Netzwerkforensik
Die wachsende Verwundbarkeit der Netze
Fortsetzung des Artikels von Teil 2
Anwendungsfälle der Netzwerkforensik
Beweise für einen Angriff sichern: In vielen IT-Organisationen verschafft sich die Netzwerkforensik einen guten Ruf bei der Untersuchung von Sicherheitsvorfällen, wie zum Beispiel Datenmissbrauch. Zumeist löst eine vorgeschaltete Sicherheitslösung wie ein IDS (Intrusion-Detection-System) aufgrund einer verdächtigen Netzwerkaktivität einen Alarm aus, jedoch ohne den Security-Analysten ausreichende Detailinformationen über den Angriff zu liefern. Eine Untersuchung des Netzwerk-Verkehrs zum Zeitpunkt des Alarms erlaubt den Analysten, vorhandene Beweise zu sichern und weitere Angriffe abzuwehren.
Identifizierung „undichter Stellen“: Ein Spezialfall von IT- und HR-Verstößen ist Industrie-Spionage. Es gibt verschiedenste Möglichkeiten, wie interne Nutzer vertrauliche Informationen per E-Mail, Blog-Posts, sozialen Medien u.a. verbreiten können. E-Mail- und Web-Gateways können unter Umständen einige dieser Kommunikationen auffangen. Die Netzwerkforensik ermöglicht das Aufspüren undichter Stellen, die traditionelle Mechanismen unterlaufen.
Verifikation von Geschäftstransaktionen: Sowohl bei verschlüsselt (HTTPS, SSL, IPSec) als auch unverschlüsselt (SQL, HTTP, FTP) ablaufenden Transaktionen, stellen Netzwerkforensik-Lösungen den idealen Audit-Trail für Geschäftstransaktionen zur Verfügung. Sie tragen dazu bei, Probleme zu lösen oder Betrugsversuche aufzudecken, für die Server-Logs nicht ausreichen. Online-Händler können zum Beispiel mit Netzwerkforensik Diskrepanzen zwischen Angaben von Kunden- und Serverseite beseitigen oder überprüfen, ob Transaktionen manipuliert wurden. Nicht zuletzt liefert die lückenlos aufgezeichnete Übertragung einen umfassend dokumentierten Beweis dafür, dass eine bestimmte Transaktion tatsächlich stattgefunden hat.
Anforderungen an eine Netzwerkforensik-Lösung
Zur Erleichterung digitaler Untersuchungen müssen entsprechende Lösungen folgende grundlegende Anforderungen abdecken:
Datenaufzeichnung: Dies bezeichnet die Fähigkeit, mehrere Terabyte an Daten in Netzwerken mit hohem Durchsatz (inklusive 10G- und 40G-Verbindung) zu erfassen und zu speichern, ohne dabei einzelne Datenpakete zum Beispiel wegen Überlastung, auszulassen. Etwaige Einschränken können und sollten mit Hilfe von Laborversuchen ermittelt und die nachstellbaren Ergebnisse dokumentiert werden.
Datenaufbereitung: Sobald Daten auf dem Speichermedium aufgezeichnet wurden, sollten umfassende Möglichkeiten zum Filtern der relevanten Elemente über Kriterien, wie IP-Adresse, Anwendung, Kontext, Datum, Zeit usw. bereit stehen. Security-Analysten müssen sich beim Durchforsten von Terabytes an Daten verlässlicher Werkzeuge bedienen, um die kritischen Datenpakete innerhalb eines angemessenen Zeitraums zu finden.
Datenanalyse: Um die Analyse schneller voranzutreiben, profitieren Security-Analysten während des forensischen Analyseprozesses von definierten Mustern zum Erkennen von Anomalien. Automatische Expertenanalyse, die den Kontext von Netzwerkereignissen über die kompletten OSI-Layer darstellt, unterstützen Analysten bei der schnellen Erkennung von anormalen oder sonstigen signifikanten Ereignissen.
Neben diesen grundsätzlichen funktionalen Anforderungen sollte eine umfassende Netzwerkforensik-Lösung weiteren Kriterien genügen:
Vollständigkeit: Highspeed-Traffic muss komplett und ohne Verlust einzelner Datenpakete erfasst werden können. Falls dies im Einzelfall nicht möglich ist, muss das System anzeigen, wann und wieviel Pakete fehlen. Zumindest diese Information muss exakt und hieb- und stichfest sein.
Skalierbarkeit: Für das Mitschneiden von Highspeed-Traffic – zum Beispiel in Netzwerken mit mehreren 10- bzw. 40-Gigabit-Links - müssen entsprechende Daten-
volumina, oft mehrere Hundert Terabyte, im Rahmen einer erschwinglichen und einfach zu verwaltenden Konfiguration analysiert werden können.
Flexibilität: Es ist nichts Ungewöhnliches, das Analyse Spezialisten Verkehr in Netzwerk-Segmenten mit unterschiedlichen Geschwindigkeiten mitschneiden müssen, zum Beispiel auf einem 1G, 10G und einem 40G-Link. Eine Forensik-Anwendung sollte in der Lage sein, Schnittstellen für heterogene Netzwerke so zu kombinieren, dass die Sicherheitsteams nicht gezwungen sind, zur Überwachung mehrerer Netzwerke mit unterschiedlichen Geschwindigkeiten separate Komponenten anzuschaffen.
Verfügbarkeit: Um einen umfassenden Zugriff auf relevante Daten zu erhalten, ist eine dauerhafte und lückenlose Aufzeichnung des Netzwerkverkehrs erforderlich. Nur so ist sichergestellt, dass die Daten beim Auftreten entsprechender Ereignisse für die im Vorfeld nicht bekannten Zeiträume verfügbar sind. Neben der permanenten Aufzeichnung des Netzwerkverkehrs sollte auch die Möglichkeit von Echtzeitaufbereitung vorhanden sein, damit Security-Analysten einfach die Vergangenheit mit der Gegenwart vergleichen können und nicht auf unterschiedliche Analyse-Tools (eins für Forensik- und eins für Echtzeitanalysen) zurückgreifen müssen. Durch die Bereitstellung einer Lösungsumgebung, die alle Anforderungen erfüllt, lassen sich auch Implementierungs-, Schulungs- und Wartungsaufwände minimieren.
Die Netzwerke leisten zwar mehr, aber die IT sieht weniger
Die eingeschränkte Sicht kann für das Geschäft kostspielige Folgen haben. Einschränkungen in der Netzwerk-Performance verursachen eine sinkende Mitarbeiterproduktivität. Ohne ausreichende Transparenz der Netzwerkereignisse kann es für die IT schwierig werden, wenn diese Anwendungsdienste optimieren soll.
Unternehmensführungen müssen erkennen, dass die Netzwerkforensik zu einer unverzichtbaren IT-Fähigkeit geworden ist, die für jedes Netzwerk zur Verfügung stehen muss, damit rund um die Uhr und an jeder Stelle die vollständige Transparenz von Geschäftsbetrieb, Netzwerk-Performance und IT-Risiken gewährleistet ist.
- Die wachsende Verwundbarkeit der Netze
- Netzwerke werden schneller und Datenvolumen größer
- Anwendungsfälle der Netzwerkforensik
- Hintergrund: Definition Netzwerkforensik
Lesen Sie mehr zum Thema
