Graphtechnologie & Cybersecurity IT-Netzwerke im Digital Twin modellieren

Von Dirk Möller

Anbieter zum Thema

Cybersicherheit ist gnadenlos komplex. Sicherheitsteams müssen nicht nur die externe Bedrohungslandschaft im Auge behalten, sondern auch das eigene IT-Netzwerk monitoren. Die ganzheitliche Sicht auf alle Risiken im Kontext aller Information ist entscheidend. Graphtechnologie und Digital Twin zeigen hier neue Wege für KI-basierte Sicherheitsmaßnahmen.

Die Anwendungsszenarien für einen graphenbasierten digitalen Zwilling, der das IT-Netzwerk realitätsnah abbildet, sind auch ind er IT-Security nahezu unbegrenzt.
Die Anwendungsszenarien für einen graphenbasierten digitalen Zwilling, der das IT-Netzwerk realitätsnah abbildet, sind auch ind er IT-Security nahezu unbegrenzt.
(Bild: Michael Traitov - stock.adobe.com)

Die Flut an Sicherheits-Daten erreicht mit jedem Jahr ein neues Rekordhoch. Im Durchschnitt finden sich in Unternehmen 76 Sicherheitslösungen, die kontinuierlich neue Informationen liefern. Dazu gehören Cyber-Bedrohungsinformationen der Threat Intelligence aber auch Logdateien, Berichte über Schwachstellen und Code-Stücklisten der internen Anwendungen und Services. Ein wachsendes Sicherheitsportfolio ist jedoch nicht immer gleichbedeutend mit mehr Transparenz. Im Gegenteil: Oft schränkt der Tool-Mix die Effektivität von Sicherheitsteams ein und stellt damit paradoxerweise selbst ein Risiko dar.

Hinzu kommt: Angreifer denken nicht in linearen Prozessen. So gut wie jeder Angriff auf die IT-Sicherheit setzt sich aus einer Kette von System-Kompromittierungen zusammen. Geht es den Angreifern zum Beispiel um ein geschäftskritisches System, starten sie in den wenigsten Fällen einen Frontalangriff. Vielmehr nehmen sie das Unternehmensnetzwerk zunächst in seiner Gänze ins Visier und suchen nach verborgenen Abhängigkeiten und versteckten Hintertüren im Umfeld des Angriffsziels. Oft liegen diese Nachbar-Systeme auf der Prioritätenliste der Cybersicherheit weiter unten und sind damit weniger stark geschützt als die „Kronjuwelen“ im Zentrum. Haben sich Angreifer jedoch erst einmal Zugang verschafft, können sie sich von diesem Knotenpunkt weiter ins Netzwerk vorarbeiten, sich über längere Zeit versteckt halten und ihr weiteres Vorgehen sowie ihren Rückzug planen.

Kontext schaffen mit Graphtechnologie

Graphtechnologie hat sich hier in den letzten Jahren als die Datenbank-Lösung etabliert, um komplexe Beziehungen – wie sie im IT-Netzwerk vorliegen – abzubilden und innerhalb einer ganzheitlichen Analyse abzufragen. Mit ihrem Datenmodell aus Knoten und Kanten bieten sie einen realitätsnahen Ansatz zur Modellierung großer Mengen heterogener Daten. Anders als in relationalen Datenbanken (RDBMS) stehen dabei die Beziehungen im Vordergrund. Die Performance ist zudem deutlich besser: Von einem beliebigen Ausgangspunkt springt man entlang der Kanten von Knoten zu Knoten (Traversieren) und kann so mehrere Millionen Sprünge (Hops) pro Sekunden zurücklegen.

Gartner geht davon aus, dass bis 2025 bei 80 Prozent der Datenanalyse Graphtechnologie zum Einsatz kommt. Bereits heute folgt bei 50 Prozent aller KI-Anfragen auch automatisch die Frage nach dem Einsatz von Graphen. Der Grund: Graphdatenbanken vernetzen heterogene Informationen über mehrere Systeme hinweg, schaffen einen semantischen Kontext und damit das Trainingsumfeld für Machine Learning (ML). Anders als einfache Wissensdatenbanken mit flachen Strukturen und statischem Inhalt, erfasst und integriert beispielsweise ein Knowledge Graph auch benachbarte bzw. über eine Kante verbundene Informationen – und eignet sich damit als Grundgerüst für digitale Zwillinge.

Digital Twin: Erste Schritte beim Modellieren der IT-Infrastruktur

Ein digitaler Zwilling stellt eine virtuelle Kopie eines materiellen oder immateriellen Objekts dar. Das kann ein Produkt sein, dass sich noch in der Entwicklungsphase befindet, oder eine Anlage in der Smart Factory, die es kontinuierlich zu überwachen gilt. Aber auch im Bereich Supply Chain finden sich Digital Twins, um Transparenz zu schaffen und frühzeitig vor Engpässen zu warnen. In der Cybersecurity hilft die digitale Repräsentanz von IT-Netzwerken Sicherheitsteams, eine ganzheitliche Sicht zu gewinnen und alle technischen und organisatorischen Maßnahmen zum Schutz von Systemen im Auge zu behalten.

Die Modellierung der IT-Infrastruktur in einem Knowledge Graphen kann dabei einfacher sein als gedacht, da IT-Netzwerke inhärent über eine Graph-Struktur verfügen und sich aus Entitäten (z. B. IT-Assets) und ihren Verbindungen (z. B. APIs, Abhängigkeiten) zusammensetzen. Um die Infrastruktur zu beschreiben, können Entwickler beispielsweise die Metadaten-API-Dienste großer Cloud-Anbieter heranziehen und in eine Graphdatenbank integrieren. Google Cloud Platform (GCP) bietet hier das Cloud Asset Inventory. Microsoft verfügt über den Azure Resource Manager sowie Microsoft Graph API. AWS wiederum stellt AWS Organizations API bereit. Alternativ dazu können Unternehmen zur Graph-Modellierung auch auf Open-Source-Tools wie Cartography zurückgreifen. Für On-Premise-Anwendungen lohnt es sich, einen Blick auf die Systemressourcen, z. B. in VMWare oder HyperV, zu werfen und mithilfe der vom Anbieter bereitgestellten APIs zu arbeiten.

Modell eines graphbasierten Digital Twins.
Modell eines graphbasierten Digital Twins.
(Bild: Neo4j)

Der Digital Twin spiegelt die IT-Netzwerkstruktur wider und beantwortet zentrale Fragen der IT-Sicherheit in einer Ansicht. Welche Systeme sind mit welchen Systemen verbunden? Welche Systeme sind gegenüber dem Internet offen? Welchen Benutzern und Gruppen sind die IT-Assets zugeordnet? Welche Zugriffskontrollen und Berechtigungen liegen vor? Welchen internen und externen Richtlinien müssen sie entsprechen? Welche Systeme sind besonders zu schützen? Darüber lassen sich unterschiedliche Ereignisse monitoren und tracken, u. a. Benutzerzugriffe, Nutzung von Anwendungsressourcen, verbundene Geräte und Service Health.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Big Data, Analytics & AI

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Anreichern mit IT-Asset-Daten und Threat Intelligence

Steht das Grundgerüst des digitalen Zwillings, kann der dahinterliegende Graph kontinuierlich angereichert werden. Über das Knoten-Kanten-Prinzip lassen sich Daten einfach hinzufügen, ohne das Modell an sich ändern zu müssen und Ausfallzeiten in Kauf zu nehmen. Als Quelle können beispielsweise Configuration Management Databases (CMDBs) dienen, die von IT-Administratoren zur Verwaltung und Dokumentation von IT-Assets (z. B. Software, Hardware, Rechenzentren) genutzt werden und in der Regel über vielfältige IT-Asset-Daten verfügen (z. B. Version, EOL/EOS).

Kostenlose Tools wie der Portscanner Nmap ermöglichen es, die IT-Infrastruktur noch genauer zu durchleuchten und Informationen über Versionen, Libraries, verwendete Ports oder Server-Adressen in die Analyse mitaufzunehmen. In Sachen Threat Intelligence bieten MITRE und NIST umfangreiche Datenbanken zu aktuellen Software Vulnerabilities und Exploits. Die von MITRE entwickelte ATT&CK-D3FEND-Matrik ist frei verfügbar und liefert wertvolle Kontext-Informationen zu den Techniken und Taktiken von Hackergruppen sowie Empfehlungen zur Eindämmung (Mitigation & Remediation). Einmal in den Graphen hinzugefügt, zeigt der digitale Zwilling so mögliche Angriffspfade auf und macht auf verwundbare Punkte im Netzwerk aufmerksam. In ähnlicher Weise lassen sich auch Daten aus bestehenden Intrusion Detection Systemen (IDS) verwenden. Für die Integration von Threat Intelligence-Daten eignet sich z. B. das Open-Source-Tool GraphKer.

Graph Data Science: Der lernende Zwilling

Je umfangreicher und vielschichtiger der Datenkontext im Knowledge Graphen, desto detaillierter und präziser fällt die Risikobewertung aus. Für die komplexe Analyse kommen hier Graph Algorithmen im Rahmen der Graph Data Science (GDS) zum Einsatz. Während der Shortest Path-Algorithmus den kürzesten Weg zu einer geschäftskritischen Anwendung ermittelt, lässt sich mit Hilfe der Betweenness- und Centrality- Algorithmen ein Risk-Score für jeden Knoten bzw. jedes IT-Asset im Netzwerk berechnen. Wird dieser Wahrscheinlichkeitswert den Hops der jeweiligen Pfade zugeordnet, entsteht eine Art „Vulnerability Tree“, der es erlaubt, mögliche Angriffsvektoren im Vorfeld zu identifizieren und präventiv zu entschärfen.

Graph Algorithmen dienen zudem zur Generierung sogenannter Graph Features. Dabei werden neue, prädiktive Parameter (Features) innerhalb der Graph-Rohdaten identifiziert, die sich extrahieren, mit anderen Suchkriterien kombinieren und anschließend in ML-Modelle überführen lassen. Findet z. B. der Similarity-Algorithmus ein für eine Ransomware-Gruppe charakteristisches Merkmal, lässt sich dieses als eigener Knoten im Graphen ablegen. Regeln und Suchkriterien werden so fortlaufend verfeinert und prädiktive Analysen (z. B. über mögliche Angriffsziele) verbessert.

Angriffsversuche in Echtzeit erkennen

Die Anwendung von GDS im Digital Twin ermöglicht es, auffällige Bewegungen und Ereignisse in Echtzeit zu erkennen. Die Sicherheitsteams können Bedrohungen im virtuellen Zwilling nachgehen, sie priorisieren und entschiedener vorgehen. Aufdecken lassen sich zum Beispiel:

  • Verdächtige Aktionen: Graph-Algorithmen suchen nach ungewöhnlichen Mustern, die auf cyberkriminelle Aktivitäten am Rande oder innerhalb des IT-Netzwerks hinweisen. Dazu gehört z. B. eine hohe Zahl an Anmeldeversuchen einer IP-Adresse oder ein unerklärlicher Anstieg des Netzwerkverkehrs (DDoS).
  • Datenleaks: Das Zugriffs-Monitoring auf Dateien und Ordner ermöglicht es, eine Kompromittierung frühzeitig zu entdecken. Das kann z. B. ein Nutzer sein, der auf abteilungsfremde Dokumente zugreift oder sich zu einem ungewöhnlichen Zeitpunkt einloggt. Sind bestimmte Parameter erfüllt, schlagen Alerts automatisch Alarm.
  • Modus Operandi (MO): Cyberkriminelle Gruppen zeichnen sich oft durch eine bestimmte Angriffsstrategie und Technik aus. Dieser „Fingerabdruck“ der Angreifer lässt sich als Threat Intelligence im digitalen Zwilling hinterlegen, um Anzeichen einer bevorstehenden Attacke zu erkennen.

Neben der prädiktiven Analyse und der Echtzeit-Aufdeckung von Angriffen lässt sich der graphbasierte Digital Twin auch im Nachgang von Cyberattacken nutzen. Denn im Ernstfall müssen Sicherheitsteams auch hier den Weg der Angreifer durch das IT-Netzwerk nachverfolgen, um den vollen Umfang des Schadens zu erfassen und böse Überraschungen zu einem späteren Zeitpunkt zu vermeiden. Überhaupt sind die Anwendungsszenarien für einen digitalen Zwilling, der das IT-Netzwerk realitätsnah abbildet, nahezu unbegrenzt – und das nicht nur im Bereich IT-Sicherheit und Cyberschutz, sondern für das gesamte IT-Management.

Über den Autor: Dirk Möller ist seit über 20 Jahren in der IT-Branche unterwegs. Dank leitender Positionen bei Unternehmen wie Symantec, MongoDB und Couchbase entwickelte er detailliertes Fachwissen im Bereich NoSQL und Graphdatenbanken. Als RVP DACH & Emerging Regions bei Neo4j unterstützt Dirk Möller Kunden, bestehende Datenbank-Lösungen zu ersetzen bzw. zu erweitern, Kosten einzusparen und mit der Graphdatenbank Neo4j echten Mehrwert aus Daten zu gewinnen.

(ID:48799076)