Die Geschichte hinter Barracuda Active Threat Intelligence

Druckfreundlich, PDF & E-Mail

Bei einer unserer Brainstorming-Sitzungen zum Thema Produktentwicklung wurde klar, dass das Erkennen und der Schutz vor neu aufkommenden digitalen Bedrohungen eine intensive Datenanalyse im großen Maßstab erforderte. Die Analyse der Risiken, denen unsere Kunden tagtäglich ausgesetzt sind, würde schnell und effizient vonstatten gehen müssen, wenn wir eine Chance gegen feindliche Aktivitäten haben wollten.

Bei der Bedarfsanalyse dieses Projekts wurde schnell klar, dass wir zum Schutz vor ausgefeilten Angriffen durch Bots eine Plattform erstellen mussten, die den Datenverkehr für Websitzungen analysieren und mit allen Sitzungsdaten korrelieren kann – und das für unseren gesamten Kundenstamm. Zudem lernten wir, dass die meisten Bereiche des Systems in Echtzeit, einige mit einer kurzen Verzögerung und andere wiederum mit einer viel längeren Analysephase arbeiten können.

Vor einigen Jahren führten wir Barracuda Advanced Threat Protection (BATP) ein, um die ganze Produktlinie von Barracuda vor Zero-Day-Angriffen zu schützen. Die Funktion – Dateianalyse zur Erkennung von Malware durch mehrere Engines in Begleitung von Sandboxing – wurde für die Produkte für Anwendungssicherheitsprodukte von Barracuda eingeführt, um Anwendungen wie Auftragsabwicklungssysteme mit Dateiuploads durch Dritte zu sichern. Dies war der erste Versuch, eine Cloud-basierte Ebene für fortgeschrittene Analysen zu verwenden, die nur schwierig in Web-Application-Firewall-(WAF-)Geräte zu integrieren gewesen wären.

Obwohl die BATP-Cloud-Ebene Millionen von Datei-Scans verarbeiten konnte, war es unmöglich, auf ihr große Mengen an Metainformationen abzuspeichern. Dies wurde jetzt aber nötig, damit Metadaten analysiert und zur Erkennung neuer Bedrohungen eingesetzt werden konnten. Das war der Beginn der neuesten Plattform: Active Threat Intelligence (ATI).

So funktioniert Active Threat Intelligence

Die ATI-Plattform ist unsere Antwort auf neuartige Bedrohungen. Die Plattform basiert auf einem riesigen Data Lake, der die Datenverarbeitung als Stream und Batch bewältigen kann. Active Threat Intelligence verarbeitet Millionen von Ereignissen pro Minute aus allen Ländern und liefert Informationen, die zur Erkennung von Bots und clientseitigen Angriffen verwendet werden, sowie Informationen zum Schutz vor diesen Bedrohungsvektoren. Wir haben bei dieser Technologie auf eine offene Architektur gesetzt, damit wir eine rasche Weiterentwicklung gewährleisten und auch die neuesten Bedrohungen eliminieren können.

Heute erhält die Barracuda ATI-Plattform Daten von den Security-Engines in der Barracuda-Web-Application-Firewall, von WAF-as-a-Service sowie von anderen Quellen. Sobald die Ereignisse eingehen, werden sie mittels Crowdsourcing-Bedrohungsfeeds und anderen Datenbanken erweitert. Clients werden entweder als Menschen oder Bots identifiziert, indem die Ereignisse sowohl einzeln als auch als Teil einer Benutzersitzung detailliert analysiert werden.

Pipelines zur Datenanalyse stützen sich auf verschiedene Engines und Modelle des maschinellen Lernens, um die verschiedenen Aspekte des Traffics zu analysieren. Sie sprechen Empfehlungen aus, die zusammengeführt werden, damit schließlich ein Gesamturteil herausgegeben werden kann.

Wie Active Threat Intelligence zum Schutz Ihrer Anwendungen beiträgt

Active Threat Intelligence unterstützt alle Analysen, die für Advanced Bot Protection erforderlich sind. Die Plattform wird aber auch für unsere neuesten Angebote – Client-Side Protection und Automated Configuration Engine – verwendet.

ATI verfolgt alle externen Ressourcen, die von der App verwendet werden können, z. B. ein externes JavaScript oder ein Stylesheet. Wir nehmen externe Ressourcen unter die Lupe, damit wir die Bedrohungslandschaft kennen und uns vor Angriffen wie MageCart schützen können.

Da die gesammelten Metadaten sehr umfangreich sind, können wir daraus zusätzliche Informationen ableiten, um Administratoren mit Konfigurationsempfehlungen zu unterstützen. Diese basieren auf dem realen Datenverkehr der Apps.

Diese Plattform war entscheidend für die Entwicklung der Sicherheitsfunktionen der nächsten Generation für unsere Kunden. Wir nutzen diese skalierbare Plattform nach wie vor, um detaillierte Einblicke zu Themen wie Traffic-Mustern oder Anwendungsgebrauch zu gewinnen. In weiteren Blog-Beiträge informiert Sie unser Team über die Entwicklung von Barracuda Advanced Threat Intelligence.

Nach oben scrollen
Twittern
Teilen
Teilen