Startseite > Datacenter & Verkabelung > Die wachsende Verwundbarkeit der Netze

Netzwerkforensik

Die wachsende Verwundbarkeit der Netze

2. März 2015, 16:00 Uhr | Timur Özcan, Geschäftsführer, Neox Networks

Fortsetzung des Artikels von Teil 1

Netzwerke werden schneller und Datenvolumen größer

igabit-Netzwerke, vor kurzem noch hochmodern, sind inzwischen technologische Normalität. Die Einführung der nächsten Generation schnellerer Netzwerke, basierend auf 10-Gigabit und 40-Gigabit-Leitungen, nahm im Jahre 2012 um 62 Prozent zu. Mittlerweile werden drei Viertel aller Investitionen in Hochgeschwindigkeitsumgebungen in 10G-Leitungen getätigt.

Geeignete Werkzeuge müssen in der Lage sein, mit den exponentiell wachsenden Datenraten umzugehen. Traditionelle Monitoring-Tools stoßen hierbei an Grenzen, den Highspeed-Traffic zuverlässig zu erfassen und zu analysieren. In einer Studie von TraCS Research verliehen kürzlich 59 Prozent aller befragten IT Verantwortlichen ihrer Sorge Ausdruck, dass ihre Monitoring-Tools aufgrund Überlastung eher Netzwerkverkehr übersehen, anstatt den Highspeed-Traffic verlässlich für eine Analyse aufzuzeichnen. 51 Prozent aller Befragten bezweifelten zudem die Genauigkeit der Daten, die ihr Netzwerk-Monitoring-Tool anzeigt.

Die Kosten von Ausfällen

Netzwerkprobleme und -ausfälle verursachen den Unternehmen hohe finanzielle Kosten und können die Reputation beschädigen. Höhere Netzwerkgeschwindigkeiten im Zusammenspiel mit neuen Technologien (SDN, NFV) und neuen Medien (BYOD, IoT) machen es zunehmend schwerer, den Traffic präzise zu überwachen, um so Ausfälle zu minimieren. Zudem erhöht sich die Menge an Daten, der bei einem Netzwerkausfall betroffen ist, was die durchschnittliche Troubleshooting- und Analysezeit enorm erhöht.

Betrachte man die MTTR („Mean Time to Resolution“ – Mittlere Zeitspanne zur Lösung von Problemen), die von deutschen Unternehmen in der Umfrage von HP angegeben wird:

Die Wiederherstellzeit nach einem Ausfall beträgt bei mittelständischen Unternehmen durchschnittlich 3,8 Stunden.
Ein Netzwerkausfall verursacht Unternehmen Kosten in Höhe von durchschnittlich 25.000 Euro pro Stunde.

Bei einem Netzwerkproblem, das einen Ausfall der Infrastruktur verursacht und dessen Lösung etwa eine Stunde in Anspruch nimmt, verliert das betroffene Unternehmen im Durchschnitt 380.000 Euro pro Jahr. Selbst wenn trotz Berücksichtigung von Produktivitätseinbußen und anderen Effekten nur die Hälfte dieser Kosten entsteht, dann ist dies immer noch für viele IT-Organisationen ein guter Grund, um nach besseren Möglichkeiten zur Lösung von Netzwerkproblemen zu suchen. Während der Netzwerk-Traffic an Volumen und Komplexität zunahm, haben sich viele Netzwerkanalyse-Lösungen zur Überwachung häufig in Richtung Vereinfachung und Verallgemeinerung entwickelt.

Datenstichproben sind zu ungenau

Anstatt den gesamten Datenverkehr zu betrachten, gibt sich eine Reihe von Lösungen damit zufrieden, lediglich Stichproben zu nehmen, um Übersichtsstatistiken auszugeben. Die Funktionalität reicht aus, wenn es um eine reine Darstellung der Auslastung und anderer zusammenfassender Messgrößen zur Netzwerkaktivität geht. Den Ansprüchen der Netzwerkforensik wird dies nicht gerecht! Mit der Zielstellung, einen Angriff zu untersuchen und beispielsweise festzustellen, ob Nachrichten Malware enthalten sind tiefergehende Detailinformationen notwendig. Security-Analysten müssen die Inhalte von verdächtigem Netzwerkverkehr genau kennen; reine Aussagen zum Umfang in einem Zeitintervall reichen nicht aus. Im Kern geht es also darum, mit den Instrumenten der Netzwerkforensik, im Zusammenspiel mit bereits etablierten Technologien, weiterführende Fragen zu beantworten:

Wie kann ich einen Alarm untersuchen, der vom IDS (Intrusion-Detection-System) durch Traffic in einem Netzwerksegment in Gebäude 3 ausgelöst wurde?
Wie kann ich feststellen, ob andereSysteme durch einen kompromittierten Server beeinträchtigt wurden?
Wie breitet sich der Angriff über unser Netzwerk aus?
Haben wir Beweise dafür, das einbestimmter Mitarbeiter vertrauliche Daten an einen Mitbewerber weitergibt?
Wie kann ich bestätigen, ob eine E-Commerce-Transaktion korrekt verarbeitet wurde und fehlerfrei ist?
Um Antworten dafür zu finden, benötigen Security-Analysten auch retrospektiv den vollständigen Zugriff auf die sich immer schneller rollierenden Datenvolumina.

Verkehr, der bereits die Leitung durchquert hat, steht nicht länger für Analysen zur Verfügung – es sei denn, die Daten wurden vollständig aufgezeichnet. Packet-Capture ist eine Terminologie für das lückenlose Aufzeichnen aller Datenpakete, die ein Netzwerk durchqueren. Diese Technologie gestattet es Security-Analysten, die wirklich spannenden Fragen zu beantworten, insbesondere dann, wenn dies in Verbindung mit leistungsstarken Such- und Analysefunktionen innerhalb der Netzwerkforensik-Lösung geschieht.

Eine optimale Implementierung ermöglicht Security-Analysten das Auffinden der sprichwörtlichen Nadel im Heuhaufen, unabhängig davon, ob sie nach Beweisen für einen Angriff forschen oder im Detail zu verstehen versuchen, wie einzelne Netzwerkressourcen beeinträchtigt sein könnten.