Interviews
Fünf Antworten zu cognitix Threat Defender
Im Gespräch mit Arnold Krille, Entwicklungsleiter von cognitix Threat Defender, erfahren wir mehr über die innovative IT-Sicherheitslösung, die AI, Data Analytics und Threat Intelligence verbindet.
Im Mai 2019 übernahm genua das IT Security Start-up cognitix, das jetzt als eigene Abteilung von genua am Standort Leipzig cognitix Threat Defender weiterentwickelt. Die Lösung, die Artificial Intelligence, Data Analytics und Threat Intelligence auf einzigartige Weise kombiniert, ist inzwischen Bestandteil des IT-Sicherheitsportfolios von genua.
Warum passt cognitix Threat Defender perfekt zum Lösungsportfolio von genua?
Arnold Krille: Die Produkte von genua decken sehr erfolgreich viele Bereiche der IT-Sicherheit ab. Sie werden dort eingesetzt, wo ein Netzwerk oder Netzwerksegment vor unerwünschtem Zugriff von außen zu schützen ist oder wo ein vertrauenswürdiger Zugriff von außen kontrolliert zugelassen werden soll. Mit cognitix Threat Defender konzentrieren wir uns ergänzend zum bestehenden Portfolio von genua auf die Sicherheit innerhalb der jeweiligen Netzwerksegmente – und das auf eine völlig neue Art mit AI, Data Analytics und Threat Intelligence. Darüber hinaus ergeben sich aus der Entwicklung von cognitix Threat Defender weitere vielversprechende Möglichkeiten der Zusammenarbeit auf Produktebene.
cognitix Threat Defender kombiniert verschiedene Schutzfunktionen – welche sind das und wie greifen sie ineinander?
Arnold Krille: Zunächst einmal arbeitet cognitix Threat Defender auf Layer 2 des OSI-Schichtenmodells, einem Layer, auf dem bisher nur wenige Schutzfunktionen existierten. Damit sieht cognitix Threat Defender den gesamten Verkehr im Netzwerk und damit das vollständige Verhalten der Geräte. Diese Informationen kann er mit modelliertem Verhalten abgleichen und passend reagieren. Das bezeichnen wir auch als Korrelation, weil hier ganz unterschiedliche Netzwerkströme auch über größere Zeiträume hinweg zusammenspielen können, wir also die Sprache für Policies um ein Tracking von Informationen über die Zeit hinweg erweitert haben.
Natürlich bieten wir auch viele Informationen über den Kontext des Netzwerkverkehrs an: Layer-7-Klassifikation, Geo-Lokation, Asset-Erkennung, IDS und Threat-Intelligence-Indikatoren sowie Benutzer – Stichwort „Active Directory-Integration“. Alle diese Informationen sind natürlich in einem Reporting und im externen Logging verfügbar und werden selbstverständlich bezüglich Regeln und Verhaltensmodellierung berücksichtigt.
Am ehesten könnte man cognitix Threat Defender noch als ‚Intrusion Detection System on Steroids‘ bezeichnen.
Wie unterscheidet sich cognitix Threat Defender von Lösungen, die unter der Bezeichnung Intrusion Detection oder Intrusion-Prevention-System gehandelt werden?
Arnold Krille: Intrusion Detection oder Intrusion-Prevention-Systeme liefern einem schon ein gewisses Gefühl für die Bedrohungen im Netzwerk. Das ist allerdings nur der Fall, wenn das IDS an einem Mirror Port am Switch auch den gesamten Traffic im Netz sieht. Meistens ist ein IDS/IPS ja ein Modul auf der Firewall und erkennt damit nur die Bedrohungen bzw. Muster, die über eine Netzwerkgrenze hinweg auftreten.
cognitix Threat Defender ist viel mehr als ein IDS oder IPS. Am ehesten könnte man ihn noch als „Intrusion Detection System on Steroids“ bezeichnen. Das IDS sucht für gewöhnlich nur nach Mustern in einem Datenstrom. Mit cognitix Threat Defender suchen wir im Netzwerk nach Mustern im Verhalten der Netzwerkgeräte. Die Ergebnisse des IDS sind da nur ein Teil der Information und in Kombination mit dem restlichen Kontext und der Policy Engine dienen die IDS-Hits nur als ein Merkmal, das durch weitere Informationen und Verhalten verifiziert wird. Damit lassen sich Überreaktionen bei False Positives effektiv vorbeugen, aber auch ganz neue Zusammenhänge entdecken.
Was ist der größte Nutzen für Organisationen, die cognitix Threat Defender einsetzen?
Arnold Krille: Ein ganz wesentlicher Nutzen, der sich in allen Aspekten immer durchzieht, ist der Gewinn an Transparenz des eigenen Netzwerks. Fehlkonfigurationen, Angriffe im Netzwerk, bewusstes oder unbewusstes Fehlverhalten sowie sonstige „schwarze Flecken“ werden durch verschiedenste Analysemethoden sichtbar. Auf diese Ereignisse und Bedrohungen dann angemessen zu reagieren ist der Bonus, den man auch erst zu schätzen weiß, wenn man überhaupt den Überblick über das eigene Netzwerk gewonnen hat.
Was sind die nächsten Meilensteine in der Entwicklung von cognitix Threat Defender?
Arnold Krille: Neben der kontinuierlichen Verbesserung von Schutzfunktionen und Bedienbarkeit beschäftigt uns als Nächstes das Zusammenspiel: Wir werden dafür sorgen, dass sich eine Reihe von cognitix Threat Defendern in einer Organisation so administrieren lässt wie ein einzelnes System. Ziel ist es, den Schutz des gesamten Netzwerks so einfach wie möglich zu gestalten. Diese verschiedenen cognitix Threat Defender tauschen dann natürlich Informationen über den Kontext aus. Auch die weiteren Produkte von genua sollen dabei miteingebunden werden. So können sich beispielsweise die High Resistance Firewall genugate und cognitix Threat Defender im Verhalten ergänzen und bei der Administration zusammengefasst werden.
Außerdem wollen wir dem Administrator nicht nur den Überblick über das Netzwerk der Organisation geben, sondern auch bei der Erkennung, Bewertung und richtigen Reaktion auf Bedrohungen Hilfestellung bieten. Mit den passenden Assistenzsystemen, Datenanalysen und Lernverfahren machen wir so Administratoren das Leben leichter – ohne Risiken für die Organisation in dem Sinne, dass die AI keine unerklärlichen Entscheidungen trifft, sondern nachvollziehbar und sinnvoll die IT-Sicherheit der Organisation gewährleistet.
Danke für das Gespräch.