Versteckte Angriffe aufdecken

Tiefer Graben – Unverzichtbare Erweiterungen für SIEM

, München, finally safe | Autor: Herbert Wieler

Tiefer Graben – Unverzichtbare Erweiterungen für SIEM

Performante Netzwerkverkehrsanalysen

Für viele Unternehmen ist es heute völlig normal, automatisch geführte Protokolle aller Aktionen oder Prozesse von Computersystem in sogenannten Logdateien zu speichern. Diese geben ein übersichtliches Bild über Aktivitäten im Netzwerk. Besonders die Menge dieser Dateien zu verarbeiten ist eine Herausforderung: So erzeugen manche Geräte, wie zum Beispiel Firewalls, Proxies oder Active Directory Server zum Teil über 1.000 Nachrichten in der Sekunde – dennoch findet die Logdatenverarbeitung verbreiteten Einsatz in der Praxis, insbesondere mithilfe von sogenannten „Security Incident and Event Management“ Systemen (kurz: SIEM).

finally safe bietet mit der Advanced Security Analytics Platform eine performante Netzwerkverkehrsanalyse, die mithilfe von Machine-Learning versteckte Angriffe aufdeckt – und damit auch eine unverzichtbare Erweiterung für SIEM-Systeme darstellt

Ein wesentlicher Nachteil von Logdateien ist der Umstand, dass ein System diese erst erzeugen muss, damit sie weiterverarbeitet werden können. Demgegenüber enthalten Rohdaten aus dem Netzwerkverkehr viele Informationen, die durch Logdateien gar nicht erst erfasst werden.

Die Gründe, warum viele Firmen Logdateien statt des wirklichen Netzwerkverkehrs analysieren, sind vor allem:

  1. Der hohe Speicherbedarf
  2. Die schwierige Verarbeitung der Datenmengen
  3. Die hohen Hardwareanforderungen Kurz gesagt: Besonders die aus diesen Faktoren resultierenden Kosten werden gefürchtet.

„Den Netzwerkverkehr detailliert, performant und kontinuierlich auszuwerten war gegenüber dem Mehrwert viele Jahre lang nicht denkbar“, so der Mitgründer und Leiter des Bereichs „Advanced Threat Detection“ Dominique Petersen von finally safe . „Mittels Eigenentwicklungen ‚Made in Germany‘ konnten wir die Technologie entwickeln, die es Firmen heute ermöglicht, Netzwerkverkehrsanalyse effizient und wirtschaftlich sowie vor allem dauerhaft zu betreiben“, so Petersen weiter.

Der wesentliche Mehrwert einer Netzwerkverkehrsanalyse (Network Traffic Analysis, kurz: NTA) für Unternehmen und Organisationen ist die Möglichkeit, blinde Flecken in der Kommunikation sowie Lücken auf Endgeräten aufzudecken und zu schließen, die es heute Angreifern ermöglichen, erfolgreiche Angriffe durchzuführen.

Für eine effektive Verteidigung ist es wichtig, die Perspektive des Angreifers einzunehmen. Dies tun wir als finally safe bereits seit mehreren Jahren. Der Fokus unserer Arbeit liegt darin, die Techniken und Methoden zu identifizieren, die es Angreifern ermöglichen, Firmen erfolgreich anzugreifen:

  1. Versteckte Tunnel in Netzwerkprotokollen
  2. Command and Control / Botnetz-Verbindungen
  3. Identifizierung von Schwachstellen und Konfigurationsproblemen

Diese Merkmale und Verhaltensweisen identifizieren wir fortlaufend im Netzwerkverkehr, zunehmend mit Machine Learning Methoden. Darauf basierend erweitern wir unsere Erkennungsmöglichkeiten im Netzwerkverkehr unserer Analyseplattform kontinuierlich.

Beispiele für Angriffe, die ohne Netzwerkverkehrsdaten kaum erkennbar sind:

1: Exfiltration von Daten mittels ICMP

ICMP (Internet Control Message Protocol) ist ein gängiges Netzwerkprotokoll, welches dem Austausch von Informations- und Fehlermeldungen in Rechnernetzwerken dient. Angreifer nutzen dieses Protokoll, um z.B. Daten aus einem Unternehmen herauszuschleusen – oder umgekehrt. Dafür werden sogenannte Tunnel verwendet, um dies unbemerkt zu tun, die enthaltenen Daten bleiben dabei im Verborgenen. Werden also nur Logdateien bspw. einer Firewall ausgewertet, enthalten diese nur die Information, dass ein internes Gerät einen externen Server „anspricht“ – was ein normales Verhalten darstellt. Wird eine Netzwerkverkehrsanalyse eingesetzt, können detaillierte Inhalts- und Verhaltensanalysen des gesamten ICMP-Verkehrs in Echtzeit erfolgen, um die Tunnelnutzung zu erkennen und frühzeitig zu melden.

2: Botnetzverbindung von infiziertem PC

Botnetze sind vernetzte infizierte Rechner, auf denen automatisierte Schadprogramme, sogenannte Bots (englisch: robot „Roboter“) laufen. Diese stehen ohne Einverständnis der Eigentümer zur Verfügung und können illegal "gemietet" und für Angriffe verwendet werden. Unternehmen können Teil eines Botnetzwerkes sein, ohne dies zu bemerken. Logeinträge aus Firewalls registrieren lediglich "normalen" Verkehr, z.B., dass ein internes Gerät mit einem HTTP-Server kommuniziert („im Web surft“). Mithilfe von NTA werden tiefergehende, performante Deep Packet Inspection (DPI) der Daten ausgeführt, mit denen Botnetzverkehr erkannt und frühzeitig gemeldet werden kann.

Die Beispiele zeigen, dass Logdateien und übergeordnete Systeme wie SIEM um intelligent ausgewertete Netzwerkverkehrsinformationen ergänzt werden sollten, um auch gegen fortgeschrittene Angriffe gewappnet zu sein. Diese kommen seit einiger Zeit immer häufiger zum Einsatz.

Eine NTA-Analyseplattform kann aufwandsarm in jede Netzwerkinfrastruktur integriert werden. Dazu wird eine Sensor-Appliance passiv über einen Spiegelport an einen Switch oder Packet-Broker angebunden. Die Lösung kann als "Cloud" sowie ohne Außenanbindung und als Managed Service betrieben werden.

Die von finally safe entwickelte Lösung bietet Schnittstellen zu SIEM, NAC sowie gängigen Ticket-Systemen und kann damit vollständig in bestehende Sicherheitsarchitekturen integriert werden. Zudem wird eine REST API angeboten. Die Advanced Security Analytics Plattform findet seit 2015 Einsatz in Behörden, bei Energie- und Wasserversorgern sowie Betreibern von Security Operation Centern (SOC).

Fazit:

NTA wird bis heute als „zu teuer“ bzw. als “Luxus“ angesehen – ist jedoch mittlerweile essentiell für die Aufdeckung von Schwachstellen und Angriffen im Netzwerk – auch im SIEM Kontext. NTA ist heute performant und mit Standard-Hardware durchführbar und hilft damit, das nächste Sicherheitslevel zu erreichen – sowohl in Kombination mit sogenannten Next Generation Firewalls als auch im SIEM und managed-SIEM Umfeld. Mit NTA können bisher blinde Flecken und Lücken aufgedeckt werden, die es heute Angreifern leicht machen, Daten zur Fernsteuerung von Malware ein- und auszuschleusen.