Cybersicherheit
Sicherung der Infrastruktur gegen Ransomware – Thought Leaders
Von Dr. Aviv Yehezkel, Mitgründer und CTO, Cynamics
Von Krankenhäusern bis hin zu Schulen und Fleischverarbeitungsbetrieben ist keine Branche für Ransomware-Angreifer unbedeutend. Ransomware wird allein in diesem Jahr US-Unternehmen 3,68 Milliarden Dollar kosten. Netzwerk- und Sicherheitsoperatoren benötigen eine umfassende Netzwerkabdeckung, um Ransomware-Angriffe zu verhindern und zu mildern. Die zunehmende Komplexität der Architekturen – darunter Legacy-On-Premises-, Virtual- und Cloud-Komponenten, die im Netzwerk ausgeführt werden – hat es fast unmöglich gemacht, eine vollständige Sichtbarkeit zu erlangen. Der Status quo funktioniert nicht. Ein neuer Ansatz ist erforderlich.
Aktuelle Lösungen können die Netzwerkanforderungen nicht erfüllen
Zusätzlich zu ihrer zunehmenden Komplexität sind Netzwerke auch in Größe, Umfang und Volumen gewachsen. In allen Branchen verarbeiten diese Netzwerke enorme Datenmengen, die weiterhin an Volumen zunehmen und mehr Endgeräte, mehr Konnektivität (intern und extern) und mehr Netzwerksites (physisch und/oder logisch) umfassen. Während die Netzwerke exponentiell an Größe und Komplexität zunehmen, verlassen sich die meisten Sicherheitslösungen immer noch auf traditionelle Ansätze wie Appliances und Agents. Und diese sind nicht für diese Level an Komplexität und Datenmengen konzipiert.
Aktuelle Netzwerkerkennungs- und Reaktionslösungen (NDR) basieren immer noch auf einem Ansatz, der für Netzwerke aus einfacheren Zeiten gedacht ist. Die Lösungen sind mühsam, teuer in der Implementierung und abnehmend effektiv. Sie erfordern das Platzieren von Appliances, Sensoren und/oder Sonden, die Netzwerkdaten sammeln und analysieren. Es ist jedoch nicht möglich, das gesamte Netzwerk mit diesen Appliances abzudecken. Sie erfordern die Analyse von 100 % der Netzwerkdaten – was nicht praktikabel ist. Das zwingt Unternehmen dazu, jeden Tag Kompromisse einzugehen, indem sie die Abdeckung und Erkennung auf kleine Teile des Netzwerks beschränken und den größten Teil des Netzwerks als verletzliche Blindzone lassen.
Darüber hinaus verwenden die meisten NDR-Anbieter einen appliance-basierten Ansatz, der Ports zum Analysieren des Netzwerkverkehrs abzapft oder überwacht. Dies skaliert nicht leicht und erweitert die Angriffsfläche eines Unternehmens als direktes Hintertürchen in das Kernnetz des Kunden, wie es letztes Jahr bei den Lieferkettenangriffen “Pandemie” so oft zu beobachten war. In der heutigen vernetzten digitalen Umgebung versagt dieser Ansatz darin, ausreichende Transparenz über zunehmend komplexe intelligente Netzwerke zu bieten und lässt Organisationen anfällig für Blindspots.
Probleme mit Sichtbarkeit und Neuheit
Die meisten Ransomware-Angriffe beginnen mit einem Netzwerkangriff, der in der Regel durch eine Schwachstelle in der Netzwerkperipherie ermöglicht wird. Und die Bösewichte werden beginnen, sich durch Ihr Netzwerk zu bewegen und versuchen, den Schaden zu maximieren, von einem Ort zum anderen zu springen, bis sie genügend Hosts infiziert haben, um für den Angriff verwendet zu werden. Sie werden die Blindspots finden, die nicht überwacht werden – wenn Sie Bereiche unbedeckt lassen, schaffen Sie viel Raum für Cyberkriminelle, um sich einzuschleichen.
Es gibt noch ein weiteres erhebliches Problem: Mit den meisten Erkennungslösungen bleibt Neuheit unerkannt. Sie sind trainiert, nach sehr spezifischen Signaturen und Regeln zu suchen, die mit bekannten Ransomware-Aktivitäten in Verbindung stehen. Aber neue Variationen und Arten von Ransomware-Angriffen werden ständig entwickelt – und selbst eine geringe Abweichung von den Signaturen, auf die diese Tools trainiert sind, kann dazu führen, dass der Angriff unerkannt bleibt.
Die Rolle von KI und ML
Menschliche Analysten, so intelligent und fähig sie auch sein mögen, können die heutigen Netzwerke nicht allein überwachen – und Sie können das gesamte Netzwerk nicht mit Appliances und Agents abdecken. Aber es ist keine Option, Teile des Netzwerks unbedeckt zu lassen. Angreifer und Cyberkriminelle sind immer auf der Suche nach Wegen, um einzudringen und sich einzuschleichen.
Wie können Sie diese Herausforderungen überwinden? KI- und ML-Techniken können eine Schlüsselrolle bei der Netzwerkerkennung und Reaktion spielen. ML kann verwendet werden, um das Verhalten des gesamten Netzwerkverkehrs zu erschließen, basierend auf einer Stichprobe von nur einem kleinen Bruchteil der Netzwerkdaten. Und dann kann es automatisch lernen, ob ein Netzwerkmuster legitim oder verdächtig ist und autonom “verstehen”, wie sich Trends im Netzwerk ändern.
Was ML und KI so nützlich macht, ist ihre Fähigkeit, die verborgenen Muster zu erkennen, die Angriffe signalisieren – um zu enthüllen, was sich tatsächlich auf Netzwerken in Echtzeit abspielt. Dies eliminiert die unpraktische und teure Notwendigkeit, das gesamte Netzwerk abzudecken. Dies hilft auch, das oben erwähnte Problem zu lösen, dass neue Formen von Ransomware-Angriffen ständig entwickelt werden.
Innovation erforderlich
Ransomware ist unerbittlich. Es ist offensichtlich, dass herkömmliche Sicherheitslösungen nicht funktionieren oder mit der sich entwickelnden Bedrohungslandschaft Schritt halten. Es ist eine Geißel, die Organisationen Milliarden von Dollar kostet; es scheint unaufhaltsam, doch es muss gestoppt werden. Aber das ist leichter gesagt als getan, wenn die meisten Netzwerke zunehmend komplexer werden und eine Mischung aus Legacy- und neuen Komponenten umfassen.
Cyberkriminelle nutzen KI, also müssen auch Netzwerkbetreiber dies tun. Eine neue Sicherheitsstrategie sollte AI-gesteuerte, stichprobenbasierte NDR-Lösungen umfassen. Lösungen dieser Art verwenden einen kleinen Teil des Netzwerkverkehrs, um zu lernen, was normal für das gesamte Netzwerk ist, und ermöglichen so eine Sichtbarkeit, die sonst nicht möglich wäre. Es ist ein Beispiel für die Art von innovativen Lösungen, die erforderlich sind, um Ransomware und viele andere Netzwerkbedrohungen im Einsatz heute zu überwinden.
