Suchen

Ein schneller Einstieg in IDS-/IPS-Funktionen Echtzeitüberwachung für den Netzverkehr

| Autor / Redakteur: Martin Ortgies / Peter Schmitz

Bisherige einfache IT-Securitylösungen haben oft Schwächen und Cyber-Attacken bleiben über längere Zeit unentdeckt. Deshalb sind IDS-/IPS-Systeme für eine Überwachung des Netzwerkverkehrs sinnvoll, aber auch komplex und aufwendig in der Administration. Der Berliner IT-Dienstleister datenhain GmbH verfolgt mit dem Cognitix Threat Defender von genua einen anderen Weg, um hinter der Perimeter-Firewall für zusätzliche Sicherheit zu sorgen.

Firmen zum Thema

Normale IDS-Systeme erkennen oft nicht, wenn Malware innerhalb des internen Netzwerks aktiv wird.
Normale IDS-Systeme erkennen oft nicht, wenn Malware innerhalb des internen Netzwerks aktiv wird.
(Bild: gemeinfrei / Pixabay )

„Bisherige Sicherheitskonzepte legen den Hauptfokus darauf, Angreifer aus dem eigenen Netz fernzuhalten. Dem internen Netz wird dagegen vertraut und der Netzwerkverkehr wird nur selten überwacht und analysiert“, benennt André Hermbusch, Geschäftsführer der datenhain GmbH, eine gängige Praxis. Die datenhain GmbH berät und unterstützt seit über 10 Jahren kleine und mittelständische Unternehmen zu den Themen IT-Infrastruktur und IT-Sicherheit.

Das Problem: Immer ausgefeiltere und gut verschleierte Angriffsmethoden verwenden häufig Standardprotokolle, sind oft verschlüsselt und werden von signaturbasierten Systemen mit statischen Regeln nicht erkannt. So kann sich die Malware im internen Netz ausbreiten. Das ist besonders für kritische Infrastrukturen, entwicklungsintensive Unternehmen und andere hochsensible Bereiche ein aktuelles Thema. „Viele unserer Kunden müssen Compliance-Vorschriften mit erhöhten Security-Anforderungen erfüllen. Wir haben deshalb nach einer praktikablen und leicht integrierbaren Lösung gesucht, um auch den internen Netzwerkverkehr genau im Blick zu behalten“, so André Hermbusch.

Ein System, das den Netzverkehr in Echtzeit überwacht

Der Cognitix Threat Defender von genua kann vielseitig integriert werden.
Der Cognitix Threat Defender von genua kann vielseitig integriert werden.
(Bild: genua)

Der IT-Dienstleister hatte nach einer State-of-the-Art-Lösung zur Netzwerkanalyse gesucht. Dabei werden nach den Erfahrungen von datenhain normale Netzwerksniffer den immer komplexeren Kommunikationsbeziehungen und dem stark wachsenden Netzwerkverkehr nicht mehr gerecht. Die Lösung sollte vor allem die Kommunikation der Endgeräte ins Internet, zu internen Servern und der Geräte untereinander überwachen. „Wir brauchen eine maschinelle Logik, die den Netzwerkverkehr analysiert, in Echtzeit auf Gefährdungen hinweist und automatisiert Regeln zur Abwehr von Angriffen umsetzt. Der Kunde wünscht sich oft grafisch aufbereitete Übersichten, um sofort auf interessante Stellen heranzoomen zu können“, beschreibt der Geschäftsführer seine Anforderungen. Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS) können zwar Anomalien im Netzwerkverkehr erkennen und Angriffe automatisiert verhindern, vielen Unternehmen fehlt es aber an den Ressourcen und an der Zeit, sich intensiv mit solchen Tools auseinanderzusetzen.

Der IT-Dienstleister wurde durch einen Test bei heise.de auf den Cognitix Threat Defender von genua aufmerksam. Die Software-Lösung verbindet den IDS-Ansatz mit Prevention-Funktionen. Mit Data Analytics und Threat Intelligence erkennt der Cognitix Threat Defender Angriffe in Realtime und bietet zudem eine Plattform für den Einsatz von KI-Technologien. Der Hersteller genua ist ein deutscher Spezialist für IT-Sicherheit, der für die Absicherung sensibler Schnittstellen im Industrie- und Behördenbereich bis hin zur Vernetzung hochkritischer Infrastrukturen sorgt.

„Wir haben den Cognitix Threat Defender getestet und waren überrascht, wie schnell wir eine erste Echtzeitübersicht über den Netzwerkverkehr erhalten. Nach der Basisinstallation der Software steht bereits ein Standardregelwerk zur Verfügung, das einen Überblick über das Netzwerk und die installierten Geräte gibt“, beschreibt André Hermbusch den ersten Eindruck.

Ein selbstüberwachendes sicheres Netzwerk

Ein Echtzeitreporting mit einem Ampelsystem liefert Meldungen über ein mögliches Gefahrenpotenzial.
Ein Echtzeitreporting mit einem Ampelsystem liefert Meldungen über ein mögliches Gefahrenpotenzial.
(Bild: genua)

Als typische Anwendungen nutzt datenhain den Cognitix Threat Defender, um in normalen Büronetzen die horizontale Ausbreitung von Malware wie z. B. Verschlüsselungs-Trojanern zu erkennen. In Fabrikhallen mit technischen Geräten unterschiedlichster Hersteller wird überwacht, ob Geräte untereinander Kontakt aufnehmen, falls dies nicht dem Normalverhalten entspricht. Außerdem wird der Netzwerkverkehr in Klassen eingeteilt, um unerwünschte Protokolle zu unterbinden oder unerwünschten Verkehr z. B. zu YouTube oder Facebook zu erkennen.

Der Cognitix Threat Defender richtet ein selbstüberwachendes sicheres Netzwerk (Security Defined Networking, SDN) ein, was die Verhaltensmuster der Netzwerkgeräte erkennt und definierten Regeln zuordnet. Dabei werden bisher getrennte Funktionen wie Netzwerkanalyse, Intrusion Prevention, Asset Tracking und eine dynamische Policy-Engine in einem System zusammengeführt.

Der Cognitix Threat Defender erkennt die Verhaltensmuster der Netzwerkgeräte ordnet sie definierten Regeln zu. Dabei werden bisher getrennte Funktionen wie Netzwerkanalyse, Intrusion Prevention, Asset Tracking und eine dynamische Policy-Engine in einem System zusammengeführt.
Der Cognitix Threat Defender erkennt die Verhaltensmuster der Netzwerkgeräte ordnet sie definierten Regeln zu. Dabei werden bisher getrennte Funktionen wie Netzwerkanalyse, Intrusion Prevention, Asset Tracking und eine dynamische Policy-Engine in einem System zusammengeführt.
(Bild: genua)

Der Cognitix Threat Defender analysiert den Netzverkehr nach IP- und MAC-Adressen, Ports, Protokollen und Anwendungen der OSI-Schichten 2 bis 7. Dabei wird der Traffic auf problematische Adressen, Domains oder Dateisignaturen überprüft, die erkannt und blockiert werden sollten. Zusätzlich wird eine Asset-Datenbank aller Geräte im Netzwerk angelegt und die Kommunikationsbeziehungen der Geräte untersucht. Den Geräten werden Verhaltensregeln zugeordnet und diese überwacht. Tauchen neue Geräte auf, werden sie sofort gemeldet. Ein Echtzeitreporting mit einem Ampelsystem liefert Meldungen über ein mögliches Gefahrenpotenzial.

Durch ein Drilldown-Reporting können in einer grafischen Darstellung des Netzverkehrs auffällige Bereiche durch anklicken näher betrachtet werden. So sind z. B. die Livedaten des gefilterten Bereichs mit einer Minute Vorlauf verfügbar, um die beteiligten Geräte und Zieladressen zu untersuchen.

Einfache Integration ins Netzwerk ohne Performance-Einbußen

„Wenn wir neu in ein Unternehmen kommen, untersuchen wir zunächst den Ist-Zustand des Netzwerks, um einen ersten Überblick über die bestehende Infrastruktur zu erhalten“, berichtet André Hermbusch. Bei diesem Vorgehen wird der Netzwerkverkehr zunächst passiv gescannt und ein Abbild des "Normalzustands" erstellt. Mit einer solchen Anfangsbestandsaufnahme des Netzwerks werden auch generelle Schwachstellen und Sicherheitslücken erkannt, die beispielsweise durch Konfigurationsfehler, Netzwerkprobleme oder veraltete Gerätesoftware verursacht werden können.

Der Geschäftsführer beschreibt die Installation der Software und die Integration in das Netzwerk im Vergleich zu anderen IDS-Systemen als unkompliziert. Die Integration kann erfolgen, auch ohne dass Änderungen an der Netzwerktopologie erforderlich sind. Aus der Anfangsbestandsaufnahme werden Regeln über das „Normalverhalten“ des Netzwerkverkehrs definiert. Eine Policy-Engine verwaltet die Regeln. Sie bestimmen, wie auf unerwünschtes Verhalten oder akute Gefährdungen reagiert werden soll. Wenn beispielsweise ein Gerät innerhalb von 1 Minute mit mehr als 10 Hosts eine Verbindung aufbaut, kann eine Regel für die Isolation des Gerätes sorgen.

Dabei ist ein lückenloses Monitoring des gesamten Netzwerkverkehrs nach den Erfahrungen von datenhain eine große Herausforderung für die Performance: „Der Cognitix Threat Defender ist eine reine Software-Lösung. Als Hardware reicht je nach Einsatzzweck ein Zigarettenschachtel-großer Mini-PC oder ein leistungsfähiger Server für die Echtzeitanalyse eines 40-Gbit/s-Netzwerk-Traffics. Die Netzwerkanalyse führt nur zu minimalen Latenzeinbußen. Der Cognitix Threat Defender erreicht annähernd Switch-Performance.“

André Hermbusch berichtet, dass bei der Erstanalyse der Kommunikationsbeziehungen regelmäßig unerwartete Details auftauchen. Als Beispiele nennt er die morgendliche Verbindung eines Fernsehers zum Hersteller nach China oder ein altes produktives System, was seit acht Jahren nicht mehr mit Sicherheitsupdates versorgt worden ist und leicht zu attackieren gewesen wäre. Ein länger nicht mehr genutzter Windows-PC wurde dagegen durch seinen ungewöhnlichen Verkehr als infiziert erkannt. Sichtbar wurde auch die im Betrieb verbotene private Nutzung von Facebook, was der Cognitix Threat Defender durch Policy-Regeln verhindern oder im Netzwerkverkehr stark verlangsamen kann.

Positives Fazit: Das Netzwerk wird sehr tiefgreifend analysiert

datenhain-Geschäftsführer André Hermbusch zieht eine positive Bilanz über die Nutzung des Cognitix Threat Defender: „Normale IDS-Systeme erkennen oft nicht, wenn Malware innerhalb des internen Netzwerks aktiv wird. Der Cognitix Threat Defender ergänzt Firewall-Lösungen und überwacht den Netzwerkverkehr auch zwischen den Clients bis zum letzten Switch. Das Netzwerk wird sehr tief und in Echtzeit analysiert. Selbst Geräte, die monatelang nicht mehr genutzt wurden, stehen weiter unter Kontrolle. Dabei ist die Einrichtung und Integration der Lösung unkompliziert. Hier liegt die Stärke des Systems.“ Positiv vermerkt André Hermbusch zudem die kurzen Releasezyklen des Herstellers, um Kundenwünsche umzusetzen. Einen großen Schritt macht der Cognitix Threat Defender Anfang 2020: Dann bietet genua die Sicherheitsplattform auf eigener Hardware an, die einfach als Appliance in Netze eingefügt werden kann.

(ID:46495346)