Im dritten Teil unserer IT-Security Reihe geht es um eine weitere Methode, die IT-Sicherheit im Unternehmen zu erhöhen. Neben klassischen Maßnahmen, wie die Nutzung einer Antivirussoftware, Firewall oder EDR Software gibt es noch NSM, welches ein neues Konzept einer besonders einfachen Implementierung ist und den großen Vorteil mit sich bringt, unabhängig von einzelnen Endpunkten zu funktionieren.
Was ist NSM?
Klassische Virenscanner erkennen Malware anhand typischer Dateimerkmale, also vereinfacht gesagt an deren „Aussehen“. Fortschrittlichere Mechanismen, wie zumeist auch EDR, untersuchen zusätzlich auch die Aktivitäten von Prozessen und können daher Schadsoftware zusätzlich auch am „Verhalten“ erkennen. Ein NSM (Network Sensor Monitor) scannt den Netzwerkverkehr und insbesondere die Kommunikation zwischen dem internen Netzwerk und dem öffentlichen Internet. Die moderne Malware wird anhand von Kommunikationsmustern und Kontaktaufnahmen zu externen Systemen, erkannt. Letztere steuern das Verhalten der Malware oder laden weitere schädliche Komponenten nach.
Gelingt es einer Schadsoftware die ersten Schutzmaßnahmen zu überwinden und sich im Netzwerk festzusetzen, so zeigt die Erfahrung, dass die Schadwirkung, etwa das Verschlüsseln von Dateien zur Erpressung von Lösegeld, oftmals mit einer großen zeitlichen Verzögerung zum ursprünglichen Infektionszeitpunkt stattfindet, da die Angreifer i.d.R. versuchen sich heimlich Informationen über das Netzwerk zu verschaffen und weitere Angriffsvektoren zu entdecken. Während dieser Zeit erkennt klassische Antivirussoftware meist noch keine verdächtige Aktivität, wohingegen ein NSM hier bereits Alarm auslösen kann und damit die Möglichkeit eröffnet, Schadsoftware zu stoppen, bevor ein realer Schaden für das Kundennetzwerk eintritt.
Ersetzt NSM eine klassische Antivirussoftware?
NSM ist eine wertvolle Ergänzung der klassischen Malware Abwehrmechanismen. Die Implementierung im Kundennetzwerk ist üblicherweise sehr einfach, da anstatt einzelner Endpunkte nur ein zentraler Punkt im Netzwerk überwacht wird. So sind auch Bedrohungen, die von BYOD Geräten in einem Gastnetzsegment ausgehen können, einfach aufzuspüren und zu melden. Nach dem Sicherheitsvorfall geben die Ergebnisse eines NSM belastbare Aussagen, ob die Bedrohung wirklich vollständig erkannt und eliminiert wurde.
Jede Technologie zur Abwehr von Schadsoftware – sei es der Perimeterschutz in der Firewall, ein klassischer signaturbasierter Antivirus oder die Überwachung von Prozessen auf ungewöhnliche Aktivitäten – haben ihre Stärken und Schwächen. Hier ist ein NSM basiertes System eine sinnvolle und einfach zu implementierende Lösung, um einen weiteren Layer an Sicherheit zu bringen und so nach dem „Käsescheibenprizip“ die Angriffsfläche weiter zu reduzieren.
Unsere NSM Lösung: Cydes
Cydes bietet eine für den Kunden einfach zu implementierende NSM Lösung, die auf standardisierten Hardwarekomponenten aufbaut und an ein zentrales Monitoring angebunden wird. Der Implementationsaufwand auf Kundenseite ist gering, lediglich eine Portspiegelung der internen Seite der Firewall wird benötigt (üblicherweise am letzten Switch im Kundennetzwerk in Richtung des Internetgateways oder der Firewall selber). Bei mehreren Internetbreakouts oder größeren Netzen können unkompliziert mehrere Cydes Appliances eingeschaltet werden, die dann gemeinsam in das gleiche Monitoring System melden.
Die Systeme werden durch unser geschultes Personal betreut und die überwachten Kommunikationsmuster werden laufend aktualisiert. Als IT-Security Service vom erfahrenen IT-Dienstleister benötigt Cydes keine zusätzlichen internen Ressourcen weder personell noch technisch.
Vorteile
· Full Service Lösung
· Schnelle, kostengünstige Einführung innerhalb weniger Stunden
· Kostengünstige Lösung
· Kein interner Personalaufwand
· Automatische Updates
· Erfassung auch von fremden Endgeräten im Netzwerk
