:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Tief im Rechenzentrumsnetz Encrypted Traffic Analytics (ETA) im Datacenter ersetzt Deep Packet Inspection
Die Ära der Netzwerküberwachung auf der Basis von Deep Packet Inspection neigt sich in Rechenzentren ihrem Ende zu. Encrypted Traffic Analytics, kurz ETA, füllt diese Lücke. Um die Gunst der IT-Entscheider buhlen neben dem Platzhirsch Cisco mit „Stealthwatch Enterprise“ auch zwei aufstrebende Spezialisten für das Maschinelle Lernen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Zwei relevante Neuentwicklungen haben der Deep Pocket Inspection in kürzester Zeit den Todesstoß versetzt: die Finalisierung von TLS 1.3 und das Inkrafttreten der DSGVO.
Ein Fluch und Segen
TLS 1.3 erreichte mit Draft 28 im März dieses Jahres den finalen Status und wurde von der IETF (Internet Engineering Task Force) zum Standard vorgeschlagen. Diese Entscheidung konnte für viele nicht schnell genug kommen. Denn alle älteren Versionen des Protokolls wurden bereits unzählige Male kompromittiert. Erstmals in der Geschichte des Protokolls behebt ein einziger Neuentwurf —TLS 1.3 eben —alle bekannten konzeptionellen Sicherheitslücken seiner Vorgänger.
Für Rechenzentren ist es ein Fluch und ein Segen zugleich. Datencenter-Betreiber werden nämlich nicht mehr in der Lage sein, TLS-Datenübertragung unter Verwendung des neuen Protokolls in Echtzeit zu entschlüsseln. Das Verfahren, bekannt als Deep Packet Inspection, hat es den Betreibern in der Vergangenheit ermöglicht, verschlüsselte Kommunikation durch Middleboxen auf bösartigen Code hin in Echtzeit zu überprüfen. Es ist und war ein sehr ressourcenintensives Unterfangen; seit TLS 1.2 kaum noch in (nahezu) Echtzeit machbar.
Die überwiegende Mehrheit der Rechenzentrumsbetreiber zeigt sich dennoch TLS 1.3 gegenüber sehr zurückhaltend; die Mehrheit der Unternehmen würde ihre Transportverschlüsselung vorzugsweise bei TLS 1.2 belassen. Diese Haltung ist überaus nachvollziehbar, hat jedoch zwei gravierende Nachteile.
Mit dem Rücken zur Wand
Mit dem Inkrafttreten der DSGVO ist für Rechenzentren das Festhalten an dem veralteten TLS-1.2-Standard erstmals nicht „nur“ technisch fragwürdig, sondern ganz nebenbei noch aus rein finanziellen Überlegungen nicht empfehlenswert (um das gelinde zu formulieren). Denn Cyber-Sicherheitseinbrüche können im Rahmen der DSGVO mit einer Strafe in Höhe von bis zu 4 Prozent des Vorjahresumsatzes oder 20 Millionen Euro geahndet werden, was auch immer höher ausfällt.
Der erste Nachteil besteht darin, dass sich das Deep-Packet-Inspection-Verfahren mit der DSGVO nicht verträgt.
Das Entschlüsseln von Datenpaketen kollidiert unter anderem mit der von Artikel 32 geforderten Integrität und Vertraulichkeit personenbezogener Daten. Das Rechenzentrum als ein Durchlaufposten der verschlüsselten Kommunikation mit Endanwendern kann sich mit der Deep Packet Inspection in eine juristische Schieflage hinein manövrieren.
Der DSGVO zufolge müssen personenbezogene Daten unbedingt auf eine Art und Weise verarbeitet werden, die einen angemessenen Schutz gewährleistet. Dies schließt den Schutz vor unbefugter und unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung mit ein. Ein Rechenzentrum kann dem Gesetz de facto nur dann gewissenhaft Folge leisten, wenn es die Daten nicht unnötig entschlüsselt.
Ist ein Kommunikationsfluss erst einmal dekodiert beziehungsweise mit einer unsicheren Cipher wie RSA „herunterkodiert“, können sensible Daten sehr leicht auch unbefugten Dritten in die Hände fallen. Der Rechenzentrumsbetreiber könnte dann im Falle einer Cyber-Sicherheitspanne für den Verstoß gegen das Gebot der rechtmäßigen Datenverarbeitung gemäß Art. 5 Abs. 1 lit. a und Art. 6 der DSGVO haftbar gemacht werden.
Zur Einhaltung der DSGVO sind unbedingt passende technische und organisatorische Maßnahmen einzuleiten, welche vor allem in Art. 32 der Verordnung näher präzisiert werden.
Doch damit nicht genug. Deep Packet Inspection hat ja noch einen weiteren Nachteil, nämlich die zeitlich unbefristete Bindung an das betagte und im Vergleich zur Version 1.3 unsichere TLS 1.2-Protokoll.
Viele Angriffe gegen TLS bis einschließlich der Version 1.2 machen den Einsatz des Protokolls zu einem wahren Roulette. Um die gravierende Bedrohungslage einmal zu veranschaulichen, anbei eine kurze Liste von Angriffsvektoren bzw. wirksamen Exploits gegen TLS:
- POODLE, LOGJAM, FREAK, SMACK,
- LUCKY13, SWEET32, 3SHAKE,
- TLS Renego MITM,
- BEAST (Browser Exploit Against SSL/TLS),
- TIME, HEIST,
- SLOTH,
- DROWN,
- ROBOT (Return of Bleichenbacher’s Oracle Attack), ...
(Die Liste ist keinesfalls vollständig.)
Bedenklich: TLS 1.2
Der Einsatz des TLS-1.2-Protokolls ist mittlerweile sowohl aus datenschutzrechtlicher als auch aus technischer Sicht äußerst bedenklich. Bei seiner Vorstellung im Jahre 2008 mag TLS 1.2 einen angemessenen Schutz geboten haben; doch über ein Jahrzehnt später ist es längst nicht mehr der Fall. Da die heutige Unternehmenskommunikation und Transaktionsabwicklung fast ausschließlich online ablaufen, können sich TLS-Verwundbarkeiten für eine Organisation viel schneller als je zuvor als existenzbedrohend erweisen.
Je mehr Unternehmen ihre Geschäftsmodelle digitalisieren, desto mehr Dienste und Applikationen nutzen die TLS-Datenverschlüsselung als die primäre Methode zur Datensicherung. Laut Gartner ist der verschlüsselte Datenverkehr dieses Jahr im Vergleich zum Vorjahreszeitraum um satte 90 Prozent gestiegen. Für das kommende Jahr (2019) soll die Verschlüsselungsrate weltweit sogar die 80-Prozent-Marke erreichen.
Der rasante Anstieg des verschlüsselten Datenverkehrs verändert auch die Bedrohungslandschaft. Leider ziehen nicht nur die legitimen Datacenter-Anwender einen Nutzen aus TLS. Auch Cyber-Kriminelle bedienen sich der Transportverschlüsselung, um Eindringlingserkennungssysteme hinters Licht zu führen.
Encrypted Traffic Analytics
Die Betreiber von Rechenzentren stehen angesichts der vielen gravierenden Cyber-Sicherheitslücken des TLS-Protokolls und der Datenschutzauflagen der DSGVO mit dem Rücken zur Wand. Lösungen rund um Encrypted Traffic Analytics — also solche Analyse-Tools, welche die Verschlüsselung respektieren — können hier Abhilfe schaffen.
In diese Kategorie fallen unter anderem Cisco Stealthwatch Enterprise, „Darktrace“ des gleichnamigen Anbieters und „Plixer Scrutinizer“.
Cisco Stealthwatch bietet eine kontinuierliche Echtzeit-Überwachung und einen umfassenden Einblick in den gesamten Netzwerkverkehr. Es verbessert die Sichtbarkeit des erweiterten Rechenzentrumsnetzwerks und beschleunigt die Antwortzeiten für verdächtige Vorfälle.
Es erstellt eine Baseline der normalen Web- und Netzwerkaktivität für jeden Netzwerkhost und wendet eine kontextsensitive KI-Analyse an, um anomale Verhaltensweisen automatisch als solche zu erkennen. Stealthwatch kann unter anderem Malware, Zero-Day-Exploits, Distributed Denial-of-Service-(DDoS)-Attacken, erweiterten persistenten Bedrohungen (Advanced Persistent Threats, kurz: APTs) und böswilligen Insidern auf die Spur kommen (die sogenannte ATP, Advanced Threat Protection).
Plixer Scrutinizer
Plixer Scrutinizer ist ein verteiltes und skalierbares Analysesystem für den Netzwerkverkehr im Rechenzentrum. Es verwendet verhaltensbasierte Sicherheitsalgorithmen, um den Datenverkehr durch das Rechenzentrum nach Hinweisen auf Einbruchsversuche zu untersuchen, ohne die Datenpakete zu entschlüsseln.
Die verteilte Architektur der Datenerfassung aus Netzwerkgeräten minimiert die Angriffsfläche und verbessert das Reaktionsvermögen. In Zusammenarbeit mit „Flowpro Defender“ kann Scrutinizer unter anderem DNS-Tunneling, Botnets und Low-und-Slow-Datendiebstähle aufspüren.
Die Software nutzt unter anderem die Network-Protokolle „Netflow“ in der Version 9 (von Cisco) und „IPFIX“ (IP flow information export, ein IETF-Standard), um Flussinformationen von gängigen Switches und Routern, zum Beispiel von Cisco, Brocade, Juniper, Extreme und HPE, Firewalls, wie Cisco ASA, Palo Alto und Fortinet, sowie anderen Netzwerkgeräten, etwa von Ixia und Gigamon, einzusammeln.
Scrutinizer eignet sich für den Einsatz in einer Vielzahl von Datacenter-Umgebungen, einschließlich „VMware NSX“, „Cisco ACI“, Hypervisor-basierter Virtualisierung wie Plixer verweist mittlerweile auf 3.000 Kunden in 108 Ländern und hat eine dicke Kapitaldecke für weiteres Wachstum. Plixer wurde im März 2018 von der Investmentfirma Battery Ventures übernommen und hat mit Jeff Lindholm einen erfahrenen Industrie-Veteranen als CEO ins Boot geholt. Jeff Lindholm war zuletzt SVP bei Brocade und zuvor unter anderem SVP Worldwide Sales & CMO bei Juniper Networks.
In Zusammenarbeit mit Flowpro Defender kann Scrutinizer beispielweise DNS-Tunneling, Botnets & Low-&-Slow-Datendiebstähle erkennen. Der größte Schwachpunkt von Plixer Scrutinizer offenbart sich bei dem Versuch, ein konsolidiertes Reporting und Flow-Maps über mehrere Plixer-Kollektoren hinweg zu erfassen. Es geht zwar, aber leider nicht automatisch, sondern erfordert erst eine mühsame und zeitraubende manuelle Konfiguration.
Darktrace Enterprise, eine KI-Cyber-Sicherheitslösung des britischen Cyber-Sicherheitsspezialisten Darktrace, hat sich auf die ML-basierte Eindringlingserkennung nach dem Vorbild des menschlichen Immunsystems spezialisiert. Mit dem „Threat Visualizer“ kann das System Anomalien entdecken, Attack-Szenarien in Echtzeit visualisieren und nachträglich abspielen. Das Unternehmen rühmt sich 5.000 aktiver Deployments in 97 Ländern, darunter bei Ebay und T-Mobile, und soll eigenen Angaben zufolge in Rechenzentren 63.500 ernsthafte Sicherheitsvorfälle aufgedeckt haben.
Vor- und Nachteile der ETA-Tools
Was Darktrace wie auch Plixer Scrutinizer fehlt ist die Fähigkeit, Telemetriedaten aus Cisco-Netzwerkhardware auszulesen. Von den drei Lösungen kann nur Stealthwatch diese Informationen in die Analyse mit einbeziehen. Darktrace und Plixer Scrutinizer arbeiten sich um diese Hürde mit Cisco Netflow v9, IPFIX und fortgeschrittener künstlicher Intelligenz herum.
Der IETF-Standard IPFIX ist kompatibel mit Netflow v9, bietet jedoch zusätzliche Features, die über den dokumentierten Funktionsumfang von Ciscos proprietärem Protokoll hinausgehen. Während NetFlow v9 „nur“ 79 Feldtypen bietet, hat IPFIX ganze 238 im Köcher. Die ersten 79 decken sich aus Kompatibilitätsgründen mit den Feldtypen von Netflow v9; die übrigen 159 verleihen dem IPIX-Protokoll zusätzliche fortgeschrittene Fähigkeiten.
Cisco Stealthwatch Enterprise hat zwar nur einen einzigen, dafür aber einen gravierenden Schwachpunkt, nämlich das verzweifelte Erzeugen von sogenannten „Suspect Data Loss“-Alarmen für Hosts, ohne jegliche Fähigkeit, sinnvolle Gegenmaßnahmen einzuleiten. Diese Alarme signalisieren ungewöhnlich hohe Datenverluste aufgrund der so genannten Daten-Exfiltrationsangriffe (data exfiltration attacks), denen Stealthwatch keine Abwehrmechanismen entgegen zu setzen hat. Hier besteht deutlicher Nachholbedarf.
Darktrace hat es ja vorgemacht. Bei einem Cyber-Angriff auf das SCADA-Energienetzwerk im Mittleren Osten hat Darktrace einen internen Server identifizieren können, der kompromittiert worden war und enorme Datenmengen nach außen hin über äußerst ungewöhnliche ICMP-Verbindungen schicken wollte. Darktrace hat die Attacke aufgedeckt und konnte das Ausspähen der Daten unterbinden.
*Das Autoren-Duo
Die Autoren des Artikels, Filipe Pereira Martins und Anna Kobylinska arbeiten für McKinley Denali Inc. (USA).
(ID:45404672)
:quality(80)/p7i.vogel.de/wcms/76/78/7678ab59355b82206b099bd260baf44c/0112523155.jpeg "Die Sophos Firewall bietet eine effiziente und effektive TLS Inspection, ohne dabei die Leistung zu beeinträchtigen. (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")