.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
Mit NDR und Machine Learning gegen Datenexfiltration
Zürich, 22. November 2023
Viele Unternehmen sind heute nicht in der Lage, Datenexfiltration und Datendiebstahl effektiv zu verhindern, so der Schweizer Sicherheitsspezialist Exeon Analytics. Die häufigsten Ursachen für eine solche Offenlegung von vertraulichen und privaten Daten sind laut Exeon heute Cyberangriffe und menschliches Versagen. Nur eine rechtzeitige Erkennung von Sicherheitslücken und Cyberangriffen kann verhindern, dass solche Daten exfiltriert werden und dann von bösartigen Akteuren veröffentlicht oder zur Erlangung von Lösegeld verwendet werden. Die zunehmende Komplexität der Netzwerke und Anwendungsumgebungen macht es Unternehmen dabei immer schwerer, Exfiltration zuverlässig zu verhindern.
"Die Datenexfiltration markiert häufig die Schlussphase eines Cyberangriffs und stellt die letzte Chance dar, die Sicherheitslücke aufzudecken und einen erfolgreichen Angriff zu verhindern, bevor die Daten öffentlich werden oder für andere Zwecke wie etwa Spionage ausgenutzt werden", so Gregor Erismann, CCO von Exeon Analytics.
Das Hauptproblem ist, dass Eindringlinge eine Vielzahl von Sicherheitslücken ausnutzen können, um Daten zu sammeln und illegal zu übertragen, indem sie Protokolle wie DNS, HTTP(S), FTP und SMB verwenden. So beschreibt etwa das MITRE ATT&CK Framework zahlreiche Muster von Angriffen zur Datenexfiltration. Dennoch ist es eine enorme Herausforderung, bei jeder Änderung von Protokollen und Infrastrukturen auf dem neusten Stand zu bleiben, was eine umfassende Sicherheitsüberwachung noch komplexer macht. Erforderlich ist laut Exeon eine individuelle Analyse auf der Grundlage des Datenvolumens, spezifisch für Geräte oder Netze, mit angepassten Schwellenwerten zur Steigerung der Wirksamkeit.
Einfache Erkennung trotz komplexer Umgebungen
NDR-Lösungen (Network Detection and Response) können dies realisieren, da sie die praktische Überwachung der relevanten Netzwerkkommunikation ermöglichen und so als Grundlage für eine umfassende Überwachung der Datenexfiltration fungieren. Das schließt auch die interne Kommunikation ein, denn einige Angreifer übertragen Daten direkt nach extern, während andere spezielle interne Exfiltrations-Hosts verwenden.
"Die manuelle Konfiguration solcher Lösungen ist und bleibt jedoch ein schwieriges Geschäft, zumal sich Angriffsmuster und -vektoren schneller ändern, als Sicherheitsteams darauf reagieren können", so Erismann. "Maschinelles Lernen ist heute daher ein wesentliches Element effektiver NDR-Lösungen."
Die Einführung von Algorithmen des maschinellen Lernens bietet mehrere Vorteile für die Erkennung von Datenexfiltration:
Erwerb von Kenntnissen über die Kommunikationsmuster des Datenverkehrs und das Up-/Download-Verhalten von Servern und Endgeräten, was eine wichtige Grundlage für die Ermittlung von Anomalien darstellt.
Automatisierte Festlegung geeigneter Schwellenwerte für die verschiedenen Clients, Server und Netzwerke.
Erkennen von Abweichungen von gelernten Volumenmustern, wodurch verdächtige Datenübertragungen aufgedeckt werden, unabhängig davon, ob sie intern auftreten oder den Austausch zwischen internen und externen Systemen betreffen.
Verwendung von Scoring-Systemen zur Quantifizierung ungewöhnlicher Datenpunkte, Herstellung von Verbindungen mit anderen Systemen zur Bewertung der Daten und Erstellung von Meldungen für festgestellte Ungereimtheiten.
ML-basierende NDR-Lösungen wie ExeonTrace bieten einen ganzheitlichen und aufschlussreichen Ansatz zur Erkennung von ungewöhnlichem Netzwerkverhalten und plötzlichen Peaks bei der Datenübertragung. Durch maschinelles Lernen ermöglichen solche Lösungen die schnelle Erkennung von Anomalien, wenn es um die Analyse von Datenvolumen oder verdeckten Kanälen geht. Mit diesem proaktiven Ansatz können NDRs die frühesten Indikatoren für ein Eindringen identifizieren, oft lange bevor es zu einer Datenexfiltration kommt. ExeonTrace lässt sich nahtlos in vorhandene Infrastrukturen integrieren, so dass keine zusätzliche Hardware erforderlich ist.
