Kapitel 3. Erkennung von Anomalien

In diesem Kapitel geht es darum, unerwartete Ereignisse oder Anomalien in Systemen zu erkennen. Im Zusammenhang mit der Netzwerk- und Hostsicherheit bezieht sich die Erkennung von Anomalien auf die Identifizierung von unerwarteten Eindringlingen oder Sicherheitsverletzungen. Im Durchschnitt dauert es Dutzende von Tagen, bis ein Systemverstoß entdeckt wird. Nachdem sich ein Angreifer Zutritt verschafft hat, ist der Schaden jedoch meist in wenigen Tagen oder weniger angerichtet. Unabhängig davon, ob es sich bei dem Angriff um Datenexfiltration, Erpressung durch Ransomware, Adware oder Advanced Persistent Threats (APTs) handelt, ist es klar, dass die Zeit nicht auf der Seite des Verteidigers steht.

Die Bedeutung der Anomalieerkennung ist nicht nur auf den Sicherheitskontext beschränkt. In einem allgemeineren Kontext ist die Anomalieerkennung eine Methode zum Auffinden von Ereignissen, die nicht mit den Erwartungen übereinstimmen. In Fällen, in denen die Systemzuverlässigkeit von entscheidender Bedeutung ist, kannst du die Anomalieerkennung nutzen, um frühe Anzeichen von Systemausfällen zu erkennen und so frühzeitige oder präventive Untersuchungen durch die Betreiber auszulösen. Wenn das Energieversorgungsunternehmen beispielsweise Anomalien im Stromnetz erkennen und beheben kann, kann es möglicherweise teure Schäden ...