Threat Hunting, die proaktive Suche nach versteckten Schädlingen, die in Ihrem Netzwerk lauern, ist ein Eckpfeiler der modernen Cybersicherheit. Dabei geht es nicht nur um reaktive Warnungen, sondern auch um die aktive Suche nach subtilen Anzeichen für fortschrittliche, persistente Bedrohungen (APTs) und Zero-Day-Angriffe.
Aber hier ist die unangenehme Wahrheit: Ihre schicken Tools zur Bedrohungssuche sind nur so effektiv wie die Daten, mit denen Sie sie füttern. Garbage in, Garbage out, wie man im Englischen so schön sagt. Sie können die besten Threat Hunter der Welt haben, aber wenn sie mit unvollständigen oder fehlerhaften Daten arbeiten, tappen sie im Grunde genommen im Dunkeln.
Hier kommen Echtzeit-Netzwerkdaten, Network Detection and Response (NDR)-Lösungen und die unbesungenen Helden, die Network Packet Brokers, ins Spiel. Schauen wir uns das mal genauer an:

Betrachten Sie Echtzeit-Paketdaten als das Lebenselixier einer effektiven Bedrohungserkennung. Es geht um die Details, die Feinheiten jeder Netzwerkkommunikation, einschließlich des verschlüsselten Datenverkehrs und der heimtückischen Lateral Movements von Angreifern. Log-basierte Überwachung reicht einfach nicht mehr aus. Um diese wichtigen Daten zu erhalten, brauchen Sie:

• Strategisches Anzapfen (Tapping) von Netzwerken:Man muss an den richtigen Stellen ansetzen. Stellen Sie sich das so vor, als würden Sie Kameras strategisch platzieren, um das gesamte Bild zu erfassen. Wichtige Eingangs- und Ausgangspunkte sind entscheidend für eine umfassende Sichtbarkeit. Die Implementierung von Netzwerkabgriffen an diesen Punkten stellt sicher, dass Sie den gesamten Datenverkehr ohne Latenzzeiten erfassen.
• Verlustfreie Paketerfassung und -übermittlung: Fehlende Pakete bedeuten, dass Ihnen potenzielle Bedrohungen entgehen. Leistungsstarke Network Packet Broker (NPBs) wie Gigamon, NEOX Networks oder Ixia sind unerlässlich, um diese Daten zu aggregieren, zu filtern und effizient an Ihre NDR-Tools zu liefern. Sie sind so etwas wie die Traffic-Controller Ihrer Netzwerkdaten und unterstützen Funktionen wie Paket-Deduplizierung und Zeitstempel, um die Datenintegrität zu gewährleisten.
• Zuverlässige Datenaggregation und -verteilung: Stellen Sie sich vor, Sie würden versuchen, aus einem Feuerwehrschlauch zu trinken. NPBs helfen bei der Verwaltung dieser Datenflut und stellen sicher, dass Ihre Threat Hunting-Plattformen nur die relevanten und umsetzbaren Informationen erhalten, die sie benötigen, ohne dabei überfordert zu werden.

NDR-Lösungen sind das Gehirn der Operation. Sie nutzen maschinelles Lernen und Verhaltensanalysen, um Anomalien und raffinierte Bedrohungen aufzuspüren. Sie sind hervorragend in der Lage, Lateral Movements zu erkennen, Command-and-Control-Aktivitäten (C2) zu identifizieren, Insider-Bedrohungen aufzuspüren und sogar historische Analysen durchzuführen.
Aber, und das ist ein großes Aber, ihre Effektivität hängt vollständig von der Qualität der empfangenen Datenpakete ab. Diese NPBs sind entscheidend für die Versorgung des NDR mit angereicherten, deduplizierten und zeitsynchronisierten Daten, die er benötigt, um seine Aufgabe ordnungsgemäß zu erfüllen.

NPBs sind die unbesungenen Helden der Welt der Netzwerksicherheit. Sie sind die Arbeitspferde, die alles andere möglich machen. Sie verbessern die Verkehrsanalyse, indem sie Paketdaten intelligent auf mehrere Sicherheitstools verteilen. Ihre Vorteile sind zahlreich:

• Optimierung des Datenverkehrs: Sie filtern und deduplizieren Pakete, wodurch die Belastung der Sicherheitsanwendungen verringert wird. Dadurch wird sichergestellt, dass nur einzigartige und relevante Pakete analysiert werden.
• Lastausgleich:Sie verteilen den Datenverkehr auf mehrere Tools, um Überlastungen zu vermeiden und eine optimale Leistung zu gewährleisten. Dies ist entscheidend für die Aufrechterhaltung der Effizienz Ihrer Sicherheitsinfrastruktur.
• Packet Slicing und Maskierung: Sie schützen sensible Daten und halten gleichzeitig die Vorschriften ein. NPBs können Pakete zerschneiden, um unnötige Nutzdaten zu entfernen und vertrauliche Informationen zu maskieren und so die Einhaltung von Datenschutzbestimmungen zu gewährleisten.
• Sichtbarkeit von verschlüsseltem Verkehr: Sie entschlüsseln den SSL/TLS-Verkehr für eine genauere Prüfung. Dies ist wichtig, um Bedrohungen zu erkennen, die sich im verschlüsselten Datenverkehr verstecken.

Eine wirksame Bedrohungsjagd hängt von umfassenden Netzwerk-Paketdaten ab. Das bedeutet:

• High-Fidelity-Dateneinspeisungen:Kein Datenverlust erlaubt! Sie brauchen vollständige Transparenz. Stellen Sie sicher, dass keine Daten verloren gehen, indem Sie hochleistungsfähige NPBs und strategisches Netzwerk-Tapping verwenden. Dies ermöglicht eine vollständige Transparenz des Netzwerkverkehrs.
• Korrelieren Sie Pakete mit Bedrohungsdaten: Durch die Verknüpfung Ihrer NDR-Tools mit externen Bedrohungsdaten können Sie sowohl bekannte als auch neue Bedrohungen erkennen. Dies erhöht die Genauigkeit und Effektivität Ihrer Bedrohungssuche.
• Nutzung von KI/ML: Modelle für maschinelles Lernen, die auf angereicherten Paketdaten trainiert wurden, können subtile, ausgeklügelte Angriffsmuster aufdecken, die von herkömmlichen Abwehrsystemen übersehen werden. Dieser proaktive Ansatz verbessert Ihre allgemeine Sicherheitslage.

Zusammenfassend lässt sich sagen, dass die Bedrohungsjagd nur so gut ist wie die Daten, auf denen sie aufbaut. Investieren Sie in robuste Pakettransparenz, zuverlässige Datenbereitstellung durch NPBs und hochwertige NDR-Lösungen. Nur so können Sie sich proaktiv gegen die sich ständig weiterentwickelnde Bedrohungslandschaft von heute schützen.
Denken Sie daran: Garbage in, Garbage out. Lassen Sie nicht zu, dass schlechte Daten Ihre Bemühungen zur Bedrohungssuche sabotieren.

Unternehmen wie NEOX Networks wissen um die entscheidende Rolle der Netzwerktransparenz beim Aufspüren von Bedrohungen. Ihre Network-Packet-Broker-Suite, darunter PacketTiger, PacketLion wurde entwickelt, um den leistungsstarken, skalierbaren und zuverlässigen Datenzugriff zu ermöglichen, den Sicherheitsteams heutzutage benötigen.

Diese Plattformen bieten fortschrittliche Funktionen wie intelligente Filterung, Packet Slicing und präzise Zeitstempel, die sicherstellen, dass Sicherheitstools die richtigen Daten zur richtigen Zeit erhalten. Durch die Bereitstellung einer robusten Grundlage für die Netzwerküberwachung und -analyse versetzt NEOX Networks Unternehmen in die Lage, eine effektivere Bedrohungsjagd durchzuführen und ihre allgemeine Sicherheitslage zu verbessern. Die Lösungen von NEOX Networks gehen das Problem „Garbage in, Garbage out“ frontal an und stellen sicher, dass die Bedrohungsjäger die hochwertigen Daten erhalten, die sie für ihren Erfolg benötigen.

Zusammenfassend lässt sich sagen, dass die Bedrohungsjagd nur so gut ist wie die Daten, auf denen sie aufbaut. Investieren Sie in robuste Pakettransparenz, zuverlässige Datenbereitstellung durch NPBs, wie sie von NEOX Networks angeboten werden, und hochwertige NDR-Lösungen. Nur so können Sie sich proaktiv gegen die sich ständig weiterentwickelnde Bedrohungslandschaft von heute schützen. Denken Sie daran: Garbage in, Garbage out. Lassen Sie nicht zu, dass schlechte Daten Ihre Bemühungen zur Bedrohungssuche sabotieren.

In den letzten Jahren hat die Häufigkeit und zunehmende Schwere von Cyberangriffen deutlich gemacht, dass die digitale Welt anfälliger denn je ist. Als Reaktion darauf hat die US-Regierung einen mutigen Schritt unternommen, um diese wachsenden Bedenken mit der von Präsident Joe Biden am 12. Mai 2021 unterzeichneten Executive Order on Improving the Nation’s Cybersecurity (Durchführungsverordnung zur Verbesserung der Cybersicherheit der Nation) anzugehen. Diese Anordnung ist nicht nur ein Aufruf zum Handeln für Regierungsbehörden, sondern hat auch weitreichende Auswirkungen auf Unternehmen des privaten Sektors, insbesondere auf solche in kritischen Branchen.

Als Chief Information Security Officer (CISO) ist es wichtig, diese Verordnung zu verstehen, um sicherzustellen, dass Ihr Unternehmen mit den nationalen Prioritäten der Cybersicherheit übereinstimmt. Im Folgenden finden Sie eine Aufschlüsselung der wichtigsten Aspekte der Executive Order und warum diese für Sie von Bedeutung sind.

• 1. Stärkung der Sicherheit in der Software-Lieferkette
  Eines der wichtigsten Elemente der Executive Order ist der Fokus auf die Sicherung der Software-Lieferkette. Der SolarWinds-Hack hat gezeigt, wie Schwachstellen in der Software von Drittanbietern einen Dominoeffekt auslösen und weitreichende Schäden verursachen können. Um dies zu verhindern, verlangt die Verordnung von den Bundesbehörden die Einführung sicherer Softwareentwicklungspraktiken und führt das Konzept einer Software Bill of Materials (SBOM) ein. Stellen Sie sich die SBOM als ein detailliertes Inventar aller Komponenten vor, aus denen eine Software besteht, damit Sie potenzielle Risiken besser einschätzen können.
• 2. Berichterstattung über Cybersecurity-Vorfälle
  Die Verordnung schreibt vor, dass Auftragnehmer und Softwareanbieter des Bundes Cybervorfälle schnell – innerhalb eines bestimmten Zeitrahmens – melden müssen, wenn sie auftreten. Dies ist Teil eines umfassenderen Vorstoßes zur Schaffung eines transparenteren und kooperativen Cybersicherheitsökosystems. Für CISOs bedeutet dies, dass sie sicherstellen müssen, dass ihr Plan zur Reaktion auf Vorfälle aktualisiert wird, um diese Meldeanforderungen zu erfüllen, und dass ihr Team schnell auf etwaige Verstöße reagieren kann.
• 3. Einführung einer Zero-Trust-Architektur
  Eines der Schlagworte im Bereich der Cybersicherheit ist heute „Zero Trust“, und die Executive Order macht deutlich, dass Zero Trust der Weg in die Zukunft ist. Die Anordnung weist die Behörden an, diesen Ansatz zu übernehmen, der auf dem Prinzip beruht, dass niemals Vertrauen vorausgesetzt werden sollte – unabhängig davon, ob sich der Benutzer innerhalb oder außerhalb des Netzwerks befindet. Als CISO müssen Sie der Umstellung Ihrer Organisation auf Zero Trust nun Priorität einräumen. Dies könnte bedeuten, dass Sie stärkere Tools für das Identitäts- und Zugriffsmanagement (IAM) implementieren, eine kontinuierliches Monitoring einführen und das Prinzip der geringsten Privilegien in Ihrem Netzwerk anwenden.
• Absicherung von Cloud-Diensten
  Da viele Unternehmen auf die Cloud umsteigen, hat die Sicherung dieser Umgebungen höchste Priorität. Die Durchführungsverordnung fordert eine stärkere Konzentration auf die Sicherung von Cloud-Infrastrukturen durch die Einführung von Best Practices und die Durchführung gründlicher Risikobewertungen. Für Ihr Unternehmen könnte dies ein guter Zeitpunkt sein, Ihre Cloud-Sicherheitslage zu überprüfen und sicherzustellen, dass Ihre Cloud-Dienste durch solide Kontrollen und kontinuierlichem Monitoring geschützt sind.
• Modernisierung der Cybersicherheitspraktiken der Bundesbehörden
  Die Verordnung fordert die Bundesbehörden auf, moderne Cybersicherheitstechnologien zu implementieren, darunter Systeme zum kontinuierlichen Monitoring und Erkennung von Bedrohungen. Die Bundesbehörden sollen damit ein Vorbild für den privaten Sektor werden. Als CISO müssen Sie sich über diese Entwicklungen auf dem Laufenden halten und sicherstellen, dass Ihre eigene Organisation die besten verfügbaren Tools zur Abwehr von Cyberbedrohungen einsetzt.
• Aufbau einer stärkeren Cybersecurity-Belegschaft
  Die Qualifikationslücke im Bereich der Cybersicherheit ist für die meisten Unternehmen eine wirkliche Herausforderung. Die Executive Order geht darauf ein, indem sie die Bedeutung des Aufbaus von Cybersicherheitspersonal hervorhebt, wobei der Schwerpunkt auf Bildung, Schulung und Rekrutierung liegt. Als CISO ist es Ihre Aufgabe, eine Kultur des kontinuierlichen Lernens in Ihren Teams zu fördern und Initiativen zu unterstützen, die dazu beitragen, die nächste Generation von Cybersicherheitsexperten heranzuziehen.

In den heutzutage immer komplexer werdenden Netzwerkumgebungen ist der Einblick in jeden Winkel Ihres Netzwerks nicht mehr nur optional, sondern eine Notwendigkeit. Network Observability geht über das herkömmliche Network Monitoring hinaus und bietet sehr viel tiefere Einblicke in die Funktionsweise Ihres Netzwerks, erkennt Anomalien und verhindert potenzielle Sicherheitsverletzungen, bevor sie eskalieren.

Als Teil der Executive Order, die sich auf die Modernisierung der Cybersicherheitspraktiken und die Implementierung eines kontinuierlichen Monitoring konzentriert, spielt die Netzwerkbeobachtung eine Schlüsselrolle bei der Erkennung und Eindämmung von Bedrohungen. Hier erfahren Sie, warum Network Observability ein FUndament Ihrer Sicherheitsstrategie sein sollte:

• 1. Proaktive Erkennung von Cyber-Bedrohungen
  Herkömmliche Überwachungstools konzentrieren sich oft auf bereits bekannte Bedrohungen und reaktive Maßnahmen. Mittels Network Observability können Sie jedoch einen proaktiveren Ansatz verfolgen, indem Sie Einblicke in den Zustand und die Leistung Ihres Netzwerks in Echtzeit erhalten. Durch das Sammeln und Analysieren von Daten aus Ihrem gesamten Netzwerk können Sie ungewöhnliches Verhalten, potenzielle Schwachstellen oder Anzeichen eines Angriffs erkennen, bevor dieser sich auf kritische Systeme auswirkt.
• 2. Optimierte Sicherheitsvorkehrungen
  Mit der zunehmenden Durchdringung von Cloud-Umgebungen, IoT-Geräten und dezentralen Mitarbeitern wird es immer wichtiger, einen umfassenden Einblick in Ihren Netzwerkverkehr zu erhalten. Mit der Netzwerküberwachung können Sie alle Netzwerkendpunkte überwachen, unabhängig davon, ob sie sich in der Cloud, vor Ort oder im erweiterten Unternehmen befinden, und so sicherstellen, dass Ihre Sicherheitsprotokolle einheitlich angewendet werden.
• 3. Unterstützung für eine Zero-Trust-Architektur
  Ein Zero-Trust-Modell erfordert eine granulare Zugriffskontrolle und eine ständige Überwachung der Benutzeraktivitäten. Network Observability verbessert Ihre Fähigkeit, diese Richtlinien durchzusetzen, indem Verkehrsmuster und Benutzerverhalten kontinuierlich verfolgt werden. Anhand dieser Daten können Sie sicherstellen, dass der Zugang zu sensiblen Ressourcen eingeschränkt wird und dass alle Abweichungen vom normalen Netzwerkverkehr umgehend untersucht werden.
• 4. Optimierte Reaktion auf Vorfälle
  Wenn ein Sicherheitsvorfall eintritt, kann der Zugang zu detaillierten Netzwerkeinblicken den Unterschied zwischen einer schnellen Reaktion und einer langwierigen Verletzung ausmachen. Network Observability bietet Echtzeitanalysen, die es Ihnen ermöglichen, den Umfang und die Auswirkungen eines Angriffs zu verstehen, wodurch es einfacher wird, den Vorfall einzudämmen und zu entschärfen, bevor er sich ausbreitet.
• 5. Compliance und Berichterstattung
  Da die Executive Order die rechtzeitige Meldung von Vorfällen betont, können Netzwerküberwachungs-Tools auch dabei helfen, diese Anforderungen zu erfüllen, indem sie Protokolle und detaillierte Berichte liefern, die die Einhaltung der Vorschriften belegen. Diese Einblicke helfen Ihnen zu beweisen, dass Sie Ihr Netzwerk aktiv überwachen und auf Bedrohungen wie erforderlich reagieren.

Für Sie als CISO hat die Executive Order on Improving the Nation’s Cybersecurity klare, umsetzbare Auswirkungen auf Ihre Rolle und die Cybersicherheitsstrategie Ihres Unternehmens:

• 1. Steuerung und Einhaltung
  Die Verordnung setzt neue Standards und Erwartungen für die Cybersicherheit. Sie müssen sicherstellen, dass Ihre Organisation mit diesen Richtlinien auf dem neuesten Stand ist. Dies bedeutet, dass Sie Ihre Richtlinien und Verfahren überprüfen und aktualisieren müssen, um sicherzustellen, dass sie mit den Bundesrichtlinien übereinstimmen.
• 2. Reaktion auf Vorfälle und Berichterstattung
  Angesichts der neuen Meldevorschriften für Vorfälle müssen Sie sicherstellen, dass Ihr Reaktionsplan auf Vorfälle auf dem neuesten Stand ist. Das bedeutet, dass Sie sicherstellen müssen, dass Ihr Team Vorfälle schnell erkennen, eindämmen und melden kann, um die in der Verordnung festgelegten Fristen einzuhalten.
• 3. Absicherung der Software-Lieferkette
  Die Sicherheitslücke bei SolarWinds hat gezeigt, wie anfällig Software von Drittanbietern sein kann. Die Executive Order zwingt Sie nun dazu, die Sicherheitslage Ihrer Lieferkette zu bewerten. Es ist an der Zeit, Praktiken wie die SBOM zu implementieren, um Ihr Unternehmen vor Risiken in der von Ihnen verwendeten Software zu schützen.
• 4. Zero-Trust-Implementierung
  Die Umstellung auf ein Null-Vertrauensmodell erfordert wahrscheinlich erhebliche Änderungen in der Art und Weise, wie Sie Zugriffskontrollen verwalten, den Netzwerkverkehr überwachen und Richtlinien durchsetzen. Als CISO wird die Leitung dieser Initiative eine Ihrer obersten Prioritäten sein, um sicherzustellen, dass Ihr Unternehmen mit einer „never trust, always verify“-Mentalität arbeitet.
• 5. Cloud-Sicherheit
  Wenn Ihr Unternehmen auf die Cloud angewiesen ist, ist dies eine gute Gelegenheit, Ihre Cloud-Sicherheitspraktiken neu zu bewerten. Vergewissern Sie sich, dass Ihre Cloud-Anbieter bewährte Sicherheitsverfahren einhalten und dass Sie über die richtigen Überwachungs- und Risikomanagement-Tools verfügen.
• 6. Aufbau einer auf Cybersicherheit ausgerichteten Belegschaft
  Die Executive Order betont, wie wichtig es ist, die Belegschaft im Bereich der Cybersicherheit zu stärken. Sie müssen Ihr Team proaktiv weiterbilden, die berufliche Entwicklung fördern und dazu beitragen, den Mangel an Talenten im Bereich der Cybersicherheit zu beheben.

Die Executive Order on Improving the Nation’s Cybersecurity schafft die Voraussetzungen für eine sicherere digitale Zukunft. Sie fordert eine Modernisierung, Transparenz und Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor. Als CISO bietet sich Ihnen die Gelegenheit, die Sicherheitslage Ihres Unternehmens zu verbessern, indem Sie sich an den Richtlinien der Bundesregierung orientieren und modernste Cybersicherheitspraktiken einführen.

Der Weg zu einer größeren Widerstandsfähigkeit im Bereich der Cybersicherheit erfordert ein Engagement für kontinuierliche Verbesserungen, einen proaktiven Ansatz für das Risikomanagement und eine Konzentration auf die Ausbildung und Entwicklung von Arbeitskräften. Indem Sie die in der Executive Order dargelegten Schlüsselprinzipien beherzigen, tragen Sie nicht nur zum Schutz Ihres Unternehmens bei, sondern auch zu einem sichereren und widerstandsfähigeren digitalen Ökosystem für alle.

Die NEOX NETWORKS GmbH ist auf die Bereitstellung fortschrittlicher Lösungen für Netzwerktransparenz, -überwachung und -sicherheit spezialisiert. Ihre Produkte und Dienstleistungen können die Network Observability und Cybersicherheit erheblich verbessern:

• 1. Netzwerk-TAPs: NEOX bietet eine Reihe von Netzwerk-TAPs an, die eine passive Überwachung des Netzwerkverkehrs ermöglichen, ohne die Netzwerkleistung zu beeinträchtigen. Diese TAPs stellen sicher, dass alle Daten genau erfasst und analysiert werden.
• 2. Network Packet Broker: Die Network Packet Broker von NEOX aggregieren und verteilen den Netzwerkverkehr an verschiedene Überwachungstools, optimieren den Datenverkehr und gewährleisten eine umfassende Transparenz.
• 3. Full Packet Capture Systeme: Die Full Packet Capture Systeme ermöglichen eine detaillierte Analyse des Netzwerkverkehrs und unterstützen forensische Untersuchungen und die Echtzeit-Erkennung von Bedrohungen.
• 4. Advanced Packet Processing: NEOX bietet fortschrittliche Paketverarbeitungslösungen, die die Datenlast auf Überwachungssystemen reduzieren und sensible Informationen schützen.
• 5. Datendioden: Für Umgebungen, die eine hohe Sicherheit erfordern, erzwingen die Datendioden von NEOX einen unidirektionalen Datenfluss und gewährleisten so eine vollständige Isolierung zwischen Netzwerken, während sie die erforderlichen Datenübertragungen ermöglichen.

Durch den Einsatz der Lösungen von NEOX NETWORKS können Organisationen und Unternehmen eine unerreichte Netzwerktransparenz erreichen, wodurch sie Bedrohungen effektiver erkennen und darauf reagieren und eine robuste Cybersicherheit aufrechterhalten können.