Whitepaper Bereitstellung einer einheitlichen Cybersicherheits-Lösung für dezentrale Organisationen Einführung Cyberangriffe und Datenschutzverletzungen sind heutzutage ein dauerhafter Grund zur Besorgnis für Unternehmen aller Branchen und von praktisch jeder Größe. Angreifer haben wiederholt demonstriert, dass Sie bereit und fähig sind, private Daten und Systeme aller Art zu gefährden und ihre Angriffe geduldig und methodisch durchführen können, um einer Aufdeckung zu entgehen. Angreifer entwickeln ständig neue Techniken und Werkzeuge; die jüngsten Datenschutzverletzungen deuten jedoch auf einen grundlegenderen Strategiewechsel hin. Hacker verfolgen bei ihren Angriffen zunächst konsequent das Ziel, einzelne Benutzerrechner zu infizieren und verwenden anschließend dieses Standbein, um ihren Angriff innerhalb des Netzwerks zu verlagern, wo hinsichtlich der Sicherheit in der Regel weniger Transparenz und schwächere Kontrollen vorhanden sind. diesem Strategiewechsel der Cyberangreifer entgegen zu wirken, müssen Organisationen ihre Sicherheitsmaßnahmen zur Abwehr solcher Angriffe so ausweiten, dass dabei ein größerer Bereich ihres Netzwerks geschützt wird. Auch wenn es hierbei logisch erscheinen mag, die Cybersicherheit auf alle Bereiche der Organisation auszuweiten, gibt es auch triftige Gründe, weshalb sich ein solcher Schritt in der Vergangenheit als nicht praktikabel erwiesen hat. In diesem Whitepaper werden wir die Anforderungen und Herausforderungen bezüglich der Implementierung einer Cybersicherheitsstrategie, die beständige Sicherheit an allen Standorten liefert, analysieren und ein pragmatisches Umsetzungsmodell für jede Organisation vorschlagen. 1 | © Vectra Networks, Inc. Während Außen- Transparenz von Angriffen während der gesamten Angriffsphase stellen, Kliniken, Moderne Cyberangriffe kompromittieren zunächst einzelne Geräte und weiten diese Angriffe dann auf weitreichende, netzwerkweite Kompromittierungen aus. Bereits ein einzelnes kompromittiertes Gerät bietet einem Angreifer eine Fülle an Informationen und Zugriffsmöglichkeiten, um die Progression des Angriffs voranzutreiben. Mit Keyloggern können der Benutzername und das Kennwort oder gespeicherte Anmeldeinformationen vom angegriffenen Rechner direkt erfasst, aufgezeichnet und dann offline geknackt werden. Noch einfacher ist es, wenn der angegriffene Rechner bereits im Netzwerk authentifiziert ist, der Angreifer diesen Zugang Huckepack benutz und auf diese Weise zusätzliche Dienste, die dem angegriffenen Benutzer zur Verfügung stehen, aufrufen kann. In beiden Fällen kann der Angreifer so auf eine Art und Weise, die dem normalen Benutzerverhalten sehr ähnelt, auf Systeme, Anwendungen und Daten zugreifen. Der infizierte Rechner ermöglicht dem Angreifer zudem neue Einblicke und Zugang in das Netzwerk. Der kompromittierte Host kann interne Netzwerksegmente und Subnetze offenlegen, die in der Regel nicht von außen sichtbar waren. Diese Segmente können dann zugeordnet werden, um zusätzliche Rechner für Angriffe sowie anfällige Dienste, die möglicherweise ausgeführt werden, offenzulegen. Bankfilialen und Einzelhandelsfilialen entscheidend für den Erfolg einer Organisation sind, verfügen diese oft nicht über die gleichen Sicherheitsmaßnahmen, die am Hauptsitz oder im Rechenzentrum vorhanden sind. Dies aktiviert einen kontinuierlichen Prozess, bei dem der Angreifer sukzessive neue Rechner kompromittiert, in den Besitz zusätzlicher Berechtigungen gelangt und immer tiefer in das Netzwerk vordringt. Mit dieser einfachen Methode können Angreifer einen ursprünglich kleinen Angriff schnell über das interne Netzwerk der Organisation verbreiten. Enternte Standorte sind verlockende Angriffsziele Da bereits ein infizierter Rechner den systemischen unbefugten Zugriff zum Netzwerk ermöglichen kann, stellt innerhalb des Unternehmens jeder Benutzer an jedem beliebigen Standort einen möglichen ersten Einstiegspunkt für Angreifer dar. Demzufolge sind für Angreifer natürlich jene Teile der Angriffsoberfläche attraktiv, bei denen die Verteidigungen am schwächsten sind. Remote-Standort Remote-Standort Hauptsitz Remote-Standort Abbildung 2: Remote-Standorte weisen weniger Sicherheitsmerkmale auf als der Hauptsitz Standard C&C Initial Compromise Botnet Monetization Custom C&C Internal Recon Acquire Data Custom C&C Abbildung 1: Cybersecurity-Kill-Chain 2 | © Vectra Networks, Inc. In vielen Organisationen weisen insbesondere entfernte Standorte solche Schwachstellen auf. Während Außenstellen, Kliniken, Bankfilialen und Einzelhandelsfilialen entscheidend für den Erfolg einer Organisation sind, verfügen diese oft nicht über die gleichen Sicherheitsmaßnahmen, die am Hauptsitz oder im Rechenzentrum vorhanden sind. Durch die Ausweitung der Cybersicherheit innerhalb des Netzwerks können Sicherheitsteams eine defensive Strategie entwickeln, die eine proaktive Aufdeckung von Sicherheitsbedrohungen ermöglicht, Grund für diese Schwachstellen sind oftmals Einschränkungen, die praktische, betriebliche Aspekte und Kosten betreffen, aufgrund derer es sich sehr unpraktisch wenn nicht gar unmöglich gestaltet, den gesamten SecurityStack des Unternehmens an allen Standorten zu replizieren. Schutz mit erheblichen Hardware-Abhängigkeiten wie einem Intrusion Prevention System (IPS) und Malware-Sandboxen ist oft aus Kostengründen nicht rentabel. Ebenso besteht an entfernten Standorten oft ein Mangel an den vor Ort zur Installation und Wartung erforderlichen IT-Ressourcen. Infolgedessen sind Sicherheitskontrollen oft auf grundlegende Firewall- und Signatur-basierende Sicherheitslösungen beschränkt, um häufig auftretende Angriffe abzuwehren. bevor die Angreifer Schaden anrichten können. Auch wenn es triftige Gründe dafür gibt, Kompromisse, die die Sicherheit beeinträchtigen, einzugehen, führen genau diese Kompromisse dazu, dass Remote-Standorte ideale erste Ziele für erfahrene Angreifer sind. Neben der Erfassung von Benutzeranmeldeinformationen bieten Remote-Standorte oftmals Remote-Zugriff auf kritische Systeme. Remote-Benutzer verfügen möglicherweise über einen VPN-Zugriff, der ihnen Zugang zu internen Ressourcen gewährt und Rechner interagieren oft direkt mit Remote-Anwendungen, die im Rahmen des Firmenrechenzentrums oder in der Cloud gehostet werden. Darüber hinaus können über Kompromittierungen an Remote-Standorten Social-Engineering-Angriffe eingeleitet werden, über die Benutzer an anderen Standorten infiziert werden können. Beispielsweise kompromittieren Angreifer neuerdings Benutzer, um anschließend zielgerichtete Spear-Phishing-Mails an andere Benutzer in der Organisation versenden zu können. Remote-Standorte können aufgrund ihrer räumlichen Verteilung schwerer geschützt werden, stellen jedoch mit deren Benutzern ein genauso wertvolles und oft leichteres Ziel für einen anspruchsvollen Angreifer dar. 3 | © Vectra Networks, Inc. Command and Control Reconnaissance Internet Vertikaler Datenverkehr Laterale Bewegungen Datenakkumulation Lateraler Datenverkehr Abbildung 3: Traditionellen Sicherheitskontrollen fehlt die Sichtbarkeit der internen Segmente Die Ausweitung der Cybersicherheit innerhalb des Netzwerks Beim aktuellen Medienfokus auf höher entwickelte Angriffe mag es seltsam erscheinen, dass viele Unternehmen innerhalb ihrer Netzwerke, wo die Mehrheit der gezielten Angriffe stattfindet, immer noch keine Kontrollen bezüglich der Transparenz und Cybersicherheit implementiert haben. Der kontinuierliche Prozess von Reconnaissance, Lateralbewegungen und Datendiebstahl findet weitgehend auf internen, vertrauenswürdigen Netzwerksegmenten statt. Diese Schlüsselphasen des Angriffs finden weitgehend außerhalb der Reichweite von Firewall, IPS oder Malware-Sandbox statt, die normalerweise am Netzwerkperimeter bereitgestellt werden. Versucht ein Sicherheitsteam, kritische Bereiche des Netzwerks genauer zu untersuchen, verringert sich dabei in der Regel sogar die Sichtbarkeit. Anstelle einer speziell entwickelten Sicherheitsanalyse beschränkt sich die Sichtbarkeit oft auf Protokolle und Flow-Daten (z. B. NetFlow), die das Performance-Tuning und die Fehlerbehebung unterstützen sollen. Je komplexer ein Angriff, desto einfacher kann dieser erkannt werden, wenn das Sicherheitsteam eine uneingeschränkte Einsicht in sein Netzwerk und seine Hosts besitzt. Eine moderne Cybersicherheits-Strategie erfordert, dass Organisationen die Sicherheit an den Orten einsetzen, an denen die Angreifer am aktivsten sind und Sicherheitsmaßnahmen auf die wichtigen Assets, auf die sich Angreifer Zugriff verschaffen möchten, ausdehnen. Durch die Ausweitung der Cybersicherheit innerhalb des Netzwerks können Sicherheitsteams Angreifern nicht nur einen Schritt voraus sein, sondern außerdem eine defensive Strategie schaffen, die Bedrohungen proaktiv aufdeckt, bevor die Angreifer Schaden anrichten können. Durch die Schaffung von kompletter interner Transparenz können Sicherheitsteams die Komplexität der permanenten Bedrohung des Systems ausnutzen und deren Erkennung erleichtern. Je mehr Schritteein Angriff umfasst, desto höher stehen die Chancen, dass das Sicherheitsteam den größeren Angriff erkennen wird. Je mehr Schritte ein Angriff umfasst, desto besser können diese Schritte korreliert werden, um die Pläne eines komplexeren Angriffs aufzudecken. Außerdem ermöglicht die konsequente Beobachtung der internen Abläufe eines Netzwerks und seiner Nutzer mittels Methoden des maschinellen Lernens anstatt einer manuellen Prüfung die Erkennung abnormer oder gefährlicher Verhaltensweisen ohne die Notwendigkeit für zusätzliches Personal. 4 | © Vectra Networks, Inc. entwickeln, damit ihre Eingriffe nicht entdeckt werden. Zwar wäre es äußerst praktisch, wenn es eine Art Patentrezept für eine umfassende Cybersichersheitslösung gäbe, die einen gezielten Angriff in jedem Kontext entlarven könnte, doch dies ist nicht besonders realistisch. Sicherheit kann jedoch sicherlich das Zünglein an der Waage zugunsten des Unternehmens sein. Wenn Sicherheitsteams die Cybersicherheit nur auf den Netzwerkperimeter beschränken, können sie dort nur eine oder zwei Phasen eines Angriffs erkennen. Eine perimeterbasierte Erkennung konzentriert sich insbesondere auf die Erkennung der ersten Kompromittierung oder Erstinfektion durch Malware sowie auf einige Arten der ausgehenden Command-andControl-Kommunikation, die der Infektion folgt. Da es sich hierbei um die sichtbarsten Formen der heutigen Erkennungstechniken handelt, betreiben Angreifer den größten Aufwand, um bei ihrem Vorgehen die vorhandenen Sicherheitslösungen zu umgehen. Ein Angriff umfaßt jedoch dutzende Schritte, die der ersten Kompromittiertierung folgen und der Datenverkehr des Angreifers bleibt innerhalb des Netzwerkperimeters. Indem Sicherheitsteams ein Netzwerk von innen überwachen, haben Sie dadurch viel mehr Möglichkeiten, einen aktiven Angriff zu erkennen. Viele Möglichkeiten der Erkennung Schadhaftes Verhalten im Zusammenhang betrachten Erfahrene Angreifer können Sicherheitskontrollen sehr geschickt umgehen. Die Tatsache, dass Angreifer in der Lage waren, das Netzwerk zu infiltrieren, zeigt in erster Linie an, dass sie viele Schichten von Sicherheitskontrollen, die sich typischerweise am InternetGateway befinden, umgehen konnten. Um weiter in das Netzwerk eindringen zu können, betreiben diese Angreifer darüber hinaus einen erheblichen Aufwand, um Techniken zu Die Entwicklung von immer mehr Möglichkeiten zur Erkennung einer Sicherheitsbedrohung ist sehr positiv. Wir können die Chancen, eine Bedrohung zu erkennen, jedoch erheblich verbessern, indem wir solche Ereignisse im Zusammenhang betrachten. Sicherheitstechnischen Produkten mangelte es oft am Verständnis des Zusammenhangs, weil Signaturen weitgehend im Sinne von „Schwarz oder Weiß” betrachtet wurden. Die Nutzlast Es gibt verbesserte Technologien zur Erkennung von Bedrohungen, und Angreifer entwickeln immer komplexere Angriffsstrategien; die Bereitstellung einer vollständigen Transparenz zum Schutz vor Cyberangriffen muss hierbei jedoch erschwinglich bleiben und einfach einsetzbar und verwaltbar sein. stimmte entweder mit einer bestimmten Signatur überein oder nicht. Eine verdächtige Datei zeigte in einer Sandbox entweder ein bestimmtes Verhalten oder nicht. Jedoch ist bei der Untersuchung eines fortlaufenden Angriffs die Verflechtung von Ereignissen von entscheidender Bedeutung. Beispielsweise kann ein verdächtiger Host einen Scan des lokalen Netzwerks durchführen und dann eine ähnliche Nutzlast an mehrere der neu entdeckten Hosts übermitteln. Später wird dann eine Kommunikation beobachtet, die über einen Proxy zwischen diesen Hosts stattfindet. Diese Verhaltensweisen sind offensichtlich miteinander verbunden und ein Zeichen für eine ernste Sicherheitslücke. Auch wenn die Korrelierung aller Ereignisse nicht einfach ist, trifft die allgemeine Grundannahme jedoch immer zu: Je mehr Schritte bei einem Angriff beteiligt sind, desto mehr gibt sich dieser Angriff zu erkennen. Je komplexer ein Angriff daher ist, desto offensichtlicher kann dieser erkannt werden, wenn das Sicherheitsteam eine uneingeschränkte Einsicht in sein Netzwerk und seine Hosts besitzt. Ist eine solche Transparenz nur für die Hälfte des Netzwerks vorhanden, fehlt Teams möglicherweise der Zusammenhang, um die wahre Bedeutung eines leicht anomalen Verhaltens zu kennen. Sukzessiver Wissenserwerb Um subtile und schwer zu erfassende Angriffe erkennen zu können, ist es wichtig, nicht nur eindeutig schadhaftes Verhalten zu identifizieren, sondern sich auch Kenntnisse über die normalen, genehmigten Verhaltensweisen von Benutzern im Netzwerk anzueignen. Angesichts der Tatsache, dass der Erfolg eines Angreifers auf dessen Fähigkeit basiert, gültige Benutzeranmeldeinformationen stehlen und die Identität des Opfers im Netzwerk imitieren zu können, ist es entscheidend, erkennen zu können, wenn das Verhalten eines Benutzers oder eines Rechners von der Norm abweicht. 5 | © Vectra Networks, Inc. Durch die Schaffung von kompletter interner Transparenz können Sicherheitsteams mittels maschineller Lernmethoden automatisch Verhaltensmodelle von Benutzern und Rechnern erstellen. Je vollständiger die Transparenz und je länger die Überwachung, desto genauer und vorhersehbarer werden diese Modelle. Die Modelle haben das Potenzial, auch die ausgefeiltesten Angreifer zu erkennen. Die interne Überwachung ermöglicht die Verfolgung der normalen Gruppen, in denen ein Benutzer im Netzwerk beteiligt ist. Hierbei können Abweichungen in anderen Gruppen mögliches Insiderverhalten oder das Vorhandensein von Malware auf dem Computer des Benutzers aufdecken. Mittels der Kombination eines Benutzers, seiner Geräte sowie den verwendeten Anwendungen und Diensten kann ein äußerst wirkungsvoller Fingerabdruck sowie eine Richtlinie des normalen Verhaltens erstellt werden. Abweichungen von dieser Richtlinie sind zwar nicht deterministisch, bieten jedoch eine Möglichkeit, Angriffe, die für traditionelle Sicherheitsstrategien sonst völlig unsichtbar bleiben würden, zu erkennen. Praktische Anforderungen zur Ausweitung der Cybersicherheit Die Bereitstellung einer vollständigen Transparenz zum Schutz vor Cyberangriffen hat offensichtliche Vorteile und stellt die ideale Lösung für Unternehmen dar. Bei der tatsächlichen Bereitstellung im Alltag stellt ein solcher Ansatz jedoch aufgrund einer Vielzahl von realen Einschränkungen keine praktikable Lösung dar. Verschiedene Aspekte, die sowohl Kosten als auch das im Unternehmen verfügbare IT-Personal betreffen, haben Unternehmen dazu gezwungen, Kompromisslösungen einzugehen. Durch die stetige Verbesserung der Technologien zur Erkennung von Bedrohungen und der Vorteile der verteilten Architektur: • Preiswert • Flexible Bereitstellung damit verbundenen Weiterentwicklung der Angriffsstrategien hat das Thema der kompletten Transparenz für Sicherheitsteams an Bedeutung gewonnen. Es ist daher wichtig, sich erneut der Forderung nach einer erschwinglichen und einfach einsetzbaren und verwaltbaren Lösung zu widmen. • Geringe ITAnforderungen Kostenkontrolle • Niedrige Bandbreite Kapital- und Betriebskosten sind bei jeder Lösung ein wichtiger Faktor und was RemoteStandorte betrifft, wird dieser Faktor buchstäblich vervielfacht. Um eine einfache Anwendung zu ermöglichen, müssen alle Geräte oder Sensoren, die die notwendige Transparenz liefern sollen, leicht und kostengünstig sein. Hierbei sollten auch die Kosten für die gesamte Lösung bedacht werden. Stark vereinfachte Sensorvorrichtungen erhöhen oft die Arbeitsauslastung von zentralen Sicherheitstools. Daher ist die kombinierte Effizienz von Remote-Sensoren und einer zentralen Analyse und Verwaltung ausschlaggebend für die Gesamtkosten einer Lösung. Eines der dauerhaften Merkmale des Perimetersicherheitsmodells war die Möglichkeit, den Datenverkehr durch nur wenige Engpässe schleusen und Sicherheitskontrollen dort zentralisieren zu können. Angreifer haben diese zentrale Verteidigung ausgenutzt, indem sie ihre Angriffe auf Bereiche außerhalb der Kontrolle des Netzwerkperimeters ausgeweitet haben. Bei der Erweiterung der Sicherheitsstrategien auf interne Netzwerksegmente ist es nach wie vor wichtig, die strategischen Standorte im Netzwerk zu ermitteln, um die Transparenz zum Schutz vor Cyberangriffen mit der geringsten Anzahl von Sensoren zu maximieren. Bereitstellungsoptionen für jede Netzwerkumgebung Der Wunsch nach vollständiger Transparenz zum Schutz vor Cyberangriffen an allen Standorten ist eine Sache, eine praktikable 6 . Umsetzungsmethode zu finden, die andere. Eine uneingeschränkte Einsicht in den Datenverkehr am Netzwerkperimeter zu erlangen, ist relativ einfach, denn es gibt eine Fülle von Netzwerktechnologien, an die Sicherheitsvorrichtungen angeschlossen werden können. An einem Remote-Standort kann die Netzwerkinfrastruktur auf einen einfachen Router beschränkt sein, wodurch es sich schwierig gestaltet, auch nur die grundlegendste Einsicht in den lokalen Datenverkehr zu erlangen. Um solche Umgebungen unterstützen zu können, muss eine Lösung mehrere Anforderungen erfüllen. Da ein Remote-Standort möglicherweise keine Switched-PortAnalyzer (SPAN)- oder Test-Access-Point (TAP)-Infrastruktur besitzt, ist es wichtig, dass der Sensor eine Inline-Bereitstellungsoption unterstützt. Fehlt eine anspruchsvollere Netzwerkinfrastruktur, ist ein Inline-Sensor die einzige Möglichkeit, um eine Einsicht in den Verkehr zu erlangen. Jedoch führt die InlineBereitstellung einen potenziellen Point of Failure ein und jeder Inline-Sensor muss daher über eine Fail-Open-Anordnung verfügen, um sicherzustellen, dass der Sensor nie die Verbindung unterbricht. Geringer IT-Personalbedarf Remote-Standorte verfügen oft über sehr begrenzte IT-Ressourcen. In vielen Fällen gibt es kein IT-Personal vor Ort. Im Idealfall sollte eine Lösung eingesetzt werden können, ohne dass Fachpersonal vor Ort sein muss. Dadurch können erhebliche Kosten eingespart werden, die durch die Anmietung von Sicherheitsfachleuten zum Durchführen der Installationen an jedem Standort anfallen würden. Um dieses Ziel zu erreichen, bedarf es einer echten Plug-and-Play-Lösung, die bei der Lieferung direkt einsatzbereit ist. Anfängliche Konfigurationen und Fehlerbehebungen sollten aus der Ferne ohne die Hilfe von Personal vor Ort durchgeführt werden können. Die Sensoren der Bandbreitenfreundlich Vectra S-Serie und Wenn eine Lösung installiert ist, sollte sie nur geringfügige Auswirkungen auf die normale Durchsatzleistung des Netzwerks haben. Erzeugt die Sicherheitslösung eine große Menge an Netzwerk-Overhead, könnte dies die Leistung der Anwendung am Remote-Standort verringern. Demzufolge muss jeder Sensor hinsichtlich des zusätzlichen Datenverkehrs, den er erzeugen könnte, bewertet werden, um sicherzustellen, dass dieser die benötigte Kapazität der WANVerbindungen, über die der Remote-Standort mit dem Internet und dem Firmenrechenzentrum verbunden wird, erfüllt. Die Plattformen der X-Serie können auf Netzwerke jeder beliebigen Größe und über unterschiedliche Standorte hinweg skaliert werden. Sie ermöglichen die zentralisierte Analyse, Erkennung und Korrelation von Sicherheitsbedrohungen. Volle Cybersicherheit mit der verteilten Architektur von Vectra Networks Architecture Automatische Erkennung von Angriffen während ihrer Durchführung Vectra Networks ermöglicht die automatische Erkennung von aktiven Cyberangriffen in Echtzeit. Vectra erkennt aktive Phasen eines Angriffs, einschließlich Command-and-Control, interne Reconnaissance, Lateralbewegungen sowie die Datendiebstahl eines Cyberangriffs. Die Vectra-Plattform verwendet Methoden der Data Science und des maschinellen Lernens zur Erkennung aller Angriffsphasen und bietet Report Correlate Detect Distill Capture mehrere Möglichkeiten zur Erkennung eines aktiven Cyberangriffs mit hoher Genauigkeit und verringert somit das Auftreten falscher negativer und falscher positiver Ergebnisse. Die Plattform der Vectra X-Serie überwacht passiv den Netzwerkverkehr und bietet mittels der unten aufgeführten Funktionen die Erkennung von unbefugten Zugriffen sowie die Berichterstattung in Echtzeit. Der Vectra Threat Certainty Index bietet eine visuelle Darstellung der Hosts mit Angriffsindikatoren und priorisiert die Hosts mit den höchsten Risiken. Externe Methoden der Berichterstattung über Syslog, E-Mail-Benachrichtigungen und API sind ebenfalls verfügbar. Erkannte Bedrohungen werden mittels der Vectra Host-Fingerprinting-Technologie mit den angegriffenen Hosts korreliert. Erkannte Bedrohungen werden den Hosts zugeordnet und es wird durch weitere Methoden der Data Science ein numerischer Wert für jeden Host generiert, der dessen Sicherheitsrisiko reflektiert. Zur Erkennung aller Phasen eines aktiven Cyberangriffs im Datenverkehr werden die destillierten Daten mittels Algorithmen der Data Science und des maschinellen Lernens analysiert. Datenpakete werden in Datenströme gebündelt und Protokoll-Metadaten zur Verarbeitung durch die Entdeckungstechnologie extrahiert. Die Erfassung von Netzwerkpaketen im passiven Modus ist die erste Phase der Echtzeit-Erkennung unbefugter Zugriffe. Abbildung 4: Vectra-Netzwerkarchitektur 7 | © Vectra Networks, Inc. Vectra Networks Ganzheitliche Cybersicherheit – vollständig verteilt bietet eine skalier- Die automatisierte Erkennung von aktiven Angriffen durch die Plattform der Vectra-X-Seriekann jetzt auf Remote-Standorte und interne Segmente erweitert werden, und zwar unter Beibehaltung der Einzelansicht des Risikoprofils einer Organisation. bare, verteilte Architektur, die Kunden eine uneingeschränkte Einsicht in ihr Netzwerk ermöglicht, und zwar unabhängig von der Größe und der geografischen Verteilung ihres Unternehmens. Die Plattform der X-Serie Die Software der X-Serien-Plattform ist vorinstalliert auf einem rahmenmontierbaren Gerät in Normalgröße erhältlich, das selbst auf die größten Netzwerke skaliert werden kann. Die X-Serien-Plattform kann entweder als All-in-One-Gerät zur Überwachung von Datenverkehr und Echtzeit-Erkennung von Bedrohungen oder in Kombination mit den Sensoren der S-Serie, die Datenverkehr überwachen und Metadaten von den Sensoren auswerten, eingesetzt werden. Die X-Serien-Plattform führt die Erkennung, Analyse und Korrelation der Bedrohungen auf den Metadaten von Sensoren durch. Sensoren der S-Serie Bei den Sensoren der S-Serie handelt es sich um kleine, spezielle Sensoren, die leicht an Remote-Standorten oder mit Access-Switches bereitgestellt werden können. Sensoren können in-line oder als passives Gerät zur Überwachung des Netzwerkverkehrs bereitgestellt werden und extrahieren kritische Metadaten und leiten die Metadaten zur Gefährdungsanalyse an eine X-Serien-Plattform weiter. Die kleine Größe und das einfaches Bereitstellungsmodell der S-Serie ermöglichen Unternehmen eine umfassende Abdeckung des gesamten Netzwerks, insbesondere von Remote-Standorten, einschließlich in kleinen Büros, Bankfilialen, Kliniken und Einzelhandelsfilialen. Vorteile der verteilten Architektur Die skalierbare, verteilte Architektur von Vectra Networks bietet Kunden einen beständigen Schutz vor Cyberangriffen für ihr gesamtes Unternehmen, unabhängig von der Größe und der geografischen Verteilung. Die Sensoren der S-Serie und die Plattformen der X-Serie können auf Netzwerke jeder beliebigen Größe und über unterschiedliche Standorte hinweg skaliert werden und liefern eine zentrale Analyse, Erkennung und Korrelation von Bedrohungen. Bereitstellung von Campus-Sensoren Bereitstellung von Sensoren für Remote-Standorte • • • 8 | © Vectra Networks, Inc. Am Access-Layer-Switch bereitgestellte Sensoren ermöglichen die Transparenz des User-to-User-Datenverkehrs Die am Core/Distribution-Layer bereitgestellte X-Serie ermöglicht die Transparenz des Datenverkehrs von Benutzern zum und vom Internet und korreliert von Sensoren erkannte Bedrohungen • Am Remote-Standort bereitgestellte Sensoren ermöglichen die Transparenz des Datenverkehrs an Remote-Standorten Die am Rechenzentrum bereitgestellte X-Serie ermöglicht die Transparenz des Datenverkehrs im Rechenzentrum und korreliert von Sensoren erkannte Bedrohungen Abbildung 5: Bereitstellungstopologien für verteilte Architektur Vorteile der verteilten Architektur Die verteilte Architektur von Vectra Networks bietet die folgenden Vorteile: Plug-and-Play Bereitstellung • Sensoren werden vor dem Versand durch Vectra Networks mit Kundendaten versehen. • Sensoren erhalten ihre Netzwerkkonfiguration über einen DHCP-Server im Netzwerk. Dies ermöglicht die Bereitstellung an Remote-Standorten mit wenig technischem Know-How. • Sensoren können im passiven Modus oder im In-LineModus als Bump-in-the-Wire mit Fail-Open bereitgestellt werden. Geringe Bandbreitennutzung • Der Sensor destilliert Metadaten des lokalen Datenverkehrs und sendet diese zur Gefährdungsanalyse und Berichterstattung an die X-Serie. • Die vom Sensor an die X-Serie übermittelten Metadaten werden auf weniger als 1 % der empfangenen Bandbreite komprimiert, um bei Netzwerkverbindungen mit geringer Bandbreite den Overhead zu reduzieren. Automatische zentrale Berichterstattung • Die Vectra X-Serie bietet eine einheitliche Ansicht des Risikoprofils einer Organisation durch Sammeln und Korrelieren aller erkannten Bedrohungen. • Die Vectra X-Serie ermöglicht es Sicherheitsteams, Bedrohungen basierend auf dem vom Sensor überwachten verdächtigen Datenverkehr zu filtern. • Die X-Serie bietet eine automatische Berichterstattung in Echtzeit und ermöglicht es Organisationen, mittels der verfügbaren relevanten Daten schnell auf Angriffe reagieren und Zeit und Personalkosten sparen zu können. Automatische Software-Aktualisierungen • Software-Aktualisierungen für die X-Serie über die Vectra-Cloud. • Aktualisierungen werden automatisch von der X-Serie auf den Sensor heruntergeladen. Erweiterte originalgetreue Transparenz des Datenverkehrs • Remote-Standorte sind Schwachstellen in der Angriffsoberfläche. Sensoren können zur Stärkung der Netzwerksicherheit an Remote-Standorten leicht an solchen Remote-Standorten bereitgestellt werden. • Sensoren können auf internen Segmenten mit wichtigen Assets bereitgestellt werde, um eine laterale Ausbreitung und Datenakkumulation zu erkennen. Abbildung 6: Ansicht der Gefahrenerkennung in der X-Serie Zusammenfassung Die Vectra-Technologie setzt dort an, wo Perimetersicherheit aufhört. Die Bereitstellung einer gründlichen, kontinuierlichen Analyse des internen und Internet-Netzwerkverkehrs ermöglicht somit die automatische Erkennung aller Phasen eines unbefugten Zugriffs. Vectra Networks bietet eine skalierbare, verteilte Architektur, um sicherzustellen, dass Kunden eine uneingeschränkte Einsicht in ihre Netzwerke ermöglicht wird, und zwar unabhängig von der Größe und der geografischen Verteilung ihres Unternehmens. Die Sensoren der S-Serie und die Plattformen der X-Serie können auf Netzwerke jeder beliebigen Größe und über unterschiedliche Standorte hinweg skaliert werden und liefern eine zentrale Analyse, Erkennung und Korrelation von Sicherheitsbedrohungen. 9 | © Vectra Networks, Inc.
© Copyright 2025 ExpyDoc