Netzwerkforensik und -analyse
Schatztruhe Metadaten
Angriffe auf das Netzwerk sind nicht zu verhindern, selbst moderne Abwehr- und Erkennungstechnik kann keinen hundertprozentigen Schutz bieten. Daher ist für Unternehmen von größter Bedeutung, illegitime Aktionen und atypische Transaktionen möglichst schnell zu erkennen.
Auswertungen von Log- und Netflow-Daten oder ein vollumfängliches, jedoch komplexes SIEM-System (Security-Information- und Event-Management) sind erste, wichtige Schritte bei der Suche nach potenziell noch unerkannten Bedrohungen und deren Quellen. Eine deutlich umfangreichere Informationsbasis, bei allerdings gleichzeitig stark steigenden Kosten und Aufwänden, liefern Systeme, die den Netzwerkverkehr komplett mitschneiden (Full Packet Capture über die Pcap-Schnittstelle). Soll aber eine lückenlose Historie für Analysen zur Verfügung stehen, sind hierbei immense Speicherressourcen erforderlich. Zudem ist aufgrund der unstrukturierten Datenmengen und deren marginaler Indizierung für die Auswertung viel Zeit aufzuwenden.
Dies ist der Punkt, an dem die Analyse von Kommunikations-Metadaten ins Spiel kommt. Metadaten aus dem Netzwerk bieten mehr als 90 Prozent der Informationen, die man mittels Pcap erlangen kann. Entsprechende Lösungen verursachen aber nur rund ein Fünftel der Kosten, die entstehen, wenn die IT-Abteilung alle Pakete mitschneidet. Zudem sind sie "handlich", was eine Speicherung und Analyse in Echtzeit erlaubt und so die Bedrohungs- und Gefährdungserkennung beschleunigt.
Angriffserkennung reicht nicht
Spuren zu verfolgen, die zum Angreifer führen, ist nur das letzte Glied in einer Kette von Ereignissen bei der effizienten Aufarbeitung eines Angriffs auf das Netzwerk. Ein Schutz des Netzwerks, der ausschließlich auf die Malware-Erkennung fokussiert ist, reicht nicht aus.
Denn bevor ein Angreifer auf sensitive Daten zugreifen kann, finden zahlreiche Aktionen statt, die auf Tools aus dem umfangreichen Arsenal der Cyberkriminellen beruhen. So beginnt die Attacke vielleicht mit einer Spear-Phishing-E-Mail, die dem Empfänger vertrauenswürdig scheint, aber auf eine zwielichtige Website führt. Der Angriff kann sich mit Veränderungen an Betriebssystemen oder verbreiteten Anwendungen fortsetzen, die als Backdoor im Verborgenen ruhen, um dem Angreifer am Tag X den Systemzugang zu gewähren. Kriminelle schützen den Schadcode durch Komprimierung, Verschlüsselung, Aufteilung oder Kapselung vor einer Entdeckung und können Daten für den späteren unbemerkten Versand aus dem Netzwerk heraus vorbereiten. Zugriffe ins System lassen sich auch nutzen, um sich über den Domain-Server weitere Anmeldeinformationen mit hohen Berechtigungen zu verschaffen und sich so seitwärts im Netzwerk weiterzubewegen.
Bis zu diesem Zeitpunkt gibt es noch keine illegitimen Zugriffe auf das eigentliche Ziel: die Daten. Durch die Vielzahl an Angriffswegen entsteht jedoch eine Komplexität, die eine Erkennung erschwert. Der Modus Operandi bleibt allerdings gleich: Infiltrieren, eine Command-and-Control-Ebene erstellen, sich unauffällig seitwärts im System weiterbewegen, lohnenswerte Daten suchen und diese zum Abziehen oder für eine Manipulation vorbereiten. Lösungen, die sich darauf beschränken, Malware nur im ein- und ausgehenden E-Mail- und Web-Verkehr zu erkennen, greifen hier zu kurz. Denn so lässt sich die Basis für erfolgreiche Angriffe nicht beseitigen, zumal Schadcode auf diversen anderen Wegen ins Unternehmen gelangen kann, die nicht am Perimeter geschützt sind.
Suche im richtigen Heuhaufen
Die Angriffserkennung in jeder Phase eines Angriffs ist vor allem ein Datenproblem - oder treffender: ein Big-Data-Problem. Pcap-Techniken führen dazu, dass der Blick aufs Wesentliche schwerfällt: Zwar verfügen Unternehmen über Daten und Logs, die alle Informationen zu einer Attacke enthalten sollten; sie sind aber nicht in der Lage, diese zeitnah und wirkungsvoll zu extrahieren und vor allem sinnhaft zu korrelieren. So verbergen sich die Nadeln des Angreifers weiterhin unentdeckt im Heuhaufen - oder die Kosten für die Erkennung der Nadeln steigen ins Unermessliche.
Bislang existierten zur Lösung dieses Datenproblems zwei mehr oder minder realistische Ansätze: Erstens nutzte man eine umfangreiche Palette an Security-Tools, die ihre Meldungen an das SIEM-System übergeben. Mit deren Hilfe versuchten die Security-Analysten dann, die Puzzleteile richtig zusammenzusetzen. Hier ist die Qualität der Ursprungsdaten extrem wichtig, ebenso die Auswertung über Korrelationsregeln. Durch die übliche Lizenzierung nach Events pro Sekunde (EPS) steigen die Kosten mit der Anzahl der zugelieferten Informationen, ohne dass automatisch mehr zu erkennen ist.
Zweitens setzte man auf die Bereitstellung sehr großer Speicherkapazitäten und ein Pcap-System, um mit hohem personellem Aufwand forensische Analysen vorzunehmen. Bei diesem Ansatz wird jedoch nur ein kleiner Teil der vorhandenen Daten indiziert, sodass es sehr aufwändig und schwierig ist, bestimmte Informationen im Datenstrom zu finden. Gleichzeitig fallen erhebliche Speicherkosten für Netzwerke im GBit/s-Bereich an.
Einen alternativen Weg bieten nun Lösungen, die mit "Deep Session Inspection" arbeiten. Aufgabe einer solchen Lösung ist es, den Verkehr auf dem Netzwerk vollständig zu analysieren und bis in die letzte Ebene zu decodieren. Ziel ist es, Metadaten daraus zu generieren, zu erfassen und zu untersuchen, um den Personalaufwand bei der Erkennung und Verhinderung von Angriffen ebenso zu senken wie die Kosten.
Bedeutung der Metadaten
Natürlich sind Netflow-Daten wichtig für die Analyse von Netzwerk-Sessions. Sie liefern allerdings nur eingeschränkte Informationen, etwa zu Protokollen, Quellen und Zielen einer Session, Service-Typ und Dauer. Was innerhalb der Session transferiert wird, bleibt hierbei unbekannt.
Zur Überprüfung der Netzwerkaktivitäten sind aussagekräftigere Daten erforderlich als die grundlegenden Informationen über den Netzwerkfluss. Detaillierte Metadaten mit umfassenden Kontextinformationen über Protokoll, Anwendungen, vor allem aber Inhalte und andere Merkmale einer Netzwerksitzung helfen, die Ereignisse im Netzwerk wirklich zu verstehen.
Je mehr dieser Metadaten für eine Analyse zur Verfügung stehen, desto mehr Fragen lassen sich beantworten. Und je mehr Antworten auf Vorkommnisse im Netzwerk vorliegen, desto besser sind die Chancen, Angriffe auf das Netzwerk zu erkennen und zu stoppen. Denn Netzwerk-Metadaten bieten umfassende Informationen zu Objekten, Quellen und Zielen des Netzwerkverkehrs. Damit ergänzen oder ersetzen sie die Pcap-Daten, die eine Feststellung von Datenverkehrsmustern, Aktivitätsspitzen oder abweichenden Paketgrößen erlauben. Sinnvollerweise fertigt man also auf Netzwerkebene nur noch dann vollständige Sitzungsmitschnitte an, wenn bei der Analyse Schadcode oder Ähnliches aufgefallen ist. So sinken Aufwand und Speicherbedarf, während die Metadaten des "sauberen" Datenverkehrs ausreichen, um auch schleichende ("Low and Slow"-) Angriffe oder ein zeitversetztes Ausnutzen von Zero-Day-Lücken zu erkennen.
Deep Session Inspection
Dank Deep Session Inspection ist es möglich, umfangreiche Metadaten zu jedem Dokument und Kommunikationsprotokoll zu erfassen. Eine Deep Session Inspection Engine analysiert dazu jede Session im Netzwerk vollständig - nicht nur transferierte Pakete. Zudem decodiert und analysiert sie die Protokolle, Applikationen und Content-Objekte in Echtzeit und rekursiv bis in die letzte Ebene. So stehen umfangreiche Informationen zu den transferierten Objekten für die Analyse zur Verfügung. Zudem interpretiert eine solche Lösung scheinbar unzusammenhängende Aktivitäten: Automatische Such- und Analysefunktionen überprüfen Warnungen und in Netzwerksitzungen erfasste Metadaten, um auch Netzwerkaktivitäten, die scheinbar nichts miteinander zu tun haben, in Verbindung zu setzen und als Komponenten desselben Angriffs zu erkennen.
Hierzu bieten moderne Lösungen bereits eine deutlich gesteigerte Erfassungstiefe. So war es Usus, beispielsweise bei einer Web-Session Quell-IP, Ziel-IP, die URL und vielleicht einige Informationen über die Header zu speichern und zu analysieren. Heute hingegen sammelt eine solche Lösung Informationen sowohl auf der Applikations- und Protokoll- als auch insbesondere auf der Content-Ebene.
Bei Web-Applikationen zum Beispiel erfasst Deep-Session-Inspection-Technik Web-Seiten und zugeordnete Dateinamen; Referrer-Adresse; User-Agent-String; IP-Adresse, Port und geografischen Standort des Host-Systems; Typ, IP-Adresse, Port, Verbindungstyp und geografischen Standort des Verbindungs-Servers; Objekt-Hashes (Javascript, Grafiken, PHP, HTML) sowie Größe und Typ transferierter Dateien. Bei Social Media wiederum erfasst sie die eindeutige Nutzer-ID, Zugriffsart (E-Mail, Post, App), Informationen zum Zugriff und den Profil-Link.
Die gesammelten Informationen zu E-Mail beinhalten die Art der E-Mail (SMTP, IMAP, Web-Mail etc.), IP- und E-Mail-Adresse des Absenders, IP- und E-Mail-Adresse des Empfängers, Betreff der E-Mail sowie die Dateianhänge samt ihrer Attribute. Bei verschlüsselten Verbindungen erfasst eine solche Software Typ und Version der Verschlüsselung (SSL/TLS), Cipher-Suites, Bitlänge, Hash sowie Client/Server FQDN (Fully Qualified Domain Name).
Hinzu kommen die auf Content-Ebene erfassten Metadaten, wobei sich die Liste der Standardattribute individuell erweitern lässt. Deep Session Inspection erfasst Dokumente (Microsoft Office, PDF etc.) mit Autor, Dateiname, Datei-Hash, Informationen aus Header und Footer, Erstellungsdatum und Verschlüsselung, außerdem ausführbare Dateien, Archive, Zertifikate, eingebettete Objekte und andere Attribute (darunter Flash, Java-Klasse, Javascript, XML etc.).
Metadaten liefern also eine breite Informationsbasis zu den Vorgängen im Netzwerk und den darüber fließenden Daten und Inhalten. Diese Informationen lassen sich einsetzen, um bei Angriffen in kürzestmöglicher Zeit festzustellen, wie, warum und wann eine Infrastruktur kompromittiert wurde.
Oliver Keizers/wg
.
Lesen Sie mehr zum Thema
