(Disclaimer: Die Bezeichnungen „Endpoint“, „Client“ und „Endgerät“ werden in diesem Beitrag synonym verwendet)
Die aktuelle IT-Landschaft in Büroumgebungen konfrontiert viele Nutzer mit neuen Herausforderungen, insbesondere im Bereich der Endgeräte. Es ist heutzutage üblich, dass Mitarbeiter ihre privaten Laptops auch für berufliche Aufgaben verwenden und umgekehrt. Ein wiederkehrendes Sicherheitsrisiko stellen auch kompromittierte Endgeräte dar, die durch Vortäuschen einer legitimen MAC-Adresse im Netzwerk unerkannt bleiben können (auch unter MAC-Spoofing bekannt).
Um diese neuen Sicherheitsrisiken auf dem Radar zu halten, wird mithilfe von Cisco AI Endpoint Analytics jedem Endgerät ein sogenanntes „Profiling“ sowie ein „Trust-Score“ zugewiesen (siehe Abb. 1).
Abbildung 1: Angabe des Trust-Scores mit einem Zahlenwert auf einer Skala von 1 bis 10 und der entsprechenden Auswirkung auf die Zugriffsrechte des Endpoints
Das Profiling gibt uns Auskunft über Gerätetyp, Gerätehersteller, Modell und das Operative System. Nur wenn auch alle vier Komponenten erkannt werden, kann man von einem klar identifizierten Endpoint sprechen. Mit dem kalkulierten Trust-Score für jedes Endgerät wird uns dargestellt, wie risikoreich bzw. risikoarm der jeweilige Endpoint ist. Und um das herauszufinden, werden Analyse-Methoden wie Deep Packet Inspection (DPI) angewandt.
Zunächst wird eine sogenannte First-Packet-Classification vorgenommen, wo anhand des Layer-3/Layer-4-Traffics und des Cache einer Applikation eine erste Klassifizierung der Applikation sowie des Endgerätes vorgenommen wird. Danach greift DPI ein. DPI ist Bestandteil von NBAR (Network-Based-Application Recognition) und führt anschließend eine gründliche Layer-4 bis Layer-7 Traffic-Analyse der Endpoints durch, nach welcher hoffentlich ein vollständiges Endpoint-Profiling entsteht. Diese Funktionen stehen mit der aktuellen Cisco Catalyst 9000 Access-Switching-Serie zu Verfügung.
Noch ein paar Worte zum Trust-Score: Die Zahl des Trust-Scores gibt uns Auskunft darüber, wie vertrauenswürdig das jeweilige Endgerät ist. Die Unterteilung erfolgt wie folgt:
- 1 bis 3 = nicht vertrauenswürdig bzw. hohes Risiko
- 4 bis 6 = bedingt vertrauenswürdig bzw. mittleres Risiko
- 7 bis 10 = vertrauenswürdig bzw. geringes Risiko
Mit einem Trust-Score von 1 bis 3 werden die Zugriffsrechte des jeweiligen Endgerätes automatisch eingeschränkt bzw. das Engerät wird in Quarantäne gesetzt (für diesen Vorgang ist die Cisco Identity Services Engine zuständig). Es gibt Faktoren, die diesen Score sowohl positiv als auch negativ beeinflussen. Hier sind ein paar Beispiele:
Tabelle 1: Beispiele für positive und negative Einflüsse auf den Trust-Score von Endpoints
Abbildung 2: Detaillierte Ansicht über die Ermittlung des Trust Scores in Cisco Catalyst Center – AI Spoofing Detection
In diesem Beitrag wollen wir uns aber mehr auf das Thema „Künstliche Intelligenz“ fokussieren und gerade bei der Berechnung des Trust-Scores kommt sie zum Vorschein. Die sogenannte „AI Spoofing Detection“ hilft uns maliziöse Endgeräte, die unter dem Vorschein einer vertrauenswürdigen Verbindung auftreten, zu erkennen und nicht in das interne Netzwerk zuzulassen. Diese Erkennung basiert dabei auf dem maschinellen Lernen (engl. „machine learning“) des Verhaltens der jeweiligen Endgeräte. Die Cisco AI kann anhand der erlernten Daten schnell erkennen, ob das Endgerät plötzlich ein unübliches Verhalten aufweist (z.B. Download von großen Dateimengen um 3 Uhr nachts am Wochenende) und den Trust-Score senken bzw. das entsprechende Gerät automatisch isolieren, man spricht in diesem Fall auch von „change of authorization“. Anknüpfend an dieses Beispiel sieht man in Abb. 2, wie dieser Vorgang in Catalyst Center (Cisco’s führende Platform für Netzwerkmanagement) wiedergegeben wird.
Wie in Abb. 3 dargestellt, gibt es in Cisco Catalyst Center ein gesondertes Dashboard für AI Endpoint Analytics. Zum einen erhält man unter dem Reiter „Trust Score“ eine Übersicht darüber, inwieweit die Endgeräte im Netzwerk den gesetzten Sicherheitsparametern entsprechen oder in anderen Worten: „Wie vertrauenswürdig sind meine Endpunkte im Netzwerk?“.
Zum anderen findet man auch auf der rechten Seite sogenannte „AI Proposals“, die hier dem zuständigen Admin Empfehlungen über das Setzen von „Profiling-Rules“ geben. Mit Profiling-Rules in Cisco AI Endpoint Analytics werden Endpunkte mithilfe einer Kombination von gemeinsamen Attributen zusammengruppiert. Diese Attribute helfen bei der Identifizierung von Endpunkten nach Gerätetyp, Gerätehersteller, Modell und Operative System (s.o.). Ziel ist es die Verwaltung und Steuerung von vielen Endgeräten zu vereinfachen.
Abbildung 3: Screenshot des AI-Endpoint-Analytics Dashboards aus Cisco Catalyst Center
Wenn Sie bis hierhin gelesen haben, möchte ich mich bei Ihnen bedanken. Sollten Sie noch weitere Informationen brauchen oder in Kontakt mit einem Sales-Representative von Cisco treten wollen, können Sie gerne hier Ihre Anfrage abschicken: Link
Authors
