Suchen

Was Unternehmen aus dem Fall Snowden lernen können

Insider-Bedrohung im Netzwerk erkennen

Seite: 2/2

Firmen zum Thema

Crawling: Datensammlung mit System

Im Fall Snowden stellte sich heraus: Mithilfe automatisierter Tools gelang es ihm, systematisch alle verfügbaren Informationen zusammenzutragen. Er scannte das gesamte Netzwerk nach Webservern ab, um dann alle darauf gespeicherten Daten herunterzuladen. Diese Crawling-Technik ist eine gängige Strategie, um herauszufinden, wo Informationen gespeichert sind.

Crawling kann sowohl von der eigenen IT als auch bei Insider-Angreifern eingesetzt werden und ist extrem effektiv: Die meisten Daten sind so ungeschützt abrufbar, weil sie sich tief im eigentlich nach außen geschützten Firmennetz befinden. Entsprechend vorgehende Insider aufzuspüren, ist mitunter schwierig. Grundsätzlich sind ihre Präsenz im Netzwerk als Mitarbeiter und der Datenzugriff zur Verrichtung ihrer Arbeit ja vorgesehen.

Der Schlüssel liegt in Unterschieden zum Verhalten anderer regulärer Nutzer. Prinzipiell lässt sich eine ungewöhnliche Netzwerkaktivität leicht erkennen: Weichen Traffic-Spitzen für bestimmte Netzwerkbereiche vom Regelfall ab, ist die Chance hoch, dass dies ein Teil eines größer angelegten Angriffs ist.

Die Netzwerkaktivität ist die Datenspur des Insiders

Diese Unterschiede lassen sich gut am Beispiel von Internet-Suchmaschinen illustrieren, die mithilfe von Crawling Webseiten indizieren. Besucht ein Nutzer eine Website, landet er zunächst auf der Startseite. Danach klickt er auf einen Link, um auf hinterlegte Inhalte zuzugreifen. Daraufhin wird er auf einen weiteren Link klicken, um auf die nächste Seite zu gelangen, und so weiter.

Ergänzendes zum Thema
Über Tenable Network Security

Tenable Network Security ist ein Anbieter von Lösungen für Echtzeit-basiertes, effizientes und automatisiertes Schwachstellen-Management. Tenables Nessus- und SecurityCenter-Lösungen setzen bis heute den Standard für die Identifizierung von Schwachstellen, die Verhinderung von Attacken und die Konformität der eigenen Organisation mit einer Vielzahl behördlicher Anforderungen.

Besucht hingegen ein Webcrawler eine Internetseite, ruft er automatisch jeden Link auf der Seite auf, anschließend die Links auf allen Unterseiten, dann alle Links auf diesen Seiten und so weiter, bis jeder Link und jede Seite indiziert wurde – inklusive toter Links und nicht existenter Seiten. Im Log der Webseite wird die Crawling-Aktivität als Anomalie auffallen, da dies sowohl einen Anstieg bei Seitenaufrufen als auch von Fehlermeldungen zur Folge hat.

Die Log Correlation Engine von Tenable erhält ihre Daten vom Passive Vulnerability Scanner, Apache-Servern und Proxys.
Die Log Correlation Engine von Tenable erhält ihre Daten vom Passive Vulnerability Scanner, Apache-Servern und Proxys.
(Bild: Tenable Network Security)

Was Webseiten-Administratoren in Google Analytics sehen können, lässt sich auch im Netzwerk visualisieren. Der Screenshot zeigt alle Ergebnisse für die Abfrage von großen Anomalien (type=stats normalizedEvent="Large") für einen Zeitraum von 30 Tagen. In der letzten Zeile sind vier Instanzen für Webtraffic aufgeführt, die über das Normalmaß hinausgeht.

Falls also jemand einen Crawler einsetzt und damit Traffic über dem Normalniveau verursacht, lässt sich die gesteigerte IP-Aktivität sowohl Client- als auch Server-seitig durchaus nachvollziehen. Wenn ein Host eine Spitze verzeichnet, muss es die Spitze auch bei Client A geben. So kann ein Abgleich der beiden zur IP-Adresse des Clients führen, beispielsweise zum Arbeitsgerät von Snowden. Die automatisierte Erfassung von Netzwerkaktivitäten hingegen macht interne Attacken somit sichtbar.

Über den Autor

Paul Asadoorian ist Product Evangelist bei Tenable Network Security.

(ID:42623802)