:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Ein schneller Einstieg in IDS-/IPS-Funktionen Echtzeitüberwachung für den Netzverkehr
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Bisherige einfache IT-Securitylösungen haben oft Schwächen und Cyber-Attacken bleiben über längere Zeit unentdeckt. Deshalb sind IDS-/IPS-Systeme für eine Überwachung des Netzwerkverkehrs sinnvoll, aber auch komplex und aufwendig in der Administration. Der Berliner IT-Dienstleister datenhain GmbH verfolgt mit dem Cognitix Threat Defender von genua einen anderen Weg, um hinter der Perimeter-Firewall für zusätzliche Sicherheit zu sorgen.
„Bisherige Sicherheitskonzepte legen den Hauptfokus darauf, Angreifer aus dem eigenen Netz fernzuhalten. Dem internen Netz wird dagegen vertraut und der Netzwerkverkehr wird nur selten überwacht und analysiert“, benennt André Hermbusch, Geschäftsführer der datenhain GmbH, eine gängige Praxis. Die datenhain GmbH berät und unterstützt seit über 10 Jahren kleine und mittelständische Unternehmen zu den Themen IT-Infrastruktur und IT-Sicherheit.
Das Problem: Immer ausgefeiltere und gut verschleierte Angriffsmethoden verwenden häufig Standardprotokolle, sind oft verschlüsselt und werden von signaturbasierten Systemen mit statischen Regeln nicht erkannt. So kann sich die Malware im internen Netz ausbreiten. Das ist besonders für kritische Infrastrukturen, entwicklungsintensive Unternehmen und andere hochsensible Bereiche ein aktuelles Thema. „Viele unserer Kunden müssen Compliance-Vorschriften mit erhöhten Security-Anforderungen erfüllen. Wir haben deshalb nach einer praktikablen und leicht integrierbaren Lösung gesucht, um auch den internen Netzwerkverkehr genau im Blick zu behalten“, so André Hermbusch.
Ein System, das den Netzverkehr in Echtzeit überwacht
Der IT-Dienstleister hatte nach einer State-of-the-Art-Lösung zur Netzwerkanalyse gesucht. Dabei werden nach den Erfahrungen von datenhain normale Netzwerksniffer den immer komplexeren Kommunikationsbeziehungen und dem stark wachsenden Netzwerkverkehr nicht mehr gerecht. Die Lösung sollte vor allem die Kommunikation der Endgeräte ins Internet, zu internen Servern und der Geräte untereinander überwachen. „Wir brauchen eine maschinelle Logik, die den Netzwerkverkehr analysiert, in Echtzeit auf Gefährdungen hinweist und automatisiert Regeln zur Abwehr von Angriffen umsetzt. Der Kunde wünscht sich oft grafisch aufbereitete Übersichten, um sofort auf interessante Stellen heranzoomen zu können“, beschreibt der Geschäftsführer seine Anforderungen. Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS) können zwar Anomalien im Netzwerkverkehr erkennen und Angriffe automatisiert verhindern, vielen Unternehmen fehlt es aber an den Ressourcen und an der Zeit, sich intensiv mit solchen Tools auseinanderzusetzen.
Der IT-Dienstleister wurde durch einen Test bei heise.de auf den Cognitix Threat Defender von genua aufmerksam. Die Software-Lösung verbindet den IDS-Ansatz mit Prevention-Funktionen. Mit Data Analytics und Threat Intelligence erkennt der Cognitix Threat Defender Angriffe in Realtime und bietet zudem eine Plattform für den Einsatz von KI-Technologien. Der Hersteller genua ist ein deutscher Spezialist für IT-Sicherheit, der für die Absicherung sensibler Schnittstellen im Industrie- und Behördenbereich bis hin zur Vernetzung hochkritischer Infrastrukturen sorgt.
„Wir haben den Cognitix Threat Defender getestet und waren überrascht, wie schnell wir eine erste Echtzeitübersicht über den Netzwerkverkehr erhalten. Nach der Basisinstallation der Software steht bereits ein Standardregelwerk zur Verfügung, das einen Überblick über das Netzwerk und die installierten Geräte gibt“, beschreibt André Hermbusch den ersten Eindruck.
Ein selbstüberwachendes sicheres Netzwerk
Als typische Anwendungen nutzt datenhain den Cognitix Threat Defender, um in normalen Büronetzen die horizontale Ausbreitung von Malware wie z. B. Verschlüsselungs-Trojanern zu erkennen. In Fabrikhallen mit technischen Geräten unterschiedlichster Hersteller wird überwacht, ob Geräte untereinander Kontakt aufnehmen, falls dies nicht dem Normalverhalten entspricht. Außerdem wird der Netzwerkverkehr in Klassen eingeteilt, um unerwünschte Protokolle zu unterbinden oder unerwünschten Verkehr z. B. zu YouTube oder Facebook zu erkennen.
Der Cognitix Threat Defender richtet ein selbstüberwachendes sicheres Netzwerk (Security Defined Networking, SDN) ein, was die Verhaltensmuster der Netzwerkgeräte erkennt und definierten Regeln zuordnet. Dabei werden bisher getrennte Funktionen wie Netzwerkanalyse, Intrusion Prevention, Asset Tracking und eine dynamische Policy-Engine in einem System zusammengeführt.
Der Cognitix Threat Defender analysiert den Netzverkehr nach IP- und MAC-Adressen, Ports, Protokollen und Anwendungen der OSI-Schichten 2 bis 7. Dabei wird der Traffic auf problematische Adressen, Domains oder Dateisignaturen überprüft, die erkannt und blockiert werden sollten. Zusätzlich wird eine Asset-Datenbank aller Geräte im Netzwerk angelegt und die Kommunikationsbeziehungen der Geräte untersucht. Den Geräten werden Verhaltensregeln zugeordnet und diese überwacht. Tauchen neue Geräte auf, werden sie sofort gemeldet. Ein Echtzeitreporting mit einem Ampelsystem liefert Meldungen über ein mögliches Gefahrenpotenzial.
Durch ein Drilldown-Reporting können in einer grafischen Darstellung des Netzverkehrs auffällige Bereiche durch anklicken näher betrachtet werden. So sind z. B. die Livedaten des gefilterten Bereichs mit einer Minute Vorlauf verfügbar, um die beteiligten Geräte und Zieladressen zu untersuchen.
Einfache Integration ins Netzwerk ohne Performance-Einbußen
„Wenn wir neu in ein Unternehmen kommen, untersuchen wir zunächst den Ist-Zustand des Netzwerks, um einen ersten Überblick über die bestehende Infrastruktur zu erhalten“, berichtet André Hermbusch. Bei diesem Vorgehen wird der Netzwerkverkehr zunächst passiv gescannt und ein Abbild des "Normalzustands" erstellt. Mit einer solchen Anfangsbestandsaufnahme des Netzwerks werden auch generelle Schwachstellen und Sicherheitslücken erkannt, die beispielsweise durch Konfigurationsfehler, Netzwerkprobleme oder veraltete Gerätesoftware verursacht werden können.
Der Geschäftsführer beschreibt die Installation der Software und die Integration in das Netzwerk im Vergleich zu anderen IDS-Systemen als unkompliziert. Die Integration kann erfolgen, auch ohne dass Änderungen an der Netzwerktopologie erforderlich sind. Aus der Anfangsbestandsaufnahme werden Regeln über das „Normalverhalten“ des Netzwerkverkehrs definiert. Eine Policy-Engine verwaltet die Regeln. Sie bestimmen, wie auf unerwünschtes Verhalten oder akute Gefährdungen reagiert werden soll. Wenn beispielsweise ein Gerät innerhalb von 1 Minute mit mehr als 10 Hosts eine Verbindung aufbaut, kann eine Regel für die Isolation des Gerätes sorgen.
Dabei ist ein lückenloses Monitoring des gesamten Netzwerkverkehrs nach den Erfahrungen von datenhain eine große Herausforderung für die Performance: „Der Cognitix Threat Defender ist eine reine Software-Lösung. Als Hardware reicht je nach Einsatzzweck ein Zigarettenschachtel-großer Mini-PC oder ein leistungsfähiger Server für die Echtzeitanalyse eines 40-Gbit/s-Netzwerk-Traffics. Die Netzwerkanalyse führt nur zu minimalen Latenzeinbußen. Der Cognitix Threat Defender erreicht annähernd Switch-Performance.“
André Hermbusch berichtet, dass bei der Erstanalyse der Kommunikationsbeziehungen regelmäßig unerwartete Details auftauchen. Als Beispiele nennt er die morgendliche Verbindung eines Fernsehers zum Hersteller nach China oder ein altes produktives System, was seit acht Jahren nicht mehr mit Sicherheitsupdates versorgt worden ist und leicht zu attackieren gewesen wäre. Ein länger nicht mehr genutzter Windows-PC wurde dagegen durch seinen ungewöhnlichen Verkehr als infiziert erkannt. Sichtbar wurde auch die im Betrieb verbotene private Nutzung von Facebook, was der Cognitix Threat Defender durch Policy-Regeln verhindern oder im Netzwerkverkehr stark verlangsamen kann.
Positives Fazit: Das Netzwerk wird sehr tiefgreifend analysiert
datenhain-Geschäftsführer André Hermbusch zieht eine positive Bilanz über die Nutzung des Cognitix Threat Defender: „Normale IDS-Systeme erkennen oft nicht, wenn Malware innerhalb des internen Netzwerks aktiv wird. Der Cognitix Threat Defender ergänzt Firewall-Lösungen und überwacht den Netzwerkverkehr auch zwischen den Clients bis zum letzten Switch. Das Netzwerk wird sehr tief und in Echtzeit analysiert. Selbst Geräte, die monatelang nicht mehr genutzt wurden, stehen weiter unter Kontrolle. Dabei ist die Einrichtung und Integration der Lösung unkompliziert. Hier liegt die Stärke des Systems.“ Positiv vermerkt André Hermbusch zudem die kurzen Releasezyklen des Herstellers, um Kundenwünsche umzusetzen. Einen großen Schritt macht der Cognitix Threat Defender Anfang 2020: Dann bietet genua die Sicherheitsplattform auf eigener Hardware an, die einfach als Appliance in Netze eingefügt werden kann.
(ID:46495346)
:quality(80)/images.vogel.de/vogelonline/bdb/1930800/1930807/original.jpg "Network Detection and Response (NDR) ermöglicht durch kontinuierliche Analyse des Netzwerkverkehrs verdächtigen Datenverkehr zu erkennen und darauf zu reagieren. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1951700/1951732/original.jpg "HTML Smuggling umgeht Sicherheitslösungen im Netzwerk. Dazu wird schädlicher HTML-Code hinter der Firewall und im Browser von Anwendern generiert. (Myst - stock.adobe.com)")