Was ist die Analyse des Netzwerkverkehrs (NTA)?

Die Analyse des Netzwerkverkehrs (NTA) ist eine Methode zur Überwachung der Netzwerkverfügbarkeit und -aktivität, um Anomalien, einschließlich Sicherheits- und Betriebsprobleme, zu identifizieren. Häufige Anwendungsfälle für NTA sind:

  • Daten in Echtzeit und historische Daten über das Geschehen in Ihrem Netzwerk sammeln
  • Malware, zum Beispiel Ransomware, erkennen
  • Verwendung von Protokollen und Codes mit Schwachstellen entdecken
  • Störungssuche bei einem langsamen Netzwerk
  • Interne Sichtbarkeit verbessern und blinde Flecken eliminieren

Durch die Implementierung einer Lösung, die den Netzwerkverkehr kontinuierlich überwachen kann, erhalten Sie die Einblicke, die Sie benötigen, um die Netzwerkleistung zu optimieren, Ihre Angriffsfläche zu minimieren, die Sicherheit zu erhöhen und die Verwaltung Ihrer Ressourcen zu verbessern.

Jedoch reicht es nicht, zu wissen, wie man den Netzwerkverkehr überwacht. Wichtig ist auch, die Datenquellen für Ihr NTA-Tool zu berücksichtigen; zwei der häufigsten sind Netzwerk-Flow-Daten (von Geräten wie Routern) und Paketdaten (von SPANs, Port-Spiegeln und Netzwerk-TAPs).

Vorteile der Netzwerkverkehrsanalyse

Wenn es heutzutage bei Cyberangriffen heißt, „nicht ob, sondern wann“, kann es für Sicherheitsexperten überwältigend sein, sicherzustellen, dass die Umgebung einer Organisation so gut wie möglich gesichert ist.

Das Netzwerk ist ein entscheidendes Element ihrer Angriffsfläche; mit einer größeren Transparenz bei ihren Netzwerkdaten wird ein größerer Bereich zur Erkennung von Angriffen und zur frühzeitigen Bekämpfung abgedeckt.

Zu den Vorteilen von NTA gehören:

  • Verbesserte Sichtbarkeit von Geräten, die sich mit Ihrem Netzwerk verbinden (z.B. IoT-Geräte, Besucher im Gesundheitswesen)
  • Compliance-Anforderungen erfüllen
  • Fehlersuche bei Problemen im Betriebs- und Sicherheitsbereich
  • Schnelleres Reagieren auf Untersuchungen mit wichtigen Details und zusätzlichem Netzwerk-Kontext

Ein wichtiger Schritt bei der Einrichtung eines NTA-Produktes besteht darin, sicherzustellen, dass die Daten aus den richtigen Quellen erhoben werden. Netzwerk-Flow-Daten sind wichtig, wenn Sie nach Traffic-Volumen suchen und den Weg eines Netzwerkpakets vom Sender zum Empfänger nachvollziehen wollen. Diese Informationen können helfen, unbefugten WAN-Traffic zu erkennen und Netzwerkressourcen und -leistung zu nutzen. Allerdings fehlt es an Details und Kontext, um Probleme bei der Cybersicherheit anzugehen.

Paketdaten, die aus Netzwerkpaketen extrahiert werden, können Netzwerkmanagern helfen, zu verstehen, wie Benutzer Anwendungen implementieren/benutzen, die Nutzung auf WAN-Links verfolgen und auf verdächtige Malware oder andere Sicherheitsvorfälle überprüfen. Die Tools basierend auf Deep Packet Inspection (DPI) bieten 100% Transparenz im Netzwerk, indem die Roh-Metadaten in ein lesbares Format umgewandelt werden und es den Netzwerk- und Sicherheitsmanagern ermöglicht wird, bis ins kleinste Detail vorzudringen.

Bedeutung der Netzwerkverkehrsanalyse

Die Netzwerkgrenzen genau im Auge zu behalten ist immer eine gute Idee. Selbst mit guten Firewalls können Fehler auftreten und schädlicher Traffic kann durchdringen. Benutzer könnten auch Methoden wie Tunneling, externe Anonymizer und VPNs einsetzen, um Firewall-Regeln zu umgehen.

Darüber hinaus macht der Anstieg von Ransomware als eine häufige Angriffsart in den letzten Jahren die Überwachung des Netzwerkverkehrs noch wichtiger. Eine Netzwerküberwachungslösung sollte in der Lage sein, Aktivitäten zu erkennen, die auf Ransomware-Angriffe über unsichere Protokolle hinweisen. Bei WannaCry zum Beispiel suchten die Angreifer aktiv nach Netzwerken mit offenem TCP-Port 445 und nutzten dann eine Schwachstelle in SMBv1, um auf Netzwerkdateifreigaben zuzugreifen.

Auch das Remote Desktop Protocol (RDP) wird gern angegriffen. Stellen Sie sicher, dass alle eingehenden Verbindungsversuche an Ihrer Firewall blockiert werden. Die Überwachung des Verkehrs innerhalb Ihrer Firewalls ermöglicht es Ihnen, Regeln zu validieren und wertvolle Erkenntnisse zu gewinnen. Außerdem kann der Verkehr als Quelle für netzwerkbasierte Warnungen verwendet werden.

Achten Sie auf verdächtige Aktivitäten im Zusammenhang mit Verwaltungsprotokollen wie Telnet. Da Telnet ein unverschlüsseltes Protokoll ist, werden beim Sitzungsverkehr Befehlszeilenschnittstellen (CLI) Befehlssequenzen angezeigt, die für die Marke und das Modell des Geräts geeignet sind.CLI-Zeichenketten können Anmeldeverfahren, die Darstellung von Benutzeranmeldeinformationen, Befehle zur Anzeige der Start- oder Laufkonfiguration, das Kopieren von Dateien und mehr enthüllen.

Überprüfen Sie Ihre Netzwerkdaten, ob auf einem Ihrer Geräte unverschlüsselte Managementprotokolle verwendet werden, wie z.B.:

  • Telnet
  • Hypertext Transport Protocol (HTTP, port 80)
  • Simple Network Management Protocol (SNMP, Ports 161/162)
  • Cisco Smart Install (SMI Port 4786)

Welchen Zweck haben die Analyse und Überwachung von Netzwerkverkehr?

Viele Betriebs- und Sicherheitsprobleme können durch die Implementierung der Analyse des Netzwerkverkehrs sowohl am Netzwerkrand als auch im Netzwerkkern untersucht werden. Mit dem Tool zur Datenanalyse können Sie Dinge wie große Downloads, Streaming oder verdächtigen ein- oder ausgehenden Datenverkehr erkennen. Fangen Sie zunächst mit der Überwachung der internen Schnittstellen von Firewalls an. Dadurch können Sie Aktivitäten zu bestimmten Kunden oder Benutzern zurückverfolgen.

NTA bietet auch eine Organisation mit mehr Transparenz bei Bedrohungen in deren Netzwerken, auch über das Endgerät hinaus. Da es immer mehr mobile Geräte, IoT-Geräte, Smart-TVs usw. gibt, benötigen Sie etwas, das mehr Daten liefert als nur die Firewall-Logs. Firewall-Logs sind außerdem problematisch, wenn ein Netzwerk angegriffen wird.

Sie werden feststellen, dass diese aufgrund von Ressourcenauslastung an der Firewall nicht zugänglich sind oder dass sie überschrieben wurden (oder manchmal sogar von Hackern modifiziert wurden). Dies führt zu einem Verlust von wichtigen forensischen Informationen.

Einige der Anwendungsfälle zur Analyse und Überwachung von Netzwerkverkehr beinhalten:

  • Erkennung von Ransomware-Angriffen
  • Datenexfiltration/Internetaktivität überwachen
  • Zugriff auf Dateien auf Dateiservern oder MSSQL-Datenbanken überwachen
  • Benutzeraktivitäten im Netzwerk durch nutzerbezogenes, forensisches Reporting überwachen
  • Bestandsaufnahme von Geräten, Servern und Diensten, die im Netzwerk ausgeführt werden
  • Ursache von Spitzen hoher Bandbreite im Netzwerk anzeigen und identifizieren
  • Echtzeit-Dashboards mit Fokus auf Netzwerk- und Benutzeraktivitäten erstellen
  • Berichte über die Netzwerkaktivität für das Management und Auditoren für einen bestimmten Zeitraum generieren

Worauf Sie bei einer NTA-Lösung achten sollten

Nicht alle Tools zur Überwachung des Netzwerkverkehrs sind gleich. Im Allgemeinen gibt es zwei verschiedene Arten: flow-basierte Tools und Tools basierend auf Deep Packet Inspection (DPI). Innerhalb dieser Tools haben Sie Optionen für Software-Agenten, Speicherung historischer Daten und Eindringalarmsystemen. Bei der Bewertung, welche Lösung für Ihre Organisation am besten geeignet ist, sollten Sie diese fünf Aspekte berücksichtigen:

  1. Vorhandensein von Flow-fähigen Geräten: Haben Sie Flow-fähige Geräte in Ihrem Netzwerk, die die Verbindungen generieren können, die von einem NTA-Tool benötigt werden, das nur Flows wie Cisco Netflow akzeptiert?DPI-Tools akzeptieren Raw-Traffic, den man in jedem Netzwerk über jeden verwalteten Switch finden kann, und sie sind herstellerunabhängig.Netzwerk-Switches und Router benötigen keine speziellen Module oder Unterstützung, nur den Verkehr von einem SPAN oder einem Mirror-Port von jedem verwalteten Switch.
  2. Die Datenquelle: Netzwerk-Flow-Daten und Paketdaten stammen aus verschiedenen Quellen, und nicht alle NTA-Tools erfassen beides.Überprüfen Sie Ihren Netzwerkverkehr und entscheiden Sie, welche Dinge von großer Bedeutung sind. Dann vergleichen Sie die Funktionen der Tools, um sicherzustellen, dass alles abgedeckt wird.
  3. Die Punkte im Netzwerk: Überprüfen Sie, ob das Tool agentenbasierte oder agentenlose Software verwendet.Achten Sie darauf, dass Sie am Anfang nicht zu viele Datenquellen überwachen.Stattdessen sollten Sie sich Orte aussuchen, an denen Daten konvergieren, wie etwa die Internet-Gateways oder VLANs, die mit kritischen Servern verbunden sind.
  4. Echtzeitdaten vs. historische Daten: Historische Daten sind entscheidend für die Analyse von vergangenen Ereignissen. Einige Tools zur Überwachung des Netzwerkverkehrs speichern diese Daten nicht langfristig. Überprüfen Sie auch, ob der Preis für das Tool nach der Menge der Daten, die Sie speichern möchten, gestaffelt ist.Sie sollten sich überlegen, welche Daten für Sie am wichtigsten sind, um die beste Option für Ihre Bedürfnisse und Ihr Budget zu finden.
  5. Vollumfängliche Paketaufzeichnung, Kosten und Komplexität: Einige DPI-Tools erfassen und speichern alle Pakete, wodurch teure Geräte, erhöhte Speicherkosten und viel Schulung/Know-how für den Betrieb notwendig werden.Andere beschränken sich auf die „schweren Sachen“. Dabei werden zwar alle Pakete erfasst, aber nur die kritischen Details und Metadaten für jedes Protokoll extrahiert.Diese Extraktion von Metadaten führt zu einer signifikanten Datenreduzierung, verfügt aber immer noch über lesbare, verwertbare Details, die sowohl für Netzwerk- als auch für Sicherheitsteams geeignet sind.

Fazit

Die Analyse des Netzwerkverkehrs ist ein wesentliches Instrument, um die Netzwerkverfügbarkeit und -aktivität zu überwachen, Anomalien zu identifizieren, die Leistung zu maximieren und mögliche Angriffe zu entdecken. Neben Protokollaggregation, UEBA und Endpunktdaten ist der Netzwerkverkehr ein Kernstück der umfassenden Transparenz und Sicherheitsanalyse, um Bedrohungen frühzeitig zu erkennen und sie schnell zu stoppen.

Berücksichtigen Sie bei der Auswahl einer NTA-Lösung die derzeitigen blinden Flecken in Ihrem Netzwerk, die Datenquellen, aus denen Sie Informationen benötigen, und die kritischen Punkte im Netzwerk, an denen sie für eine effiziente Überwachung zusammenlaufen. Wenn Sie NTA als zusätzliche Schicht zu Ihrer Security Information and Event Management-Lösung (SIEM) einsetzen, erhalten Sie einen noch besseren Einblick in Ihre Umgebung und Ihre Benutzer.

Erfahren Sie mehr über NTA

Erfahren Sie mehr über das NTA-Produkt von Rapid7

Netzwerkverkehrsanalyse: Aktuelles aus dem Rapid7-Blog