Technologien für mehr Transparenz im Firmennetz

Künstliche Intelligenzen als Unterstützung beim sicheren Betrieb der IT

Auf den ersten Blick mögen AIOps-Plattformen (Artificial Intelligence for IT Operations) nur dann sinnvoll erscheinen, wenn es um das Monitoring von Netzen geht. Sie sind aber auch in der Lage, einzigartige Einblicke in die eigene aktuelle Sicherheitslage zu gewähren. So kann ein AIOps-Tool etwa Anomalien im Traffic-Fluss erkennen und dann Alarme auslösen. Veränderungen im Datenfluss können auf Malware oder die gerade stattfindende Ausbreitung eines Angriffs hinweisen. Das Überwachen solcher Verbindungen ist äußerst nützlich, um diese Art von Sicherheitsverletzungen zu erkennen und zu isolieren.

Die in einer AIOps-Plattform enthaltene KI (künstliche Intelligenz) ist außerdem im Stande, Konfigurationsfehler bei der eingesetzten Infrastrukturhardware und auf den Endgeräten zu erkennen, die das Netzwerk ansonsten verwundbar gegenüber Cyberattacken machen. Diese Analysen können automatisiert werden. Außerdem lassen sie sich einsetzen, um die erkannten Schwachstellen zu schließen und um die Zeit bis zur Behebung der Sicherheitslöcher teilweise erheblich zu reduzieren.

Fortgeschrittene Dienste zur Threat Intelligence

Bei der Überwachung von Netzwerken zur Abwehr von Bedrohungen versuchen manche Lösungen, vor allem aus dem Bereich Threat Intelligence, neuen Gefahren bereits im öffentlich zugänglichen Internet auf die Schliche zu kommen. Viele der großen Sicherheitsanbieter haben solche Dienste bereits im Portfolio. Sie nutzen sie, um zahlreiche Daten zu erfassen, während sie noch das Internet durchqueren. Diese Daten werden dann in großem Umfang analysiert, um neue internetbasierte Gefahren schneller erkennen zu können.

Sobald eine neue Bedrohung aufgespürt wurde, kann der Threat-Intelligence-Anbieter Updates und Patches an die durch die Kunden genutzten Sicherheits-Tools verteilen. Dazu gehören Produkte zum Schutz der Endpoints vor Malware in den Unternehmen, aber auch Firewalls und IPS-Systeme (Intrusion Prevention Systems). Auf diese Weise erhalten Firmen nicht nur mehr Informationen darüber, was in ihren LANs und WANs geschieht, sondern auch über Ereignisse im Internet.

Managementplattformen für hybride und Multi-Cloud-Umgebungen

In Zeiten, in denen die Netzwerkarchitekturen weit über das Firmennetz hinaus bis in durch andere Unternehmen gemanagte Cloud-Strukturen reichen, muss das Thema Transparenz auch die genutzten Anwendungen sowie das Thema Performance für die Endnutzer umfassen. Das gilt gerade auch aus Security-Sicht.

Managementplattformen für hybride und Multi-Cloud-Umgebungen sorgen für mehr Transparenz, indem sie einen zusätzlichen virtuellen Layer über sowohl private als auch Cloud-Netze bereitstellen. Dieses Overlay fügt unterschiedlichste Netzwerkinfrastrukturen zusammen, so dass sie wie ein einziges Firmennetz genutzt werden können, das sich zentral managen und überwachen lässt.

Advanced Security Information and Event Management

Traditionelle SIEM-Plattformen (Security Information and Event Management) erhalten aus unterschiedlichsten Quellen Log-Dateien und Daten über sicherheitsrelevante Ereignisse. Die gesammelten Informationen werden dann kombiniert und genutzt, um Angriffe und Einbruchsversuche in ein Firmennetz zu erkennen.

Manche SIEM-Anbieter haben bereits damit begonnen, zusätzlich zu den schon bislang gesammelten Log- und Event-Daten auch den Traffic im Netzwerk und die übertragenen Datenpakete zu überwachen und zu analysieren.

Dieser erweiterte Einblick in das Netzwerk ermöglicht ein detaillierteres und besser verständliches Bild der auftretenden sicherheitsrelevanten Ereignisse. Zu den erfassten Daten gehören dann nicht nur die Security-Events, die aus den Log-Dateien und Event-Messages stammen, sondern auch die teilweise äußerst granularen Informationen aus den im Netz per Network Capture aufgezeichneten Datenpaketen. Durch diese Kombination lassen sich neue Bedrohungen ebenfalls schneller aufdecken.