Den ersten Teil der Beitragsreihe zum amasol-SecOps-Lösungsansatz können Sie hier nachlesen
Im römischen Reich wurden Späher und Informanten eingesetzt, um unerwünschte Personen und deren Aktivitäten im Blick zu behalten. Die gesammelten Daten mussten jedoch erst an einen zentralen Ort gebracht und begutachtet werden. Denn schließlich zeigt sich der wahre Wert dieser Aufzeichnungen erst dann, wenn aus den Daten durch Einordnung in einen Kontext Informationen werden. Durch Verknüpfen dieser Informationen kann Wissen über die bestehende Lage aufgebaut werden. Und wer wäre dafür besser geeignet, fundierte Entscheidungen aufgrund dieses Wissens zu treffen, als ein vorausschauender, lernfähiger Befehlshaber? Eine Voraussetzung dafür ist jedoch, dass die Informationen schnell ankommen, denn der Feind schläft nicht, während die Daten bereitgestellt und analysiert werden. In dynamischen, unübersichtlichen Situationen ist daher eine kurze Bereitstellungs- und Reaktionszeit von äußerster Bedeutung, damit der Befehlshaber Entscheidungen über die nächsten Schritte auf Basis von aktuellen Informationen treffen kann.
Real-time Network Analytics mit ExtraHop
Diese Rolle übernimmt eine der drei Komponenten der amasol-SecOps-Lösung: ExtraHop Reveal(x). Da das Tool ursprünglich aus dem NPM-Bereich kommt, beruht der Ansatz auf der Sammlung von Netzwerkdaten. Diese stellen eine zentrale Wissensquelle dar, wenn es um Netzwerk-Forensik geht. Gleich den Informationen eines verdeckten römischen Spähers, die an die Legion herangetragen werden, wertet auch ExtraHop Netzwerkdaten aus, um darin Anomalien zu erkennen. Um große Datenmengen zu bewältigen, kommt hierbei Machine Learning zum Einsatz. Selbst bei verschlüsselten Nachrichten weist ein unüblicher Austausch zwischen zwei Kommunikationsendpunkten auf verdächtige Aktivitäten hin.
Wie ein taktisch erfahrener Befehlshaber bewertet Reveal(x) die auftretenden Anomalien, ordnet diese bekannten MITRE-ATT&CK-Techniken zu und schlägt in angemessener Lautstärke Alarm. Basierend darauf können entsprechende Maßnahmen getroffen und ein Trupp von IT-Experten an die betroffene Stelle zur Eindämmung des Angriffs entsandt werden.
Wenn Sie also Ihr IT-Netzwerk nicht nur am Perimeter, sondern auch innerhalb dessen Grenzen schützen möchten – insbesondere dort, wo kein Wachposten aufgebaut werden kann oder dieser verstärkt werden soll –, so bietet sich der Einsatz von Reveal(x) an. Auch etwaig vorhandene Matrix-Switch-Infrastruktur zur Trafficspiegelung kann hier sinnvoll weiterverwendet werden. Schließlich konnten auch die Römer neben ihren Spähern auf Informationen von Dorfbewohnern zurückgreifen.
Ein positiver Nebeneffekt der Netzwerk-Forensik ist, dass neben der Security weiterhin die Performance im Netzwerk gemessen und optimiert werden kann. Damit kommen die für Ihr Business relevanten Daten nicht nur sicher, sondern auch schnell am Ziel an.
Hat amasol SecOps Ihr Interesse geweckt? Dann sprechen Sie uns gerne an: Fabian Fink, Account Manager, oder Olga Wall, Consultant für Application Performance Management.
Im nächsten Teil dieser Beitragsreihe wird die zweite Komponente der amasol-SecOps-Lösung – Dynatrace Application Security – näher betrachtet.