Die Bedeutung der Analyse und Überwachung des Netzwerkverkehrs in Ihrem Cybersecurity-Programm
Mehr über InsightIDRDie Analyse des Netzwerkverkehrs (NTA) ist eine Methode zur Überwachung der Netzwerkverfügbarkeit und -aktivität, um Anomalien, einschließlich Sicherheits- und Betriebsprobleme, zu identifizieren. Häufige Anwendungsfälle für NTA sind:
Durch die Implementierung einer Lösung, die den Netzwerkverkehr kontinuierlich überwachen kann, erhalten Sie die Einblicke, die Sie benötigen, um die Netzwerkleistung zu optimieren, Ihre Angriffsfläche zu minimieren, die Sicherheit zu erhöhen und die Verwaltung Ihrer Ressourcen zu verbessern.
Jedoch reicht es nicht, zu wissen, wie man den Netzwerkverkehr überwacht. Wichtig ist auch, die Datenquellen für Ihr NTA-Tool zu berücksichtigen; zwei der häufigsten sind Netzwerk-Flow-Daten (von Geräten wie Routern) und Paketdaten (von SPANs, Port-Spiegeln und Netzwerk-TAPs).
Wenn es heutzutage bei Cyberangriffen heißt, „nicht ob, sondern wann“, kann es für Sicherheitsexperten überwältigend sein, sicherzustellen, dass die Umgebung einer Organisation so gut wie möglich gesichert ist.
Das Netzwerk ist ein entscheidendes Element ihrer Angriffsfläche; mit einer größeren Transparenz bei ihren Netzwerkdaten wird ein größerer Bereich zur Erkennung von Angriffen und zur frühzeitigen Bekämpfung abgedeckt.
Ein wichtiger Schritt bei der Einrichtung eines NTA-Produktes besteht darin, sicherzustellen, dass die Daten aus den richtigen Quellen erhoben werden. Netzwerk-Flow-Daten sind wichtig, wenn Sie nach Traffic-Volumen suchen und den Weg eines Netzwerkpakets vom Sender zum Empfänger nachvollziehen wollen. Diese Informationen können helfen, unbefugten WAN-Traffic zu erkennen und Netzwerkressourcen und -leistung zu nutzen. Allerdings fehlt es an Details und Kontext, um Probleme bei der Cybersicherheit anzugehen.
Paketdaten, die aus Netzwerkpaketen extrahiert werden, können Netzwerkmanagern helfen, zu verstehen, wie Benutzer Anwendungen implementieren/benutzen, die Nutzung auf WAN-Links verfolgen und auf verdächtige Malware oder andere Sicherheitsvorfälle überprüfen. Die Tools basierend auf Deep Packet Inspection (DPI) bieten 100% Transparenz im Netzwerk, indem die Roh-Metadaten in ein lesbares Format umgewandelt werden und es den Netzwerk- und Sicherheitsmanagern ermöglicht wird, bis ins kleinste Detail vorzudringen.
Die Netzwerkgrenzen genau im Auge zu behalten ist immer eine gute Idee. Selbst mit guten Firewalls können Fehler auftreten und schädlicher Traffic kann durchdringen. Benutzer könnten auch Methoden wie Tunneling, externe Anonymizer und VPNs einsetzen, um Firewall-Regeln zu umgehen.
Darüber hinaus macht der Anstieg von Ransomware als eine häufige Angriffsart in den letzten Jahren die Überwachung des Netzwerkverkehrs noch wichtiger. Eine Netzwerküberwachungslösung sollte in der Lage sein, Aktivitäten zu erkennen, die auf Ransomware-Angriffe über unsichere Protokolle hinweisen. Bei WannaCry zum Beispiel suchten die Angreifer aktiv nach Netzwerken mit offenem TCP-Port 445 und nutzten dann eine Schwachstelle in SMBv1, um auf Netzwerkdateifreigaben zuzugreifen.
Auch das Remote Desktop Protocol (RDP) wird gern angegriffen. Stellen Sie sicher, dass alle eingehenden Verbindungsversuche an Ihrer Firewall blockiert werden. Die Überwachung des Verkehrs innerhalb Ihrer Firewalls ermöglicht es Ihnen, Regeln zu validieren und wertvolle Erkenntnisse zu gewinnen. Außerdem kann der Verkehr als Quelle für netzwerkbasierte Warnungen verwendet werden.
Achten Sie auf verdächtige Aktivitäten im Zusammenhang mit Verwaltungsprotokollen wie Telnet. Da Telnet ein unverschlüsseltes Protokoll ist, werden beim Sitzungsverkehr Befehlszeilenschnittstellen (CLI) Befehlssequenzen angezeigt, die für die Marke und das Modell des Geräts geeignet sind.CLI-Zeichenketten können Anmeldeverfahren, die Darstellung von Benutzeranmeldeinformationen, Befehle zur Anzeige der Start- oder Laufkonfiguration, das Kopieren von Dateien und mehr enthüllen.
Überprüfen Sie Ihre Netzwerkdaten, ob auf einem Ihrer Geräte unverschlüsselte Managementprotokolle verwendet werden, wie z.B.:
Viele Betriebs- und Sicherheitsprobleme können durch die Implementierung der Analyse des Netzwerkverkehrs sowohl am Netzwerkrand als auch im Netzwerkkern untersucht werden. Mit dem Tool zur Datenanalyse können Sie Dinge wie große Downloads, Streaming oder verdächtigen ein- oder ausgehenden Datenverkehr erkennen. Fangen Sie zunächst mit der Überwachung der internen Schnittstellen von Firewalls an. Dadurch können Sie Aktivitäten zu bestimmten Kunden oder Benutzern zurückverfolgen.
NTA bietet auch eine Organisation mit mehr Transparenz bei Bedrohungen in deren Netzwerken, auch über das Endgerät hinaus. Da es immer mehr mobile Geräte, IoT-Geräte, Smart-TVs usw. gibt, benötigen Sie etwas, das mehr Daten liefert als nur die Firewall-Logs. Firewall-Logs sind außerdem problematisch, wenn ein Netzwerk angegriffen wird.
Sie werden feststellen, dass diese aufgrund von Ressourcenauslastung an der Firewall nicht zugänglich sind oder dass sie überschrieben wurden (oder manchmal sogar von Hackern modifiziert wurden). Dies führt zu einem Verlust von wichtigen forensischen Informationen.
Einige der Anwendungsfälle zur Analyse und Überwachung von Netzwerkverkehr beinhalten:
Nicht alle Tools zur Überwachung des Netzwerkverkehrs sind gleich. Im Allgemeinen gibt es zwei verschiedene Arten: flow-basierte Tools und Tools basierend auf Deep Packet Inspection (DPI). Innerhalb dieser Tools haben Sie Optionen für Software-Agenten, Speicherung historischer Daten und Eindringalarmsystemen. Bei der Bewertung, welche Lösung für Ihre Organisation am besten geeignet ist, sollten Sie diese fünf Aspekte berücksichtigen:
Die Analyse des Netzwerkverkehrs ist ein wesentliches Instrument, um die Netzwerkverfügbarkeit und -aktivität zu überwachen, Anomalien zu identifizieren, die Leistung zu maximieren und mögliche Angriffe zu entdecken. Neben Protokollaggregation, UEBA und Endpunktdaten ist der Netzwerkverkehr ein Kernstück der umfassenden Transparenz und Sicherheitsanalyse, um Bedrohungen frühzeitig zu erkennen und sie schnell zu stoppen.
Berücksichtigen Sie bei der Auswahl einer NTA-Lösung die derzeitigen blinden Flecken in Ihrem Netzwerk, die Datenquellen, aus denen Sie Informationen benötigen, und die kritischen Punkte im Netzwerk, an denen sie für eine effiziente Überwachung zusammenlaufen. Wenn Sie NTA als zusätzliche Schicht zu Ihrer Security Information and Event Management-Lösung (SIEM) einsetzen, erhalten Sie einen noch besseren Einblick in Ihre Umgebung und Ihre Benutzer.