Die wichtigsten Vorteile der Analyse des Netzwerkverkehrs

Wenn es heutzutage bei Cyberangriffen heißt, „nicht ob, sondern wann“, kann es für Sicherheitsexperten überwältigend sein, sicherzustellen, dass die Umgebung einer Organisation so gut wie möglich gesichert ist. Das Netzwerk ist ein entscheidendes Element ihrer Angriffsfläche; mit einer größeren Transparenz bei ihren Netzwerkdaten wird ein größerer Bereich zur Erkennung von Angriffen und zur frühzeitigen Bekämpfung abgedeckt. Vorteile von NTA-Produkten beinhalten:

• Verbesserte Transparenz bei mit Ihrem Netzwerk verbundenen Geräten (z. B. IoT-Geräte)
• Compliance-Anforderungen erfüllen
• Fehlersuche bei Problemen im Betriebs- und Sicherheitsbereich
• Schnelleres Reagieren auf Untersuchungen mit wichtigen Details und zusätzlichem Netzwerk-Kontext

Ein wichtiger Schritt bei der Einrichtung eines NTA-Produktes besteht darin, sicherzustellen, dass die Daten aus den richtigen Quellen erhoben werden. Netzwerk-Flow-Daten sind wichtig, wenn Sie nach Traffic-Volumen suchen und den Weg eines Netzwerkpakets vom Sender zum Empfänger nachvollziehen wollen. Diese Informationen können helfen, unbefugten WAN-Traffic zu erkennen und Netzwerkressourcen und -leistung zu nutzen. Allerdings fehlt es an Details und Kontext, um Probleme bei der Cybersicherheit anzugehen.

Paketdaten, die aus Netzwerkpaketen extrahiert werden, können Netzwerkmanagern helfen, zu verstehen, wie Benutzer Anwendungen implementieren/benutzen, die Nutzung auf WAN-Links verfolgen und auf verdächtige Malware oder andere Sicherheitsvorfälle überprüfen. Die Tools basierend auf Deep Packet Inspection (DPI) bieten 100 % Transparenz im Netzwerk, indem die Roh-Metadaten in ein lesbares Format umgewandelt werden und es den Netzwerk- und Sicherheitsmanagern ermöglicht wird, bis ins kleinste Detail vorzudringen.

Die Bedeutung der Analyse des Netzwerkverkehrs

Die Netzwerkgrenzen genau im Auge zu behalten ist immer eine gute Idee. Selbst mit guten Firewalls können Fehler auftreten und schädlicher Traffic kann durchdringen. Benutzer könnten auch Methoden wie Tunneling, externe Anonymizer und VPNs einsetzen, um Firewall-Regeln zu umgehen.

Zusätzlich kommt Ransomware als häufiger Angriffstyp in den letzten Jahren immer häufiger zum Einsatz. Dadurch wird die Überwachung von Netzwerkverkehr noch wichtiger. Eine Lösung zur Netzwerküberwachung sollte in der Lage sein, Aktivitäten zu entdecken, die auf Ransomware-Angriffe über unsichere Protokolle schließen lassen. Bei WannaCry etwa haben Angreifer aktiv die Netzwerke nach einem offenen TCP Port 445 gescannt und dann eine Schwachstelle im SMBv1 verwendet, um auf Fileshares im Netzwerk zuzugreifen.

Auch das Remote Desktop Protocol (RDP) wird gern angegriffen. Stellen Sie sicher, dass alle eingehenden Verbindungsversuche an Ihrer Firewall blockiert werden. Die Überwachung des Verkehrs innerhalb Ihrer Firewalls ermöglicht es Ihnen, Regeln zu validieren und wertvolle Erkenntnisse zu gewinnen. Außerdem kann der Verkehr als Quelle für netzwerkbasierte Warnungen verwendet werden.

Achten Sie auf jede verdächtige Aktivität, die mit Managementprotokollen wie Telnet zusammenhängt. Da Telnet ein unverschlüsseltes Protokoll ist, wird der Sitzungsverkehr die für den Hersteller und das Modell des Geräts angemessenen Befehlszeilenschnittstellen-(CLI)-Befehlsfolgen anzeigen. CLI-Zeichenfolgen können Login-Verfahren, Präsentation von Zugangsdaten, Befehle für Boot- oder Ausführungskonfiguration anzeigen, Dateien kopieren und vieles mehr. Überprüfen Sie Ihre Netzwerkdaten, ob auf einem Ihrer Geräte unverschlüsselte Managementprotokolle verwendet werden, wie z. B.:

• Telnet
• Hypertext Transport Protocol (HTTP, Port 80)
• Einfache Netzwerkmanagementprotokolle (SNMP, Ports 161/162)
• Cisco Smart Install (SMI Port 4786)

Welchen Zweck haben die Analyse und Überwachung von Netzwerkverkehr?

Viele Betriebs- und Sicherheitsprobleme können durch die Implementierung der Analyse des Netzwerkverkehrs sowohl am Netzwerkrand als auch im Netzwerkkern untersucht werden. Mit dem Tool zur Datenanalyse können Sie Dinge wie große Downloads, Streaming oder verdächtigen ein- oder ausgehenden Datenverkehr erkennen. Fangen Sie zunächst mit der Überwachung der internen Schnittstellen von Firewalls an. Dadurch können Sie Aktivitäten zu bestimmten Kunden oder Benutzern zurückverfolgen.

NTA bietet auch eine Organisation mit mehr Transparenz bei Bedrohungen in deren Netzwerken, auch über das Endgerät hinaus. Da es immer mehr mobile Geräte, IoT-Geräte, Smart-TVs usw. gibt, benötigen Sie etwas, das mehr Daten liefert als nur die Firewall-Logs. Firewall-Logs sind außerdem problematisch, wenn ein Netzwerk angegriffen wird. Sie werden feststellen, dass diese aufgrund von Ressourcenauslastung an der Firewall nicht zugänglich sind oder dass sie überschrieben wurden (oder manchmal sogar von Hackern modifiziert wurden). Dies führt zu einem Verlust von wichtigen forensischen Informationen.

Einige der Anwendungsfälle zur Analyse und Überwachung von Netzwerkverkehr beinhalten:

• Erkennung von Ransomware-Angriffen
• Datenexfiltration/Internetaktivität überwachen
• Zugriff auf Dateien auf Dateiservern oder MSSQL-Datenbanken überwachen
• Benutzeraktivitäten im Netzwerk durch nutzerbezogenes, forensisches Reporting überwachen
• Bestandsaufnahme von Geräten, Servern und Diensten, die im Netzwerk ausgeführt werden
• Ursache von Spitzen hoher Bandbreite im Netzwerk anzeigen und identifizieren
• Echtzeit-Dashboards mit Fokus auf Netzwerk- und Benutzeraktivitäten erstellen
• Berichte über die Netzwerkaktivität für das Management und Auditoren für einen bestimmten Zeitraum generieren

Welche Funktionen sollte eine Lösung für die Analyse und Überwachung des Netzwerkverkehrs haben?

Nicht alle Tools zur Überwachung des Netzwerkverkehrs sind gleich. Im Allgemeinen gibt es zwei verschiedene Arten: flow-basierte Tools und Tools basierend auf Deep Packet Inspection (DPI). Innerhalb dieser Tools haben Sie Optionen für Software-Agenten, Speicherung historischer Daten und Eindringalarmsystemen. Bei der Bewertung, welche Lösung für Ihre Organisation am besten geeignet ist, sollten Sie diese fünf Dinge berücksichtigen:

1. Vorhandensein von Flow-fähigen Geräten: Haben Sie Flow-fähige Geräte in Ihrem Netzwerk, die die Verbindungen generieren können, die von einem NTA-Tool benötigt werden, das nur Flows wie Cisco Netflow akzeptiert? DPI-Tools akzeptieren Raw-Traffic, den man in jedem Netzwerk über jeden verwalteten Switch finden kann, und sie sind herstellerunabhängig. Netzwerk-Switches und Router benötigen keine speziellen Module oder Unterstützung, nur den Verkehr von einem SPAN oder einem Mirror-Port von jedem verwalteten Switch.
2. Die Datenquelle: Netzwerk-Flow-Daten und Paketdaten stammen aus verschiedenen Quellen, und nicht alle NTA-Tools erfassen beides. Überprüfen Sie Ihren Netzwerkverkehr und entscheiden Sie, welche Dinge von großer Bedeutung sind. Dann vergleichen Sie die Funktionen der Tools, um sicherzustellen, dass alles abgedeckt wird.
3. Die Punkte im Netzwerk: Überprüfen Sie, ob das Tool agentenbasierte oder agentenlose Software verwendet. Achten Sie darauf, dass Sie am Anfang nicht zu viele Datenquellen überwachen. Stattdessen sollten Sie sich Orte aussuchen, an denen Daten konvergieren, wie etwa die Internet-Gateways oder VLANs, die mit kritischen Servern verbunden sind.
4. Echtzeitdaten vs. historische Daten: Historische Daten sind entscheidend für die Analyse von vergangenen Ereignissen. Einige Tools zur Überwachung des Netzwerkverkehrs speichern diese Daten nicht langfristig. Überprüfen Sie auch, ob der Preis für das Tool nach der Menge der Daten, die Sie speichern möchten, gestaffelt ist. Sie sollten sich überlegen, welche Daten für Sie am wichtigsten sind, um die beste Option für Ihre Bedürfnisse und Ihr Budget zu finden.
5. Vollumfängliche Paketaufzeichnung, Kosten und Komplexität: Einige DPI-Tools erfassen und speichern alle Pakete, wodurch teure Geräte, erhöhte Speicherkosten und viel Schulung/Know-how für den Betrieb notwendig werden. Andere beschränken sich auf die „schweren Sachen“. Dabei werden zwar alle Pakete erfasst, aber nur die kritischen Details und Metadaten für jedes Protokoll extrahiert. Diese Extraktion von Metadaten führt zu einer signifikanten Datenreduzierung, verfügt aber immer noch über lesbare, verwertbare Details, die sowohl für Netzwerk- als auch für Sicherheitsteams geeignet sind.

Zusammenfassung

Die Analyse des Netzwerkverkehrs ist ein wesentliches Instrument, um die Netzwerkverfügbarkeit und -aktivität zu überwachen, Anomalien zu identifizieren, die Leistung zu maximieren und mögliche Angriffe zu entdecken. Neben Protokollaggregation, UEBA und Endpunktdaten ist der Netzwerkverkehr ein Kernstück der umfassenden Transparenz und Sicherheitsanalyse, um Bedrohungen frühzeitig zu erkennen und sie schnell zu stoppen. Bei der Wahl einer NTA-Lösung sollten Sie die aktuellen blinden Flecken in Ihrem Netzwerk berücksichtigen, die Datenquellen, von denen Sie Informationen benötigen. Überlegen Sie auch, wo die kritischen Punkte im Netzwerk zusammenlaufen, um sie so effizient zu überwachen. Durch NTA wird ein weiterer Teil zu Ihrer Security Information and Event Management (SIEM) Lösung hinzugefügt. Somit erhalten Sie noch mehr Transparenz über Ihre Umgebung und Ihre Nutzer.

SIEM

Security Operations Center (SOC)