Die Analyse der Flow-Daten wird nach wie vor von verschiedenen Anbietern als effektive Sicherheitslösung angepriesen. Bei einem genauen Blick auf die jüngsten erfolgreichen Cyberangriffe, erscheint dieser Ansatz aber überholt. Metadatenanalyse mittels künstlicher Intelligenz ist hingegen ein völlig anderer Ansatz und erweist sich nach Meinung von Vectra Networks als besser für zeitgemäßes automatisiertes Bedrohungsmanagement. [...]
„Die Suche nach dem Verhaltenskontext in der Analyse der Flow-Daten erfordert hochqualifizierte Sicherheitsexperten, um Datenpakete und Protokolle sinnvoll zu analysieren. Dies erfolgt in der Praxis jedoch oft manuell mit veralteten Werkzeugen“, erklärt Gérard Bauer, Vice President EMEA bei Vectra Networks. „Dieser Prozess macht es schwierig, Ereignisse zu korrelieren und harmlose, ungewöhnliche Verhaltensweisen von echten Angriffen zu unterscheiden. Zudem ist diese Vorgehensweise durch hohen Personalbedarf recht kostenintensiv.“
Im Gegensatz dazu, lassen sich mit Hilfe künstlicher Intelligenz automatisch Metadaten aus erfassten Netzwerkpaketen analysieren. Dies ermöglicht es Sicherheitsteams, Angreifer schneller und effizienter in jeder Phase des Cyberangriffs aufzuspüren. Diese Phasen beinhalten versteckte Command-and-Control-Kommunikation, interne Netzwerkaufklärung, seitliche Bewegung im Netzwerk, frühe Anzeichen eines Ransomware-Angriffs, kommerzielles Botnet-Verhalten und die Exfiltration von Daten. Es ist auch wichtig, kompromittierte Hosts automatisch zu beurteilen und zu priorisieren, um zu erkennen, wer die Opfer von Bedrohungen sind und ob es sich um relevante Angriffe handelt.
„Die Analyse von Metadaten durch künstliche Intelligenz bei der Berechnung der Genauigkeit der Bedrohungswahrscheinlichkeit und des Risikos ermöglicht es die Angriffe zu erkennen, die am kritischsten sind. Die Metadatenanalyse liefert die nötigen Details, um schneller zu erkennen, zu kategorisieren und zu reagieren, indem in den Protokollen, die von größtem Interesse sind, tiefer nachgeforscht wird“, führt Bauer aus.
Wird die Analyse der Flow-Daten mit KI-basierter Metadatenanalyse verglichen, gilt es folgendes zu beachten:
- 1. Metadatenanalyse arbeitet in Echtzeit: Die Analyse der Flow-Daten ist langsam, da sie eine Sammlung von Metriken von Paketen darstellt und keine Echtzeit-Paketanalyse durchführt.
- 2. Die Analyse der Flow-Daten erfordert einen qualifizierten Sicherheitsanalysten, um sich durch Metriken der Netzwerkkonnektivität zu arbeiten und dadurch einen Angriff zu finden und anomale Vorgängen im Netzwerk zu korrelieren. Dieser manuelle Ansatz verlangsamt und verteuert den gesamten Prozess.
- 3. Metadaten sind reich an Informationen und bilden das gesamte Bedrohungsszenario ab. Die Analyse der Flow-Daten identifiziert nur allgemeine Netzwerkmetriken auf einem hohen Niveau und verzichtet oft auf Websitenamen, Benutzer und Anwendungsdaten, die benötigt werden, um finale Entscheidungen zu treffen.
- 4. Der Analyse der Flow-Daten fehlen wichtige Informationen, damit ein Sicherheitsanalyst schnell Maßnahmen ergreifen sowie Daten interpretieren und verstehen kann.
- 5. Die Notwendigkeit von Sekundärsystemen und ein Mangel an Kontext erschwert die Skalierbarkeit der Analyse der Flow-Daten. Für Sicherheitsanalysten ist sie arbeitsintensiv, während Angreifer mehr Zeit haben, das Netzwerk auszuspionieren, sich auszubreiten und Daten zu stehlen.
Be the first to comment