Die Angreifer von informationstechnologischen (IT) Systemen setzen stets die ausgeklügeltesten Methoden ein. Die Verteidiger müssen dafür gewappnet sein. Seit August 2015 bietet Microsoft dafür die «Advanced Threat Analytics» an: Mit lernfähigen Methoden werden verdächtige Aktivitäten und Verhaltensanomalien erkannt und aufgezeigt. In der META10-Cloud wird dieses fortschrittliche Sicherheitsinstrument ohne Mehrkosten automatisch eingesetzt. 
 

Angriffe schneller erkennen und Angriffsflächen verringern

Ziel von «Advanced Threat Analytics» ist es, Eindringlinge in ein informationstechnologisches(IT) Netz sowie Angriffe darauf so rasch wie möglich zu erkennen und die Angriffsflächen zu verringern. Konkret werden von der Software die Windows-Events und das Active Directory, der System-Verzeichnisdienst, ausgewertet. Mit der eingesetzten Machine Learning-Technologie werden dann verdächtige Aktivitäten und Anomalien von den normalen Aktivitäten unterschieden und aufgezeigt. Diese fortgeschrittene Technologie hat Microsoft Ende 2014 mit der Übernahme des israelischen Startups Aorato erworben. 
 

Verhalten von Benutzern und Systemen wird laufend analysiert

Die «Advanced Threat Analytics»-Software untersucht fortlaufend die Aktivitäten aller angeschlossenen Benutzer und Systeme eines Netzwerks. Dank der Machine Learning-Technologie wird das normale Verhalten von verdächtigen Aktivitäten immer besser unterschieden. Das erlaubt, verdächtiges Nutzerverhalten zu entdecken. Dazu zählen beispielsweise ungewöhnliche Arbeitszeiten oder das Weitergeben von Passwörtern. Überdies werden bekannte und unbekannte Angriffe, aber auch eine mangelhafte Konfiguration von Komponenten oder Sicherheitslücken in Echtzeit erkannt. Zu den Signalen dafür zählen unsichere Protokolle oder unterbrochene Vertrauensketten. 
 

Anzeige in einer Zeitleiste

Die Angriffschronik und die verdächtigen Aktivitäten werden in einer Zeitleiste aufgezeigt, samt Empfehlungen für allfällige notwendige Massnahmen. Im Gegensatz zu anderen Sicherheitstools gibt die intelligente und selbstlernende Software «Advanced Threat Analytics» keine unnötigen Gefahrenmeldungen aus, die von echten Bedrohungen ablenken: Gewarnt wird nur, wenn verdächtige Aktivitäten im spezifischen Umfeld wirklich anormal sind. Das Erkennungstool leitet dann auch automatisch durch den notwendigen Prozess zur Beseitigung der Bedrohung.

Zu Teil 1 der Serie IT-Sicherheit: «AppLocker» leistungsfähiger als klassische Antivirensoftware

Zu Teil 2 der Serie IT-Sicherheit: OpenDNS blockiert automatisch die Phishing-Seiten

Zu Teil 4 der Serie IT-Sicherheit: META10 ist Mitglied des grössten Internet-Austausch-Knotens der Schweiz

Zu Teil 5 der Serie IT-Sicherheit: Optimierte Redundanz im Dienste der Sicherheit und Verfügbarkeit des Cloud Computing

Zu Teil 6 der IT-Sicherheits-Serie: Chrome-Browser 56 von Google erklärt Webseiten ohne SSL-Verschlüsselung sensibler Daten als «not secure»

Zu Teil 7 der IT-Sicherheits-Serie: Physische plus IT-technische plus organisatorische Sicherheit ergibt die höchstmögliche Sicherheit