Monitoring-Müdigkeit Ungefilterte Datenflut beeinträchtigt die Netzwerksicherheit

Anbieter zum Thema

Fujitsu Technology Solutions GmbH

TXOne Networks

Das kontinuierliche Monitoring des Netzwerk-Geschehens ist die wichtigste Maßnahme, um schnell auf Probleme reagieren zu können. Tools, die Daten über den Netzwerk-Traffic generieren gibt es viele, nur nutzen die oft wenig, wenn es darum geht, sie entsprechend zu interpretieren und geeignete Maßnahmen zu treffen. Zu viele Alerts lassen die Schwelle der Aufmerksamkeit sinken. Gefordert sind nicht Daten, sondern aussagekräftige Hinweise zur Problembewältigung.

Der Markt stellt eine Vielzahl von Werkzeugen zur Überwachung des Netzwerk-Traffics bereit. Kein Wunder, bieten diese doch einen effizienten Weg, Fehler frühzeitig zu erkennen und geeignete Maßnahmen einzuleiten. Meldet ein User ein Problem an die IT-Abteilung, dann ist im Allgemeinen bereits wertvolle Zeit verstrichen, um für Abhilfe zu sorgen. Je komplexer das Problem ist, desto länger dauert die Ursachenermittlung. Eine gute IT-Administration erkennt Probleme aktiv und nicht erst dann, wenn die Beschwerden eingehen. Dramatischer wird die Situation, wenn es um Sicherheitsvorfälle geht, weil diese vom Anwender vielfach gar nicht erkannt werden.

Das Netzwerk-Monitoring ermöglicht es, die verschiedenen Hardware- und Softwarekomponenten eines Netzwerkes in Echtzeit zu überwachen. Es verschafft den Systemadministratoren Einblicke in die Leistung, die Verbindungen, die Verfügbarkeit, die aktuelle Nutzung und die Sicherheit. Entsprechende Tools überwachen etwa die physikalischen Geräte wie Server, Router, Switches oder Firewalls, die Verfügbarkeit von Anwendungen und Diensten sowie virtualisierte Umgebungen. Daraus generieren sie Myriaden an Daten, die sie dem Administrator zur Verfügung stellen.

Bildergalerie

Nur ist diese Datenflut gleichsam die Crux derartiger Systeme. Sie generieren so viele Informationen, dass sie den Administrator gleichsam erschlagen, wenn sie nicht in geeigneter Weise bereitgestellt werden, um sie nutzbar zu machen.

Das führt zu einem weiteren Problem, vor dem Unternehmen heute stehen: die Verfügbarkeit geeigneten Personals, das in der Lage ist, die Daten zu interpretieren, um notwendige Maßnahmen zu treffen. Und daran fehlt es auf breiter Front. Die schiere Bereitstellung von Daten ist dann kontraproduktiv und führt in der Tendenz zu einer Müdigkeit gegenüber einer Flut von Informationen und Alerts, die sich zu einem erheblichen Risiko entwickeln kann.

Einfache Installation, leichte Nutzbarkeit

Es ist die Aufgabe der Entwickler entsprechender Monitoring-Werkzeug, dem entgegenzuwirken und Tools bereitzustellen, die dabei helfen, die Datenflut in der Praxis zu bewältigen. Administratoren benötigen konkrete Hinweise darauf, wo ein Problem auftritt und wie es zu behandeln ist. Welche Anforderungen muss also eine Network-Monitoring-Lösung erfüllen, um den Ansprüchen gerecht zu werden?

Die Spreu trennt sich hier vom Weizen bereits bei der Installation. Moderne Network-Monitoring-Lösungen lassen sich Out-of-the-Box installieren und bringen bereits die erforderlichen Dashboards mit, um die Infrastruktur darzustellen sowie die Performance und Sicherheit zu beobachten. Idealerweise kann ein solches System heute innerhalb eines Tages eingerichtet werden.

Auch wenn damit die Grundlage geschaffen ist, einen Einblick in das Netzwerk-Geschehen zu erhalten und eine Alarmierung sowie ein Reporting sicherzustellen, so werden die meisten Unternehmen eigene Anpassungen vornehmen wollen. Dazu muss das Tool anwenderspezifische Definitionen von Dashboards erlauben. Dazu gehört zum Beispiel die Möglichkeit, mit einem Klick von einer übergeordneten Ansicht in eine Detaildarstellung zu wechseln. Diese Top-Down-Funktionalität ermöglicht es, von einer Gesamtansicht bis hinunter zu einzelnen Ports, Interfaces oder IP-Adressen zu wechseln. Auch ist es in diesem Zusammenhang erforderlich, dass das Werkzeug in der Lage ist, jedwede Daten von jedweder Quelle für jedes Dashboard schnell zu filtern, was in der Praxis eine Big-Data-Funktionalität erfordert.

Nicht Daten, sondern Antworten

Für die Überwachung des Netzwerk-Traffics hat sich NetFlow als De-facto-Standard etabliert. Sein großer Vorteil ist die Übermittlung von Informationen über jede stattgefundene Kommunikation, egal ob es sich um den Austausch großer Datenmengen oder um einzelne Pakete zwischen Parteien handelt. NetFlow zeichnet jede Flussrichtung separat auf und hinterlässt daher auch eine Spur von unidirektionalen Übertragungen oder, wie im Falle eines Netzwerk-Scans durch potenzielle Angreifer, von fehlgeschlagenen Verbindungsversuchen. NetFlow stellt eine äußerst wertvolle Quelle für die Sicherheitsüberwachung dar, wenn diese Daten korreliert und verdichtet werden.

Um nicht von der schieren Datenmenge erschlagen zu werden, muss der Administrator Parameter definieren und geeignete Werte in entsprechenden Erkennungsmethoden setzen können. Dies führt dazu, dass bei korrektem Netzverkehr, bei dem der Client gültige Sitzungen aufbaut, keine Alarmmeldung ausgelöst wird. Enthält die Kommunikation hingegen Muster, die auf eine Abweichung von Standards hindeuten, löst das System in einer solchen Situation eine Warnmeldung aus und informiert den Administrator über das Ereignis selbst und seine Einzelheiten – ein wichtiger Schritt, um die Datenflut einzudämmen und die Nutzbarkeit des Systems zu erhöhen.

Um Sicherheitsbedrohungen wirksam zu erkennen, reicht es nicht aus, sich nur auf die Überwachung des Netzverkehrs zu konzentrieren. Warnmeldungen aus einer einzigen Quelle können manchmal nicht eindeutig über ein erkanntes Problem informieren. Die Lösung kann in der Implementierung von genaueren systemübergreifenden Korrelationsregeln liegen, die Anomalien aus verschiedenen Datenquellen innerhalb einer bestimmten Zeiteinheit erkennen. Daher sind systemübergreifende Korrelationen effektiver, insbesondere bei der operativen Bearbeitung von Vorfällen durch das SOC, wo es wichtig ist, die Anzahl der False Positives zu begrenzen. Kreuzkorrelationswarnungen können für die Bearbeitung im SOC priorisiert werden, denn wenn Sicherheitsanomalien im Zusammenhang mit einigen Parametern auf der Grundlage verschiedener Datenquellen erkannt werden, besteht das Risiko eines echten Sicherheitsvorfalls. So sollte beispielsweise eine einzelne Warnung bezüglich eines Brute-Force-Angriffs auf den WS-Verwaltungsdienst eine andere Behandlungspriorität haben als dieselbe Warnung, die zusätzlich mit Anomalien korreliert ist.

Geolocation, historische Daten und Business-Context

Neben der Cross-System-Correlation existieren eine Reihe anderer Methoden, um aus Traffic-Daten nutzbare Informationen zu generieren und der Monitoring-Müdigkeit entgegenzuwirken. Geolocation ermöglicht es zum Beispiel, den Netzwerk-Traffic nach Ländern, Regionen oder anderen geografischen Ursprüngen anzeigen zu lassen. Für Unternehmen, die ihre Geschäftsaktivitäten innerhalb geografisch zu bestimmender Bereiche haben, bildet diese Darstellung eine ideale Möglichkeit zu erkennen, wenn Angreifer aus anderen Regionen versuchen, Zugriff auf das Netzwerk zu erhalten. Ist dies der Fall, dann ist es erforderlich, entsprechende weitere Untersuchungen einzuleiten.

Dies ist jedoch nur die halbe Miete. Es ist ebenso erforderlich zu wissen, wie sich die Verbindungsversuche innerhalb eines Netzwerkes in historischer Hinsicht darstellen. Ein entsprechendes Werkzeug zum Netzwerkmonitoring sollte also in der Lage sein zu ermitteln, wie sich der Datenverkehr im Vergleich zur letzten Woche, zum letzten Monat oder zum letzten Jahr entwickelt. Die Einblicke in historische Daten eröffnen analytische Möglichkeiten und zeigen Abweichungen auf, auf die es möglicherweise zu reagieren gilt.

Fortschrittliche NMS erlauben es, neben geografischen und historischen Parametern auch den Business-Kontext in die Bewertung von Anomalien einfließen zu lassen. Passt der Datenverkehr nicht zum Profil der verwendeten Anwendungen, dann ist gegebenenfalls ein Alert notwendig.

Alles überwachen, intelligent agieren

Es ist die Aufgabe eines Network-Monitoring-Systems, alle verfügbaren Daten innerhalb eines Netzwerkes abzugreifen und zu speichern. Nur hilft diese Datenflut bei der Bewertung der Vorfälle nicht weiter, wenn sie nicht geeignet gefiltert, dargestellt und mittels intelligenter Werkzeuge analysiert wird. Dann nämlich stehen die Security-Operation-Center oder IT-Security-Administratoren selbst vor dem Problem der Interpretation, die in Anbetracht der Datenmenge und der verfügbaren personellen Ressourcen nicht zu leisten ist.

Auch wenn fortschrittliche Lösungen heute einen sehr komplexen Mechanismus bieten, um den Netzwerkverkehr zu analysieren und Verstöße gegen Sicherheitsregeln zu erkennen, so sind sie doch in der Regel passiv, wenn es darum geht, die notwendigen Maßnahmen einzuleiten. Für eine schnellere und effektivere Reaktion auf verdächtige Vorfälle müssen diese Systeme über Schnittstellen, APIs, verfügen, die eine einfache Integration mit Third-Party-Systemen wie etwa NAC oder SIEM ermöglichen. Auf diese Weise wird sichergestellt, dass aus den gewonnenen Informationen erfolgreiche Maßnahmen abgeleitet werden.

Über den Autor: Piotr Kałuża ist Solution Architect bei Sycope.

(ID:49235352)