Quelldaten zur Sicherheitsuntersuchung

So halten Netzwerkdaten vor Gericht stand

7. Januar 2020, 14:00 Uhr | Autor: David Eser / Redaktion: Diana Künstler

Fortsetzung des Artikels von Teil 1

Die verschiedenen Datentypen verstehen

Netzwerktechniker nutzen verschiedene Tools und Datentypen, um die Integrität ihres Netzwerks zu gewährleisten. Dazu zählen SNMP-Counter, NetFlow, Metadaten und die vollständige Paketaufzeichnung (DPI). Das Diagramm verdeutlicht die Detailgenauigkeit, die diese gängigen Datenquellen im Verhältnis zur Komplexität ihrer Anwendung ermöglichen.

SNMP-Counter: SNMP-Counter zählen die Pakete und Bytes des Netzwerkverkehrs. Sie vermitteln einen guten Überblick über eventuelle Engpässe und andere Probleme. Da sie aber keine detaillierten Einblicke zulassen, sind sie für eine tiefgehende Fehlerdiagnose oder die Sicherheitsforensik wertlos. Allerdings können die Protokolle die Teams auf ungewöhnlichen Verkehr und abweichende Uhrzeiten aufmerksam machen.
Syslogs: Die Syslog-Überwachung ist ein passives Verfahren. Damit unterscheidet es sich von der kontinuierlichen, aktiven SNMP-Überwachung, die das gesamte Netzwerk erfasst. Der Studie „2017 State of the Network“ zufolge wird diese Form der Überwachung von Netzwerk-Teams am häufigsten genutzt, um Informationen zur Quelle möglicher Angriffe zu erhalten. Die gewonnenen Daten sind ausreichend, um zu verstehen, welche Benutzer und Systeme auf spezifische Netzwerk-Ressourcen, wie Server, Dateien und Datenbanken, zugreifen. Aber Syslogs können keine Aussage dazu treffen, ob sich ein Angreifer erfolgreich für einen berechtigten Benutzer ausgibt, und auch keine tiefgehenden forensischen Nachweise liefern, wie es andere Datenquellen ermöglichen. Die Syslog-Daten werden für gewöhnlich zu Beginn einer Untersuchung geprüft.
NetFlow: Die NetFlow-Statistik ist eine gute Hilfe, um Baselines zu ermitteln und ungewöhnliche Verkehrsvolumen sowie ein auffälliges Verkehrsverhalten zu identifizieren. Wenn eine Überwachungslösung unerwartete Verkehrstypen oder -volumen erkennt, kann NetFlow die Baseline- und Alarme-Systeme informieren. Dieser Datentyp ist gut geeignet, um die Teams auf die Symptome eines Angriffs aufmerksam zu machen. Laut Cisco versetzt NetFlow den Anwender in die Lage, Verkehrsfluss-Statistiken an den Routern zu erfassen. NetFlow basiert auf der Identifikation von Paketströmen eingehender IP-Pakete. Die Software benötigt kein Protokoll zum Verbindungsaufbau, weder zwischen den Routern noch zwischen einem anderen Netzwerk- oder Endgerät. Auch erfordert NetFlow keine externen Änderungen – weder am Verkehr noch an den Paketen selbst oder an anderen Netzelementen.
Metadaten: Die Metadaten eines Netzwerks werden häufig genutzt, um die Lücke zwischen NetFlow und der vollständigen Paket-aufzeichnung zu schließen. Der Begriff selbst ist relativ neu und noch nicht eindeutig definiert. Daher kann die Detailgenauigkeit schwanken. Typischerweise umfassen Metadaten bei einer SMB-Anwendung den Dateinamen und bei einer Web-Anwendung die URL. Metadaten werden häufig von Lösungen und Netzwerk-Tools verwendet, um Echtzeitansichten anzuzeigen und Probleme wie einen auffälligen Verkehr und eine zu langsame Übertragung zu untersuchen. Gleichzeitig vermitteln sie erste Einblicke für Sicherheitsuntersuchungen. Die Datenquelle lässt sich einfach zusammenfassen, sodass weniger Verarbeitungs- und Speicherressourcen als bei der vollständigen Paketaufzeichnung benötigt werden. Sie bietet sich für die Analyse von Langzeittrends an, die die Planung erleichtern sollen. Allerdings sind Metadaten und Kennwerte dahingehend beschränkt, dass sie den Teams zwar erlauben, die Symptome von Problemen zu untersuchen, die Granularität aber nicht ausreicht, um die eigentliche Ursache zu ermitteln. Der Wert der Metadaten erhöht sich, wenn zusätzlich eine Komplettaufzeichnung des Netzwerkverkehrs erfolgt. In dieser Kombination steht den Teams ein lückenloser Workflow zur Verfügung, um jede einzelne Sekunde eines Angriffs oder einer Datenrechtsverletzung zu identifizieren, zu untersuchen und vollständig zu rekonstruieren.
Vollständige Paketaufzeichnung: Die vollständige Paketaufzeichnung (DPI) stellt den Teams alle Beweise für Sicherheitsverletzungen und Leistungsstörungen zur Verfügung. So können sie alle Ereignisse im Netzwerk im konkreten Zusammenhang analysieren. Hierbei ist zu beachten, dass die vollständige, unbearbeitete Aufzeichnung und Speicherung der Pakete nicht nur erforderlich ist, um jeden Augenblick eines Angriffs zu rekonstruieren, sondern dass Gerichte dieses Verfahren auch bei Vorlage des Netzwerkverkehrs als Beweismittel verlangen können.

Datenquellen und das Gesetz
Auch ist es wichtig, mit einer handelsüblichen Lösung zu arbeiten, die den relevanten Verkehr für die Untersuchung schnell logisch zerlegen (parsen), analysieren und darstellen kann. Ohne diese Fähigkeit kann es schwierig werden, die benötigten Pakete einzugrenzen.
Zudem werden unter Umständen Tools zur Leistungsüberwachung benötigt, die den Zeitaufwand für die Untersuchung verringern, indem sie die Visualisierung und Analyse des Verkehrs rationalisieren. Ansonsten ist es möglich, dass das Team die reine Menge des Verkehrs nicht mehr handhaben kann.

Metadaten können vor Gericht als Beweismittel genutzt werden. Dabei wird zwischen drei Typen unterschieden: substanzielle, systembedingte und eingebettete Metadaten. Substanzielle Metadaten werden „als Funktion der Anwendungssoftware erstellt, die verwendet wird, um das Dokument oder die Datei zu erstellen“. Sie informieren über Änderungen am Dokument, wie frühere Bearbeitungen oder redaktionelle Kommentare. Systembedingte Metadaten „sind Informationen, die vom Benutzer oder dem Informationsmanagement-System des Unternehmens erstellt wurden“ und umfassen Angaben zum Autor, zum Datum und zur Uhrzeit der Erstellung sowie zum Änderungsdatum des Dokuments. Eingebettete Metadaten bestehen aus „Text, Zahlen, Inhalten, Daten oder sonstigen Informationen, die von einem Benutzer direkt oder indirekt in eine native Datei eingegeben wurden und die für den Benutzer, der die Bildschirmausgabe betrachtet, normalerweise nicht sichtbar sind“. Beispiele für eingebettete Metadaten sind Formeln von Kalkulationstabellen, Hyperlinks und Datenbankangaben.

Für gewöhnlich umfassen Gesetze zu Sicherheitsverletzungen Bestimmungen, die festlegen, für wen das Gesetz gilt. Weiterhin enthalten sie eine Begriffsbestimmung der „personenbezogenen Daten“, definieren, was eine Verletzung ist, und legen die Mitteilungspflichten, die Mitteilungsempfänger sowie die Ausnahmen fest. In der Europäischen Union (EU) trat im Mai 2018 die neue Datenschutz-Grundverordnung (DSGVO) in Kraft. Sie hat Auswirkungen auf alle Unternehmen, die Daten zu EU-Bürgern erfassen und kommunizieren. EU-Arbeitsgruppen, die diese Verordnung ausgearbeitet haben, definieren personenbezogene Daten als Datensätze, die die folgenden Angaben beinhalten: Name, Adresse und Telefonnummer des Kunden, IP- oder MAC-Adresse eines Smartphones, Tablets oder Laptops, Passnummer, Daten von Zahlungskarten sowie Fotos, die zur Gesichtserkennung nutzbar sind.

Die wichtigste Bestimmung betrifft die Pflicht zur Benachrichtigung der natürlichen Personen, da diese Information sowohl in der Presse öffentlich gemacht als auch den zuständigen Aufsichtsbehörden mitgeteilt werden muss. Während die Metadaten vor Gericht sicherlich zugelassen werden und den Richtern sowie Schöffen häufig erlauben, einen allgemeinen Eindruck zu gewinnen, enthalten die Pakete die eigentlichen Beweise. Diese Pakete, die im Rahmen der Sicherheitsforensik genutzt werden, um einen Angriff zu rekonstruieren, können auch nachweisen, welche Angaben oder personenbezogenen Daten nicht kompromittiert wurden.

David Eser, Sales Manager bei Softing IT Networks