Blogpost

Cybersicherheit, Bandbreite bedeutet nicht das, was Sie denken...

Der Artikel kritisiert die Überbetonung der Bandbreite in der Cybersicherheit und plädiert für Metriken wie PPS und CPS, um die Effektivität von Lösungen zu bewerten. Die NANO Corp. betont die Leistung in der Praxis gegenüber Marketingaussagen.

Florian Thebault
1. März 2024
Teilen Sie
LinkedIn LogoX-Logo

TLDR : Wenn es um die Überwachung von Infrastrukturen geht, kommt ein Punkt im Lösungsmarketing, an dem Behauptungen auf den Prüfstand gestellt werden müssen, an dem Bullshit genannt werden muss. Der Durchsatz ist eine der Zahlen, die unsere Konkurrenten verwenden und die uns hier bei NANO Corp. die Augen verdrehen lassen. 10/50/100 Gbits/Sekunde bedeuten gar nichts, wenn man nicht hinter den Rauch und die Spiegel schaut. Die einzige Frage, die Sie sich stellen müssen, ist, wie viele Pakete/Sitzungen pro Sekunde die Lösung tatsächlich verarbeitet!

Was ist eigentlich Netzwerkbandbreite?

Im Kern ist die Netzwerkbandbreite die maximale Geschwindigkeit, mit der Daten durch Ihr Netzwerk fließen, gemessen in Bits pro Sekunde (bps). Klingt einfach, oder? **Aber halt**... die Geschichte hört hier nicht auf - und fängt auch nicht an. Um die Bandbreite wirklich in den Griff zu bekommen, müssen wir uns mit ihrer Rolle und ihren Grenzen befassen, vor allem, wenn es um die alltägliche Internetnutzung und, Sie ahnen es, die Cybersicherheit geht 😉 .

Die wirklichen Metriken für die Dimensionierung Ihrer Lösungen

Lassen Sie uns über Zahlen sprechen und darüber, worauf Sie achten sollten. Bei der NANO Corp. sind dies die Kennzahlen, die wir bei der Dimensionierung einer Lösung für unsere Kunden berücksichtigen:

-Pakete pro Sekunde (PPS): In Umgebungen mit einem hohen Volumen an kleinen Paketen, wie DNS- oder IoT-Datenverkehr, ist PPS ein relevanteres Maß für die Netzwerklast als die Bandbreite. Eine Sicherheitsanwendung kann zwar 10 Gbit/s unterstützen (verstehen Sie: marketingmäßig unterstützt), hat aber mit einer hohen PPS-Rate zu kämpfen, was zu Paketverlusten und potenziellen Sicherheitslücken führt. Sie müssen nicht weiter suchen als suricata-basierte Rebranding-Lösungen (wobei wir hier stark auf unsere französische Konkurrenz schauen 😆) oder bekannte Namen wie Extrahop (die nicht weiter als 1 Million Pakete pro Sekunde für 10Gbit/s-Netzwerke gehen).

- Verbindungen pro Sekunde (CPS): Für Anwendungen, die häufige neue Verbindungen erfordern, wie sie in dynamischen Umgebungen mit häufigem Sitzungsaufbau vorkommen, z. B. in Rechenzentren von Banken während Verkaufsveranstaltungen, ist die CPS-Fähigkeit von entscheidender Bedeutung. Eine Sicherheitslösung kann zwar mit einem angemessenen Bandbreitendurchsatz werben, aber ins Stocken geraten, wenn sie mit der hohen Rate an neuen Verbindungen nicht mithalten kann. Ein Problem, das bei fast allen Netzwerksicherheitslösungen auftritt.

- Gleichzeitige Verbindungen: Diese Kennzahl gibt die Anzahl der aktiven Sitzungen an, die eine Sicherheitsanwendung gleichzeitig verwalten kann. Sicherheitsgeräte müssen aktuelle Verbindungen verwalten und gleichzeitig neue Verbindungen aufnehmen, was ein Gleichgewicht zwischen der CPS-Kapazität und der Fähigkeit, eine hohe Anzahl gleichzeitiger Verbindungen aufrechtzuerhalten, erfordert. Diese Fähigkeit ist von entscheidender Bedeutung, da potenzielle Bedrohungen versuchen, Netzwerksicherheitslösungen bei Spitzenbelastungen (wie DDoS) zu überfluten, um ihre Spuren zu verwischen: Neben der Bandbreite ist auch das tatsächliche Datenvolumen zu berücksichtigen, das Ihr Netz verarbeitet, wobei sowohl der Nord-Süd- als auch der Ost-West-Verkehr zu berücksichtigen ist.

Und nur so können Sie die Lösungen tatsächlich vergleichen.
Möchten Sie ein wenig tiefer eintauchen? Lesen Sie weiter!

Häufige Missverständnisse...

Der Mythos vom Nord-Süd- und Ost-West-Verkehr

Wie bereits erwähnt, werden Sicherheitslösungen allzu oft auf der Grundlage des Nord-Süd-Verkehrs bemessen, d. h. im Wesentlichen anhand der Daten, die in Ihr Netzwerk hinein- und aus ihm herausfließen. Das ist zwar eine wichtige Kennzahl, aber nur die Hälfte der Geschichte. Denn der Ost-West-Verkehr - also die Daten, die sich seitlich in Ihrem Netzwerk bewegen - ist oft eine Brutstätte für Cyber-Bedrohungen, die unbemerkt lauern. Den Ost-West-Verkehr zu ignorieren ist so, als würde man die Vordertür abschließen, aber die Hintertür weit offen lassen.

Stellen Sie sich beispielsweise ein Unternehmen vor, das über eine Nord-Süd-Bandbreite von 10 Gbit/s verfügt, dessen interner Ost-West-Verkehr jedoch aufgrund des hohen Datenaustauschs zwischen den Abteilungen, des Zugriffs auf Cloud-Dienste und interner Anwendungen Spitzenwerte von 40 Gbit/s erreicht. Bei der Bemessung von Sicherheitslösungen, die ausschließlich auf der externen Bandbreite basieren, wird der Großteil des internen Datenverkehrs ignoriert, sodass kritische Schwachstellen möglicherweise nicht behoben werden können.

Ausschließlich auf die Bandbreite setzen: eine fehlerhafte Strategie

Die Konzentration auf die Bandbreite allein führt dazu, dass Kunden andere wichtige Messgrößen wie Pakete pro Sekunde (PPS), Verbindungen pro Sekunde (CPS) oder Sitzungen pro Sekunde und gleichzeitige Verbindungen übersehen. So kann eine Firewall beispielsweise für einen Durchsatz von 10 Gbit/s ausgelegt sein, aber nur 500.000 CPS und 1 Million gleichzeitige Verbindungen verarbeiten. Wenn in Ihrem Netzwerk während des Geschäftsbetriebs Spitzenwerte von 1 Million CPS auftreten, kann dieses Missverhältnis zu Verbindungsabbrüchen und einer Beeinträchtigung der Sicherheit führen, obwohl die Bandbreitenkapazität ausreichend zu sein scheint.

Wenn Sie unsere Artikel über die Konkurrenz gelesen haben, die Suricata oder Zeek umbenennt und das als NDR bezeichnet, werden Sie verstehen, dass diese Metriken entscheidend sind. Vor allem, wenn Netzwerklösungen anfangen, Pakete zu verwerfen, was die Verbindungserkennung stört und kaskadenweise falsch-positive Alarme provoziert.

Wenn man dann noch die Notwendigkeit der Speicherung von Verbindungsdaten für die Erkennung durch maschinelles Lernen hinzufügt, bekommt die Dimensionierung eine ganz andere Bedeutung als "nur Bandbreite". Bei suricata-basierten Lösungen wird die Speicherung von Protokollen zu einem ressourcenintensiven Unterfangen. Zumal Protokolle bis zu 500 Byte für eine einzige Verbindung benötigen können. Für Kunden mit vielen Geräten, die den ganzen Tag miteinander sprechen, hat dies dramatische Auswirkungen auf die Speicherung. Ein Problem

Erkenne dein Netz und du wirst dich selbst erkennen

Es ist wichtig, die Art des Datenverkehrs in Ihrem Netzwerk zu verstehen. So kann beispielsweise ein hohes Volumen an kleinen Paketen (z. B. die Kommunikation von IoT-Geräten) schwieriger zu verarbeiten sein als ein geringeres Volumen an großen Paketen (z. B. Video-Streaming). Ein Netzwerk, das hauptsächlich kleine Pakete verarbeitet, benötigt Sicherheitslösungen, die für eine hohe PPS-Verarbeitung optimiert sind, nicht nur für den reinen Bandbreitendurchsatz.

Es ist klar, dass ein alleiniger Fokus auf die Bandbreite für die Dimensionierung robuster Netzwerksicherheitslösungen unzureichend ist. Anwender und Kunden sollten sich von den simplen IDS/IPS-Metriken verabschieden und erkennen, dass wir in einem Zeitalter leben, in dem maschinelles Lernen von größter Bedeutung ist und in dem Analysten nicht zu viele falsch-positive Erkennungen haben wollen, die Zeit fressen, die sie nicht haben.

Wenn Anbieter von Sicherheitslösungen Ihnen eine Bandbreite von 10Gbit/s oder 40Gbit/s angeben, sollten Sie sie fragen: "Das ist schön, aber sagen Sie mir, von wie vielen Paketen, Sitzungen oder Transaktionen pro Sekunde wir tatsächlich sprechen?"

... und ihre Auswirkungen auf die Cybersicherheit

Kommen wir nun zur Cybersicherheit, wo die Bedeutung der Bandbreite oft unterschätzt wird. Unserer Erfahrung nach kann eine zu starke Konzentration auf die Bandbreite von den eigentlichen Problemen der Cybersicherheit ablenken. Vor allem dann, wenn Anbieter ihre Lösung nur auf die Nord-Süd-Verbindungen des Kunden auslegen. Das erinnert an ein traditionelles IDS/IPS. Hier besteht das Ziel darin, eine Bedrohung zu stoppen, bevor sie in das Netzwerk eindringt.

Wie IDS/IPS in der heutigen verschlüsselungsintensiven IT-Landschaft ihr Ziel verfehlen können, ist ein Thema für einen anderen Tag. Stattdessen wollen wir uns damit beschäftigen, wie ein NDR (Network Detection and Response) die IDS/IPS-Prinzipien aufgreift, aber noch einen Schritt weiter geht. Denn ein NDR nimmt nicht nur den Nord-Süd-Verkehr unter die Lupe, sondern auch den Ost-West-Verkehr und verarbeitet Daten für maschinelles Lernen - Themen, die wir später auspacken werden.

In diesem Rahmen stellt die Bandbreite eine allgemeine, aber trügerische Gesamtkennzahl dar. Wenn wir also über den Schutz Ihres Netzwerks sprechen, kann sich die Dimensionierung nicht nur auf die Bandbreite beschränken und auf das Beste hoffen. Es bedarf eines differenzierteren Ansatzes, der nicht nur die Breite der Autobahn berücksichtigt, sondern auch die Art und Weise, wie wir jede Auffahrt, jede Ausfahrt und jede gefährdete Stelle entlang der Strecke schützen.

Was bringt die NANO Corp. also genau?

Nun, wenn wir bei NANO Corp. von Bandbreite sprechen, meinen wir "volle Linerate". Stellen Sie sich vor: "Voller chaotischer DDoS-Modus". Das ist nichts, was Sie "vielleicht" brauchen, aber warten Sie, bis Sie einen Hacker haben, der DDoS nutzt, um alle Ihre Sicherheitslösungen zu überfluten und sich unbemerkt im Datenverkehr zu verstecken.

Um diese Herausforderung zu meistern, bieten wir eine einfache Möglichkeit für Benutzer und Kunden, ihre Lösungen richtig zu dimensionieren:

  • Die Sonden sind kostenlos und die schlanksten auf dem Markt ⇒ es braucht 32 Kerne und 64GB RAM für 100Gbit/s Netzwerkbandbreite (14.000.000 CPS / 148.500.000 PPS) - die Lösung ist in der Tat, sehr skalierbar Sie können es mit abaques angeben, wie viele Pakete / Verbindungen pro Sekunde, die Sie verwalten möchten, und dann ableiten, wie viele CPU-Kerne / RAM Sie benötigen.
  • Bei der NANO Corp. geht es um No-BS: Sie bekommen das, wofür Sie zahlen. Sie können mehrere VLANs, MPLS, VxLAN-Layer, etc. haben... Im Gegensatz zu anderen Anbietern verstecken wir keine Gegenleistungen in unserem Kleingedruckten (👀 einige Anbieter, die nicht wirklich sagen, dass sie keinen nennenswerten Verkehr hinter VLAN/VxLAN verwalten können). Unsere Leistungen werden immer für das Worst-Case-Szenario angegeben, so dass Sie sicher sein können, dass Sie nichts verpassen werden.

Florian Thebault
1. März 2024
Teilen Sie
LinkedIn LogoX-Logo

Sind Sie bereit, die vollständige Netzwerktransparenz von
freizuschalten?

Sprechen Sie mit unsBuchen Sie eine Demo ->

Weitere Blogbeiträge

Zum Blog gehen

Bandbreitenexplosion: Welche Leistung wird für die Überwachung der Netze von morgen benötigt?

November 22, 2022
Lesen Sie mehr ->

Netzüberwachung: Welche Geräte stehen Ihnen zur Verfügung?

13. Dezember 2022
Lesen Sie mehr ->

NANO Corp. tritt dem DeepTech Club bei

März 24, 2022
Lesen Sie mehr ->
Sie haben sich erfolgreich für den Newsletter angemeldet.
Ups! Etwas ist schief gelaufen, bitte versuchen Sie es erneut.
Wenn Sie den Newsletter abonnieren, erklären Sie sich damit einverstanden, die neuesten Unternehmensnachrichten von NANO Corp. zu erhalten. Lesen Sie die Datenschutzrichtlinie.
Plattform
Deep Network BeobachtungKI-gesteuerter intelligenter AlarmLive-ForensikIntegrationenSIEM/SOAR-RationalisierungIDS-ErsatzErkennung von OT-BedrohungenVollständige NetzwerktransparenzAutomatisierte Paketerfassung
Ressourcen
BlogDokumentationRechner für die Kosten von AusfallzeitenTechnische BlätterDatenschutzbestimmungenBedingungen der Dienstleistung
Unternehmen
ÜberKarriereKontaktVeranstaltungenPresse
LinkedIn LogoX-LogoYoutube-Logo
Urheberrecht © 2024 NANO Corp.