Künstliche Intelligenz im Dienste der Netzwerksicherheit. Teil 1

    2017 kündigte die Aruba-Netzwerksparte von Hewlett Packard Enterprise eine umfassende Netzwerksicherheitslösung für Aruba 360 Secure Fabric an. Diese Lösung bietet einen 360-Grad-Schutz des Unternehmensnetzwerks vor Bedrohungen von außerhalb und innerhalb des Netzwerks in einem sich ständig ändernden Sicherheitsbereich, wobei drahtlose Geräte und Cloud-Dienste aufkommen.



    Die Lösung basiert auf mehreren Schlüsselkomponenten. Zunächst ist es eine sichere und vertrauenswürdige Infrastruktur. Aruba-Netzwerkgeräte wurden von Anfang an im Hinblick auf maximale Sicherheit entwickelt. Moderne Controller können unter Berücksichtigung der Deep-Packet-Inspection-Funktion (DPI) eine schnelle Verarbeitung (bis zu 100 Gbit / s) des Netzwerkverkehrs durchführen. Dies hängt mit der Entstehung eines speziellen Advanced Monitoring Protocol (AMON) zusammen, das eine große Menge verschiedener Informationen zwischen WLAN-Controllern und dem Steuerungssystem überträgt und als zusätzliche Informationsquelle für Sicherheitssysteme dient.

    Die nächste Komponente der Aruba 360-Fabrik ist das Aruba ClearPass-Infrastrukturzugriffskontrollsystem, das zur Familie der Softwareprodukte mit dem gemeinsamen Namen Network Access Control (NAC) gehört. Dieses Produkt verdient eine detaillierte Betrachtung und wir planen, ihm eine eigene Artikelserie zu widmen. Beginnen wir mit der Überlegung, warum es unter modernen Bedingungen unmöglich ist, sich ausschließlich auf die Netzwerksicherheit zu verlassen und woher der Bedarf an SIEM-Systemen kommt.

    Der Sicherheitsbereich basiert auf der tiefen Integration von Partnerlösungen, die sich an der Kreuzung mit ungeschützten Netzwerken und dem DMZ-Segment befinden. Hierbei handelt es sich um Geräte, die Firewall-Funktionen bereitstellen, die Signaturanalyse der übergebenen Daten durchführen, mit verschlüsseltem Datenverkehr arbeiten, kryptografische Prüfung durchführen usw.

    Für Eindringlinge ist es schwierig, die oben genannten klassischen Sicherheitssysteme zu überwinden, die den Umkreis von Unternehmensnetzwerken schützen. Daher wählen sie häufig einen anderen Ansatz für Angriffe. Der Angriff kann auf der Grundlage der Einführung und Verbreitung von Schadcode durch die Ausrüstung der Mitarbeiter des Unternehmens aufgebaut werden. Ein legitimer Benutzer kann sein Unternehmensgerät unbeaufsichtigt verlieren oder verlassen und sich mit unsicheren öffentlichen WLAN-Netzwerken verbinden. Eine andere übliche Methode zum Erstellen eines Startpunkts für einen Angriff besteht darin, einen falschen Link an den Benutzer zu senden oder ihm einen schädlichen E-Mail-Anhang zu senden, der es Ihnen ermöglicht, den schädlichen Code anschließend auf dem Computer eines legitimen Benutzers einzufügen. In letzter Zeit sehen wir zunehmend Beispiele für bösartige Aktionen mit IoT-Geräten.

    Manchmal kann ein Mitarbeiter einer Organisation ein Angreifer werden und anfangen, wertvolle Unternehmensdaten zum Zweck der Erpressung oder des kommerziellen Gewinns zu sammeln. Im vergangenen Jahr wurden Erpresser wie WannaCry und Pyetya immer beliebter. Vor dem Aufkommen von selbstverlöschender Ransomware wurde Malware auf drei Arten verteilt: per Download von Websites, per E-Mail oder von physischen Medien, beispielsweise von schädlichen USB-Geräten. Um ein Gerät oder ein System mit einem Erpresserprogramm zu infizieren, war daher auf die eine oder andere Weise menschliche Beteiligung erforderlich.

    Die Angreifer haben gelernt, Social-Engineering-Techniken einzusetzen, und diese Fähigkeiten werden sich in Zukunft nur noch verbessern. Laut Analystenberichten werden nur 26% der Probleme gelöst, wenn sich ein Unternehmen ausschließlich auf Technologien zur Reduzierung von Sicherheitslücken stützt. Wenn Organisationen nur Richtlinien zur Lösung von Sicherheitsproblemen verwenden, werden nur 10% der Probleme beseitigt. und wenn sie nur Benutzerschulung verwenden - nur 4%. Daher ist es notwendig, alle drei Sicherheitsaspekte insgesamt zu kontrollieren. Hinzu kommt der akute Mangel an qualifiziertem IT-Personal, das in der Lage ist, Informationen zu Netzwerkereignissen in kürzester Zeit zu verarbeiten und ein eindeutig korrektes Sicherheitsstatusurteil zu treffen.

    In diesem Fall können sogenannte SIEM-Systeme (Security Information and Event Management) helfen, eine Vielzahl von Informationssicherheitsereignissen sammeln und Netzwerksicherheitszentren (SOC) bei der Analyse von Ereignissen und beim Erstellen von Berichten unterstützen. Aber auch sie können, wie sich herausgestellt hat, aufgrund der Mühsamkeit der Informationsverarbeitung durch eine Person und einer großen Anzahl von Fehlalarmen nicht die ganze Vollständigkeit des Bildes vermitteln. Laut dem analytischen BerichtFür kleine Unternehmen mit einem Einkommen von weniger als 100 Millionen US-Dollar dauert die Untersuchung des Vorfalls etwa 10 Minuten. In Unternehmen mit einer Mitarbeiterzahl von 1001 bis 5000 kann bei 26 der 85 befragten Unternehmen die Zeit für die Untersuchung eines Vorfalls zwischen 20 Minuten und einer Stunde betragen. Die wichtigsten Ergebnisse dieser Statistik könnten sein, dass wenn jeder Analytiker so viel Zeit darauf verwendet, einen Sicherheitsvorfall zu untersuchen, und es 10 oder mehr solcher Vorfälle geben kann, dann kann die Untersuchung von Sicherheitsvorfällen alle verfügbaren Personalressourcen der Mitarbeiter erschöpfen.

    Dem gleichen Bericht zufolge können SIEM-Systeme bis zu 10.000 Ereignisse pro Minute generieren. Dazu gehören Fehlalarme, die manchmal eine sofortige Personalanalyse erfordern. Die Trennung eines Signals vom Rauschen ist bei SIEM-Systemen keine leeren Wörter. In diesem Fall können Systeme mit künstlicher Intelligenz von Sicherheitsabteilungen unterstützt werden. Fortsetzung folgt!

    Jetzt auch beliebt: