ASM-IT-SECURITY.de 

 

TECHNOLOGIE

Die Idee dahinter 

 

MUNINN™ ist ein intelligenter Netzwerksensor, bestehend aus Hard- und Software, der von Muninn ApS entwickelt wurde.

 

MIt der Muninn AI-Plattform haben Unternehmen nunmehr die Instrumente verfügbar, um komplexe Bedrohungen (Advanced Persistent Threats / APTs) zu erkennen und abzuwehren.

 

Muninn verwendet historische Daten bekannter Bedrohungen und überprüft darüber hinaus zusätzlich in einem KI-basierten Cyber-Security-Ansatz aktuelle Real-Time-Datenaufkommen auf Anomalien. So werden auch Zero-Day-Attacks erkannt und gestoppt.

 

Methoden des maschinellen Lernens

 

Mit Hilfe intelligenter proprietärer Algorithmen bildet Muninn Cyber-AI in dem Modul zur Erkennung von Anomalien ein präzises Bild des „normalen“ Verhaltens aller User und Endgeräte ab.

Bei der Identifizierung von Anomalien, d.h. Abweichungen von diesem Normalprofil des Datenaufkommens in Netzwerken, und zur Vorhersage von bösartigem Verhalten setzt Muninn zwei Engines für maschinelles Lernen ein:

  • Die „Clustering-Engine“ für unbeaufischtigtes maschinelles Lernen verwendet probabilistische Methoden, um die normalen Verhaltensmuster jedes Geräts und jedes Users im Netzwerk autonom zu bestimmen.

  • Durch den Aufbau und die ständige Aktualisierung eines Modells basierend auf den Interaktionen zwischen allen Absendern und Empfängern von Daten ermittelt die „Dyadic Machine Learning Engine“ Verkehrsmuster. Nach Umwandlung der Daten in ein stochastisches Modell ist es der ML-Engine dann möglich, Anomalien in Echtzeit zu erkennen und zu bewerten.

 

Bei der Bewertung von Anomalien ist der Algorithmus beispielsweise in der Lage, selbst beim Hinzufügen neuer Server und User zu Netzwerken die Anzahl von „False Positives“ zu minimieren und gleichzeitig doch auf bösartiges Verhalten zu reagieren.

 

Integration

 

Der selbstlernende Netzwerksensor ist protokollunabhängig und kann in verschiedenste OT-Umgebungen installiert werden.

MUNINN Industrial ist eine spezielle Adaption der KI-Technologie zum Schutz von OT-Umgebungen wie Schiffen, Fabriken und Kraftwerken. Der Netzwerksensor verarbeitet normale Verkehrsmuster in OT, IT und industriellem IoT, um ansonsten kaum zu idnetifizierende Signale von Cyber-Bedrohungen zu erkennen.

MUNINN/FREKI arbeitet autonom; die Anwendung lässt sich dabei unproblematisch in die folgenden Systeme integrieren:

  • SIEM / SOAR-Systeme wie IBM QRadar (Weiterleitung von Benachrichtigungsinformationen mit Syslog und Flow-Daten im LEAF-Format)

  • Muninn AutoPrevent (Freki) o TCP-Reset (unabhängig von Integrationen)

  • Software Defined Networks (SDN) mit OpenFlow 1.3 und höher

  • Andere REST-basierte SDN-Controller: Controller der Ubiquiti Unifi-Serie

 

Installation

 

Muninn AI kann speziell auf die Rahmenbedingungen der jeweils vorhanden IT-Infrastruktur abgestimmt installiert werden:

  • als On-Premise-Sensor entweder physisch oder virtuell

  • als Cloud-Service-Installationen, derzeit bei AWS, MS Azure und Google Cloud

  • als Multi-Tenant für Hosting-Partner, die ihre Benutzerbasis basierend auf VLAN-ID segmentieren

 

On premise wird MUNINN am Main Switch über einen TAP- oder SPAN/Mirror-Port installiert. Das System empfängt Kopien von Netzwerkpaketen, um sowohl den internen Datenverkehr als auch den Datenverkehr mit dem Internet zu überwachen. Die Installation dauert in der Regel weniger als eine Stunde und stört dabei den Netzwerkverkehr nicht.

 

Das System nimmt automatisch eine Bestandsaufnahme der Systemlandschaft mit den angeschlossenen Endgeräten vor und ermittelt innerhalb von 3 Wochen ein „normales“ Netzwerkverhalten. Während dieser Lern- und Einarbeitungsphase werden die Netzwerke schon im Rahmen der vorgegebenen Netzwerkskripte geschützt.

 

Nach Beendigung der Lernphase stellen die Systeme einen normalen Einstellungsstand her. Ein Fine-Tuning sollte anschließend in Zusammenarbeit zwischen den Technikern von Muninn ApS und dem Netzwerkbetreiber erfolgen.

 

Die Installation lässt sich beliebig über mehrere Sensoren skalieren.

 

Management

 

Das Management der Netzwerke erfolgt über Dashboards, die an den Netzwerksensor direkt oder bei remote-Betrieb über Zwischenschaltung einer Cloud angedockt werden. Das Dashboard zeigt Übersichten des Datenaufkommens im Netzwerk und bietet standartmäßig mehr als 80 Alarm-Notifications.

 

Muninn in der Cloud

 

Muninn AI bietet vollständige Transparenz über die gesamte IT-Umgebung einschließlich SaaS, Cloud-Infrastruktur, Unternehmensnetzwerken, OT-Umgebungen und Endpunkten und ermöglicht es Bedrohungen zu erkennen, unabhängig davon, wie sie in das Unternehmen eindringen.

So kann ein Bedrohungsakteur einen Angriff zunächst über einen anfälligen Endpunkt starten und anschließend auch auf Cloud-Infrastrukturen überleiten.

Muninn ist in der Lage den Datenverkehr in Cloud-Umgebungen von AWS, MS Azure und Google Cloud zu überwachen und zu schützen.

Anders als bisherige Sicherheitslösungen schafft MUNINN hier einen besonderen Mehrwert:

  • Bisherige Sicherheitslösungen waren entweder nicht auf Hybrid- und Multi-Cloud-Umgebungen anwendbar oder zu langsam, um diese Umgebungen gegen fortschrittliche Angriffe zu schützen.

  • Cloud-native Sicherheitslösungen wiederum können zwar bei Compliance und protokollbasierten Analysen helfen; aufgrund ihres begrenzten Umfangs und ihrer Abhängigkeit von Regeln und Signaturen lassen sich neue Bedrohungen und Insiderangriffe kaum erkennen.