:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Ein schneller Einstieg in IDS-/IPS-Funktionen Echtzeitüberwachung für den Netzverkehr
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Bisherige einfache IT-Securitylösungen haben oft Schwächen und Cyber-Attacken bleiben über längere Zeit unentdeckt. Deshalb sind IDS-/IPS-Systeme für eine Überwachung des Netzwerkverkehrs sinnvoll, aber auch komplex und aufwendig in der Administration. Der Berliner IT-Dienstleister datenhain GmbH verfolgt mit dem Cognitix Threat Defender von genua einen anderen Weg, um hinter der Perimeter-Firewall für zusätzliche Sicherheit zu sorgen.
„Bisherige Sicherheitskonzepte legen den Hauptfokus darauf, Angreifer aus dem eigenen Netz fernzuhalten. Dem internen Netz wird dagegen vertraut und der Netzwerkverkehr wird nur selten überwacht und analysiert“, benennt André Hermbusch, Geschäftsführer der datenhain GmbH, eine gängige Praxis. Die datenhain GmbH berät und unterstützt seit über 10 Jahren kleine und mittelständische Unternehmen zu den Themen IT-Infrastruktur und IT-Sicherheit.
Das Problem: Immer ausgefeiltere und gut verschleierte Angriffsmethoden verwenden häufig Standardprotokolle, sind oft verschlüsselt und werden von signaturbasierten Systemen mit statischen Regeln nicht erkannt. So kann sich die Malware im internen Netz ausbreiten. Das ist besonders für kritische Infrastrukturen, entwicklungsintensive Unternehmen und andere hochsensible Bereiche ein aktuelles Thema. „Viele unserer Kunden müssen Compliance-Vorschriften mit erhöhten Security-Anforderungen erfüllen. Wir haben deshalb nach einer praktikablen und leicht integrierbaren Lösung gesucht, um auch den internen Netzwerkverkehr genau im Blick zu behalten“, so André Hermbusch.
Ein System, das den Netzverkehr in Echtzeit überwacht
Der IT-Dienstleister hatte nach einer State-of-the-Art-Lösung zur Netzwerkanalyse gesucht. Dabei werden nach den Erfahrungen von datenhain normale Netzwerksniffer den immer komplexeren Kommunikationsbeziehungen und dem stark wachsenden Netzwerkverkehr nicht mehr gerecht. Die Lösung sollte vor allem die Kommunikation der Endgeräte ins Internet, zu internen Servern und der Geräte untereinander überwachen. „Wir brauchen eine maschinelle Logik, die den Netzwerkverkehr analysiert, in Echtzeit auf Gefährdungen hinweist und automatisiert Regeln zur Abwehr von Angriffen umsetzt. Der Kunde wünscht sich oft grafisch aufbereitete Übersichten, um sofort auf interessante Stellen heranzoomen zu können“, beschreibt der Geschäftsführer seine Anforderungen. Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS) können zwar Anomalien im Netzwerkverkehr erkennen und Angriffe automatisiert verhindern, vielen Unternehmen fehlt es aber an den Ressourcen und an der Zeit, sich intensiv mit solchen Tools auseinanderzusetzen.
Der IT-Dienstleister wurde durch einen Test bei heise.de auf den Cognitix Threat Defender von genua aufmerksam. Die Software-Lösung verbindet den IDS-Ansatz mit Prevention-Funktionen. Mit Data Analytics und Threat Intelligence erkennt der Cognitix Threat Defender Angriffe in Realtime und bietet zudem eine Plattform für den Einsatz von KI-Technologien. Der Hersteller genua ist ein deutscher Spezialist für IT-Sicherheit, der für die Absicherung sensibler Schnittstellen im Industrie- und Behördenbereich bis hin zur Vernetzung hochkritischer Infrastrukturen sorgt.
„Wir haben den Cognitix Threat Defender getestet und waren überrascht, wie schnell wir eine erste Echtzeitübersicht über den Netzwerkverkehr erhalten. Nach der Basisinstallation der Software steht bereits ein Standardregelwerk zur Verfügung, das einen Überblick über das Netzwerk und die installierten Geräte gibt“, beschreibt André Hermbusch den ersten Eindruck.
Ein selbstüberwachendes sicheres Netzwerk
Als typische Anwendungen nutzt datenhain den Cognitix Threat Defender, um in normalen Büronetzen die horizontale Ausbreitung von Malware wie z. B. Verschlüsselungs-Trojanern zu erkennen. In Fabrikhallen mit technischen Geräten unterschiedlichster Hersteller wird überwacht, ob Geräte untereinander Kontakt aufnehmen, falls dies nicht dem Normalverhalten entspricht. Außerdem wird der Netzwerkverkehr in Klassen eingeteilt, um unerwünschte Protokolle zu unterbinden oder unerwünschten Verkehr z. B. zu YouTube oder Facebook zu erkennen.
Der Cognitix Threat Defender richtet ein selbstüberwachendes sicheres Netzwerk (Security Defined Networking, SDN) ein, was die Verhaltensmuster der Netzwerkgeräte erkennt und definierten Regeln zuordnet. Dabei werden bisher getrennte Funktionen wie Netzwerkanalyse, Intrusion Prevention, Asset Tracking und eine dynamische Policy-Engine in einem System zusammengeführt.
Der Cognitix Threat Defender analysiert den Netzverkehr nach IP- und MAC-Adressen, Ports, Protokollen und Anwendungen der OSI-Schichten 2 bis 7. Dabei wird der Traffic auf problematische Adressen, Domains oder Dateisignaturen überprüft, die erkannt und blockiert werden sollten. Zusätzlich wird eine Asset-Datenbank aller Geräte im Netzwerk angelegt und die Kommunikationsbeziehungen der Geräte untersucht. Den Geräten werden Verhaltensregeln zugeordnet und diese überwacht. Tauchen neue Geräte auf, werden sie sofort gemeldet. Ein Echtzeitreporting mit einem Ampelsystem liefert Meldungen über ein mögliches Gefahrenpotenzial.
Durch ein Drilldown-Reporting können in einer grafischen Darstellung des Netzverkehrs auffällige Bereiche durch anklicken näher betrachtet werden. So sind z. B. die Livedaten des gefilterten Bereichs mit einer Minute Vorlauf verfügbar, um die beteiligten Geräte und Zieladressen zu untersuchen.
Einfache Integration ins Netzwerk ohne Performance-Einbußen
„Wenn wir neu in ein Unternehmen kommen, untersuchen wir zunächst den Ist-Zustand des Netzwerks, um einen ersten Überblick über die bestehende Infrastruktur zu erhalten“, berichtet André Hermbusch. Bei diesem Vorgehen wird der Netzwerkverkehr zunächst passiv gescannt und ein Abbild des "Normalzustands" erstellt. Mit einer solchen Anfangsbestandsaufnahme des Netzwerks werden auch generelle Schwachstellen und Sicherheitslücken erkannt, die beispielsweise durch Konfigurationsfehler, Netzwerkprobleme oder veraltete Gerätesoftware verursacht werden können.
Der Geschäftsführer beschreibt die Installation der Software und die Integration in das Netzwerk im Vergleich zu anderen IDS-Systemen als unkompliziert. Die Integration kann erfolgen, auch ohne dass Änderungen an der Netzwerktopologie erforderlich sind. Aus der Anfangsbestandsaufnahme werden Regeln über das „Normalverhalten“ des Netzwerkverkehrs definiert. Eine Policy-Engine verwaltet die Regeln. Sie bestimmen, wie auf unerwünschtes Verhalten oder akute Gefährdungen reagiert werden soll. Wenn beispielsweise ein Gerät innerhalb von 1 Minute mit mehr als 10 Hosts eine Verbindung aufbaut, kann eine Regel für die Isolation des Gerätes sorgen.
Dabei ist ein lückenloses Monitoring des gesamten Netzwerkverkehrs nach den Erfahrungen von datenhain eine große Herausforderung für die Performance: „Der Cognitix Threat Defender ist eine reine Software-Lösung. Als Hardware reicht je nach Einsatzzweck ein Zigarettenschachtel-großer Mini-PC oder ein leistungsfähiger Server für die Echtzeitanalyse eines 40-Gbit/s-Netzwerk-Traffics. Die Netzwerkanalyse führt nur zu minimalen Latenzeinbußen. Der Cognitix Threat Defender erreicht annähernd Switch-Performance.“
André Hermbusch berichtet, dass bei der Erstanalyse der Kommunikationsbeziehungen regelmäßig unerwartete Details auftauchen. Als Beispiele nennt er die morgendliche Verbindung eines Fernsehers zum Hersteller nach China oder ein altes produktives System, was seit acht Jahren nicht mehr mit Sicherheitsupdates versorgt worden ist und leicht zu attackieren gewesen wäre. Ein länger nicht mehr genutzter Windows-PC wurde dagegen durch seinen ungewöhnlichen Verkehr als infiziert erkannt. Sichtbar wurde auch die im Betrieb verbotene private Nutzung von Facebook, was der Cognitix Threat Defender durch Policy-Regeln verhindern oder im Netzwerkverkehr stark verlangsamen kann.
Positives Fazit: Das Netzwerk wird sehr tiefgreifend analysiert
datenhain-Geschäftsführer André Hermbusch zieht eine positive Bilanz über die Nutzung des Cognitix Threat Defender: „Normale IDS-Systeme erkennen oft nicht, wenn Malware innerhalb des internen Netzwerks aktiv wird. Der Cognitix Threat Defender ergänzt Firewall-Lösungen und überwacht den Netzwerkverkehr auch zwischen den Clients bis zum letzten Switch. Das Netzwerk wird sehr tief und in Echtzeit analysiert. Selbst Geräte, die monatelang nicht mehr genutzt wurden, stehen weiter unter Kontrolle. Dabei ist die Einrichtung und Integration der Lösung unkompliziert. Hier liegt die Stärke des Systems.“ Positiv vermerkt André Hermbusch zudem die kurzen Releasezyklen des Herstellers, um Kundenwünsche umzusetzen. Einen großen Schritt macht der Cognitix Threat Defender Anfang 2020: Dann bietet genua die Sicherheitsplattform auf eigener Hardware an, die einfach als Appliance in Netze eingefügt werden kann.
(ID:46495346)
:quality(80)/images.vogel.de/vogelonline/bdb/1930800/1930807/original.jpg "Network Detection and Response (NDR) ermöglicht durch kontinuierliche Analyse des Netzwerkverkehrs verdächtigen Datenverkehr zu erkennen und darauf zu reagieren. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1951700/1951732/original.jpg "HTML Smuggling umgeht Sicherheitslösungen im Netzwerk. Dazu wird schädlicher HTML-Code hinter der Firewall und im Browser von Anwendern generiert. (Myst - stock.adobe.com)")