriften erleichtert. Dies gilt insbesondere für die von den Aufsichtsbehörden geforderte digitale Forensik. Ein großer Vorteil im Betrieb ist darüber hinaus, dass Metadaten-basierte NDR-Lösungen komplett ohne zusätzliche Hardware funktionieren und als Software-Appliance einzig auf die bereits vorhandene Infrastruktur zurückgreifen.
Um Sicherheitsteams mit Informationen über den gesamten Netzwerkverkehr zu versorgen, erfasst die Metadaten-Analyse eine Vielzahl von Attributen über die Netzwerk-Kommunikation, Anwendungen und Akteure. So lassen sich beispielsweise die Quell-/Ziel-IP-Adressen, die Sitzungsdauer, die verwendeten Protokolle (TCP, UDP) und die Art der verwendeten Dienste aufzeichnen. Zudem ist es möglich, durch die Analyse von Logdaten viele weitere wichtige Attribute zu erfassen, die wirksam zur Erkennung und Verhinderung fortgeschrittener Cyberangriffe beitragen. Dazu zählen beispielsweise DNS- und DHCP-Informationen, die Zuordnung von Benutzern zu Systemen anhand von DC-Protokolldaten oder verschiedene Objekt-Hashes von JavaScripts und Bildern.
Fazit: SIEM und NDR
Ergänzt man seine SIEM-Lösung durch ein modernes NDR, gewinnt man ein umfassendes, schlankes und einfach bedienbares Frühwarnsystem für den gesamte Netzwerkverkehr. SIEM dient vor allem der Sammlung von Protokolldaten, während NDR Netzwerkflüsse automatisiert überwacht, visualisiert und über spezifische Dashboards und Drilldowns detaillierte Analysen ermöglicht. Durch die Kombination dieser beiden Systeme können Unternehmen von zuverlässigeren und umsetzbaren Warnmeldungen profitieren. Dies kann zur Beschleunigung der Erkennung und der Reaktion auf Bedrohungen führen.
Gregor Erismann ist CCO von Exeon Analytics.
- SIEM ist nicht genug
- Metadaten oder Deep Packet Inspection
Lesen Sie mehr zum Thema
