Cyber-Sicherheit der nächsten Datacenter-Generation

Eine Self Organizing Map hilft bei der Prävention von Cyber-Angriffen

| Autor / Redakteur: Thorsten Henning* / Ulrike Ostler

Prävention ist auch in Rechenzentren ratsam. Doch wer sagt, dass das ohne Aufwand möglich ist?
Prävention ist auch in Rechenzentren ratsam. Doch wer sagt, dass das ohne Aufwand möglich ist? (Bild: © Sherry Yates/ Fotolia.com)

Bei Cyber-Angriffen kommt heute eine zunehmend anspruchsvollere Reihe von Techniken zum Einsatz. Automatisierung und maschinelles Lernen sind die Trends bei der Cyber-Sicherheit für Rechenzentren. Sie helfen bei der Prävention, dem ultimativen Schutz.

Sicherheitslösungen zur ausschließlichen Erkennung und Reaktion auf Angriffe haben es schon jetzt schwer, mit den Bedrohungen von heute Schritt zu halten. Sind mehrere punktuelle Lösungen für verschiedene Sicherheitsaufgaben im Einsatz, kommen immer wieder Alarmmeldungen und Warnungen aus verschiedenen Quellen. Sicherheitsteams müssen diese Ergebnisse analysieren, Berichte erstellen, gegebenenfalls Schäden beseitigen und Regeln aktualisieren. Nebenbei sollen sie die unterschiedlichen Sicherheitslösungen verwalten.

Vor allem die Bedrohungsanalyse ist nicht in beliebigem Umfang auf manuelle Weise zu stemmen. Viele Prozesse sind zudem komplex, oft gibt es Redundanzen. Identische Regelsätze werden möglicherweise doppelt verwaltet im Netzwerk. Dadurch sind manuelle Prozesse zeitaufwändig, fehleranfällig und es fehlt oft der Überblick, um Zusammenhänge zu erkennen, die aus präventiver Sicht nützlich wären. Und Prävention ist heute unverzichtbar.

Prävention durch Sichtbarkeit, Interaktion und Automatisierung

Effektive Prävention ist nur möglich durch Sichtbarkeit, Interaktion und Automatisierung. Erst was sichtbar ist, lässt sich gut schützen. So muss eine zeitgemäße Sicherheitsarchitektur die Möglichkeit bieten, alle Anwendungen, Benutzer und die einzelnen Geräte im Netzwerk zu erfassen. Nur so lassen sich Angriffe, die Nicht-Standard-Ports, -Protokolle oder SSL-Verschlüsselung nutzen, verhindern.

Dies erfordert eine plattformbasierte Lösung aus tiefgreifend integrierten Komponenten, die zusammenarbeiten. Dadurch kann jede Komponente innerhalb des Systems intelligenter agieren und seinen Teil zu einer umfassenden Prävention beitragen.

Ein hohes Maß an Automatisierung ist zudem notwendig, um ständig neue Abwehrmaßnahmen erlernen und anzuwenden, ohne dass dafür manuelle Eingriffe erforderlich sind. Weniger kritische und mittelkritische Vorfälle müssen automatisch bewältigt werden, damit sich Sicherheitsverantwortliche auf diejenigen Vorfälle mit höchster Priorität konzentrieren können.

Vorbeugen ist besser als heilen

Ziel des präventiven Ansatzes ist es, Angriffe in jeder Phase ihres Lebenszyklus zu verhindern und von vornherein die Gesamtangriffsfläche zu verringern. Dadurch soll es für Hacker sehr viel schwieriger, zeit- und kostenaufwändiger – und damit unattraktiver – gemacht werden, in ein Netzwerk einzudringen und dieses vertikal zu durchdringen.

Entscheidend ist, dass die Sicherheitslösung automatisiert gezielte Angriffe verhindert, bei denen auch bislang unbekannte Bedrohungen in Form von Malware und Zero-Day-Exploits zum Einsatz kommen. Hierzu müssen ständig neue Bedrohungsdaten korreliert werden, um automatisch neue präventive Überwachungsmaßnahmen zu erstellen und einzuleiten.

Drei Komponenten sind entscheidend

Einige Hersteller im Sicherheitsumfeld bieten integrierte und hochgradig automatisierte Sicherheitsplattformen als Antwort auf die heutige Bedrohungssituation. Hierbei kommen in der Regel mehrere Komponenten zum Einsatz, wovon drei ganz entscheidend sind: eine so genannte Next-Generation-Firewall, eine Analyse-Cloud und ein intelligenter Endpunktschutz.

  • Next-Generation-Firewalls inspizieren den gesamten Netzwerkverkehr, sorgen für die sichere Ausführung von Anwendungen, senden unbekannte Bedrohungen an eine Analyse-Cloud und blockieren netzwerkbasierte Bedrohungen.
  • Die Analyse-Cloud erfasst potenzielle Bedrohungen sowohl über das Netzwerk als auch über Endpunkte, analysiert und korreliert die Bedrohungsdaten und verteilt Präventionsmechanismen an das Netzwerk und die Endpunkte.
  • Ein intelligenter Endpunktschutz schützt stationäre, virtuelle und mobile Endpunkte, indem alle Prozesse und Dateien überprüft und Exploits verhindert werden.

Alle drei und gegebenenfalls weitere Komponenten müssen nativ integriert sein. Die Plattform sollte zudem problemlos skalierbar und erweiterbar sein, um mit den Anforderungen des Rechenzentrums mitwachsen zu können.

Automatisierung in vier Bereichen der Netzwerksicherheit

Durch Automatisierung lassen sich Redundanzen vermeiden. Automatisierung kann zudem menschliches Versagen an den entscheidenden Stellen verhindern oder zumindest deutlich reduzieren. Der Austausch sowie die Verwertung vorhandener Informationen werden dabei verbessert. Generell betrifft Automatisierung vier wichtige Bereiche der Netzwerksicherheit im Rechenzentrum:

Automatisierung im Bereich der Netzwerkeinrichtung ermöglicht die Konfiguration von Firewalls und Regeln, indem Duplizierung verhindert wird und Prozesse gestrafft werden mittels Automatisierungstools wie Templates, Template-Stacks und Gerätegruppen.

Automatisierung im Bereich des Netzwerk-Managements gewährleistet, dass Netzwerk und Regeln immer auf dem neuesten Stand sind – mittels Funktionen wie SIEM-Integration oder Security Policy Orchestration.

Ein weiterer Bereich der Netzwerksicherheit, bei dem Automatisierung unverzichtbar ist, ist die Bedrohungsanalyse und -erkennung. Dieser Bereich konzentriert sich auf den automatischen Schutz vor bekannten und unbekannten Bedrohungen mittels eingehender Analyse sowie auf die Prävention, um erfolgreiche Angriffe zu verhindern. Dies ermöglicht es auch, dass unterschiedliche Sicherheitstechnologien voneinander lernen können. Automatisierte Bedrohungskorrelation, eine gemeinsame Sicherheitsregelbasis und ähnliche Funktionen tragen dazu bei, Prozesse zu straffen.

Der Autor des Artikels ist Thorsten Henning, Senior Systems Engineering Manager Central und Eastern Europe bei Palo Alto Networks.
Der Autor des Artikels ist Thorsten Henning, Senior Systems Engineering Manager Central und Eastern Europe bei Palo Alto Networks. (Bild: Palo Alto Networks)

Automatisiertes Bedrohungsanalyse-Management als vierter Bereich schließlich, konzentriert sich auf den kontinuierlichen, ständig aktualisierten Schutz durch automatisierte Updates für Software, Signaturen und andere Sicherheitskomponenten.

Entscheidend ist es, die gewonnene Daten intelligent zu nutzen

Entscheidend ist es, die aus dem permanenten Betrieb der Sicherheitsplattform gewonnenen Daten in Kombination mit maschinellem Lernen zu nutzen, um zuverlässigere Echtzeit-Entscheidungen über Aktivitäten in der Netzwerkumgebung zu treffen. Hier kommt beispielsweise eine neuronale Vernetzungstechnik nach dem Prinzip der so genannten Self Organizing Map (SOM) zum Einsatz, um Echtzeitprofile für alle Benutzer im gesamten Unternehmen zu generieren.

Eine SOM ist eine Art von künstlichem, neuronalen Netzwerk, das einen unüberwachten Lernalgorithmus verwendet, um eine niedrigdimensionale Darstellung des Inputs zu erzeugen. Das dabei zugrundeliegende Prinzip der „selbstorganisierenden Karten“ bedeutet, dass die Klassenzugehörigkeit der Eingabevektoren in der Lernphase nicht bekannt sein muss.

SOMs verwenden eine so genannte Nachbarschaftsfunktion, um die topologischen Eigenschaften der Inputdaten zu bewahren. Für die niedrigdimensionale Darstellung kommt eine Komprimierungstechnik, die als Vektorquantisierung bekannt ist, zum Einsatz. Damit können hochdimensionale Daten in viel niedrigeren Dimensionsräumen, in der Regel eine oder zwei Dimensionen, abgebildet werden.

Der Vorteil von SOMs ist, dass keine Korrelation von großen aggregierten und indizierten Daten erforderlich ist, sondern nur eine konstante Zufuhr von benutzerbezogenen Inputdaten. Diese werden geliefert von den Firewalls und vom Endpunktschutz. Basierend auf diesen Inputs kann eine SOM äußerst zuverlässig entscheiden, was als normales Verhalten innerhalb der Umgebung einzustufen ist und was nicht. Aktivitäten im Netzwerk, die von den definierten Normen abweichen, werden automatisch isoliert, um Bedrohungen zu verhindern.

Automatisierung und maschinelles Lernen für bessere Prävention

Sicherheitsanbieter, die auf Automatisierung und Prävention setzen, wollen sich nicht damit abfinden, dass Sicherheitsverletzungen unvermeidlich sind. Bislang wurde Unternehmen nahegelegt, die knappen Ressourcen im Rechenzentrum auf eine schnelle Erkennung und Reaktion zu konzentrieren, um die Auswirkungen zu minimieren. Je später im Angriffszyklus eine Sicherheitsverletzung aber erkannt wird, desto gravierender sind die negativen Auswirkungen.

Wiederherstellung und Sanierung werden dadurch aufwändiger. Im schlimmsten Fall hat ein Cyberangriff bereits negative Auswirkungen auf die Produktivumgebung, bis hin zum absoluten Worst-Case-Szenario, dass der Betrieb des Rechenzentrums komplett zum Erliegen kommt.

Automatisierung und maschinelles Lernen tragen mittlerweile zu effektiver Prävention maßgeblich bei. Eine moderne integrierte Sicherheitsplattform macht die vielen manuellen Prozesse überflüssig, die der Betrieb mehrerer separater Sicherheitsprodukte erfordert. Die Automatisierung übernimmt einen Großteil der Arbeit, während der Einsatz von maschinellem Lernen zuverlässige automatisierte Entscheidungen unterstützt. Dadurch ist effektive Prävention durchaus realisierbar.

* Thorsten Henning ist Senior Systems Engineering Manager Central und Eastern Europe bei Palo Alto Networks.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44427297 / Software)