Verhaltensbasierte Erkennung von Angriffen: Lightcyber baut europäischen Vertrieb auf

Mit Lightcyber steigt ein weiterer Sicherheitsanbieter in den europäischen Markt ein. Seine Lösungen sollen Angreifer, die es an Firewall und anderen Security-Systemen vorbeigeschafft haben, anhand ihrer Aktivitäten im Firmennetzwerk entdecken. Der Hersteller verspricht, Sicherheitsverantwortliche nicht mit einer Vielzahl von Warnung zu überfluten.

Jason Matlof, EVP und Chief Marketing Officer bei Lightcyber
(Foto: Lightcyber)

Viele Sicherheitssysteme konzentrieren sich darauf, Angreifer an den Grenzen des Firmennetzwerks oder auf Endpoints abzuwehren. Sind sie überwunden, können sich die Eindringlinge oft tage- oder wochenlang unbemerkt im Netzwerk bewegen und Daten entwenden. Daher gewinnen auf dem Security-Markt neben klassischen Lösungen zur Prävention solche an Bedeutung, die sich dem Entdecken von Attacken und der Reaktion auf diese verschrieben haben. Viele dieser Lösungen liefern den Sicherheitsverantwortlichen allerdings eine große Anzahl von Warnhinweisen, die sie prüfen und bewerten müssen. Hier setzt der israelisch-amerikanische Sicherheitsanbieter Lightcyber an, dessen »Magna« genannte Plattform ungewöhnliche Verhaltensweisen im Netzwerk aufspüren und automatisiert weiter untersuchen soll. Auf diese Weise will der Hersteller dafür sorgen, dass nur bei tatsächlichen Attacken ein Alarm ausgelöst wird. »Schließlich brauchen Unternehmen kein weiteres System, das ihnen 500 Alerts liefert«, betont Jason Matlof, EVP und Chief Marketing Officer bei Lightcyber. Magna sei sehr effizient und produziere den eigenen Erfahrungswerten zufolge 1,09 Alarme pro Tag und 1.000 Endgeräte – das sei eine gut beherrschbare Menge für das Security-Team.

Lightcyber will mit seiner Lösung eine Ergänzung zu traditionellen Sicherheitssystemen wie Firewall und Antivirus liefern. Diese seien nach wie vor wichtig und würden gebraucht, versichert Matlof. Allein seien sie allerdings nicht ausreichend, denn sie hätten »nur eine einzige Chance, einen Angriff zu erkennen« – und zwar im Moment des Eindringens beziehungsweise der Infektion. Das wäre allerdings nur ein kleiner Teil der Attacke, dem Wochen und Monate von Aktivitäten im Firmennetzwerk folgen würden. »Wir spüren den Teil der Attacke auf, für den die anderen Systeme blind sind«, so der Manager.

Magna wird dem Hersteller zufolge »blank« installiert und erlernt in einer ersten Phase die normalen Aktivitäten innerhalb der Infrastruktur. Dabei wird nicht nur der Netzwerk-Traffic und der Status von Endpoints untersucht, sondern auch die Nutzung von User Credentials berücksichtigt – immerhin kann der Login eines Nutzers von einem ungewöhnlichen Standort oder von einem bislang unbekannten Gerät aus bereits ein erster Hinweis auf eine Attacke sein. Kennt das System das Kommunikationsverhalten im Netzwerk, kann es Abweichungen ermitteln. Über einen Cloud-Service lassen sich diese Anomalien mit bekannten Angriffsmustern abgleichen und weitere Analysen vornehmen, damit das System möglichst keine Fehlalarme produziert.

Um den Datenschutzanforderungen europäischer Kunden gerecht zu werden, nutzt der Hersteller ein Rechenzentrum in der EU. Zudem schaue man sich keine Firmendaten an, sondern nutze nur die Metadaten des Netzwerkverkehrs, sagt Matlof.

Übersicht