Blockieren von Bedrohungen, bevor sie den Endpunkt erreichen
Wenn Sie die Uhr um einige Sekunden zurückdrehen, haben Sie möglicherweise die Möglichkeit, eine Bedrohung im Netzwerk zu erkennen oder zu blockieren, bevor sie überhaupt den Zielhost erreicht. Die netzwerkbasierte Bedrohungserkennung hat den Vorteil, dass mehr Ressourcen für das Erkennungsproblem bereitgestellt werden können, da nicht versucht wird, Ressourcen mit dem Rest des Betriebssystems des Endpunkts zu teilen. Daher können diese Lösungen manchmal Bedrohungen erkennen, deren Erkennung auf dem Endpunkt unpraktisch wäre. Netzwerkschutzsysteme haben jedoch die gleiche Einschränkung wie Endpunkte: Sie müssen in der Lage sein, eine Bedrohung innerhalb von Millisekunden zu identifizieren, um eine Bedrohung blockieren zu können, ohne die Leistung merklich zu beeinträchtigen. Unter der Annahme, dass die Netzwerktransaktion vor der erfolgreichen Zustellung und Ausführung der Bedrohung auf dem Ziel stattfinden muss, arbeiten Netzwerkdurchsetzungslösungen im Fenster vor n – 100 ms. Eine Netzwerkerkennungslösung kann sich von einer Netzwerkschutzlösung darin unterscheiden, dass das System, wenn das Blockieren nicht erforderlich ist, eine Bedrohung weiter analysieren kann, nachdem sie an den Zielhost übermittelt wurde, und später vor der Bedrohung warnen kann, sobald sie erkannt wurde es. Dies bedeutet, dass eine IDS-Lösung nach ungefähr n + 10 Sekunden im Bereich arbeitet. Dies ist der grundlegende Unterschied zwischen einem Intrusion Detection System (IDS) und einem Intrusion Prevention System (IPS). Ein IDS kann nur Bedrohungen identifizieren, während ein IPS auch versucht, Bedrohungen zu blockieren, die es erkennen kann, bevor die Netzwerkverbindung hergestellt ist. Leider kann es einige Minuten (oder länger) dauern, bis einige Advanced Persistent Threats erkannt werden, und sie können nicht in Echtzeit blockiert werden.
Da Netzwerkschutz- oder Erkennungslösungen Ressourcen schützen können, unabhängig davon, ob sie durch eine Endpunktlösung geschützt werden, bietet eine Kombination aus Netzwerk- und Endpunktlösungen die beste Möglichkeit, Bedrohungen zu blockieren oder zumindest zu identifizieren. Allerdings werden selbst die besten Erkennungstools neuere oder fortschrittlichere Bedrohungen letztendlich übersehen.
Katastrophe verhindern mit Protokollanalyse
Fortgeschrittene Bedrohungen können selbst die beste Endpunkt- oder Netzwerksicherheitslösung umgehen. Die Protokollanalyse ist oft Ihre letzte Verteidigungslinie. Viele Sicherheitslösungen bieten einige Protokollierungsfunktionen, und wenn Protokolle in einem SIEM aggregiert werden, können Korrelationen zwischen in diesen Protokollen erfassten Ereignissen dabei helfen, Warnungen zu identifizieren, die von anderen Erkennungsmechanismen übersehen wurden. Manchmal können Ereignisse harmlos erscheinen, aber im Zusammenhang mit anderen Erkennungen können sie darauf hindeuten, dass sich eine Verletzung über das ursprünglich erwartete Ausmaß hinaus ausgebreitet hat.
Die Vor- und Nachteile der Protokollanalyse sind eins. Jeder Protokolleintrag stellt ein anderes kleineres Ereignis dar, das aufgetreten ist. Dies kann ein Ereignis im Netzwerk, sogar auf einem Server, ein Ereignis auf einem Endpunkt oder sogar ein Ereignis einer einzelnen Anwendung oder eines einzelnen Dienstes sein. Damit der Protokolleintrag existiert, musste die Aktion bereits stattgefunden haben. Unter diesen Umständen wird der Protokolleintrag mindestens bei n + 1 ms erstellt. Das Protokoll muss dann beim SIEM gesammelt und aggregiert werden. Aus Gründen dieser Übung sagen wir, dass Protokolleinträge stündlich erfasst werden. Der Protokolleintrag gelangt also nach n + 60 Minuten ins SIEM. Abhängig von der Komplexität des Ereignisses kann das SIEM es sofort identifizieren oder vielleicht nur, wenn das Ereignis mit einem anderen Ereignis korreliert wird. Dieser Zeitraum ist variabel, sodass das Event Stunden, Tage oder Wochen dauern kann, bevor seine Relevanz bemerkt wird.
Kurz gesagt, die Protokollanalyse kann per Definition nur eine forensische Erkennung bieten, da die wichtigen Informationen immer „nach der Verletzung“ kommen. Trotzdem ist diese Erkennung von entscheidender Bedeutung, da sie die einzige Datenquelle zu Bedrohungen ist, die alle anderen Erkennungen umgangen oder ihnen entgangen sind.
Gerade rechtzeitig"
Netzwerk- und Endpunktlösungen arbeiten eng um das „Kompromissereignis“ herum und wirken sich jeweils auf die „Zeit bis zur Erkennung“ aus. Abhängig von der Komplexität der Bedrohung kann die Erkennungszeit vor dem kompromittierenden Ereignis liegen oder einige Zeit nach dem Ereignis. Die Protokollanalyse hängt häufig von Faktoren zweiter Ordnung im Zusammenhang mit dem Ereignis ab, sodass die Zeit bis zur Erkennung länger ist, aber auch die einzige Möglichkeit ist, Bedrohungen zu identifizieren, die herkömmliche Netzwerk- und Endpunkterkennungssysteme umgangen haben. Da die Protokollanalyse oft die komplexen Verbindungen zwischen kompromittierten Geräten aufzeigen kann, trägt sie auch dazu bei, die Zeit bis zur Eindämmung zu verkürzen, indem sie es den Benutzern ermöglicht, die Kompromittierung wirklich einzugrenzen.
In einer idealen Welt würden alle Bedrohungen vor einer Kompromittierung oder Verletzung identifiziert. In Wirklichkeit sind Bedrohungen zu weit fortgeschritten, um in der Zeit erkannt zu werden, die erforderlich ist, um sie vor der Auslieferung zu blockieren, wenn überhaupt. Wenn Sie sich die Zeit nehmen, die Alternativen in Betracht zu ziehen, erkennen Sie die Notwendigkeit einer Strategie, um Bedrohungen zu verhindern und die Bedrohungen zu identifizieren, die Ihre Lösungen übersehen haben.
Es gibt eine Reihe von Strategien zur Sicherung Ihres Netzwerks, und alle funktionieren in einem anderen Zeitfenster.