Anzeige

Security Netz

Angreifer dringen heute über ganz unterschiedliche Wege in Netzwerke ein. Doch egal ob der Einbruch nun über einen Konfigurationsfehler, eine Softwareschwachstelle oder über die Manipulation von Mitarbeitern z. B. per Phishing erfolgt – spätestens im Netzwerk hinterlässt ein Angreifer zwangsläufig Spuren.

Es ist daher naheliegend den Netzwerkverkehr zu beobachten, um Einbruchsversuche oder andere Auffälligkeiten möglichst frühzeitig zu erkennen.

Deutlich mehr als Intrusion Detection- and Prevention

Intrusion Detection and Prevention Systeme (IDS/IDP) arbeiten mehrheitlich signaturbasiert und können daher prinzipbedingt auch nur bekannte Angriffe erkennen und stoppen. Ähnliches gilt für SIEM Systeme, die im Wesentlichen Protokolldateien mit Hilfe von Mustern nach Auffälligkeiten durchforsten und bei einem Treffer Alarm schlagen. In die Lücke zwischen IDS und SIEM stößt daher seit kurzem eine neue Kategorie von Security Systemen, die als Inline Threat Intelligence and Protection Systeme (TIPS) bezeichnet werden. Der cognitix Threat Defender sammelt Informationen aus dem Netzwerkverkehr in Echtzeit, reichert diese mit Kontextinformationen aus unterschiedlichen Quellen an und kann so auch verborgene Muster und Verhaltensweisen erkennen.

Was ist Threat Defender?

Als sog. Inline Threat Intelligence Platform kombiniert der cognitix Threat Defender bewährte Sicherheitstechnologien wie Intrusion Detection and Prevention (IDS/IDP) und Security Incident and Event Management (SIEM) mit einer Anomalieerkennung für Netzwerkgeräte bzw. Netzwerkverkehr und aktivem "Threat Hunting". Beim Threat Hunting arbeiten Mensch und Maschine zusammen, um proaktiv Angriffsmuster zu erkennen, bevor diese einen Schaden verursachen. Der "Maschine" bzw. der Software fällt dabei die Aufgabe zu, riesige Datenmengen in kürzester Zeit zu untersuchen und dem Menschen entsprechende Hinweise auf mögliche Attacken zu liefern. Der Mensch bzw. Administrator kann mit diesen Informationen dann die richtigen Schlüsse ziehen und Strategien zum Umgang mit der Bedrohung entwickeln.

Was ist Threat Defender nicht?

Cognitix Threat Defender ist keine Firewall im herkömmlichen Sinne des Perimeterschutz. Stattdessen könnte man die Funktionalität von Threat Defender eher als Firewall für die Überwachung des internen Netzwerkverkehrs beschreiben. Anders als bei "klassischen" Firewalls sind für den Einsatz von Threat Defender auch keine Änderungen am Netzwerk wie z. B. Zoning erforderlich. Denn Threat Defender arbeitet auf Layer 2 des OSI Modells und verhält sich damit selbst wie ein Netzwerk-Switch. Daher kann er prinzipiell auch an jedem beliebigen Punkt ins Netzwerk integriert werden, doch dazu später mehr.

Die Threat Defender Core-Funktionen

Die Kernfunktion und Arbeitsweise von Threat Defender lässt sich grob in die beiden Bereiche "Inline- bzw. verhaltensbasierte Korrelation" und "Netzwerksegmentierung" unterteilen. Die verhaltensbasierte Korrelation übernimmt dabei die Aufgabe den Datenverkehr zu analysieren und Ereignisse über mehrere Verkehrsströme hinweg in Echtzeit zu korrelieren. Dafür zeichnet die Engine zunächst Kombinationen verschiedener Attribute wie beispielsweise IP- / MAC-Adressen, URLs und Netzwerkprotokolle in einer Tabelle auf und reichert diese gespeicherten Daten dann mit zusätzlichen Informationen an, die Threat Defender aus externen Quellen bezieht. Externe Quellen sind z. B. IoA und IoC-Listen sowie Signaturen für die Paketanalyse des integrierten Intrusion Detection Systems. IoCs (Indicator of Compromise) zeigen dabei an, dass ein System mit Malware infiziert sein könnte. Denn die IoC-Listen enthalten URLs, Internet-Domains und IP-Adressen, die typischerweise ausschließlich im Datenverkehr zwischen Malware und ihren C&C-Servern oder beim Exfiltrieren von Daten auftauchen. IoA (Indicator of Attack) Listen enthalten dagegen IP- bzw. Netzwerkadressen bekannter Botnetzwerke.

Mit der Netzwerksegmentierung erzeugt Threat Defender ein virtuelles Overlay Netzwerk über dem physischen Netzwerk. Auf diese Weise lässt sich das Netzwerk mit statischen und dynamischen Netzwerkobjekten logisch segmentieren, ohne dass dabei die physische Netzwerk-Topologie geändert werden muss. Diese Vorgehensweise gibt dem Administrator eine enorme Flexibilität bei der Anwendung von Richtlinien (Policies) auf spezifischen Datenverkehr. So lässt sich beispielsweise der Schutz zwischen den logischen Netzwerksegmenten erhöhen indem Richtlinien gezielt auf Geräte angewendet werden, die eine bestimmte Art von Netzwerkverkehr initiieren oder empfangen. Einmal definiert lassen sich Richtlinien, z. B. zur Reduktion der Bandbreite oder Unterbrechung bestimmter Netzwerkverbindungen, auch wiederverwenden. Richtlinien lassen sich also auch auf eine ganze Gruppe von Assets / Segmenten anwenden und müssen daher nicht für jedes Objekt einzeln erstellt werden.

Statische Netzwerkobjekte - kurz SNOs - werden in Threat Defender zur Gruppierung von Hosts und Geräten genutzt. Bei der Definition können einzelne IP-Adressen und / oder IP-Netzwerke sowie MAC-Adressen, ganze MAC-Bereiche und VLANs ein- und auch ausgeschlossen werden. So ist es beispielsweise möglich ein statisches Netzwerkobjekt zu definieren, das nur Geräte mit dem IP-Netzwerk 10.10.10.0/27 in VLAN 5 oder - noch granularer - nur Geräte des Herstellers "Apple" aus diesem Netzwerk in VLAN 5 umfasst.

Im Gegensatz dazu werden in dynamischen Netzwerkobjekten Hosts (IPv4/IPv6 und / oder MAC Adressen) zu einer Gruppe zusammengefasst, die eine bestimmte (nicht statische) Eigenschaft oder Charakteristik teilen. So lassen sich beispielsweise Richtlinien definieren, die automatisch alle Quell-Hosts einem dynamischen Netzwerkobjekt hinzufügen, die eine bestimmte Anzahl von Events des Intrusion Prevention Systems oder einer der anderen Threat-Engines auslösen. Damit können Policies auf dynamische Änderungen an den Assets reagieren. Im Ergebnis könnten in einem dynamischen Netzwerkobjekt gesammelte Hosts so von einer Richtlinie entweder vollständig oder - mit Hilfe der Zeitsteuerung - auch nur für einen bestimmten Zeitraum von der Kommunikation im Netzwerk isoliert werden.

Thomas Zeller, freier Journalist
Thomas Zeller
freier Journalist, OSS Security | Technische Redaktion für Open Source & IT-Security

Artikel zu diesem Thema

Cloud-Security
Mär 27, 2020

Konvergente Technologien für Sicherheit in der Cloud

Mit wachsenden digitalen Geschäftsanforderungen investieren Unternehmen massiv in die…
Cyberrisk
Jan 21, 2020

Cyber steigt zum weltweiten Top-Risiko für Unternehmen auf

Cybervorfälle sind erstmals das wichtigste Geschäftsrisiko für Unternehmen weltweit. Im…
Mai 28, 2019

Threat Hunting: Methoden und Möglichkeiten

Jedes Unternehmen sieht sich heute gezwungen, Cyberrisiken anders als bisher zu begegnen.…

Weitere Artikel

Monero Miner

Böses Omen: Tor2Mine Kryptominer mit neuen Varianten

Sophos hat neue Erkenntnisse über den Tor2Mine Kryptominer veröffentlicht. "Das Vorhandensein von Minern wie Tor2Mine in einem Netzwerk ist fast immer ein Vorbote für andere, potenziell gefährlichere Eindringlinge. Tor2Mine ist jedoch viel aggressiver als…
Router

Hacker willkommen: Lücken in sämtlichen gängigen WLAN-Routern

Neun WLAN-Router bekannter Hersteller fanden sich kürzlich unter Laborbedingungen im Sicherheitstest wieder – mit verheerenden Ergebnissen im Bereich IT Security.
Ransomware 2.0

Schnelle Fortschritte bei Ransomware 2.0

Neue Techniken und Strategien machen Ransomware-Angriffe immer gefährlicher. Während herkömmliche Ransomware darauf abzielte, sich zu verbreiten und so viele Endgeräte wie möglich zu verschlüsseln, werden bei Ransomware 2.0-Angriffen fortschrittliche Methoden…
Linux

CronRat: Linux-Malware versteckt sich im Kalender

CronRat ist ein neuer Linux-Trojaner, der sich in den geplanten Aufgaben versteckt. Das Ausführungsdatum am 31. Februar ist natürlich ungültig, trotzdem entdecken ihn viele Sicherheitsprogramme nicht.
2022 KI

IT-Security-Trends 2022: KI macht Cyberangriffe gefährlicher

Cyberkriminalität steigt auch 2022 weiter an. Angreifer nutzen dabei konsequent jede Schwachstelle aus. Um ihre Ziele zu erreichen, setzen sie auf Multi-Ransomware-Angriffe und verwenden Künstliche Intelligenz (KI), mit der sie besseren Schadcode herstellen.
Phishing

Phishing-Kampagnen: Webseiten von Sparkasse und Volksbank werden imitiert

Die Security-Experten von Proofpoint haben eine Zunahme von Phishing-Kampagnen registriert, bei denen deutsche Bankkunden ins Visier der Cyberkriminellen geraten.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.