Wer zum ersten Mal von Network Traffic Analysis (NTA) hört, denkt wahrscheinlich zu aller erst an klassisches Network-Monitoring, doch Network Traffic Analysis geht viel weiter als das.
Bei der Network Analysis geht im Kern um das Abfangen und Untersuchen von Datenpaketen, um Rückschlüsse auf die beinhaltete Information aus den wiederkehrenden Mustern der Kommunikation zu ziehen.
Die allgemeine Regel lautet: Je mehr Datenpakete abgefangen oder überwacht wurden, desto mehr können ordentliche Rückschlüsse auf den Inhalt eines Nachrichtenflusses gezogen werden.
Dazu ein kurzes Beispiel:
Für ein IDS oder IPS-System ist es einfach, eine Regel zu schreiben, die besagt: „Werden Verbindungen ins Tor-Netzwerk versucht aufzumachen, tue ich X:“.
Anders sieht das aus, wenn man Regeln sinnvoll implementieren will wie: „Schlage an, wenn vom Fileserver im Zeitraum X doppelt so viele Daten abfließen wie im 2-wöchigen Durchschnitt.“
Tools und Systeme, die heute versuchen, die Network Traffic Analysis technisch umzusetzen (Network Detection and Response, kurz NDR), versuchen diese Lücke zwischen Zeit und Wissen zu schließen.
Indem Verkehrsteilnehmer innerhalb der Netzwerkkommunikation identifiziert werden, in welcher Beziehung sie zu einander stehen und ihnen ihr jeweiliges typisches Verhalten zugeschrieben wird, soll das Detektieren bösartiger Absichten weitestgehend automatisiert werden.
Dies wiederum soll IT-Security-Personal in die Lage versetzen, für das jeweilige Unternehmen passgenaue Regeln zur Bedrohungserkennung zu implementieren, um ihnen so das Threat Hunting zu vereinfachen sowie auch um Incident Response Workflows zu befeuern.
Ein Security Operation Center (SOC) zu betreiben, ist heute gleichbedeutend damit, ein Security Information and Event Management (SIEM) Produkt zu benutzen. Es ist das Rückgrat des SOC und aufkommende NDR Produkte werden daran auch nichts ändern. Viel mehr werden sie in den kommenden Jahren zur zweiten essentiellen Säule des SOC.
SIEM basiert im Schwerpunkt auf den gesammelten Logs, die auf den überwachten Geräten konfiguriert wurden. NDRs, die die Network Traffic Analysis durch viel Machine Learning anwenden, sind hiervon unabhängig. Wenn SIEM das Skelett eines SOC darstellt, so werden NDRs durch die Network Traffic Analysis zu den Muskeln des SOC.
Wir verwenden Cookies, und Google reCAPTCHA, das Google Fonts lädt und mit Google-Servern kommuniziert. Durch die weitere Nutzung unserer Website stimmen Sie der Verwendung von Cookies und unserer Datenschutzerklärung zu.