{"id":28327,"date":"2022-04-27T11:04:44","date_gmt":"2022-04-27T09:04:44","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=28327"},"modified":"2024-01-22T17:10:15","modified_gmt":"2024-01-22T16:10:15","slug":"netzwerk-monitoring-wie-it-sicherheitsvorfaelle-umgehend-sichtbar-gemacht-werden-koennen","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/netzwerk-monitoring-wie-it-sicherheitsvorfaelle-umgehend-sichtbar-gemacht-werden-koennen\/","title":{"rendered":"Netzwerk Monitoring: Wie IT-Sicherheitsvorf\u00e4lle umgehend sichtbar gemacht werden k\u00f6nnen"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/netzwerk-monitoring-wie-it-sicherheitsvorfaelle-umgehend-sichtbar-gemacht-werden-koennen\/#Welche_Arten_des_Netzwerk_Monitoring_sind_moeglich\" >Welche Arten des Netzwerk Monitoring sind m\u00f6glich?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/netzwerk-monitoring-wie-it-sicherheitsvorfaelle-umgehend-sichtbar-gemacht-werden-koennen\/#Wo_koennen_Netzwerkinformationen_helfen\" >Wo k\u00f6nnen Netzwerkinformationen helfen?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/netzwerk-monitoring-wie-it-sicherheitsvorfaelle-umgehend-sichtbar-gemacht-werden-koennen\/#Wie_wird_ein_Netzwerk_Monitoring_etabliert\" >Wie wird ein Netzwerk Monitoring etabliert?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/netzwerk-monitoring-wie-it-sicherheitsvorfaelle-umgehend-sichtbar-gemacht-werden-koennen\/#Fazit\" >Fazit<\/a><\/li><\/ul><\/nav><\/div>\n<p>Bei der Erkennung und Analyse von potenziellen Sicherheitsvorf\u00e4llen innerhalb eines Unternehmens greifen IT Security Analysten auf zahlreiche Logquellen zur\u00fcck. Darunter fallen meist Informationen von Server und Clientsystemen sowie Antivieren- und Firewall-Produkte. Eine weitere Komponente ist das Analysieren des Netzwerkverkehrs mithilfe eines Intrusion Detection Systems (IDS) oder eines Network Security Monitors (NSM).<\/p>\n<p><strong>Nachfolgend werden dazu verschiedene Techniken vorgestellt und auf deren Vor- bzw. Nachteile eingegangen.<\/strong><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Welche_Arten_des_Netzwerk_Monitoring_sind_moeglich\"><\/span><strong>Welche Arten des Netzwerk Monitoring sind m\u00f6glich?<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Netzwerk Analyse Tools werden innerhalb der eigenen Infrastruktur an \u00dcberg\u00e4ngen zum \u00f6ffentlichen Netzwerk oder an Verbindungen verschiedener interner Netzwerkbereiche platziert und verarbeiten den Netzwerkverkehr in Echtzeit. Die Daten werden dazu in der Regel durch einen Netzwerk-TAP (Test Access Point) oder einen SPAN (Switch Port ANalyser)-Port bereitgestellt. Der duplizierte Netzwerkverkehr wird somit passiv verarbeitet und beeinflusst den aktiven Datenstrom nicht. Die f\u00fcr die Verarbeitung zum Einsatz kommenden Tools k\u00f6nnen in drei Kategorien eingeteilt werden, wobei jede Verarbeitungsart verschiedene Vor- und Nachteile bietet.<\/p>\n<p>Zum einen ist es m\u00f6glich, mithilfe von <strong>Full-Packet-Capture L\u00f6sungen<\/strong>, wie sie zum Beispiel durch einen Netzwerk-TAP breit gestellt werden, den gesamten Netzwerkverkehr aufzuzeichnen und zu analysieren. Dabei stehen den Cyber Defense Analysten alle Informationen verlustfrei zur Verf\u00fcgung und k\u00f6nnen das Geschehen im Netzwerk genau wiedergeben. Allerdings erfordert diese Art des Monitorings eine h\u00e4ndische Analyse und kann durch die Masse an Informationen sehr zeitintensiv werden. Weiter ist zu ber\u00fccksichtigen, dass das aufzuzeichnende Datenvolumen sowie die gew\u00fcnschte Speicherdauer der Informationen aufgrund der ben\u00f6tigten Kapazit\u00e4t nur begrenzt m\u00f6glich ist.<\/p>\n<p>Dem gegen\u00fcber stehen <strong>Netzwerk Intrusion Detection Systeme<\/strong> (IDS), welche mithilfe zuvor definierter Regels\u00e4tze verd\u00e4chtige Netzwerkkommunikation erkennen k\u00f6nnen. Daf\u00fcr gleichen die Tools den Datenstrom in Echtzeit mit den implementieren Regeln ab und geben bei Bedarf eine Alarm-Meldung aus. Anschlie\u00dfend kann die Meldung durch ein SIEM System weiterverarbeitet werden. Dabei ist zu beachten, dass IDS meist auf einen Signatur-basierten Detektierungsansatz fokussiert sind und nur bekannte Angriffswege erkennen k\u00f6nnen. Weiter stehen einem SIEM-Analysten nach dem initialen Alarm nur begrenzt Informationen \u00fcber die Netzwerkverbindungen zu Verf\u00fcgung, was eine qualifizierte Beurteilung des Alarms erschwert.<\/p>\n<p>Als weitere Option ist der Einsatz eines <strong>Network Security Monitors wie Zeek<\/strong> (fr\u00fcher bekannt als Bro) zu nennen, um das interne Netzwerk zu \u00fcberwachen. Dieses Tool extrahiert aus dem eingehenden Datenstrom zahlreiche Verbindungs- und Protokoll-spezifische Informationen und gibt diese strukturiert wieder. Sowohl durch die in Zeek implementierten Protokollparser und Analyseskripte als auch durch die weitere Verarbeitung der Daten innerhalb eines SIEM Systems ist es m\u00f6glich, potenzielle Angriffe zu erkennen. Zudem erleichtern die erhobenen Informationen den Analysten die Untersuchung von Alarmen deutlich. Dabei k\u00f6nnen die bereitgestellten Informationen als Mittelweg zwischen einem Full-Packet-Capture und dem Informationsgehalt eines IDS Alarms angesehen werden. Auch sorgt die Extraktion der Informationen aus dem Datenstrom f\u00fcr einen \u00fcberschaubar Speicherbedarf, was es erm\u00f6glicht, die Daten \u00fcber einen langen Zeitraum zu erhalten.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Wo_koennen_Netzwerkinformationen_helfen\"><\/span><strong>Wo k\u00f6nnen Netzwerkinformationen helfen?<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Durch die bereitgestellten Netzwerkinformationen erhalten Cyber Defense Analysten tiefe Einblicke in den Datenverkehr der eigenen Infrastruktur und k\u00f6nnen verd\u00e4chtige Aktivit\u00e4ten erkennen, die auf Clientsystemen unentdeckt bleiben w\u00fcrden. Speziell in den Bereichen Command &amp; Control Kommunikation, Daten Exfiltration oder Lateral Movement bieten die erzeugten Daten einen deutlichen Mehrwert f\u00fcr eine initiale Erkennung eines Angriffs sowie bei einer nachtr\u00e4glichen Analyse innerhalb des Incident Response Prozesses. Aber auch die M\u00f6glichkeiten, die vorliegenden Netzwerkinformationen f\u00fcr <a href=\"https:\/\/testing.secuinfra.com\/media\/threat-hunting-proaktiv-nach-angreifern-suchen\/\"><strong>Threat Hunting<\/strong><\/a> oder zur \u00dcberpr\u00fcfung der eigenen Infrastruktur nach bekannten IoCs zu nutzen, d\u00fcrfen nicht au\u00dfer Acht gelassen werden.<\/p>\n<p><strong>So zeigten j\u00fcngste Beispiele wie Sunburst (SolarWinds Backdoor) oder Log4Shell, eine Schwachstelle in der Java Logging Framework Log4j, wie wichtig es ist, Netzwerkinformationen der eigenen Infrastruktur zu erheben.<\/strong> Durch detaillierte Informationen, wie sie z.B. Zeek bereitgestellt, kann nach Bekanntwerden einer solchen IT-Sicherheitsschwachstelle mit wenigen Abfragen \u00fcberpr\u00fcft werden, ob es in der Vergangenheit Zugriffe auf die eigene Infrastruktur gegeben hat. Dabei spielt es keine Rolle, ob es ich bei den vorliegenden Indikatoren um eine IP-Adresse, Domain, HTTP-Informationen, Datei-Hashs oder \u00e4hnliches handelt. Werden die IoCs bei der Analyse nicht in den Netzwerkdaten gefunden, kann mit einer hohen Wahrscheinlichkeit davon ausgegangen werden, nicht von den vorliegenden Cyberangriffen betroffen zu sein. Andererseits bieten die Daten nach einem Fund einen guten Ausgangspunkt und zahlreiche Hinweise f\u00fcr eine tiefgreifende Untersuchung des Vorfalls.<\/p>\n<p><img fetchpriority=\"high\" decoding=\"async\" class=\" wp-image-28342\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Netzwerk-monitorin-fuer-industrieanlagen-300x169.jpg\" alt=\"\" width=\"617\" height=\"347\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Netzwerk-monitorin-fuer-industrieanlagen-300x169.jpg 300w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Netzwerk-monitorin-fuer-industrieanlagen-24x13.jpg 24w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Netzwerk-monitorin-fuer-industrieanlagen-36x20.jpg 36w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Netzwerk-monitorin-fuer-industrieanlagen-48x27.jpg 48w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Netzwerk-monitorin-fuer-industrieanlagen.jpg 354w\" sizes=\"(max-width: 617px) 100vw, 617px\" \/><\/p>\n<p>Abb. 1: Durch die zunehmende Vernetzung industrieller Steuerungsanlagen<br \/>\nk\u00f6nnen potenzielle Angreifer immer h\u00e4ufiger auch in Industrie-Netzwerke eindringen.<\/p>\n<p>Ein weiteres Beispiel f\u00fcr den Einsatz eines Netzwerk Monitors liegt im Bereich der <strong>Operational Technology (OT).<\/strong> Durch die zunehmende Vernetzung industrieller Steuerungsanlagen sowie die Integration dieser in ERP-Systeme oder der M\u00f6glichkeit eines Remote-Zugriffes k\u00f6nnen potenzielle Angreifer immer h\u00e4ufiger auch in Industrie-Netzwerke eindringen. Eine Analyse des Netzwerkverkehrs hilft dabei, in diesen Segmenten des Netzwerkes die Sichtbarkeit zu erhalten. Dabei werden die Steuerungsanlagen durch die passive Analyse des Datenstroms nicht beeinflusst. Auch k\u00f6nnen Protokollparser f\u00fcr SCADA*- spezifische Protokolle wie Modbus, Profinet oder S7comm weitere Einblicke in das Netzwerkverhalten liefern.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Wie_wird_ein_Netzwerk_Monitoring_etabliert\"><\/span><strong>Wie wird ein Netzwerk Monitoring etabliert?<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Wie eingangs beschrieben, werden Netzwerk Analyse Tools an \u00dcberg\u00e4ngen verschiedener Netzwerkbereiche platziert. Als erster Einsatzpunkt ist daher die Schnittstelle zwischen internem und \u00f6ffentlichem Netzwerk zu w\u00e4hlen. Bei der Platzierung des Sensors ist darauf zu achten, dass interne (lokale) IP-Adressen erhalten bleiben und nicht durch ein vorgelagertes NAT (Network Address Translation) oder Proxys ver\u00e4ndert werden. Durch diese Standortwahl ist es m\u00f6glich, externe Kommunikation und Angreiferverhalten wie Command &amp; Control oder Exfiltration zu erkennen. Die Sichtbarkeit der lokalen Adressen bietet dabei eine direkte Zuordnung der Verbindungen zu Systemen im eigenen Netzwerk. In einem weiteren Umsetzungsschritt sind Netzwerk Analyse Tools zwischen verschiedenen internen Netzwerksegmenten zu platzieren, um Lateral Movement oder Discovery Aktivit\u00e4ten zu erkennen.<\/p>\n<p><strong>SECUINFRA arbeitet bei der Umsetzung eines Netzwerk Monitorings mit dem Unternehmen <a  href=\"https:\/\/corelight.com\/\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Corelight Inc.<\/a> zusammen, welches verschiedene Sensoren mit einer Installation von Suricata und Zeek bereitstellt.<\/strong> Die Kombination beider Systeme erm\u00f6glicht einerseits eine umfangreiche Erkennung bekannter Angriffsvektoren \u00fcber Signaturen als auch eine Vielzahl an weiteren Informationen zur Analyse. Auch stellt Corelight zahlreiche Erweiterungsskripte f\u00fcr Zeek bereit, um Angriffe auf Basis einer Anomalie- bzw. Verhaltensanalyse zu erkennen. Darunter f\u00e4llt zum Beispiel die Erkennung einer Command &amp; Control Kommunikation oder die Auswertung von Metadaten innerhalb verschl\u00fcsselter Kommunikation, um R\u00fcckschl\u00fcsse auf die Nutzung einer SSH- oder VPN-Verbindung zu erhalten. Corelight Sensoren k\u00f6nnen in verschiedenen Netzwerkumgebungen als Cloud-, Software- oder Hardwaresensoren installiert werden.<\/p>\n<p>*Supervisory control and data acquisition systems<\/p>\n<div class=\"fazit\"><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Fazit\"><\/span><strong>Fazit<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Die \u00dcberwachung der Netzwerkinfrastruktur ist eine wichtige Erg\u00e4nzung zu bestehenden Monitoring Ma\u00dfnahmen. Sie komplementiert neben der Analyse von Server- und Clientsystemen, Security Tools und Threat Intelligence Daten die Informationen eines SIEM-Systems. Nur mit Details in allen Bereichen ist es m\u00f6glich, potenzielle Sicherheitsvorf\u00e4lle im Vorfeld effektiv zu erkennen oder bestehende Kompromittierungen schnell aufzukl\u00e4ren.<\/p>\n<p><strong>Bereit, Ihre IT Security mit einer Netzwerk Monitoring L\u00f6sung zu erh\u00f6hen? <a href=\"https:\/\/testing.secuinfra.com\/contact\/\">Dann kontaktieren Sie uns &#8211; wir beraten Sie gerne!<\/a><\/strong>\u00a0 <\/div>\n","protected":false},"excerpt":{"rendered":"<p>Die \u00dcberwachung der Netzwerkinfrastruktur ist eine wichtige Erg\u00e4nzung zu bestehenden Monitoring Ma\u00dfnahmen. Sie komplementiert die Informationen eines SIEM-Systems.<\/p>\n","protected":false},"author":15,"featured_media":28328,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[100,101,67,66],"tags":[],"dpc_coauthors":[],"class_list":["post-28327","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-angriffserkennung","category-netzwerk","category-siem","category-techtalk"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/28327","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=28327"}],"version-history":[{"count":0,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/28327\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/28328"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=28327"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=28327"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=28327"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=28327"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}