Bereitstellung einer einheitlichen Cybersicherheits-Lösung

Whitepaper
Bereitstellung einer einheitlichen
Cybersicherheits-Lösung für dezentrale
Organisationen
Einführung
Cyberangriffe und Datenschutzverletzungen sind heutzutage ein dauerhafter
Grund zur Besorgnis für Unternehmen aller Branchen und von praktisch
jeder Größe. Angreifer haben wiederholt demonstriert, dass Sie bereit
und fähig sind, private Daten und Systeme aller Art zu gefährden und ihre
Angriffe geduldig und methodisch durchführen können, um einer Aufdeckung
zu entgehen.
Angreifer entwickeln ständig neue Techniken und Werkzeuge; die jüngsten
Datenschutzverletzungen deuten jedoch auf einen grundlegenderen
Strategiewechsel hin. Hacker verfolgen bei ihren Angriffen zunächst
konsequent das Ziel, einzelne Benutzerrechner zu infizieren und verwenden
anschließend dieses Standbein, um ihren Angriff innerhalb des Netzwerks zu
verlagern, wo hinsichtlich der Sicherheit in der Regel weniger Transparenz
und schwächere Kontrollen vorhanden sind.
diesem Strategiewechsel der Cyberangreifer entgegen zu wirken, müssen
Organisationen ihre Sicherheitsmaßnahmen zur Abwehr solcher Angriffe
so ausweiten, dass dabei ein größerer Bereich ihres Netzwerks geschützt
wird. Auch wenn es hierbei logisch erscheinen mag, die Cybersicherheit
auf alle Bereiche der Organisation auszuweiten, gibt es auch triftige
Gründe, weshalb sich ein solcher Schritt in der Vergangenheit als
nicht praktikabel erwiesen hat. In diesem Whitepaper werden wir die
Anforderungen und Herausforderungen bezüglich der Implementierung einer
Cybersicherheitsstrategie, die beständige Sicherheit an allen Standorten
liefert, analysieren und ein pragmatisches Umsetzungsmodell für jede
Organisation vorschlagen.
1 | © Vectra Networks, Inc.
Während Außen-
Transparenz von Angriffen während der
gesamten Angriffsphase
stellen, Kliniken,
Moderne Cyberangriffe kompromittieren
zunächst einzelne Geräte und weiten
diese Angriffe dann auf weitreichende,
netzwerkweite Kompromittierungen aus.
Bereits ein einzelnes kompromittiertes
Gerät bietet einem Angreifer eine Fülle an
Informationen und Zugriffsmöglichkeiten, um
die Progression des Angriffs voranzutreiben.
Mit Keyloggern können der Benutzername
und das Kennwort oder gespeicherte
Anmeldeinformationen vom angegriffenen
Rechner direkt erfasst, aufgezeichnet und
dann offline geknackt werden. Noch einfacher
ist es, wenn der angegriffene Rechner bereits
im Netzwerk authentifiziert ist, der Angreifer
diesen Zugang Huckepack benutz und auf
diese Weise zusätzliche Dienste, die dem
angegriffenen Benutzer zur Verfügung stehen,
aufrufen kann. In beiden Fällen kann der
Angreifer so auf eine Art und Weise, die dem
normalen Benutzerverhalten sehr ähnelt, auf
Systeme, Anwendungen und Daten zugreifen.
Der infizierte Rechner ermöglicht dem
Angreifer zudem neue Einblicke und Zugang
in das Netzwerk. Der kompromittierte Host
kann interne Netzwerksegmente und Subnetze
offenlegen, die in der Regel nicht von außen
sichtbar waren. Diese Segmente können
dann zugeordnet werden, um zusätzliche
Rechner für Angriffe sowie anfällige Dienste,
die möglicherweise ausgeführt werden,
offenzulegen.
Bankfilialen und
Einzelhandelsfilialen
entscheidend für
den Erfolg einer
Organisation sind,
verfügen diese oft
nicht über die
gleichen Sicherheitsmaßnahmen, die
am Hauptsitz oder
im Rechenzentrum
vorhanden sind.
Dies aktiviert einen kontinuierlichen Prozess,
bei dem der Angreifer sukzessive neue
Rechner kompromittiert, in den Besitz
zusätzlicher Berechtigungen gelangt und
immer tiefer in das Netzwerk vordringt. Mit
dieser einfachen Methode können Angreifer
einen ursprünglich kleinen Angriff schnell
über das interne Netzwerk der Organisation
verbreiten.
Enternte Standorte sind verlockende
Angriffsziele
Da bereits ein infizierter Rechner den
systemischen unbefugten Zugriff zum
Netzwerk ermöglichen kann, stellt innerhalb
des Unternehmens jeder Benutzer an jedem
beliebigen Standort einen möglichen ersten
Einstiegspunkt für Angreifer dar. Demzufolge
sind für Angreifer natürlich jene Teile der
Angriffsoberfläche attraktiv, bei denen die
Verteidigungen am schwächsten sind.
Remote-Standort
Remote-Standort
Hauptsitz
Remote-Standort
Abbildung 2: Remote-Standorte weisen weniger
Sicherheitsmerkmale auf als der Hauptsitz
Standard C&C
Initial
Compromise
Botnet
Monetization
Custom C&C
Internal
Recon
Acquire
Data
Custom C&C
Abbildung 1: Cybersecurity-Kill-Chain
2 | © Vectra Networks, Inc.
In vielen Organisationen weisen insbesondere
entfernte Standorte solche Schwachstellen
auf. Während Außenstellen, Kliniken,
Bankfilialen und Einzelhandelsfilialen
entscheidend für den Erfolg einer Organisation
sind, verfügen diese oft nicht über die gleichen
Sicherheitsmaßnahmen, die am Hauptsitz oder
im Rechenzentrum vorhanden sind.
Durch die Ausweitung der Cybersicherheit innerhalb
des Netzwerks
können Sicherheitsteams
eine defensive
Strategie entwickeln, die
eine proaktive
Aufdeckung von
Sicherheitsbedrohungen ermöglicht,
Grund für diese Schwachstellen sind oftmals
Einschränkungen, die praktische, betriebliche Aspekte und Kosten betreffen, aufgrund
derer es sich sehr unpraktisch wenn nicht gar
unmöglich gestaltet, den gesamten SecurityStack des Unternehmens an allen Standorten zu replizieren. Schutz mit erheblichen
Hardware-Abhängigkeiten wie einem Intrusion
Prevention System (IPS) und Malware-Sandboxen ist oft aus Kostengründen nicht rentabel. Ebenso besteht an entfernten Standorten
oft ein Mangel an den vor Ort zur Installation
und Wartung erforderlichen IT-Ressourcen.
Infolgedessen sind Sicherheitskontrollen oft
auf grundlegende Firewall- und Signatur-basierende Sicherheitslösungen beschränkt, um
häufig auftretende Angriffe abzuwehren.
bevor die Angreifer
Schaden anrichten
können.
Auch wenn es triftige Gründe dafür gibt, Kompromisse, die die Sicherheit beeinträchtigen,
einzugehen, führen genau diese Kompromisse
dazu, dass Remote-Standorte ideale erste
Ziele für erfahrene Angreifer sind. Neben der
Erfassung von Benutzeranmeldeinformationen
bieten Remote-Standorte oftmals Remote-Zugriff auf kritische Systeme. Remote-Benutzer
verfügen möglicherweise über einen VPN-Zugriff, der ihnen Zugang zu internen Ressourcen
gewährt und Rechner interagieren oft direkt
mit Remote-Anwendungen, die im Rahmen
des Firmenrechenzentrums oder in der Cloud
gehostet werden.
Darüber hinaus können über Kompromittierungen an Remote-Standorten Social-Engineering-Angriffe eingeleitet werden, über die Benutzer an anderen Standorten infiziert werden
können. Beispielsweise kompromittieren Angreifer neuerdings Benutzer, um anschließend
zielgerichtete Spear-Phishing-Mails an andere
Benutzer in der Organisation versenden zu
können. Remote-Standorte können aufgrund
ihrer räumlichen Verteilung schwerer geschützt
werden, stellen jedoch mit deren Benutzern ein
genauso wertvolles und oft leichteres Ziel für
einen anspruchsvollen Angreifer dar.
3 | © Vectra Networks, Inc.
Command and Control
Reconnaissance
Internet
Vertikaler
Datenverkehr
Laterale Bewegungen
Datenakkumulation
Lateraler
Datenverkehr
Abbildung 3: Traditionellen Sicherheitskontrollen
fehlt die Sichtbarkeit der internen Segmente
Die Ausweitung der Cybersicherheit
innerhalb des Netzwerks
Beim aktuellen Medienfokus auf höher
entwickelte Angriffe mag es seltsam
erscheinen, dass viele Unternehmen innerhalb
ihrer Netzwerke, wo die Mehrheit der gezielten
Angriffe stattfindet, immer noch keine
Kontrollen bezüglich der Transparenz und
Cybersicherheit implementiert haben. Der
kontinuierliche Prozess von Reconnaissance,
Lateralbewegungen und Datendiebstahl findet
weitgehend auf internen, vertrauenswürdigen
Netzwerksegmenten statt.
Diese Schlüsselphasen des Angriffs finden
weitgehend außerhalb der Reichweite von
Firewall, IPS oder Malware-Sandbox statt,
die normalerweise am Netzwerkperimeter
bereitgestellt werden. Versucht ein
Sicherheitsteam, kritische Bereiche des
Netzwerks genauer zu untersuchen, verringert
sich dabei in der Regel sogar die Sichtbarkeit.
Anstelle einer speziell entwickelten
Sicherheitsanalyse beschränkt sich die
Sichtbarkeit oft auf Protokolle und Flow-Daten
(z. B. NetFlow), die das Performance-Tuning
und die Fehlerbehebung unterstützen sollen.
Je komplexer
ein Angriff, desto
einfacher kann
dieser erkannt
werden, wenn das
Sicherheitsteam
eine uneingeschränkte Einsicht in sein
Netzwerk und seine
Hosts besitzt.
Eine moderne Cybersicherheits-Strategie
erfordert, dass Organisationen die Sicherheit
an den Orten einsetzen, an denen die Angreifer
am aktivsten sind und Sicherheitsmaßnahmen
auf die wichtigen Assets, auf die sich Angreifer
Zugriff verschaffen möchten, ausdehnen.
Durch die Ausweitung der Cybersicherheit
innerhalb des Netzwerks können
Sicherheitsteams Angreifern nicht nur einen
Schritt voraus sein, sondern außerdem eine
defensive Strategie schaffen, die Bedrohungen
proaktiv aufdeckt, bevor die Angreifer
Schaden anrichten können.
Durch die Schaffung von kompletter interner
Transparenz können Sicherheitsteams die
Komplexität der permanenten Bedrohung des
Systems ausnutzen und deren Erkennung
erleichtern. Je mehr Schritteein Angriff
umfasst, desto höher stehen die Chancen,
dass das Sicherheitsteam den größeren
Angriff erkennen wird. Je mehr Schritte ein
Angriff umfasst, desto besser können diese
Schritte korreliert werden, um die Pläne eines
komplexeren Angriffs aufzudecken. Außerdem
ermöglicht die konsequente Beobachtung der
internen Abläufe eines Netzwerks und seiner
Nutzer mittels Methoden des maschinellen
Lernens anstatt einer manuellen Prüfung
die Erkennung abnormer oder gefährlicher
Verhaltensweisen ohne die Notwendigkeit für
zusätzliches Personal.
4 | © Vectra Networks, Inc.
entwickeln, damit ihre Eingriffe nicht entdeckt
werden. Zwar wäre es äußerst praktisch, wenn
es eine Art Patentrezept für eine umfassende
Cybersichersheitslösung gäbe, die einen
gezielten Angriff in jedem Kontext entlarven
könnte, doch dies ist nicht besonders realistisch.
Sicherheit kann jedoch sicherlich das Zünglein
an der Waage zugunsten des Unternehmens
sein. Wenn Sicherheitsteams die Cybersicherheit nur auf den Netzwerkperimeter beschränken, können sie dort nur eine oder zwei Phasen
eines Angriffs erkennen. Eine perimeterbasierte
Erkennung konzentriert sich insbesondere auf
die Erkennung der ersten Kompromittierung
oder Erstinfektion durch Malware sowie auf
einige Arten der ausgehenden Command-andControl-Kommunikation, die der Infektion folgt.
Da es sich hierbei um die sichtbarsten Formen
der heutigen Erkennungstechniken handelt,
betreiben Angreifer den größten Aufwand, um
bei ihrem Vorgehen die vorhandenen Sicherheitslösungen zu umgehen. Ein Angriff umfaßt
jedoch dutzende Schritte, die der ersten Kompromittiertierung folgen und der Datenverkehr
des Angreifers bleibt innerhalb des Netzwerkperimeters. Indem Sicherheitsteams ein
Netzwerk von innen überwachen, haben Sie
dadurch viel mehr Möglichkeiten, einen aktiven
Angriff zu erkennen.
Viele Möglichkeiten der Erkennung
Schadhaftes Verhalten im
Zusammenhang betrachten
Erfahrene Angreifer können Sicherheitskontrollen sehr geschickt umgehen. Die Tatsache,
dass Angreifer in der Lage waren, das Netzwerk zu infiltrieren, zeigt in erster Linie an,
dass sie viele Schichten von Sicherheitskontrollen, die sich typischerweise am InternetGateway befinden, umgehen konnten. Um
weiter in das Netzwerk eindringen zu können,
betreiben diese Angreifer darüber hinaus
einen erheblichen Aufwand, um Techniken zu
Die Entwicklung von immer mehr Möglichkeiten zur Erkennung einer Sicherheitsbedrohung ist sehr positiv. Wir können die Chancen,
eine Bedrohung zu erkennen, jedoch erheblich
verbessern, indem wir solche Ereignisse im
Zusammenhang betrachten. Sicherheitstechnischen Produkten mangelte es oft am
Verständnis des Zusammenhangs, weil Signaturen weitgehend im Sinne von „Schwarz
oder Weiß” betrachtet wurden. Die Nutzlast
Es gibt verbesserte
Technologien zur
Erkennung von
Bedrohungen, und
Angreifer entwickeln
immer komplexere
Angriffsstrategien;
die Bereitstellung
einer vollständigen
Transparenz
zum Schutz vor
Cyberangriffen
muss hierbei jedoch
erschwinglich
bleiben und einfach
einsetzbar und
verwaltbar sein.
stimmte entweder mit einer bestimmten
Signatur überein oder nicht. Eine verdächtige
Datei zeigte in einer Sandbox entweder ein
bestimmtes Verhalten oder nicht. Jedoch ist
bei der Untersuchung eines fortlaufenden
Angriffs die Verflechtung von Ereignissen von
entscheidender Bedeutung. Beispielsweise
kann ein verdächtiger Host einen Scan des
lokalen Netzwerks durchführen und dann eine
ähnliche Nutzlast an mehrere der neu entdeckten Hosts übermitteln. Später wird dann
eine Kommunikation beobachtet, die über
einen Proxy zwischen diesen Hosts stattfindet.
Diese Verhaltensweisen sind offensichtlich miteinander verbunden und ein Zeichen für eine
ernste Sicherheitslücke.
Auch wenn die Korrelierung aller Ereignisse
nicht einfach ist, trifft die allgemeine Grundannahme jedoch immer zu: Je mehr Schritte bei
einem Angriff beteiligt sind, desto mehr gibt
sich dieser Angriff zu erkennen. Je komplexer
ein Angriff daher ist, desto offensichtlicher
kann dieser erkannt werden, wenn das Sicherheitsteam eine uneingeschränkte Einsicht
in sein Netzwerk und seine Hosts besitzt. Ist
eine solche Transparenz nur für die Hälfte des
Netzwerks vorhanden, fehlt Teams möglicherweise der Zusammenhang, um die wahre
Bedeutung eines leicht anomalen Verhaltens
zu kennen.
Sukzessiver Wissenserwerb
Um subtile und schwer zu erfassende Angriffe
erkennen zu können, ist es wichtig, nicht nur
eindeutig schadhaftes Verhalten zu identifizieren, sondern sich auch Kenntnisse über die
normalen, genehmigten Verhaltensweisen von
Benutzern im Netzwerk anzueignen. Angesichts der Tatsache, dass der Erfolg eines Angreifers auf dessen Fähigkeit basiert, gültige
Benutzeranmeldeinformationen stehlen und
die Identität des Opfers im Netzwerk imitieren
zu können, ist es entscheidend, erkennen zu
können, wenn das Verhalten eines Benutzers
oder eines Rechners von der Norm abweicht.
5 | © Vectra Networks, Inc.
Durch die Schaffung von kompletter interner
Transparenz können Sicherheitsteams mittels
maschineller Lernmethoden automatisch Verhaltensmodelle von Benutzern und Rechnern
erstellen. Je vollständiger die Transparenz und
je länger die Überwachung, desto genauer
und vorhersehbarer werden diese Modelle. Die
Modelle haben das Potenzial, auch die ausgefeiltesten Angreifer zu erkennen.
Die interne Überwachung ermöglicht die
Verfolgung der normalen Gruppen, in denen
ein Benutzer im Netzwerk beteiligt ist. Hierbei
können Abweichungen in anderen Gruppen
mögliches Insiderverhalten oder das Vorhandensein von Malware auf dem Computer des
Benutzers aufdecken. Mittels der Kombination eines Benutzers, seiner Geräte sowie den
verwendeten Anwendungen und Diensten
kann ein äußerst wirkungsvoller Fingerabdruck
sowie eine Richtlinie des normalen Verhaltens
erstellt werden. Abweichungen von dieser
Richtlinie sind zwar nicht deterministisch, bieten jedoch eine Möglichkeit, Angriffe, die für
traditionelle Sicherheitsstrategien sonst völlig
unsichtbar bleiben würden, zu erkennen.
Praktische Anforderungen
zur Ausweitung der
Cybersicherheit
Die Bereitstellung einer vollständigen
Transparenz zum Schutz vor Cyberangriffen
hat offensichtliche Vorteile und stellt die
ideale Lösung für Unternehmen dar. Bei der
tatsächlichen Bereitstellung im Alltag stellt ein
solcher Ansatz jedoch aufgrund einer Vielzahl
von realen Einschränkungen keine praktikable
Lösung dar. Verschiedene Aspekte, die
sowohl Kosten als auch das im Unternehmen
verfügbare IT-Personal betreffen,
haben Unternehmen dazu gezwungen,
Kompromisslösungen einzugehen. Durch
die stetige Verbesserung der Technologien
zur Erkennung von Bedrohungen und der
Vorteile der
verteilten
Architektur:
•
Preiswert
•
Flexible
Bereitstellung
damit verbundenen Weiterentwicklung
der Angriffsstrategien hat das Thema der
kompletten Transparenz für Sicherheitsteams
an Bedeutung gewonnen. Es ist daher
wichtig, sich erneut der Forderung nach einer
erschwinglichen und einfach einsetzbaren und
verwaltbaren Lösung zu widmen.
•
Geringe ITAnforderungen
Kostenkontrolle
•
Niedrige
Bandbreite
Kapital- und Betriebskosten sind bei jeder
Lösung ein wichtiger Faktor und was RemoteStandorte betrifft, wird dieser Faktor buchstäblich vervielfacht. Um eine einfache Anwendung zu ermöglichen, müssen alle Geräte
oder Sensoren, die die notwendige Transparenz liefern sollen, leicht und kostengünstig sein. Hierbei sollten auch die Kosten für
die gesamte Lösung bedacht werden. Stark
vereinfachte Sensorvorrichtungen erhöhen oft
die Arbeitsauslastung von zentralen Sicherheitstools. Daher ist die kombinierte Effizienz von
Remote-Sensoren und einer zentralen Analyse und Verwaltung ausschlaggebend für die
Gesamtkosten einer Lösung.
Eines der dauerhaften Merkmale des Perimetersicherheitsmodells war die Möglichkeit,
den Datenverkehr durch nur wenige Engpässe
schleusen und Sicherheitskontrollen dort
zentralisieren zu können. Angreifer haben
diese zentrale Verteidigung ausgenutzt, indem
sie ihre Angriffe auf Bereiche außerhalb der
Kontrolle des Netzwerkperimeters ausgeweitet
haben. Bei der Erweiterung der Sicherheitsstrategien auf interne Netzwerksegmente
ist es nach wie vor wichtig, die strategischen
Standorte im Netzwerk zu ermitteln, um die
Transparenz zum Schutz vor Cyberangriffen
mit der geringsten Anzahl von Sensoren zu
maximieren.
Bereitstellungsoptionen für jede Netzwerkumgebung
Der Wunsch nach vollständiger Transparenz zum Schutz vor Cyberangriffen an allen
Standorten ist eine Sache, eine praktikable
6 .
Umsetzungsmethode zu finden, die andere.
Eine uneingeschränkte Einsicht in den Datenverkehr am Netzwerkperimeter zu erlangen,
ist relativ einfach, denn es gibt eine Fülle von
Netzwerktechnologien, an die Sicherheitsvorrichtungen angeschlossen werden können.
An einem Remote-Standort kann die Netzwerkinfrastruktur auf einen einfachen Router
beschränkt sein, wodurch es sich schwierig
gestaltet, auch nur die grundlegendste Einsicht in den lokalen Datenverkehr zu erlangen.
Um solche Umgebungen unterstützen zu
können, muss eine Lösung mehrere Anforderungen erfüllen. Da ein Remote-Standort
möglicherweise keine Switched-PortAnalyzer (SPAN)- oder Test-Access-Point
(TAP)-Infrastruktur besitzt, ist es wichtig, dass
der Sensor eine Inline-Bereitstellungsoption
unterstützt. Fehlt eine anspruchsvollere
Netzwerkinfrastruktur, ist ein Inline-Sensor die
einzige Möglichkeit, um eine Einsicht in den
Verkehr zu erlangen. Jedoch führt die InlineBereitstellung einen potenziellen Point of
Failure ein und jeder Inline-Sensor muss daher
über eine Fail-Open-Anordnung verfügen,
um sicherzustellen, dass der Sensor nie die
Verbindung unterbricht.
Geringer IT-Personalbedarf
Remote-Standorte verfügen oft über sehr
begrenzte IT-Ressourcen. In vielen Fällen gibt
es kein IT-Personal vor Ort. Im Idealfall sollte
eine Lösung eingesetzt werden können, ohne
dass Fachpersonal vor Ort sein muss. Dadurch können erhebliche Kosten eingespart
werden, die durch die Anmietung von Sicherheitsfachleuten zum Durchführen der Installationen an jedem Standort anfallen würden.
Um dieses Ziel zu erreichen, bedarf es einer
echten Plug-and-Play-Lösung,
die bei der Lieferung direkt einsatzbereit ist.
Anfängliche Konfigurationen und Fehlerbehebungen sollten aus der Ferne ohne die Hilfe
von Personal vor Ort durchgeführt werden
können.
Die Sensoren der
Bandbreitenfreundlich
Vectra S-Serie und
Wenn eine Lösung installiert ist, sollte sie nur geringfügige Auswirkungen auf die normale
Durchsatzleistung des Netzwerks haben. Erzeugt die Sicherheitslösung eine große Menge an
Netzwerk-Overhead, könnte dies die Leistung der Anwendung am Remote-Standort verringern.
Demzufolge muss jeder Sensor hinsichtlich des zusätzlichen Datenverkehrs, den er erzeugen
könnte, bewertet werden, um sicherzustellen, dass dieser die benötigte Kapazität der WANVerbindungen, über die der Remote-Standort mit dem Internet und dem Firmenrechenzentrum
verbunden wird, erfüllt.
Die Plattformen
der X-Serie können auf Netzwerke
jeder beliebigen
Größe und über
unterschiedliche
Standorte hinweg
skaliert werden.
Sie ermöglichen
die zentralisierte
Analyse, Erkennung
und Korrelation von
Sicherheitsbedrohungen.
Volle Cybersicherheit mit der verteilten Architektur von
Vectra Networks Architecture
Automatische Erkennung
von Angriffen während ihrer
Durchführung
Vectra Networks ermöglicht die
automatische Erkennung von aktiven
Cyberangriffen in Echtzeit. Vectra erkennt
aktive Phasen eines Angriffs, einschließlich
Command-and-Control, interne
Reconnaissance, Lateralbewegungen
sowie die Datendiebstahl eines
Cyberangriffs. Die Vectra-Plattform
verwendet Methoden der Data Science
und des maschinellen Lernens zur
Erkennung aller Angriffsphasen und bietet
Report
Correlate
Detect
Distill
Capture
mehrere Möglichkeiten zur Erkennung eines
aktiven Cyberangriffs mit hoher Genauigkeit und
verringert somit das Auftreten falscher negativer
und falscher positiver Ergebnisse.
Die Plattform der Vectra X-Serie überwacht passiv
den Netzwerkverkehr und bietet mittels der unten
aufgeführten Funktionen die Erkennung von
unbefugten Zugriffen sowie die Berichterstattung
in Echtzeit.
Der Vectra Threat Certainty Index bietet
eine visuelle Darstellung der Hosts mit
Angriffsindikatoren und priorisiert die Hosts mit
den höchsten Risiken.
Externe Methoden der Berichterstattung über Syslog, E-Mail-Benachrichtigungen und API sind ebenfalls verfügbar.
Erkannte Bedrohungen werden mittels der Vectra Host-Fingerprinting-Technologie mit den angegriffenen Hosts korreliert. Erkannte Bedrohungen werden
den Hosts zugeordnet und es wird durch weitere Methoden der Data Science
ein numerischer Wert für jeden Host generiert, der dessen Sicherheitsrisiko
reflektiert.
Zur Erkennung aller Phasen eines aktiven Cyberangriffs im Datenverkehr
werden die destillierten Daten mittels Algorithmen der Data Science und des
maschinellen Lernens analysiert.
Datenpakete werden in Datenströme gebündelt und Protokoll-Metadaten zur
Verarbeitung durch die Entdeckungstechnologie extrahiert.
Die Erfassung von Netzwerkpaketen im passiven Modus ist die erste Phase der
Echtzeit-Erkennung unbefugter Zugriffe.
Abbildung 4: Vectra-Netzwerkarchitektur
7 | © Vectra Networks, Inc.
Vectra Networks
Ganzheitliche Cybersicherheit – vollständig verteilt
bietet eine skalier-
Die automatisierte Erkennung von aktiven Angriffen durch die Plattform der Vectra-X-Seriekann jetzt auf Remote-Standorte und interne Segmente erweitert werden, und zwar unter
Beibehaltung der Einzelansicht des Risikoprofils einer Organisation.
bare, verteilte Architektur, die Kunden
eine uneingeschränkte Einsicht in ihr
Netzwerk ermöglicht, und zwar
unabhängig von
der Größe und
der geografischen
Verteilung ihres
Unternehmens.
Die Plattform der X-Serie
Die Software der X-Serien-Plattform ist
vorinstalliert auf einem rahmenmontierbaren
Gerät in Normalgröße erhältlich, das selbst
auf die größten Netzwerke skaliert werden
kann. Die X-Serien-Plattform kann entweder
als All-in-One-Gerät zur Überwachung von
Datenverkehr und Echtzeit-Erkennung von
Bedrohungen oder in Kombination mit den
Sensoren der S-Serie, die Datenverkehr
überwachen und Metadaten von den
Sensoren auswerten, eingesetzt werden.
Die X-Serien-Plattform führt die Erkennung,
Analyse und Korrelation der Bedrohungen
auf den Metadaten von Sensoren durch.
Sensoren der S-Serie
Bei den Sensoren der S-Serie handelt es sich
um kleine, spezielle Sensoren, die leicht an
Remote-Standorten oder mit Access-Switches
bereitgestellt werden können. Sensoren können
in-line oder als passives Gerät zur Überwachung
des Netzwerkverkehrs bereitgestellt werden
und extrahieren kritische Metadaten und leiten
die Metadaten zur Gefährdungsanalyse an eine
X-Serien-Plattform weiter. Die kleine Größe und
das einfaches Bereitstellungsmodell der S-Serie
ermöglichen Unternehmen eine umfassende
Abdeckung des gesamten Netzwerks,
insbesondere von Remote-Standorten,
einschließlich in kleinen Büros, Bankfilialen,
Kliniken und Einzelhandelsfilialen.
Vorteile der verteilten Architektur
Die skalierbare, verteilte Architektur von Vectra Networks bietet Kunden einen beständigen
Schutz vor Cyberangriffen für ihr gesamtes Unternehmen, unabhängig von der Größe und der
geografischen Verteilung. Die Sensoren der S-Serie und die Plattformen der X-Serie können auf
Netzwerke jeder beliebigen Größe und über unterschiedliche Standorte hinweg skaliert werden
und liefern eine zentrale Analyse, Erkennung und Korrelation von Bedrohungen.
Bereitstellung von Campus-Sensoren
Bereitstellung von Sensoren für Remote-Standorte
•
•
•
8 | © Vectra Networks, Inc.
Am Access-Layer-Switch bereitgestellte Sensoren ermöglichen
die Transparenz des User-to-User-Datenverkehrs
Die am Core/Distribution-Layer bereitgestellte X-Serie
ermöglicht die Transparenz des Datenverkehrs von Benutzern
zum und vom Internet und korreliert von Sensoren erkannte
Bedrohungen
•
Am Remote-Standort bereitgestellte Sensoren ermöglichen die
Transparenz des Datenverkehrs an Remote-Standorten
Die am Rechenzentrum bereitgestellte X-Serie ermöglicht
die Transparenz des Datenverkehrs im Rechenzentrum und
korreliert von Sensoren erkannte Bedrohungen
Abbildung 5: Bereitstellungstopologien für verteilte Architektur
Vorteile der verteilten Architektur
Die verteilte Architektur von Vectra Networks bietet die folgenden Vorteile:
Plug-and-Play Bereitstellung
• Sensoren werden vor dem Versand durch Vectra
Networks mit Kundendaten versehen.
• Sensoren erhalten ihre Netzwerkkonfiguration über einen
DHCP-Server im Netzwerk. Dies ermöglicht die Bereitstellung an Remote-Standorten mit wenig technischem
Know-How.
• Sensoren können im passiven Modus oder im In-LineModus als Bump-in-the-Wire mit Fail-Open bereitgestellt werden.
Geringe Bandbreitennutzung
• Der Sensor destilliert Metadaten des
lokalen Datenverkehrs und sendet diese zur
Gefährdungsanalyse und Berichterstattung an die
X-Serie.
• Die vom Sensor an die X-Serie übermittelten Metadaten
werden auf weniger als 1 % der empfangenen
Bandbreite komprimiert, um bei Netzwerkverbindungen
mit geringer Bandbreite den Overhead zu reduzieren.
Automatische zentrale Berichterstattung
• Die Vectra X-Serie bietet eine einheitliche Ansicht des
Risikoprofils einer Organisation durch Sammeln und
Korrelieren aller erkannten Bedrohungen.
• Die Vectra X-Serie ermöglicht es Sicherheitsteams,
Bedrohungen basierend auf dem vom Sensor
überwachten verdächtigen Datenverkehr zu filtern.
• Die X-Serie bietet eine automatische Berichterstattung
in Echtzeit und ermöglicht es Organisationen, mittels
der verfügbaren relevanten Daten schnell auf Angriffe
reagieren und Zeit und Personalkosten sparen zu
können.
Automatische Software-Aktualisierungen
• Software-Aktualisierungen für die X-Serie über die
Vectra-Cloud.
• Aktualisierungen werden automatisch von der X-Serie
auf den Sensor heruntergeladen.
Erweiterte originalgetreue Transparenz des Datenverkehrs
• Remote-Standorte sind Schwachstellen in der
Angriffsoberfläche. Sensoren können zur Stärkung der
Netzwerksicherheit an Remote-Standorten leicht an
solchen Remote-Standorten bereitgestellt werden.
• Sensoren können auf internen Segmenten mit
wichtigen Assets bereitgestellt werde, um eine laterale
Ausbreitung und Datenakkumulation zu erkennen.
Abbildung 6: Ansicht der Gefahrenerkennung in der X-Serie
Zusammenfassung
Die Vectra-Technologie setzt dort an, wo Perimetersicherheit aufhört. Die Bereitstellung einer gründlichen,
kontinuierlichen Analyse des internen und Internet-Netzwerkverkehrs ermöglicht somit die automatische Erkennung aller
Phasen eines unbefugten Zugriffs. Vectra Networks bietet eine skalierbare, verteilte Architektur, um sicherzustellen, dass
Kunden eine uneingeschränkte Einsicht in ihre Netzwerke ermöglicht wird, und zwar unabhängig von der Größe und der
geografischen Verteilung ihres Unternehmens. Die Sensoren der S-Serie und die Plattformen der X-Serie können auf
Netzwerke jeder beliebigen Größe und über unterschiedliche Standorte hinweg skaliert werden und liefern eine zentrale
Analyse, Erkennung und Korrelation von Sicherheitsbedrohungen.
9 | © Vectra Networks, Inc.

Download Report