Anwendungszentrische Netzwerkanalyse
Vom System-Monitoring zur Bedrohungsanalyse
In Zeiten von Zero-Day-Attacken und immer ausgefeilterer Schadsoftware stoßen die klassischen Techniken der Netzwerkanalyse und des System-Monitorings an ihre Grenzen. Für eine Beurteilung der Netzwerksicherheit im Unternehmen macht dies eine dedizierte, anwendungszentrische Netzwerkanalyse - jenseits der traditionellen Port-basierenden Verfahren - erforderlich, um den möglichen Abfluss unternehmenskritischer Information zu verhindern.
In der langjährigen Erfahrung von IT-Administratoren bedeutet Monitoring immer zuerst System- beziehungsweise Applikations-Monitoring mit Lösungen wie Nagios, Zabbix, Icinga oder PRTG. Dabei liegt der Fokus stets auf der Verfügbarkeit der überwachten Systeme, Dienste und Applikationen. Im Mittelpunkt stehen Metriken wie Ping, verfügbarem Festplattenspeicher und aktuellen CPU-Auslastungen, um "das Business" bestmöglich durch die IT-Infrastruktur zu unterstützen.
System-Monitoring und seine Grenzen
Das Unternehmensnetzwerk selbst überwachen solche Werkzeuge indirekt über die installierten Netzwerkkomponenten wie Firewalls und Switches. Diese stellen via Netflow, Ipfix oder Sflow Informationen zu den verarbeiteten IP-Verbindungen bereit. Die so gewonnenen Informationen wie Anzahl der übertragenen Bytes und Pakete, Zeitstempel sowie "5-Tupel" (Quelladresse, Zieladresse, Quell-Port, Ziel-Port, Transportprotokoll) genügten bislang gemeinhin aus, um einen guten Überblick über die Auslastung des Netzes und die getätigten Verbindungen zu erhalten.
In Zeiten von Zero-Day-Bedrohungen und einer stetig steigenden Kommerzialisierung von Schadsoftware entstand der Wunsch, diese Informationen über die im Netzwerk getätigten IP-Verbindungen auch für eine verhaltensbasierende Sicherheitsanalyse des Netzwerks zu nutzen. Bei genauerer Betrachtung stellt sich jedoch schnell heraus, dass die auf dem 5-Tupel basierende Identifikation von IP-Verbindungen, wie sie Port-basierende Identifikationsverfahren verwenden, für Sicherheitsanalysen unzureichend ist. Dies hat mehrere Ursachen, von denen nachfolgend einige Beispiele genannt sind:
- HTTP als neues Transport-Layer: Jeglicher Applikationstyp - ob gutartiges Video-Streaming und Online-Gaming oder bösartige Schadsoftware - nutzt HTTP als Transportprotokoll. Wie kann die IT den unterschiedlichen Sicherheitsimplikationen solcher Anwendungen gerecht werden, wenn sich diese nicht unterscheiden lassen?
- Verschlüsselung: Schad- und sicherheitskritische Software nutzt standardmäßig Verschlüsselung, um eine Erkennung zu erschweren. Wie lassen sich verschlüsselte Verbindungen sicher identifizieren?
- Obfuskation: Schad- und sicherheitskritische Software verschleiert ihre Absichten, indem sie das Verhalten bekannter Protokolle wie etwa SSL nachahmt, um Firewall Policies zu umgehen (TOR, VPN-Clients aber auch Skype).
- Tunneling: Schadsoftware und findige Mitarbeiter verwenden Tunnel in vielfältiger Art, um legitime und unverdächtige Protokolle als Kommunikations- und Verbreitungskanal zu missbrauchen und Firewall Policies zu umgehen. Eine semantische Protokollanalyse bietet detaillierte Sichtbarkeit auf versandte Protokollnachrichten und deren Inhalte. Sie lässt sich nutzen, um auffällige Muster - wie etwa kryptische und überlange DNS-Anfragen beim DNS-Tunneling - zu erkennen.
Neue Ansätze zur Erkennung erforderlich
Diese Herausforderungen deuten bereits einige Aspekte aktueller Bedrohungen an: Attacken sind netzwerkbasierend, wodurch ein ebensolcher Ansatz zu deren Erkennung notwendig ist. Trends wie BYOD (Bring Your Own Device) und IoT (Internet of Things) bringen mit sich, dass die klassischen Grenzen des Netzwerks immer mehr verschwimmen und eine Absicherung mittels einer Perimeter-Firewall nicht mehr genügt, um die Sicherheit des Unternehmensnetzes zu gewährleisten.
Eine Erstinfektion findet typischerweise nicht innerhalb beziehungsweise während des Aufenthalts im Unternehmensnetzwerk statt, sondern im weniger aufwendig geschützten Heimnetzwerk, wenn der Mitarbeiter "mal eben" den privaten USB-Stick an den Firmen-Laptop der mobilen Workforce steckt. Unentdeckt von selten aktueller oder ineffizienter Endpunkt-Sicherheitssoftware findet die Malware ihren Weg ins Unternehmensnetz, wo sie sich unerkannt ausbreitet, weitere Rechner infiziert (Stichwort "Lateral Movement") und Schadcode dynamisch und über erlaubte Kommunikationskanäle durch die Unternehmens-Firewall nachlädt.
Einmal im Netz als Advanced Persistent Threat etabliert schleust die Malware kritische Informationen und Dokumente über das Netzwerk wohlportioniert nach außen. Gegen solche Techniken ist eine tiefe Analyse des Datenverkehrs notwendig, angefangen bei Protokollen und Applikationen bis auf die Ebene von Kommandos, um Abweichungen vom erwarteten Verhalten einzelner Netzendpunkte erkennen und sofortige Gegenmaßnahmen ergreifen zu können - etwas, das übliche Netflow-basierende Tools nicht leisten können.
Erhöhte Analysetiefe
Die geschilderten Herausforderungen führen zu zwei wesentlichen Anforderungen an eine anwendungszentrische Netzwerkanalyse: eine erhöhte Analysetiefe zum einen und eine dezentrale Analyse zum anderen. Für die erste Anforderung sind IP-Verbindungen jenseits der Port-basierenden Analyse tiefgreifender zu untersuchen, um Aussagen über ihre Sicherheitsrelevanz treffen zu können:
- Payload-Analyse via Deep Packet Inspection (DPI), um Verbindungsinhalte unabhängig von Informationen im IP-Header zu identifizieren: Dies ermöglicht die Identifikation der Anwendung und eventueller Anwendungsdetails jenseits von Layer 7 mit hoher Genauigkeit.
- Handshake-Analyse für SSL-Verbindungen, um zugehörige Dienste und Anwendungen zu identifizieren: Die im SSL-Zertifikat bereitgestellten Informationen genügen gemeinhin aus, um den adressierten Dienst akkurat zu identifizieren.
- Semantische Protokollanalyse, um auf der Ebene der Protokollnachrichten Verhaltensänderungen und Sicherheitsrisiken identifizieren zu können und "Missbräuche" von Protokollen wie etwa DNS-Tunneling zu erkennen.
Dezentrale Analyse mit zentraler Intelligenz
Für die zweite Anforderung gilt es, die erhöhte Analysetiefe "ins Netz zu bringen". Dazu sind intelligente IP-Probes notwendig, die sämtliche IP-Verbindungen im überwachten Netzsegment einer tiefen, DPI-basierenden Analyse unterziehen. Diese Probes lassen sich üblicherweise einfach über einen Mirror Port passiv ins Netz integrieren und erfordern keine aufwendige Umstrukturierung und kein "Kabelziehen". Als passive Netzelemente sind sie als solche von einem potenziellen Angreifer nicht erkennbar und gleichsam "Tamper-Proof by Design", lassen sich also aus dem überwachten Netz auch nicht angreifen.
Je nach Anwendungsfall und gewünschter Auflösung der Analysedaten sind verschiedene Installationsszenarien realisierbar. Die Möglichkeiten erstrecken sich von einer Vielzahl im Netz verteilter, kosteneffizienter Probes mit einer Daten-Analysekapazität von bis zu 1 GBit/s zur direkten Überwachung von WLAN-Zugangspunkten oder kleineren Netzsegmenten innerhalb eines Unternehmensstandorts bis zu wenigen großen Probes mit einer Daten-Analysekapazität von 10 GBit/s und mehr zur zentralen Überwachung ganzer Standorte eines Unternehmens.
Über dedizierte und vom überwachten Netz entkoppelte Ethernet-Ports ans Management-Netzwerk des Unternehmens angebunden, senden diese Probes ihre Analysedaten über ein separates VLAN in Echtzeit an eine zentrale Analyseplattform. Letztere gewährleistet eine kontinuierliche Bedrohungsanalyse für die überwachten Netzwerkbereiche und nimmt - basierend auf einer Event-Korrelation und maschinellen Lernalgorithmen - folgende Aufgaben wahr:
- Identifizierung betroffener Endpunkte im Netz,
- Benachrichtigung des verantwortlichen Sicherheitsbeauftragen in Echtzeit,
- Einleitung von Gegenmaßnahmen zur Wiederherstellung des Betriebs,
- Aufbewahrung der Daten zur etwaigen späteren forensischen Analyse über Zeiträume von bis zu einem Jahr sowie
- Zugriff auf die gespeicherten Daten für berechtigte Personen über eine intuitive grafische Benutzerschnittstelle.
Schutz der Privatsphäre
Das Hosting dieser Analyseplattform erfolgt dabei üblicherweise im zentralen und gut geschützten Datacenter des Unternehmens. Für die Akzeptanz einer solchen Analyselösung sind allerdings Mechanismen zum Schutz der Privatsphäre der Mitarbeiter von entscheidender Bedeutung. Der Schlüssel ist dazu eine Anonymisierung der gespeicherten Daten in Kombination mit einer strikten rollenbasierenden Zugangskontrolle unter Beachtung des Vier-Augen-Prinzips. Bei einem Sicherheitsvorfall ist dann ein Zugriff auf die Daten nur möglich, wenn sich der Sicherheitsbeauftragte des Unternehmens und der Betriebsrat gemeinsam auf der Analyselösung zur weiteren Bearbeitung einloggen. Ist eine solche Installation beispielsweise vom TÜV Süd zertifiziert, sollte dem Einsatz im Unternehmen nichts mehr im Wege stehen.
Fazit
Eine dedizierte Netzwerkanalyse jenseits der aktuellen Port-basierenden Verfahren ist essenziell für eine Beurteilung der Netzwerksicherheit im Unternehmen. Sind infizierte Endpunkte im Netz einmal erkannt, ist eine Vielzahl von Gegenmaßnahmen (Stichwort "Remediation") möglich - angefangen bei der Benachrichtigung des verantwortlichen IT-Systemadministrators bis zur automatischen Aktualisierung der Firewall Policy, um eine weitere Kommunikation der infizierten Endpunkte nach außen und damit einen möglichen Abfluss unternehmenskritischer Information zu verhindern.
Lesen Sie mehr zum Thema
