Netzwerk Monitoring: Wie IT-Sicherheitsvorfälle umgehend sichtbar gemacht werden können

Bei der Erkennung und Analyse von potenziellen Sicherheitsvorfällen innerhalb eines Unternehmens greifen IT Security Analysten auf zahlreiche Logquellen zurück. Darunter fallen meist Informationen von Server und Clientsystemen sowie Antivieren- und Firewall-Produkte. Eine weitere Komponente ist das Analysieren des Netzwerkverkehrs mithilfe eines Intrusion Detection Systems (IDS) oder eines Network Security Monitors (NSM).

Nachfolgend werden dazu verschiedene Techniken vorgestellt und auf deren Vor- bzw. Nachteile eingegangen.

Welche Arten des Netzwerk Monitoring sind möglich?

Netzwerk Analyse Tools werden innerhalb der eigenen Infrastruktur an Übergängen zum öffentlichen Netzwerk oder an Verbindungen verschiedener interner Netzwerkbereiche platziert und verarbeiten den Netzwerkverkehr in Echtzeit. Die Daten werden dazu in der Regel durch einen Netzwerk-TAP (Test Access Point) oder einen SPAN (Switch Port ANalyser)-Port bereitgestellt. Der duplizierte Netzwerkverkehr wird somit passiv verarbeitet und beeinflusst den aktiven Datenstrom nicht. Die für die Verarbeitung zum Einsatz kommenden Tools können in drei Kategorien eingeteilt werden, wobei jede Verarbeitungsart verschiedene Vor- und Nachteile bietet.

Zum einen ist es möglich, mithilfe von Full-Packet-Capture Lösungen, wie sie zum Beispiel durch einen Netzwerk-TAP breit gestellt werden, den gesamten Netzwerkverkehr aufzuzeichnen und zu analysieren. Dabei stehen den Cyber Defense Analysten alle Informationen verlustfrei zur Verfügung und können das Geschehen im Netzwerk genau wiedergeben. Allerdings erfordert diese Art des Monitorings eine händische Analyse und kann durch die Masse an Informationen sehr zeitintensiv werden. Weiter ist zu berücksichtigen, dass das aufzuzeichnende Datenvolumen sowie die gewünschte Speicherdauer der Informationen aufgrund der benötigten Kapazität nur begrenzt möglich ist.

Dem gegenüber stehen Netzwerk Intrusion Detection Systeme (IDS), welche mithilfe zuvor definierter Regelsätze verdächtige Netzwerkkommunikation erkennen können. Dafür gleichen die Tools den Datenstrom in Echtzeit mit den implementieren Regeln ab und geben bei Bedarf eine Alarm-Meldung aus. Anschließend kann die Meldung durch ein SIEM System weiterverarbeitet werden. Dabei ist zu beachten, dass IDS meist auf einen Signatur-basierten Detektierungsansatz fokussiert sind und nur bekannte Angriffswege erkennen können. Weiter stehen einem SIEM-Analysten nach dem initialen Alarm nur begrenzt Informationen über die Netzwerkverbindungen zu Verfügung, was eine qualifizierte Beurteilung des Alarms erschwert.

Als weitere Option ist der Einsatz eines Network Security Monitors wie Zeek (früher bekannt als Bro) zu nennen, um das interne Netzwerk zu überwachen. Dieses Tool extrahiert aus dem eingehenden Datenstrom zahlreiche Verbindungs- und Protokoll-spezifische Informationen und gibt diese strukturiert wieder. Sowohl durch die in Zeek implementierten Protokollparser und Analyseskripte als auch durch die weitere Verarbeitung der Daten innerhalb eines SIEM Systems ist es möglich, potenzielle Angriffe zu erkennen. Zudem erleichtern die erhobenen Informationen den Analysten die Untersuchung von Alarmen deutlich. Dabei können die bereitgestellten Informationen als Mittelweg zwischen einem Full-Packet-Capture und dem Informationsgehalt eines IDS Alarms angesehen werden. Auch sorgt die Extraktion der Informationen aus dem Datenstrom für einen überschaubar Speicherbedarf, was es ermöglicht, die Daten über einen langen Zeitraum zu erhalten.

Wo können Netzwerkinformationen helfen?

Durch die bereitgestellten Netzwerkinformationen erhalten Cyber Defense Analysten tiefe Einblicke in den Datenverkehr der eigenen Infrastruktur und können verdächtige Aktivitäten erkennen, die auf Clientsystemen unentdeckt bleiben würden. Speziell in den Bereichen Command & Control Kommunikation, Daten Exfiltration oder Lateral Movement bieten die erzeugten Daten einen deutlichen Mehrwert für eine initiale Erkennung eines Angriffs sowie bei einer nachträglichen Analyse innerhalb des Incident Response Prozesses. Aber auch die Möglichkeiten, die vorliegenden Netzwerkinformationen für Threat Hunting oder zur Überprüfung der eigenen Infrastruktur nach bekannten IoCs zu nutzen, dürfen nicht außer Acht gelassen werden.

So zeigten jüngste Beispiele wie Sunburst (SolarWinds Backdoor) oder Log4Shell, eine Schwachstelle in der Java Logging Framework Log4j, wie wichtig es ist, Netzwerkinformationen der eigenen Infrastruktur zu erheben. Durch detaillierte Informationen, wie sie z.B. Zeek bereitgestellt, kann nach Bekanntwerden einer solchen IT-Sicherheitsschwachstelle mit wenigen Abfragen überprüft werden, ob es in der Vergangenheit Zugriffe auf die eigene Infrastruktur gegeben hat. Dabei spielt es keine Rolle, ob es ich bei den vorliegenden Indikatoren um eine IP-Adresse, Domain, HTTP-Informationen, Datei-Hashs oder ähnliches handelt. Werden die IoCs bei der Analyse nicht in den Netzwerkdaten gefunden, kann mit einer hohen Wahrscheinlichkeit davon ausgegangen werden, nicht von den vorliegenden Cyberangriffen betroffen zu sein. Andererseits bieten die Daten nach einem Fund einen guten Ausgangspunkt und zahlreiche Hinweise für eine tiefgreifende Untersuchung des Vorfalls.

Abb. 1: Durch die zunehmende Vernetzung industrieller Steuerungsanlagen
können potenzielle Angreifer immer häufiger auch in Industrie-Netzwerke eindringen.

Ein weiteres Beispiel für den Einsatz eines Netzwerk Monitors liegt im Bereich der Operational Technology (OT). Durch die zunehmende Vernetzung industrieller Steuerungsanlagen sowie die Integration dieser in ERP-Systeme oder der Möglichkeit eines Remote-Zugriffes können potenzielle Angreifer immer häufiger auch in Industrie-Netzwerke eindringen. Eine Analyse des Netzwerkverkehrs hilft dabei, in diesen Segmenten des Netzwerkes die Sichtbarkeit zu erhalten. Dabei werden die Steuerungsanlagen durch die passive Analyse des Datenstroms nicht beeinflusst. Auch können Protokollparser für SCADA*- spezifische Protokolle wie Modbus, Profinet oder S7comm weitere Einblicke in das Netzwerkverhalten liefern.

Wie wird ein Netzwerk Monitoring etabliert?

Wie eingangs beschrieben, werden Netzwerk Analyse Tools an Übergängen verschiedener Netzwerkbereiche platziert. Als erster Einsatzpunkt ist daher die Schnittstelle zwischen internem und öffentlichem Netzwerk zu wählen. Bei der Platzierung des Sensors ist darauf zu achten, dass interne (lokale) IP-Adressen erhalten bleiben und nicht durch ein vorgelagertes NAT (Network Address Translation) oder Proxys verändert werden. Durch diese Standortwahl ist es möglich, externe Kommunikation und Angreiferverhalten wie Command & Control oder Exfiltration zu erkennen. Die Sichtbarkeit der lokalen Adressen bietet dabei eine direkte Zuordnung der Verbindungen zu Systemen im eigenen Netzwerk. In einem weiteren Umsetzungsschritt sind Netzwerk Analyse Tools zwischen verschiedenen internen Netzwerksegmenten zu platzieren, um Lateral Movement oder Discovery Aktivitäten zu erkennen.

SECUINFRA arbeitet bei der Umsetzung eines Netzwerk Monitorings mit dem Unternehmen Corelight Inc. zusammen, welches verschiedene Sensoren mit einer Installation von Suricata und Zeek bereitstellt. Die Kombination beider Systeme ermöglicht einerseits eine umfangreiche Erkennung bekannter Angriffsvektoren über Signaturen als auch eine Vielzahl an weiteren Informationen zur Analyse. Auch stellt Corelight zahlreiche Erweiterungsskripte für Zeek bereit, um Angriffe auf Basis einer Anomalie- bzw. Verhaltensanalyse zu erkennen. Darunter fällt zum Beispiel die Erkennung einer Command & Control Kommunikation oder die Auswertung von Metadaten innerhalb verschlüsselter Kommunikation, um Rückschlüsse auf die Nutzung einer SSH- oder VPN-Verbindung zu erhalten. Corelight Sensoren können in verschiedenen Netzwerkumgebungen als Cloud-, Software- oder Hardwaresensoren installiert werden.

*Supervisory control and data acquisition systems