Hilfe gegen Zero-Day-Attacken:
Eckstein für Netzwerksicherheit: Security-Monitoring

von Werner Veith (werner.veith@networkcomputing.de), Friederike Heim

Share
09.07.2009

Die Gefahren für IT-Infrastrukturen nehmen weiter zu. Unternehmen wiegen sich mit den getroffenen Security-Maßnahmen oft in Sicherheit, obwohl sie ihre Netzwerke nur sporadisch überprüfen. Ohne einen aktuellen Überblick ist es aber schwierig, sich vor unautorisierten Zugriffen oder immer häufiger auftretenden Zero-Day-Attacken zu schützen.

Wirtschaftsspionage, organisierte Kriminalität, Datendiebstahl, Sabotage und täglich Hunderte neuer Schadprogramme prägen die aktuelle Gefahrenlage für IT- beziehungsweise. Netzwerk-Infrastrukturen. Das konstatiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Lagebericht zur IT-Sicherheit. Zugenommen haben laut BSI insbesondere die Zero-Day-Attacken. Dabei handelt es sich um Sicherheitslücken, die ausgenutzt werden, noch bevor sie öffentlich bekannt sind.

Ein netzwerkweites Security-Monitoring mit Hilfe von SNMP, Log- oder Flowdaten hilft, Schwachstellen zu erkennen bevor sie etwa Zero-Day-Attacken ausnutzen.

Für Unternehmen bilden unautorisierte Zugriffe und kriminell motivierte Angriffe eine große Gefahr für ihre IT-Infrastrukturen und den darin verarbeiteten und verwalteten Informationen und Daten. Diese Problematik verschärft sich zudem noch durch die Wirtschaftskrise. Denn sie erhöht zum einen den Wettbewerbsdruck massiv und sorgt zum anderen für die Anwerbung von verfügbaren IT-Spezialisten durch kriminelle Kreise.

Trügerisches Vertrauen in getroffene Basismaßnahmen

Der Betrieb von Firewalls, VPNs oder Virenschutz-Technologien sind lediglich Basismaßnahmen zur Absicherung von Netzwerken und Anwendungen. Zahlreiche Unternehmen beschränken sich aber auf deren Einsatz für die Sicherheit. Dabei setzen Firmen häufig ein zu großes Vertrauen in solche Basismaßnahmen. So verzichten die Organisationen meist darauf, die getroffenen Maßnahmen auf Wirksamkeit und Umfang zu kontrollieren. Diese Nachlässigkeit kann bedrohliche Folgen nach sich ziehen.

Die Gefahren sind wesentlich vielschichtiger geworden, sodass sie teilweise von ursprünglich eingeführten Security-Produkten allein gar nicht mehr erkannt beziehungsweise nicht mehr unschädlich gemacht werden können.

Netzwerkweite Sicherheitskonzepte notwendig

Aktuell geht es darum, netzwerkweite Konzepte zum Schutz vor Malware und Angriffen zu entwickeln. Dabei gilt es, neben den Arbeitsplätzen weitere Ebenen wie Server und Anwendungen, Groupware sowie Internet-Gateways zu berücksichtigen. Werden Produkte unterschiedlicher Hersteller parallel eingesetzt und innerhalb einer Gesamtlösung integriert, gewährleisten die Technologien aufgrund ihrer unterschiedlich wirkenden Schutzmaßnahmen umfassende Sicherheit. Entscheidend ist, die Wirksamkeit der gewählten Ansätze mit Monitoringwerkzeugen und -prozessen laufend zu kontrollieren. Diese gilt es, auf Basis der ermittelten Erkenntnisse immer wieder dynamisch anzupassen.

Sicherheitsmaßnahmen kontinuierlich überprüfen

Um das Sicherheitsniveau von IT- und Netzwerk-Infrastrukturen durchgängig hoch zu halten, ist es unerlässlich, die eingesetzten Security-Produkte regelmäßig auf ihre Wirksamkeit und ihren Umfang zu überprüfen. Nur so lassen sich Sicherheitslücken, unerwünschtes Verhalten und fragwürdige Interaktionen von Anwendungen aufdecken. Das verhindert unvorhergesehene, instabile Zustände, eingeschränkte Leistungsfähigkeit sowie unerlaubte Zugriffe und Angriffe.

Security-Monitoring-Systeme und der ergänzende Einsatz entsprechender organisatorischer Prozesse unterstützen Unternehmen dabei, die gewählten Sicherheitsmaßnahmen und -funktionen zu analysieren und zu managen. Eine entscheidende Voraussetzung einer Security-Monitoring-Lösung ist folgendes: Es muss die zahlreichen technischen Informationen verstehen und verarbeiten, die von Produktiv- und Sicherheitssysteme von verschiedenen Herstellern erzeugen. Die Systeme arbeiten dabei mit unterschiedlichen Diensten und Protokollen.

Zugriffe und Vorgänge vollständig erfassen

Die wichtigsten Informationsquellen gehören Logdaten, Flow-Protokolle und Verfügbarkeitsmeldungen. Sie gilt es, zu analysieren, zu korrelieren und zu visualisieren. Häufig beschränkt sich die Kontrolle darauf, Verfügbarkeiten von IT-Bereichen anhand physikalischer Parameter zu überprüfen. Daneben werden teilweise noch Logdaten gesammelt, jedoch nur in seltenen Fällen ausgewertet.

Oft verzichten Organisationen darauf, Flowdaten hinsichtlich sicherheitsrelevanter Ereignisse und Vorgänge auszuwerten. Dabei ergeben sich daraus entscheidende Vorteile: Über Flow-Protokoll-Daten lässt sich eine vollständige Kommunikationsmatrix über sämtliche Zugriffe und Vorgänge innerhalb eines Netzwerks erstellen.

Die Auswertung von Verfügbarkeitsmeldungen und Logfile-Daten zeigt häufig nur Ergebnisse und keine Ursachen an. Dagegen stellen Flowdaten neutral dar, welche Quelle wann, wie, mit wem und über welche Protokolle, Anwendungen und Dienste kommuniziert. So werden kontinuierlich alle Zugriffe und Vorgänge erfasst, ohne darauf angewiesen zu sein, ob Regelwerke und Sicherheitsmaßnahmen innerhalb des Netzwerks aktuell greifen beziehungsweise vorhanden sind.

Auf Basis einer solchen Matrix erhalten Unternehmen ein vollständiges Bild von ihrer Netzwerkinfrastruktur, den darin stattfindenden Zugriffen und den genutzten Anwendungen. Diese Informationen lassen sich in Form von Berichten auswerten. Damit kommen Unternehmen den gesetzlichen Reporting- und Revisionsauflagen nach.

Lernfähige Monitoring-Systeme mit individuellem Security-Regelwerk

»Viele Unternehmen stehen dabei vor der Herausforderung, aus der Datenflut, die die Geräte erzeugen, die wirklich wichtigen Informationen herauszufiltern. Denn für eine Firma ist nicht entscheidend, ob der Versuch eines unautorisierten Zugriffs an der Firewall stattfindet. Viel wichtiger ist, zu wissen: Dringt Angreifer bis zu den Anwendungen, Daten und Informationen vor und entwendet, manipuliert, schädigt oder zerstört dort beispielsweise Daten«, so Alexander Krist, verantwortlich für Netzwerk- und Sicherheitslösungen bei Circular Informationssysteme [1]. Daher sind für ihn lernfähige Monitoring-Systeme wichtig, in denen ein individuell auf ein Unternehmen oder eine öffentliche Einrichtung zugeschnittenes Security-Regelwerk hinterlegt ist.

Ein großes Versicherungsunternehmen passte beispielsweise sein Security-Regelwerk an folgende Gegebenheit an: Das Unternehmen besitzt unter anderem Niederlassungen in Stuttgart und München. Loggt sich ein Mitarbeiter in Stuttgart in das Firmennetzwerk ein und fährt später zu einem Meeting in die Münchener Geschäftsstelle, kann er frühestens in zwei Stunden dort ankommen. Werden schon vor Ablauf dieses Zeitraums Anwendungen oder Daten aufgerufen, schlägt das Security-Monitoring-System Alarm. Das System alarmiert außerdem, wenn unvorhergesehene neue Verkehrsbeziehungen entstehen oder unbekannte Anwendungen, Protokolle und Dienste genutzt werden. Speziell diese Aspekte geben entscheidende Hinweise auf drohende Schäden durch Angreifer, Malware oder durch Verletzungen von Urheberrechten.

Schwachstellen im Netzwerk identifizieren und beseitigen

Daraus leitet sich eine zentrale Anforderung für viele Unternehmen und Organisationen ab: Jederzeit sollte auf einen Blick zu erkennen sein, für welche Daten beziehungsweise in welchen Bereichen innerhalb der IT- und Netzwerk-Infrastruktur Gefahren drohen. Eine Security-Monitoring-Lösung sammelt und dokumentiert alle relevanten Informationen und Daten, die dann die Basis für Listen und Reports zum Netzwerkzustand bilden. Mittels Diagrammen werden die Informationen visuell dargestellt. Da die Vorgänge nahezu in Echtzeit angezeigt werden, überblickt ein Unternehmen jederzeit alle Verkehrsbeziehungen im Netz. Gut ist eine Kennzeichnung, die Einschätzung gibt, ob die Verkehrsbewegungen einem normalen Zustand oder Vorgang entsprechen oder bedrohlich sind.

Für Krist gilt: »Für ein Unternehmen ist es wichtig, den Zustand seines Netzwerks bis ins Detail zu kennen, die Schwachstellen zu identifizieren und die Ursachen dafür genau zu diagnostizieren. Erst dann ist es in der Lage, letztere mit den passenden technischen und organisatorischen Instrumenten zu beseitigen. Auf Zero-Day-Angriffe mit dem Ziel, IT-Bereiche lahm zu legen oder Daten zu entwenden, zu schädigen oder zu manipulieren, sind Unternehmen dann gut vorbereitet. Sie können innerhalb sehr kurzer Zeit darauf reagieren.«

Friederike Heim,

Fachjournalistin in Sindelfingen

Datenquellen im Netzwerk

* Clients, Server und Netzwerkgeräte liefern mittels SNMP (Simple-Network-Management-Protocol) Daten den Zustand des jeweiligen Geräts berichtet. Dies ermöglicht die Überwachung und Steuerung der Systeme.

* Betriebssysteme von Clients, Servern und Anwendungen sowie Netzwerk-Geräte und IT-Security-Produkte erzeugen Logdaten: Diese erfassen dabei alle Aktionen, die zu Regelverletzungen führen.

* Netzwerkgeräte wie Router und Switches erzeugen so genannte Flowdaten. Mit dem Flow-Protokoll lassen sich die gesamte Kommunikation und damit sämtliche Zugriffe und Verbindungen anzeigen, die innerhalb eines Netzwerks stattfinden.

Checkliste: Wichtige Aspekte für ein effizientes Security-Regelwerk

* Gibt es eine IT-Security-Policy?

* Sind organisatorische Prozesse und Strukturen hinsichtlich der IT-Sicherheit vorhanden, etabliert und aktuell?

* Sind die Regelwerke und die Bestimmungen so schlank und verständlich wie möglich und enthalten keine veralteten Anweisungen?

* Wurden alle technischen Systeme ausreichend gehärtet?

* Wurden die Sicherheitsanleitungen der Hersteller berücksichtigt?

* Sind aktuelle technische Sicherheitsmaßnahmen und -funktionen auf Basis mehrerer komplementär zueinander wirkender Technologien parallel im Einsatz?

* Werden neu eingeführte Anwendungen und ihre Kommunikation in der Netzwerkinfrastruktur berücksichtigt?

* Ist eine umfassende Security-Monitoring-Lösung zur dauerhaften Verifikation und Überprüfung der Validität und Effizienz der gewählten Regelwerke und Maßnahmen aktiv?

[1] http://www.circular.de/index.php

Verwandte Artikel