Transparenz und Wissen mit Machine-Learning-basierter Anomalieerkennung im Netz

Die aktuelle Entwicklung im Bereich Netzwerk geht in Richtung cloudbasierter hybrider Umgebungen, inklusive verteilter Applikationen und Microservices - kurz gesagt: Der Zugriff soll für Nutzer von nahezu überall möglich sein. Um dabei das Netzwerk skalierbar und den Datendurchsatz performant zu halten, wird zunehmend Software Defined Networking (SDN) eingesetzt. Gleichzeitig ist es wichtig, dabei im Blick zu behalten, wer worauf Zugriff hat, da mit der zunehmenden Nutzung von Cloud- und "as a Service"-Produkten (Software as a Service, Infrastructure as a Service, Platform as a Service ...) die Netzwerklandschaft immer komplexer wird. 

 

 

 

 

 

 

 

 

 

Einen alternativen Ansatz bietet hierbei das sogenannte "Zero Trust"-Konzept. Dabei wird, anstatt eine Verbindung zu einem Netzwerk via VPN aufzubauen, der Zugriff auf einzelne Applikationen vergeben, zum Beispiel über ein Identity-Access-Management-System. Prinzipiell sollen die erteilten Berechtigungen minimal sein und nicht autorisierte Zugriffsanfragen grundsätzlich blockiert werden. 

Mehr Transparenz bei jedem Zugriff

Natürlich müssen diese Zugriffsanfragen auch überwacht werden. Auf den Kommunikationsendpunkten und in den Anwendungen, auf welche die Nutzerzugriffe erfolgen, gibt es in der Regel eine eigene Überwachung. Oftmals ist diese logbasiert und gibt keinen bis nur wenig Aufschluss darüber, was im Netzwerk dazwischen los ist. Die Analyse dieser Logs ist aufgrund großer Datenmengen aufwendig und zeigt nur, was bereits passiert ist. Auch können Logmanipulationen nicht ausgeschlossen werden. Dieser Ansatz ist grundsätzlich gut für die Nachverfolgung bzw. für die Rekonstruktion von Ereignissen, jedoch ungeeignet für die Echtzeitanalyse von Problemen. 

An dieser Stelle kommt Machine-Learning-gestütztes Monitoring ins Spiel. Mithilfe von künstlicher Intelligenz lernt das Monitoring-Tool das normale Nutzerverhalten ("User Behavior Analytics") im Netzwerk und kann nahezu in Echtzeit auf Abweichungen hinweisen. Das ist nicht nur bei bekannten Angriffsmustern von Vorteil, sondern ermöglicht auch die Identifizierung neuartiger Angriffe durch Analyse und Korrelation ungewöhnlicher sowie verdächtiger Kommunikationsmuster.

Allerdings muss es nicht unbedingt ein bösartiger Angreifer sein, der sich im Netzwerk umsehen und wertvolle Unternehmensassets ausspionieren möchte. Verdächtiges Verhalten kann auch von einem regulären Nutzer ausgelöst werden, der vom Unternehmen nicht genehmigte Tools nutzt, sogenannte "Schatten-IT". Netzwerkbasiertes Monitoring kann die von diesen Tools ausgehenden Kommunikationsanfragen erkennen und auf diese Weise die Beseitigung etwaiger Sicherheitslücken ermöglichen. 

Mehr Performance bei gleichzeitiger Kostenoptimierung

Neben einem Mehrwert an Sicherheit kann User Behavior Analytics auch einen Performance-Bonus bringen, nämlich durch Identifizierung und Optimierung bestimmter Netzwerkkommunikation. Denn auch an dieser Stelle gilt: Zeit ist Geld und schnellere Routen kosten mehr. So sind beispielsweise gewisse Verzögerungen bei der Übertragung von E-Mails eher zu vertreten als ruckelnde Videokonferenzen. Letztere können daher anders geroutet und somit priorisiert werden, während für E-Mails kostengünstigeres Routing eingestellt wird. 

Die Machine-Learning-gestützte Netzwerküberwachung ist also sinnvoll, wenn man Probleme - egal, ob Security oder Performance - nahezu in Echtzeit erkennen und frühzeitig beheben will. Die gleichzeitige Möglichkeit zur Kostenoptimierung ist ein zusätzlicher Bonus. 

Durch Monitoring-Lösungen, die das Netzwerk in den Mittelpunkt stellen, können folglich Unternehmensressourcen effizient eingesetzt und kann gleichzeitig eine usergerechte IT-Nutzung gewährleistet werden.

Sie wollen sich mit uns zu diesen Themen austauschen? Unsere Ansprechpartner stehen Ihnen gerne zur Verfügung: Fabian Fink, Account Manager, oder Olga Wall, Consultant für Application Performance Management. 

Olga Wall ist seit 2019 als Consultant im Application Performance Management (APM) Team von amasol tätig. In dieser Funktion berät sie Kunden zu unterschiedlichen Themen rund um netzwerkbasiertes Application Performance Management (ExtraHop, Dynatrace, IXIA, NPBs) sowie synthetisches Monitoring (Dynatrace). Darüber hinaus begleitet Olga APM-Einführungsprojekte als technische Projektleitung.

Olga studierte zuerst Materialwissenschaften und dann Informatik. Über ein Praktikum zum Abschluss ihres Informatiksstudium stieß sie zum amasol APM-Team. Dort verfasste sie auch ihre Bachelorarbeit mit dem Titel Das Verschlüsselungsprotokoll TLS 1.3 und seine Auswirkungen auf das Netzwerk-Monitoring."

In ihrer Freizeit beschäftigt sich Olga mit Brettspielen und Flamenco sowie Kammermusik, denn sie spielt selbst auch Geige.

Autorin:
Olga Wall