Unbemerkte "Post-Intrusion"-Aktivitäten von Hackern in Netzwerken werden immer mehr zum Problem für Unternehmen. Cyberkriminelle nutzen beispielsweise für ihre Botnets gekaperte Hosts, um mit deren Hilfe Gewinne zu erzielen, etwa durch Bitcoin-Mining oder Spam-Versand. Ransomware ist auf dem Vormarsch und Industriespionage erfolgt heute auf digitalem Wege. Es gibt eine große Bandbreite an cyberkriminellen Verhaltensweisen – und all dies schlägt sich auch im Netzwerkverkehr nieder.
Alle diese kriminellen Aktivitäten erfolgen irgendwo zwischen dem ohnehin schon komplexen regulären Verkehr, liefern aber auch wertvolle Hinweise auf beginnende oder bereits stattfindende Angriffe im Netzwerk. Command-and-Control-Aktivitäten etwa, zur Angriffssteuerung, gelten als frühe Indikatoren für einen Angriff. Die lückenlose Überwachung des Netzwerks oder gar Erkennung derartiger Erkennungsmerkmale ist manuell für den Administrator kaum zu bewerkstelligen. Automatisierung sorgt zunehmend für die längst überfällige Entlastung der Sicherheitsfachkräfte und künstliche Intelligenz erweitert deren Fähigkeiten enorm.
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.