Der Netzwerk-Detektiv deckt Cyberangriffe auf

Die immer komplexer werdenden IT-Umgebungen in Unternehmen stehen heute vor vielen Bedrohungen. Cyberangriffe können Unternehmen finanziell schwer treffen. Die Bekämpfung mehrstufiger Angriffe, wie etwa APTs, erfordert eine mehrschichtige Verteidigung. Wie eine Netzwerk-Traffic-Security-Analyse die Security-Architektur ergänzen und als Detektiv im Netzwerk agieren kann, erklärt Liviu Arsene von Bitdefender.

Hackerangriffe werden immer komplexer und überfordern damit herkömmliche Lösungen für Endpoint- und Netzwerksicherheit. Zwar ist Ransomware das Mittel der Wahl von Cyberkriminellen, die schnell erpressten Bitcoins hinterherjagen, Sicherheitsverantwortliche fürchten jedoch viel mehr Advanced Persistent Threats (APTs). Dies liegt daran, dass solche Angriffe im schlimmsten Fall jahrelang unentdeckt bleiben und Cyberkriminelle auf diese Weise über längere Zeit hinweg große Datenmengen stehlen können und einen dauerhaften Zugriff auf sensible Dateien wie Produktionspläne, Entwicklungsberichte oder Kommunikationsdaten haben. Eine kontinuierliche Analyse des Datenverkehrs im Netzwerk kann jedoch auch solche Angriffe aufdecken.

Spuren bei digitalem Einbruch vertuschen

Kriminelle, die APTs lancieren, verwenden höchsten Aufwand darauf, dass die entscheidenden Vorgänge beim digitalen Einbruch einen legitimen Anschein haben. Dies gelingt ihnen dadurch, dass sie reale Nutzernamen und Passworte von Administratoren oder Topmanagern ausspionieren oder sie noch unbekannte Schwachpunkte vorhandener Anwendungen missbrauchen und ihre Spuren nach gelungenem Einbruch in die IT-Systeme wieder löschen.

Aktuelle Sicherheitslösungen erkennen solche getarnten Angriffe nicht oder erst viel zu spät. Nur durch eine intelligente Analyse des Netzwerkverkehrs (Network Traffic Security Analytics, NTSA), die typisches Verhalten erlernt und dadurch Abweichungen erkennt, lassen sich APTs identifizieren. Eine NTSA-Lösung ergänzt daher in vielen Unternehmen die bestehenden Sicherheitsmaßnahmen wie Firewalls und Endpoint Security, weil sie detaillierte Kenntnisse über das typische Verhalten jedes Endpunkts im Netzwerk liefert.

Advanced Persistent Threats als Security-GAU

Vor welcher Art von Angriffen schützt Network Traffic Security Analytics? Zum Beispiel vor diesen, die Ende 2018 die weltweit größte Hotelkette Marriott erwischte. Hierbei kompromittierte ein APT rund 500 Millionen Daten von Kunden. Es handelte sich um einen mehrschichtigen Angriff. Die Cyberkriminellen verfolgten den Ansatz, langfristig Zugang auf die Daten zu erhalten und große Mengen an wertvollen Informationen zu sammeln. Dies stellt die ressourcenintensivste Form der Cyberkriminalität dar. Die Angreifer arbeiten selbständig, im Auftrag staatlicher Stellen oder sind Teil der organisierten Kriminalität und haben in der Regel ein klar definiertes Ziel. Und obwohl sie häufig einfach gestrickte Angriffsmethoden wie Phishing nutzen, ist das Wirkung des Angriffs oft verheerend.

Was APTs von anderen Angriffen unterscheidet, ist ihre Fähigkeit, langfristig von Sicherheitslösungen unentdeckt zu bleiben, während sie unbemerkt sensible Daten stehlen. Zu einigen Angriffsmethoden gehört es, die eingesetzten Sicherheitslösungen genauestens zu studieren, um erst dann Malware einzusetzen, wenn man sich sicher ist, dass sie unerkannt bleibt.

Jeder Angriff hinterlässt Spuren

Um solch ausgeklügelte Angriffe zu erkennen, ist eine Kombination verschiedener Sicherheitstechnologien erforderlich – aber vor allem die Analyse des Netzwerk-Traffics. Denn APTs, so gründlich sie auch konzipiert sein mögen, hinterlassen Spuren im Netzwerk, die sich anhand von Netzwerk-Metadaten nachverfolgen lassen. Ein NTSA-System nutzt diese Metadaten, um detaillierte Kenntnisse über das Verhalten jedes Endpunkts im Netzwerk zu liefern und anomales Verhalten zu entlarven. Aus sicherheitstechnischer Sicht schließt die Netzwerk-Traffic-Analyse die Lücke zwischen Next-Gen-Firewalls und IDS/IPS-Lösungen und ergänzt zugleich die Netzwerküberwachung und EDR (Endpoint Detection & Response).

Der wichtigste Vorteil einer NTSA-Lösung ist es, aus den verfügbaren Netzwerk-Metadaten eine normale Verhaltensbasis für alle Geräte und Anwendungen in einem Netzwerk zu modellieren. Die Lösung nutzt dann diese Basis, um das aktuelle Verhalten abzugleichen. Weicht dieses zu sehr von der Basis ab, erkennt die Lösung eine potenziell bedrohliche Netzwerkaktivität und erzeugt einen Alarm. So kann NTSA neue Bedrohungen erkennen, die von bisherigen Lösungen nicht erkannt wurden. NTSA nutzt hierfür künstliche Intelligenz sowie eine Verhaltens- und Bedrohungsanalyse und speichert Metadaten zur nachträglichen Erkennung von Bedrohungen, also Forensik und Compliance.

Network Traffic Security Analytics von Bitdefender ist eine Sicherheitslösung, die Verstöße erkennt und Einblick in Advanced Persistent Threats bietet, indem der Netzwerkverkehr analysiert wird. (Grafik: Bitdefender)

Die Analyse von verschlüsseltem Datenverkehr

Ein großer Teil des Datenverkehrs wird heute aus Gründen der Datensicherheit und des Datenschutzes verschlüsselt. Ein wesentlicher Vorteil einer NTSA-Lösung ist die Fähigkeit, Metadaten von verschlüsseltem Datenverkehr zu untersuchen, ohne die Sicherheit der Daten oder die Privatsphäre des Dateninhabers zu beeinträchtigen.

Die Netzwerk-Traffic-Analyse bietet die agentenlose Überwachung aller Ereignisse im Netzwerk für jeden einzelnen Endpunkt in Echtzeit einschließlich detaillierter Netzwerkprotokolle. Diese detaillierte Einsicht hilft nicht nur bei der forensischen Analyse, sondern schafft auch komplette Transparenz, da jedes Gerät im Netzwerk inbegriffen ist. Somit erweitert NTSA seine Schutzwirkung auch für Geräte, deren integrierte Sicherheit mangelhaft ist, wie es häufig bei BYOD- oder IoT-Anwendungen vorkommt.

Einhaltung von Compliance-Standards

Eine NTSA-Lösung hilft auch in Hinsicht auf Compliance. Die DSGVO verlangt von Unternehmen, die Opfer von Datenschutzverletzungen wurden, schnell detaillierte Informationen über böswillige Aktivitäten nach einem Verstoß bereitzustellen. Auf NTSA aufbauende Lösungen ermöglichen die Einhaltung von Compliance-Standards, indem sie Informationen über den Netzwerkdatenverkehr über einen längeren Zeitraum aufzeichnen. Die Aufzeichnung enthält nur Metadaten, zudem kann der Zugriff auf Berechtigte, wie der Datenschutzbeauftragte, beschränkt werden.

Fortschrittliche Lösungen, welche die Analyse des Netzwerkverkehrs nutzen, kombinieren das Wissen über bekannte Bedrohungen mit maschinellem Lernen und Heuristiken, um die Netzwerk-Metadaten in Echtzeit zu analysieren sowie Bedrohungsaktivitäten und verdächtige Verkehrsmuster zu erkennen. Hierbei können die Analysen und Warnmeldungen automatisiert werden, was Fehlalarme vermeidet und einen für Menschen lesbaren Kontext herstellt. So verkürzen die Lösungen die erforderliche Zeit für Untersuchungen und erhöhen die Effektivität des Security-Teams.

Der Netzwerk-Detektiv im Sicherheitsportfolio

Die immer komplexer werdenden IT-Umgebungen in Unternehmen stehen heute vor einer Vielzahl von Bedrohungen. Um mögliche Angriffe abzuwehren, benötigen Unternehmen eine proaktive Sicherheitsarchitektur, die über Endpoint-Security hinausgeht und die Erkennung von Bedrohungen in der gesamten IT-Umgebung verbessert. Die Bekämpfung ausgeklügelter und mehrstufiger Angriffe wie APTs erfordert auch eine mehrschichtige Verteidigung.

Die Netzwerk-Traffic-Security-Analyse kann eine bestehende Sicherheitsarchitektur um eine netzwerkbasierte Verteidigungslinie ergänzen. Sie analysiert das Verhalten auf Netzwerkebene und liefert Daten, mit der sich potenziell kompromittierte Systeme und bösartiges Nutzerverhalten aufdecken lassen. Wer Daten entwenden will, muss sie irgendwann auch im Netzwerk bewegen. Wenn ein Unternehmen diese Bewegung bemerkt, kann es sich schützen. (sg)

Über den Autor: Liviu Arsene ist Senior E-Threat Analyst bei Bitdefender. Er arbeitet eng mit unternehmensübergreifenden Entwicklungsteams zusammen  und berichtet über Trends und Entwicklungen in der IT-Sicherheit. Bitdefender ist Anbieter von Cyber-Sicherheitslösungen und Antiviren-Software und schützt über 500 Millionen Systeme in mehr als 150 Ländern. Die Sicherheitsprodukte bieten einen intelligenten Schutz für Geräte, Netzwerke und Cloud-Dienste von Unternehmen und Privatanwendern.