Ein zuverlässiges IPS – Intrusion Prevention System sollte auch bei verschlüsseltem Netzwerkverkehr und Zero-Day-Angriffen schützen. Da aber viele Lösungen mit einer Signatur-basierenden Erkennung arbeiten, können sie in der Regel nicht vor Zero-Day-Angriffen schützen. Das neue NDR von ExeonTrace erledigt IPS gleich mit.
Mit ExeonTrace bietet das Schweizer Security-Unternehmen Exeon Analytics eine Lösung zur Erkennung von Eindringlingen an, die weit über die Fähigkeiten herkömmlicher Intrusion Prevention Systeme (IPS) hinausgeht. So kann ExeonTrace insbesondere auch Zero-Day-Attacken erkennen, gegen die IPS-Lösungen aufgrund ihrer Signatur-basierenden Erkennung keinen Schutz bieten können. Solche Systeme eignen sich zwar zur automatisierten Erkennung und Abwehr bekannter Angriffe, müssen jedoch für einen umfassenden Schutz durch andere Security-Lösungen ergänzt werden.
Verschlüsselter Netzwerkverkehr schützt auch Angreifer
Je nach Untersuchung ist heute 80 bis 90 Prozent des globalen Netzwerkverkehrs verschlüsselt – mit weiter steigender Tendenz. Diese Verschlüsselung schützt die Vertraulichkeit und Integrität sensibler Geschäftsdaten. Auf der anderen Seite kann der signaturbasierte Erkennungsansatz von IPS und anderen Lösungen nicht auf verschlüsselte Nutzdaten angewendet werden, um Einbruchsversuche zu erkennen und zu verhindern. Um diese Einschränkung zu überwinden, müsste die Firewall den gesamten Datenverkehr entschlüsseln, was zu einer Vielzahl weiterer Sicherheitsprobleme führen kann. ExeonTrace hingegen basiert auf der Analyse von Metadaten und ist daher in der Lage, auch die verschlüsselte Netzwerkkommunikation zu untersuchen und entsprechende Angriffe zu erkennen.
NDR bietet ein Gesamtbild statt einzelner Alarme
Darüber hinaus generieren IPS-Lösungen in der Regel zwar einzelne Warnungen, korrelieren diese Alarme jedoch nicht, um ein Gesamtbild der Bedrohungslandschaft zu erstellen. Dies macht es den Sicherheitsteams schwer, eine echte Bedrohung von falschen Warnungen zu unterscheiden oder diese nach deren Gefährlichkeit zu beurteilen. Diese Einschränkung kann die Reaktionszeit erheblich beeinträchtigen und Angreifern einen Vorsprung verschaffen, um in das Unternehmen einzubrechen. Im Gegensatz zu IPS verlässt sich ExeonTrace als NDR-Lösung (Network Detection and Response) nicht auf eine signaturbasierte Entdeckung von Cyberangriffen. Stattdessen verwendet es Algorithmen für maschinelles Lernen, um die Netzwerkkommunikation nahezu in Echtzeit zu untersuchen.
Erst Korrelation liefert ein Gesamtbild
So erstellt ExeonTrace über die kontinuierliche Analyse des Rohdatenverkehrs eine Basislinie des “normalen” Netzwerkverhaltens. Bei Abweichungen davon analysiert und korreliert die Lösung erstmal die Anomalien und generiert dann gegebenenfalls Alarme, um auf eine potenzielle Bedrohung innerhalb der Netzwerkumgebung hinzuweisen. Dieses KI-basierte Verfahren ermöglicht auch die Erkennung unbekannter Zero-Day-Angriffe, für die noch keine Signaturen existieren. Die ExeonTrace NDR-Plattform verfügt beispielsweise über ein ML-Modell, das den Domain Generation Algorithm (DGA) erkennen kann, der im SolarWinds Sunburst-Angriff von 2020 verwendet wurde. Auch neuartige Malware, für die noch keine Signatur verfügbar ist, wird über die ML Algorithmen erkannt.
Mehr bei NextGen.Exeon.com
Über Exeon
Exeon Analytics AG ist ein Schweizer Cybertech-Unternehmen, das sich auf den Schutz von IT- und OT-Infrastrukturen durch KI-gesteuerte Sicherheitsanalysen spezialisiert hat. Die Network Detection and Response (NDR)-Plattform ExeonTrace bietet Unternehmen die Möglichkeit, Netzwerke zu überwachen, Cyber-Bedrohungen sofort zu erkennen und somit die IT-Landschaft des eigenen Unternehmens effektiv zu schützen – schnell, zuverlässig und komplett Software-basiert.