Wikipedia zitiert: „Beobachtbarkeit“ stammt aus der Kontrolltheorie, die misst, wie gut der Zustand eines Systems aus seinen Ausgaben bestimmt werden kann. In ähnlicher Weise bezieht sich die Beobachtbarkeit von Software darauf, wie gut wir den Zustand eines Systems anhand der erhaltenen Telemetrie, einschließlich Metriken, Protokollen, Traces und Profiling, verstehen können.
Der aktuellen Sichtbarkeit und Überwachung fehlt es an Verhaltensintelligenz
Die herkömmliche Überwachung wird in der Regel eingesetzt, um Probleme im Zusammenhang mit Anwendungen, Netzwerken und Endpunkten in Bezug auf Leistung, Zustand, Benutzerfreundlichkeit, Sicherheit und Ausfallsicherheit visuell zu überwachen und zu identifizieren. Alarme werden mit der Überwachung kombiniert, um kritische Ereignisse sofort per E-Mail, SMS und Dashboard zu melden. Diese herkömmliche Überwachung, die von APMs, NPMs und SIEMs eingesetzt wird, arbeitet mit „bekannten Unbekannten“, bei denen die Risiken im Voraus bekannt sind, aber der Zeitpunkt des Auftretens unbekannt bleibt. Eine solche Überwachung reicht für einfache Systeme mit einer begrenzten Anzahl von Einheiten aus, bei denen die Fehlerbehebung einfach und offensichtlich ist. Mit dem Aufkommen verschiedener Architekturen wie verteilte Anwendungen, Multi-Cloud-Implementierungen, Edge Computing und Anwendungen für die Zusammenarbeit mit zahlreichen Partnern sind die Unternehmenssysteme jedoch komplexer geworden. Außerdem hat die erweiterte Angriffsfläche, die mit diesen Architekturen verbunden ist, die herkömmliche Überwachung und einfachere Korrelation unzureichend gemacht. Es reicht nicht aus, sich nur mit den „bekannten Unbekannten“ zu befassen. Observability-Plattformen machen einen Sprung nach vorn, indem sie unerwartete Risiken identifizieren, die zuvor nicht berücksichtigt wurden. Diese Plattformen sind darauf ausgelegt, mit „unbekannten Unbekannten“ umzugehen und bieten eine schnellere und genauere Fehlersuche und -behebung, indem sie einen tiefen Einblick in die Leistung, den Zustand, die Sicherheit und das Verhalten der Systeme gewähren. In diesem Beitrag geht es um die Beobachtbarkeit, die optimal durch die von SASE (Secure Access Service Edge) gesammelten Informationen über Netzwerk- und Sicherheitskomponenten erreicht wird. Insbesondere untersuchen wir Anwendungsfälle der Beobachtbarkeit im Zusammenhang mit Verhaltensanomalien, um anomales Verhalten von Benutzern, Netzwerken, Anwendungseinheiten und Internetzugang zu identifizieren. Beobachtungsplattformen sind stark von der Qualität der Eingabedaten abhängig, die sie erhalten. In diesem Zusammenhang befassen wir uns damit, wie SASE-Lösungen umfangreiche Daten in Form von Protokollen, Metriken und Traces bieten und wie Observability-Systeme diese Daten für verschiedene Anwendungsfälle nutzen können. Durch die Nutzung von Erkenntnissen aus SASE-Lösungen können Observability-Lösungen ihre Fähigkeiten verbessern, was zu einer verbesserten Überwachung, proaktiven Risikoerkennung und robusten Systemanalyse führt. Die Kombination von SASE und Beobachtbarkeit bietet ein leistungsfähiges Framework zur effektiven Überwachung und Sicherung moderner Unternehmenssysteme.
SIEM, NPM, NDR, APM, XDR – Anomalie-Erkennung ist begrenzt
Heutzutage gibt es eine Vielzahl von Tools für die Sichtbarkeit und Überwachung von Daten, die alle über die entsprechenden Funktionen verfügen. Sie weisen jedoch gewisse Einschränkungen auf, vor allem bei der verhaltensbasierten Erkennung von Anomalien und der begrenzten Ereigniskorrelation, die ihre Fähigkeit, eine tiefgreifende Transparenz und Ursachenanalyse zu bieten, beeinträchtigen. Unserer Ansicht nach sollten diese Tools schließlich auch Verhaltensanalysen/Prädiktionsanalysen und eine tiefere Sichtbarkeit umfassen und die Anforderungen von Leistungs-, Sicherheits- und Ausfallsicherheitssystemen erfüllen. Um Vollständigkeit zu erreichen, ist die Hinzufügung der Funktion User and Entity Behavioral Analytics (UEBA) für diese Tools von entscheidender Bedeutung. Außerdem sind wir der festen Überzeugung, dass eine erfolgreiche Beobachtung verbesserte Korrelationsmöglichkeiten voraussetzt. Um eine bessere Korrelation zu erreichen, werden relevante Daten von Netzwerkgeräten, Sicherheitsgeräten, Identitätssystemen und Anwendungsinfrastrukturen benötigt. Dennoch ist es eine Herausforderung, diese Informationen konsistent über Geräte und Systeme verschiedener Hersteller hinweg zu erhalten, da es Unterschiede bei den Protokollinhalten, Metriken, Protokollschemata und -formaten gibt. Die größte Herausforderung sind die inkonsistenten und fehlenden Informationen, die für umfassende Analysen erforderlich sind. Unified SASE, das mehrere Netzwerk- und Sicherheitsfunktionen eines einzigen Anbieters unter einer kohärenten Architektur vereint, kann die Belastung durch diese Tools in Bezug auf Korrelation und Verhaltensanalyse verringern – mehr dazu in späteren Abschnitten. Lassen Sie uns tiefer in UEBA eintauchen und die Art der Protokolle und Metriken untersuchen, die von der Datenebene von Unified SASE erwartet werden.
Verhaltensanalyse für Benutzer und Entitäten
Die Cybersicherheitsbranche hat den Begriff „User and Entity Behavior Analytics“ (UEBA) geprägt. Es bezieht sich auf die Überwachung und Analyse des Verhaltens von Benutzern (z.B. Mitarbeitern, Auftragnehmern und Partnern) und Einheiten (z.B. Geräten, Anwendungen und Netzwerken) innerhalb des Netzwerks eines Unternehmens, um anomale oder verdächtige Aktivitäten zu erkennen. UEBA-Lösungen verwenden in der Regel fortschrittliche Analyse- und maschinelle Lerntechniken (KI/ML), um eine Basislinie für das normale Verhalten jedes Benutzers und jeder Einrichtung zu erstellen. Sobald die Basislinie festgelegt ist, vergleicht das System das Echtzeitverhalten kontinuierlich mit dieser Basislinie, um Abweichungen oder Anomalien zu erkennen, die auf potenzielle Sicherheitsbedrohungen oder abnormale Aktivitäten hinweisen könnten. Es ist auch wichtig zu wissen, dass sich die Basislinie mit der Zeit verändert. Daher ist es notwendig, die Basislinie zu aktualisieren und das Modell kontinuierlich zu trainieren. UEBA zielt darauf ab, ungewöhnliche Muster oder Verhaltensweisen zu erkennen, die von herkömmlichen Sicherheitsmaßnahmen unbemerkt bleiben könnten, und hilft Unternehmen, Insider-Bedrohungen, kompromittierte Konten, unbefugten Zugriff und andere verdächtige Aktivitäten zu erkennen. Durch die Analyse des Verhaltens liefert UEBA zusätzlichen Kontext und Einblicke in potenzielle Sicherheitsvorfälle, so dass die Sicherheitsteams umgehend und effektiv reagieren können. Auch wenn UEBA im Kontext der Cybersicherheit definiert ist, ist die Erkennung von Verhaltensanomalien nicht auf Cybersicherheit beschränkt, sondern bezieht sich auf Leistungsaspekte von Einheiten wie Anwendungen und Netzwerke. Einige in der Industrie sagen, und ich stimme ihnen zu, dass die Realisierung der Zero Trust Architecture (ZTA), entweder mit Service Mesh oder SASE-Technologien, nur dann vollständig ist, wenn sie UEBA in ihr Angebot aufnehmen. Da UEBA von Anomalien spricht, sollten wir zunächst den Begriff „Anomalieerkennung“, die verschiedenen Arten von Anomalien und die zur Erkennung von Anomalien verwendeten Techniken verstehen.
Anomalie-Erkennung für Cyber-Sicherheit
Dieser Blog-Beitrag Was ist Anomalie-Erkennung? bietet einen hervorragenden Überblick über Anomalie-Erkennung. Einfach ausgedrückt geht es bei der Erkennung von Anomalien darum, ungewöhnliche Punkte oder Muster in einem Datensatz zu identifizieren. Alles, was innerhalb einer vordefinierten Toleranz von einer festgelegten Basislinie abweicht, wird als Anomalie betrachtet. Während Anomalien harmlos und besorgniserregend sein können, ist die Erkennung bösartiger Anomalien in der Cybersicherheitsbranche von größter Bedeutung. Die unüberwachte Erkennung von Anomalien ist besonders wichtig für die Cybersicherheit, da sie dazu beiträgt, bisher unbekannte Ereignisse zu identifizieren, ohne sich auf Vorwissen zu stützen. Mit anderen Worten: Dieser unüberwachte Ansatz ist unerlässlich, um „unbekannte Unbekannte“ im Zusammenhang mit Sicherheitsbedrohungen zu erkennen. Die Erkennung von Anomalien kann mit verschiedenen Techniken angegangen werden, wobei manchmal statistische Tools und manchmal maschinelle Lernalgorithmen verwendet werden. Zwei beliebte Arten von Algorithmen für maschinelles Lernen, die zur Erkennung von Anomalien verwendet werden, sind:
- Clustering: Clustering ist eine Technik, die Datenpunkte auf der Grundlage ihrer Ähnlichkeit oder ihres Abstands gruppiert. Anomalien können beim Clustering durch die Erkennung von Datenpunkten identifiziert werden, die zu keinem Cluster gehören oder deutlich von ihrem nächsten Clusterzentrum entfernt sind. Beispiele für Clustering-Algorithmen sind K-means.
- Dichteschätzung: Die Dichteschätzung ist eine Technik zur Schätzung der Wahrscheinlichkeitsverteilung der Daten. Anomalien können mithilfe der Dichteschätzung erkannt werden, indem Datenpunkte mit geringer Wahrscheinlichkeitsdichte oder in Regionen mit geringer Dichte gefunden werden. Zu den gängigen Algorithmen zur Dichteschätzung gehören Isolation Forest, Kernel Density Estimation und andere.
Wir werden hier nicht auf deskriptive Analysen eingehen, da viele Überwachungssysteme diese bereits unterstützen. Das Hauptaugenmerk liegt hier auf der Verhaltensanalyse, einem Zweig der prädiktiven Analytik. Wie bereits erwähnt, ist die Erkennung von Anomalien für die Cybersicherheit von Bedeutung, und daher werden wir hier die Erkennung von Anomalien behandeln. Einige Beispiele für die Erkennung von Anomalien können helfen, die Art von Informationen zu verstehen, die von SASE-Lösungen erwartet werden, insbesondere User and Entity Behavior Analytics (UEBA) und Beobachtbarkeit im Allgemeinen. In den folgenden Abschnitten stellen wir Ihnen die Erkennung von Anomalien vor, die in der Cybersicherheits- und Netzwerkbranche benötigt werden. Wie bereits erwähnt, ist es auch wichtig, ein generisches System zur Erkennung von Anomalien mit mehreren Merkmalen zu haben, um alle Arten von Erkennungen zu identifizieren, die nicht im Voraus bekannt sind. Ein wichtiger Aspekt bei der Identifizierung unbekannter Erkennungstypen ist, dass die Eingabeprotokolle und Metrikdaten umfassend sein müssen. Hier sind einige Beispiele für die Erkennung von Anomalien:Anomalien des Benutzerverhaltens:
- Benutzer, die auf Internet-, SaaS- und Unternehmensanwendungen von Orten aus zugreifen, die von ihrem normalen Verhalten abweichen.
- Nutzer, die zu ungewöhnlichen Zeiten auf Dienste zugreifen, im Vergleich zu ihrem normalen Nutzungsverhalten.
- Benutzer, die in kurzer Zeit von mehreren Standorten aus auf Anwendungen zugreifen, was unwahrscheinlich erscheint.
- Benutzer, die über anonyme Proxys auf Dienste zugreifen, was zu Sicherheitsbedenken führt.
- Benutzer, die von verdächtigen IP-Adressen aus auf Dienste zugreifen, die mit bösartigen Aktivitäten in Verbindung gebracht werden könnten.
- Benutzer, die auf verdächtige Domains oder URLs zugreifen, was auf potenzielle Sicherheitsbedrohungen hinweist.
- Benutzer, die ein ungewöhnliches Verhalten beim Herunter-/Hochladen von Dateien zeigen, das Aufmerksamkeit erfordert.
- Benutzer, die einen atypischen Zugriff auf Anwendungen, Internetseiten oder SaaS-Anwendungen aufweisen.
Ungewöhnliche Benutzeraktivitäten:
- Ungewöhnlich viele Anmeldungen eines Benutzers, was auf kompromittierte Anmeldedaten oder unberechtigte Zugriffsversuche hinweisen könnte.
- Ungewöhnliche Anzahl von Anmeldefehlern, die auf mögliche Brute-Force-Angriffe oder Authentifizierungsprobleme hinweisen.
- Ungewöhnlicher Zugriff auf verschiedene Anwendungs-URIs, die möglicherweise weitere Untersuchungen erfordern.
- Ungewöhnliche Anzahl von Fernzugriffs-VPN-Tunneln von einem bestimmten Benutzer oder global über alle Benutzer hinweg.
Anomalien beim Anwendungszugriff:
- Zugriff auf Anwendungen durch unbekannte Benutzer, die eine Überprüfung ihrer Legitimität erfordern.
- Ungewöhnlicher Zugriff von Benutzern auf verschiedene Abschnitte oder Bereiche innerhalb der Anwendungen.
- Ungewöhnliche Downloads/Uploads von Daten durch Benutzer, die möglicherweise auf Datenexfiltration oder nicht autorisierte Datentransfers hinweisen.
- Ungewöhnlicher Zugang von bisher unbekannten Orten, was zu Sicherheitsbedenken führen könnte.
- Ungewöhnliche Zugriffe auf Anwendungen zu unerwarteten Zeiten durch Benutzer oder bestimmte Benutzer, die eine Untersuchung rechtfertigen.
- Ungewöhnliche Zugriffe von ISPs, die Sie bisher noch nicht gesehen haben und die auf verdächtige Aktivitäten hindeuten können.
- Erkennung von ungewöhnlichen HTTP-Anfrage-Headern beim Zugriff auf Anwendungsressourcen.
- Erkennung von abnormalen URI-Längen beim Zugriff auf Anwendungsressourcen.
- Ungewöhnliche Verwendung verschiedener Benutzer-Agenten, die mit bösartigen Absichten verbunden sein könnten.
- Ungewöhnliche Latenzzeit von Transaktionen auf HTTP-Ebene.
Netzwerk-Anomalien: Beachten Sie, dass das Internet als eines der Netzwerke betrachtet wird.
- Anomalien in der Menge des eingehenden Datenverkehrs, des ausgehenden Datenverkehrs oder ihrer kombinierten Werte für ein bestimmtes Netzwerk.
- Anomalien in der Menge des Datenverkehrs für verschiedene Protokolle.
- Anomalien in der Anzahl der Verbindungen zu Ressourcen im Netzwerk.
- Anomalien in der Anzahl der Transaktionen zu Ressourcen im Netzwerk.
- Anomalien in der Anzahl der Transaktionen auf einer Pro-Verbindung-Basis.
- Anomalien bei der Latenzzeit beim Zugriff auf Ressourcen im Netzwerk.
- Anomalien im Datenverkehr zwischen den Netzwerken.
Bedrohungsanomalien:
- Anomalien in der Anzahl der Sitzungen zu verdächtigen IP-Adressen, die auf mögliche Versuche hinweisen, mit bösartigen Organisationen zu kommunizieren.
- Anomalien in der Anzahl der Sitzungen zu verdächtigen Domänennamen, die auf einen Kontakt mit nicht vertrauenswürdigen oder kompromittierten Domänen hinweisen können.
- Anomalien in der Anzahl der Sitzungen zu verdächtigen URLs, die auf potenzielle Bedrohungen im Internetverkehr hinweisen.
- Anomalien in der Anzahl der Downloads/Uploads von mit Malware infizierten Dateien, die auf mögliche Cyberangriffe hinweisen.
- Anomalien in der Anzahl der Sitzungen zu nicht autorisierten oder bösartigen SaaS- und Cloud-Diensten.
- Anomalien bei der Anzahl der abgelehnten Sitzungen, die möglicherweise auf Sicherheitsmaßnahmen hinweisen.
- Anomalien in der Anzahl der verweigerten Transaktionen, die auf mögliche Sicherheitsbedrohungen oder betrügerische Aktivitäten hinweisen.
Beobachtungsplattformen mit UEBA liefern in der Regel die oben genannten Entdeckungen. Ein generisches Clustering-Modell kann für unbekannte Risiken eingesetzt werden, um neue Anomalien zu erkennen, die überwacht werden sollten. Dieses generische Modell sollte mehrere Funktionen enthalten. Da für die meisten der oben aufgeführten Anomalien Basisdaten erforderlich sind, um Anomalien genau zu erkennen, ist es entscheidend, dass Observability-Plattformen einen Lernmodus ermöglichen. Manchmal kann das Lernen dynamisch sein, so dass die Konfiguration auf der Grundlage der Daten der letzten X Tage nach Anomalien des aktuellen Tages sucht. Da möglicherweise mehrere Modelle erforderlich sind, müssen Beobachtungsplattformen skalierbar und in der Lage sein, die Belastung durch das Training und die Aufnahme mehrerer Modelle zu bewältigen.
Bedrohungsdaten mit Genauigkeit
Die genaue Erkennung von Verhaltensanomalien bei Bedrohungen hängt von den aktuellen Informationen der Anbieter von Bedrohungsdaten ab. Während SASE-Systeme eine erste Erkennung von Bedrohungen zum Zeitpunkt des Datenverkehrs durchführen, können die zu diesem Zeitpunkt gesammelten Bedrohungsdaten veraltet sein. Anbieter von Bedrohungsdaten bewerten ständig den Reputationswert von IP-Adressen, Domainnamen, URLs, Dateien und SaaS-Diensten und aktualisieren ihre Feeds mit den neuesten Informationen. Dies kann jedoch zu einer zeitlichen Lücke zwischen dem Auftreten tatsächlicher Bedrohungen und der Aktualisierung von Bedrohungsdaten führen. Folglich können alle Verbindungen oder Transaktionen, die vor diesen Feed-Updates stattfinden, dazu führen, dass die Datenebene die korrekte Klassifizierung des Datenverkehrs verpasst. Um diese Herausforderung zu meistern, untersuchen UEBA-basierte Observabilitätsplattformen proaktiv und kontinuierlich frühere Zugriffe und erweitern die Daten um neue Bedrohungsinformationen. Diese Plattformen informieren dann die IT-Bedrohungsjagdteams über die Veränderungen bei den Informationen und ermöglichen es den Bedrohungsjägern, potenzielle Bedrohungen tiefer zu erforschen.
Unified SASE aggregiert Protokolle, Metriken und Traces mit Präzision
Der Umfang und die Genauigkeit von Analysen, einschließlich deskriptiver, prädiktiver, diagnostischer und präskriptiver Analysen, hängen in hohem Maße von der Qualität der Protokolle ab, die von der Observability-Plattform empfangen werden. Dies ist der Punkt, an dem sich Unified SASE-Lösungen wirklich auszeichnen. Herkömmliche Beobachtungsplattformen hängen von Protokollen und Metriken verschiedener Herstellersysteme ab, z.B. Firewall-Appliances, UTM-Appliances, Anwendungen, Identitätsdienste, Web Application Firewalls, IDS/IPS-Systeme, DNS-Sicherheitssysteme und mehr. Die Verwaltung von Protokollen mehrerer Anbieter birgt jedoch einige Herausforderungen:
- Unzureichende Informationen in den Protokollen.
- Unterschiedliche Protokollformate/-schemata.
- Ständige Änderungen der Protokollmeldungen und des Formats durch die Anbieter.
- Schwierigkeiten bei der konsistenten Zuordnung von Protokollen von Netzwerk-/Sicherheitsgeräten zu bestimmten Verkehrssitzungen, Benutzern oder Anwendungen.
- Eine große Anzahl von Protokollen mit doppelten Informationen, was zu Protokollbomben und Protokollausfällen führt.
- Übermäßige Rechenleistung, die für die Korrelation von Protokollen und die Verarbeitung der großen Menge an Protokollen erforderlich ist.
Die Lösungen von SASE gehen diese Herausforderungen durch ihren integrierten Ansatz effektiv an. SASE vereint mehrere Netzwerk- und Netzwerksicherheitsfunktionen in einem einzigen Service, der als umfassende Lösung bereitgestellt wird. Vorsicht ist jedoch geboten, da SASE-Lösungen auf vielfältige Weise aufgebaut sein können. SASE-Services eines einzelnen Anbieters werden zwar als kombiniertes Angebot von einem Anbieter bereitgestellt, können aber aus einzelnen Sicherheits- und Netzwerkkomponenten mehrerer Anbieter bestehen. Folglich können die Protokolle und Metriken solcher SASE-Lösungen eines einzigen Anbieters vor ähnlichen Herausforderungen stehen. Im Gegensatz dazu werden Unified SASE-Lösungen in der Regel als eine einheitliche und umfassende Datenebene geliefert, die den Prinzipien der Single-Pass-Architektur und der Run-to-Complete-Architektur folgt. Das bedeutet, dass Unified SASE einen ganzheitlichen Überblick über jede Sitzung oder Transaktion und die damit verbundenen Sicherheitsfunktionen hat. Daher erzeugen Unified SASE-Lösungen nur ein Protokoll für jede Datei, Transaktion oder Sitzung, das alle erforderlichen Informationen enthält. Die Zugriffsprotokolle von Unified SASE enthalten zum Beispiel umfassende Details wie:
- 5-Tupel-Informationen (Quell-IP, Ziel-IP, Protokoll, Quell- und Ziel-Port)
- Startzeit und Endzeit der Sitzung/Transaktion
- Domänenname im Falle von TLS-Verbindungen
- Host-Header-Wert und URL-Pfad im Falle von HTTP-Transaktionen
- Ob die Verbindung sicher ist oder nicht (TLS)
- HTTP-Methode (GET/POST/DELETE/PUT), URI-Abfrageparameter und HTTP-Anfrage- und Antwort-Header und -Werte, hauptsächlich Header, die mit X- beginnen
- Datei-Hash (wenn mehrere Dateien in einer HTTP-Transaktion gesendet werden, kann es mehrere Zugriffsprotokolle geben)
- Anzahl der vom Client zum Server gesendeten Bytes und umgekehrt
- Angewandte Zugriffs- und Sicherheitsrichtlinien, zusammen mit Richtliniendetails und übereinstimmenden Werten aus der Datenverkehrssitzung, wie z.B. Benutzeransprüche (Hauptname, Gruppe, Rolle, Authentifizierungsdienst, Aussteller), IP-Reputationskategorie und -bewertung, Domänenkategorie und -bewertung, URI-Kategorie und -bewertung, SaaS-Service-Kategorie und -bewertung und ergriffene Maßnahmen. Es ist wichtig zu wissen, dass mehrere Sicherheits-Engines die Zustimmung für den Zugriff auf eine Sitzung oder Transaktion geben. Diese Sicherheits-Engines umfassen eine IP-Reputations-Engine, eine Domain-Reputations-Engine, eine URL-Reputations-Engine, SaaS-Reputations-Engines, Zugangskontroll-Engines, eine Anti-Malware-Engine, eine IDPS-Engine und mehr. Jede Sicherheits-Engine wendet ihren eigenen Satz von Richtlinien an und ergreift auf der Grundlage der Ergebnisse die entsprechenden Maßnahmen. Aufgrund des Vorhandenseins verschiedener Engines, von denen jede ihre eigene Richtlinientabelle und eindeutige Sätze übereinstimmender Werte aus dem Datenverkehr oder Verkehrsanreicherungen hat, ist es notwendig, den Namen der übereinstimmenden Richtlinie und die Parameter, die zur Übereinstimmung mit der Richtlinie geführt haben, aufzuzeichnen.
Zugriffsprotokolle spielen eine entscheidende Rolle in Observability-Plattformen und ermöglichen genaue Analysen. Andere Protokolle sind für Observabilitätsplattformen jedoch ebenso wichtig, und „Unified SASE“-Lösungen bieten diese von Haus aus. Diese Protokolle tragen entscheidend dazu bei, die Möglichkeiten der Plattform für umfassende Einblicke zu verbessern. Zu den wesentlichen Protokollen, die von Unified SASE-Lösungen bereitgestellt werden, gehören:
- Protokolle im Zusammenhang mit der An- und Abmeldung von Benutzern über die Identitätsbrokerfunktion.
- Protokolle im Zusammenhang mit fehlgeschlagenen Benutzeranmeldungen, die bei der Überwachung potenzieller Sicherheitsbedrohungen helfen.
- Protokolle im Zusammenhang mit der Benutzeranmeldung, angereichert mit umfassenden Informationen zu den Benutzeransprüchen, einschließlich:
- Benutzer-E-Mail-Adresse
- Emittent (Identitätsanbieter)
- Mehrere Gruppen und Rollen, denen der Benutzer angehört
- Der Authentifizierungsdienst, der den Benutzer authentifiziert hat
- Ob die Multi-Faktor-Authentifizierung (MFA) angewendet wurde oder nicht
- Quell-IP, von der sich der Benutzer angemeldet hat
- Von der Benutzeranwendung verwendetes Authentifizierungsprotokoll
- Ort, von dem aus sich der Benutzer angemeldet hat
Die Einbeziehung von Protokollen im Zusammenhang mit der Benutzerauthentifizierung und Zugriffsprotokollen kann der Observability-Plattform wertvollen Input für die effektive Identifizierung von Verhaltensanomalien liefern. Darüber hinaus bieten Unified SASE-Lösungen Protokolle, sobald eine Bedrohung erkannt wird, wie z.B. Malware, Exploits oder verdächtige Aktivitäten. Diese Protokolle enthalten 5-Tupel-Informationen (Quell-IP, Ziel-IP, Protokoll, Quell-Port, Ziel-Port), Datum/Uhrzeit und Informationen über bekannte Benutzeransprüche zum Zeitpunkt der Erkennung der Bedrohung. Dies hilft, die Bedrohung mit der Sitzung oder Transaktion, in der sie beobachtet wurde, zu korrelieren, was die Reaktion auf den Vorfall und die Schadensbegrenzung erleichtert. Obwohl wir hier nicht darüber sprechen, helfen viele andere Protokolle, die sich auf den Kernel des SASE-Systems, Prozesse, Container und Hardware beziehen, bei der diagnostischen Analyse. Neben der Erstellung von Protokollen bieten Unified SASE-Lösungen auch verschiedene Metriken, darunter Zähler, Messgeräte und Histogramme. Diese Metriken sind von unschätzbarem Wert für die Identifizierung von statistischen Anomalien und die Fehlersuche, da sie Einblick in die verschiedenen Komponenten der SASE-Architektur bieten. Insgesamt helfen die verschiedenen Arten von Protokollen, einschließlich Zugriffsprotokollen, authentifizierungsbezogenen Protokollen, Bedrohungsprotokollen und Diagnoseprotokollen mit verschiedenen Arten von Metriken, die Unified SASE bereitstellt, den Observability-Plattformen, nicht nur deskriptive und diagnostische Analysen, sondern auch verhaltensbezogene/vorhersagende Analysen bereitzustellen.
Unified SASE und Integrated Observability sind an der Hüfte miteinander verbunden.
Wie bereits erwähnt, zeichnet sich Unified SASE dadurch aus, dass es mit seinem umfangreichen Satz an exportierten Daten verschiedene Analysetools ermöglicht. Wir sind uns auch darüber im Klaren, dass Unified SASE-Lösungen eine umfassende Beobachtungsplattform umfassen werden, die verschiedene Analysen beinhaltet, insbesondere Verhaltensanalysen, wie bereits beschrieben. In der Anfangsphase waren integrierte Beobachtungsplattformen in erster Linie auf SASE-Lösungen beschränkt, wobei die End-to-End-Beobachtung häufig auf Beobachtungsdienste von Splunk, Datadog, Elastic, New Relic und XDR-Plattformen für End-to-End-Bedrohungen angewiesen war. Im Wesentlichen beinhaltet Unified SASE seine eigene integrierte Observability-Plattform und stellt gleichzeitig hochwertige Protokolle und Metriken für verschiedene externe Observability-Tools bereit.
Unified SASE ist der Schlüssel zur Verbesserung der Beobachtungsmöglichkeiten.
Herkömmliche Überwachungs- und Sichtbarkeits-Tools greifen in komplexen Unternehmensumgebungen zu kurz, die durch verteilte Belegschaften, Multi-Cloud-/Edge-Anwendungen, die umfassende Nutzung mehrerer SaaS-Dienste, eine sich ständig erweiternde Bedrohungslandschaft und Microservices-basierte Anwendungsarchitekturen gekennzeichnet sind. Die Abhängigkeit von Protokollen und Metriken aus verschiedenen Netzwerk-, Sicherheits- und Anwendungsquellen behindert häufig die Fähigkeit dieser Tools, verwertbare Erkenntnisse und effiziente Korrelations- und Ursachenanalysefunktionen zu liefern. Das Gebot der Stunde ist „Beobachtbarkeit“. Viele traditionelle Analyseanbieter haben damit begonnen, ihre Angebote um Beobachtungsfunktionen wie UEBA und damit verbundene Funktionen zur Erkennung von Anomalien zu erweitern. Die Wirksamkeit dieser Analysetools hängt jedoch stark von der Qualität der Protokolle und Metriken ab, die sie erhalten. Unified SASE hat das Potenzial, die Herausforderungen bei der Erstellung umfassender und qualitativ hochwertiger Protokolle für alle Arten von Analysen, einschließlich Verhaltensanalysen, zu überwinden. Durch einen einheitlichen Ansatz und einen umfassenden Datenexport kann Unified SASE die Beobachtungsmöglichkeiten von Unternehmen erheblich verbessern und so eine proaktive Erkennung von Bedrohungen, präzise Analysen und eine bessere Entscheidungsfindung ermöglichen. Die Integration mehrerer Analysetools und Beobachtungsfunktionen in Unified SASE bietet eine leistungsstarke Lösung, um die Komplexität moderner Unternehmensumgebungen zu bewältigen und die Cybersicherheitsabwehr zu stärken.
-
CTO Insights Blog
Die Blogserie Aryaka CTO Insights bietet Denkanstöße zu Netzwerk-, Sicherheits- und SASE-Themen.
Aryaka Produktspezifikationen finden Sie in den Aryaka Datenblättern.