Suchen

Netzwerksicherheit als fortlaufenden Prozess betrachten Security-Testing auf allen Ebenen

Autor / Redakteur: Marc Meulensteen, Spirent / Stephan Augsten

Firmen- und Behördennetze werden mit Spam, Denial-of-Service-Attacken und anderen Angriffen bombardiert. Doch nicht nur die Masse der Bedrohungen, auch ihre Komplexität stellt eine Herausforderung dar. Die Netzwerksicherheit muss deshalb immer aufs Neue mit Sicherheitstests auf die Probe gestellt werden.

Firmen zum Thema

Die Netzwerksicherheit sollte kontinuierlich analysiert und justiert werden.
Die Netzwerksicherheit sollte kontinuierlich analysiert und justiert werden.
(Bild: Andrea Danti - Fotolia.com)

Marc Meulensteen ist Business Development Manager bei Spirent Communications.
Marc Meulensteen ist Business Development Manager bei Spirent Communications.
( Spirent)

Denial-of-Service-Attacken fluten Netzwerke und Server mit Traffic, was zu Leistungsverminderungen oder Totalausfällen führt. Geschäftliche Daten einschließlich Kundeninformationen werden routinemäßig gestohlen oder verfälscht. Bankkonten werden zunehmend geplündert.

Nur schwer lassen sich die wirklichen Kosten all dieser Attacken quantifizieren; Unternehmen schrecken verständlicherweise davor zurück, derartige Informationen preiszugeben. Schätzungen zufolge belaufen sich die jährlichen Schäden allerdings auf mehrere Hundert Milliarden US-Dollar.

Die Bedrohungslandschaft befindet sich in einem stetigen Wandel. Während die Cyberkriminellen neue Schwachstellen aufdecken und ausnutzen, müssen „die Guten“ in Windeseile Gegenmaßnahmen entwickeln und ergreifen. Vor diesem Hintergrund reichen Sicherheitsprodukte wie Firewalls und Beratungsleistungen wie Penetrationstests kaum mehr aus, um das Netz rundum abzusichern.

Einen kontinuierlichen Sicherheitsprozess durchsetzen

IT-Teams von Behörden und Unternehmen benötigen zusätzlich Prozess-basierte Ansätze. Wirklich notwendig ist das Verständnis dafür, dass Netzwerksicherheit ein kontinuierlicher Prozess ist und kein Produkt oder Service, der einfach gekauft werden kann. Das Testen der Sicherheit ist ein wesentlicher Bestandteil dieses Prozesses.

Der kontinuierliche Sicherheitsprozess muss eine ganze Reihe von Betrachtungen einschließen. So muss er etwa derart gestaltet sein, dass er den Fähigkeiten derjenigen Personen entspricht, die ihn ausführen sollen. Das bedeutet anwenderfreundlich, einfach zu installieren und gut dokumentiert.

In Anbetracht der sich schnell verändernden IT müssen die Prozesse häufig überprüft und wenn nötig aktualisiert werden. Dazu werden Werkzeuge benötigt, um neue Bedrohungen zu berücksichtigen, sobald sie entdeckt werden. Im Idealfall adressieren diese Test-Tools alle Aspekte der Cyber-Sicherheit.

Im Rahmen des Security Testings gilt es, in den Netzwerkperimeter einzubrechen und interne Ressourcen zu kompromittieren. Die Test-Tools müssen versuchen, bestehende Erkennungstechnologien zu überlisten, indem sie sowohl Anwendungen als auch die Netzwerkinfrastruktur angreifen.

Die Testwerkzeuge benötigen zudem eine ausreichende Kapazität zur Emulation einer großen Zahl simultaner, heterogener und anhaltender Attacken. Nur so kann man erkennen, wie sich das Netzwerk unter einer Lawine versuchter Einbrüche verhält. Im Folgenden befassen wir uns mit einigen Security-Testing-Methoden.

Fuzz Testing

Beim Fuzzing wird eine große Anzahl zufälliger Attacken automatisch in den Netzwerk-Traffic eingeschleust, einschließlich fehlerhafter oder unerwarteter Variationen des legitimen Datenverkehrs. Auf diese Weise erkennt man neue Schwachstellen – hoffentlich bevor Hacker dies tun – und kann eine generelle Aussage über den Zustand des betrachteten Systems oder Netzwerkes treffen.

Fuzz-Testing sollte ein Bestandteil der Testwerkzeuge sein und sowohl regelmäßig als auch bedarfsweise auf Host-Rechner, Netzwerke und Anwendungen ausgerichtet werden. Beim Erkennen grundsätzlicher Fehler wie System-Crashes ist Fuzz-Testing sehr effizient, subtilere Probleme deckt es aber nicht besonders zuverlässig auf.

Vulnerability Testing

Automatische oder manuelle Schwachstellenprüfungen identifizieren und priorisieren Netzwerkschwächen. Sie sollten periodisch sowie nach Sicherheitsupdates ausgeführt werden. Identifizierte Schwachstellen sollten in Berichten und Datenbanken beschrieben werden.

Um bekannte Schwächen einzubeziehen, sollten manuelle Penetrationstests die automatisierten Schwachstellentests begleiten. Dabei spielt der Tester den Hacker, um eine Schwachstelle zu verifizieren und die damit verbundenen Risiken zu prüfen. Schwachstellentests sind eine hervorragende Ergänzung zum Fuzzing.

Die fortschreitende Nutzung mobiler Geräte sowie die damit verbundene Notwendigkeit zur Entwicklung von BYOD-Policies stellen einen neuen Kampfplatz dar. Um auf diesen Trend zu reagieren, müssen ausreichende Firewall-Funktionen, Verschlüsselung der verschiedenen Zugangstechnologien sowie Gerätezertifikate installiert werden.

Sicherheitstests müssen diese Policies begleiten, indem Emulatoren entsprechende Attacken in eine Umgebung mit einer großen Zahl von Geräte einschleusen. Besondere Aufmerksamkeit sollte dem Schutz vor mobiler Malware gewidmet werden, weil sich die Zahl derartiger Attacken geradezu drastisch erhöht.

Natürlich sind die beschriebenen Testprozesse nur dann wirksam, wenn sie ausführbare Ergebnisse bringen. Test-Teams benötigen deshalb Berichte, die Schwachstellen klar beschreiben und so viele Informationen wie möglich liefern, um darauf zu reagieren. Prozeduren für Fixes mit der geringstmöglichen Ausfallzeit müssen definiert, dokumentiert und aktualisiert werden.

Performance- und Malware-Testing

Verbesserte Sicherheitskontrolle kann in vielen Fällen mit einer eingeschränkten Performance einhergehen. Sicherheit und Leistungsfähigkeit sind zwei Seiten der gleichen Medaille und müssen daher zusammen betrachtet werden.

Performance-Prüfungen sind also ein weiterer wichtiger Aspekt des Sicherheitstests. Dabei gilt es, den „normalen“ Datenverkehr mit bösartigem Traffic zu mischen. Denn auch in der Realität ereignen sich Angriffe nicht in der Isolation, sondern in Verbindung mit legitimen Anwendungsdaten.

Die Reaktionsgeschwindigkeit ist ein weiterer Schlüsselaspekt des Security-Testing. Administratoren müssen auf neue Bedrohungen schnell und entschieden reagieren. Weil sich die Bedrohungen stetig ändern, müssen auch die Testwerkzeuge so flexibel wie möglich sein, indem sich konfigurieren lassen und Fuzzing-Techniken ermöglichen, um die Signaturen der Attacken zu verändern.

Neben vorgefertigten Tests für bekannte Attacken benötigt man konfigurierbare Templates, die es ermöglichen, spezifische Penetrationstests gegen jedes aktive Protokoll, jede Anwendung oder jeden Service durchzuführen, um neu entdeckte Schwachstellen zu erkennen.

Malware-Testing ist eine zusätzliche Aktivität, die zur Sicherheit beiträgt. Das schließt Malware-Code ein, der als Nutzlast mittels http oder FTP durch Firewalls oder IPS/IDS geschickt wird. Dazu gehört ebenso die Replikation des Verhaltens infizierter Endgeräte. Der letzte Schritt ist wichtig, um hartnäckige Bedrohungen zu erkennen und zu beseitigen, die sich innerhalb eines geschützten Netzwerkes eingenistet haben.

Die akkurate Emulation realer Attacken einschließlich Spam, Würmern, Viren, Trojanischen Pferden und DoS ist wichtig um festzustellen, ob die eingesetzten Präventionsmechanismen ausreichend arbeiten. Man benötigt dementsprechend ein erschöpfendes Archiv an Testsignaturen, die den realen Bedrohungen so akkurat wie möglich entsprechen. Im Idealfall kann man sogar neue Signaturen und Variationen bekannter Bedrohungen entwickeln.

Fazit

Cyber-Security unterliegt derzeit drei prägnanten Trends:

  • Regierungen entfalten ein starkes Interesse aufgrund von Fragen der nationalen Sicherheit und des internationalen Wettbewerbs. Das führt zu der Notwendigkeit, Firmennetze vor Bedrohungen durch Spionage und Angriffen zu schützen.
  • Cloud Computing etabliert ein neues Abstraktionsniveau über dem physikalischen Netzwerk. Daraus ergibt sich eine amorphe Umgebung, deren Anforderungen an die Sicherheit alles andere als unkompliziert sind.
  • Schließlich und endlich steigert die wachsende Tendenz von Mitarbeitern, ihre mobilen Geräte mit in das Unternehmen zu bringen, die schiere Anzahl von Devices, die gesichert werden müssen und erhöht zudem das Potenzial für das Einschleusen kompromittierter Geräte.

Werkzeuge für das Testen des Sicherheitsniveaus müssen auf diese und neue Trends reagieren können.

(ID:42241984)