Netzwerk-Sicherheit (NDR)
Herausforderungen bei der Netzwerk-Sicherheit
Firmennetzwerke werden immer umfassender und dadurch weniger übersichtlich. Signaturbasierte Erkennung von Cyberangriffen via Malware und anderen Methoden alleine reicht nicht mehr aus, um aktuelle, ausgeklügelte Attacken zu erkennen und zu verhindern. Moderne Abwehrmechanismen erfordern eine tiefgreifende Inspektion und Analyse sämtlicher Datenkommunikationen im Netzwerk, und zwar in Echtzeit. Cybersecurity-Verantwortliche müssen «Blind-Spots» identifizieren, ob die Datenkommunikation im Firmennetz normal vonstattengeht oder sich im anomalen Status befindet. Letzteres erfordert umgehend eine entsprechende Aktion zur Behebung des Problems.
Netzwerk-Sicherheit – Lösung der Herausforderungen
Durch den Einsatz einer NDR-Lösung (Network Detection and Response) ergibt sich eine Gesamtübersicht über alle Interaktionen von allen Netzwerkgeräten. So können sich keine Blind-Spots mehr bilden. NDR bietet Cybersecurity-Verantwortlichen eine kontinuierliche Transparenz über alle Benutzer, Geräte und Technologien, die mit dem Netzwerk verbunden sind. Die Schlüsseltechnologie dahinter heisst Machine Learning bzw. künstliche Intelligenz. Sie erkennt Verhaltensanomalien und kann Bedrohungen und deren potenziell existenzbedrohende Folgen durch automatisierte Gegenmassnahmen verhindern.
Netzwerk-Sicherheit (NDR) – So funktioniert es
Eine NDR-Lösung überwacht das Firmennetzwerk kontinuierlich. Sensoren überwachen den Netzwerkverkehr an geeigneten Schnittstellen und sammeln Metadaten. Die so gewonnenen Metadaten reichert die NDR-Lösung mit weiteren Daten an und bereitet sie für die weitere Analyse optimal auf. Machine Learning und künstliche Intelligenz analysieren die Datenströme im Netzwerk und erkennen Bedrohungen oder ungewöhnliches Verhalten. Die NDR-Lösung reagiert auf Bedrohungen durch native Funktionen sowie durch Integrationen mit anderen Sicherheitslösungen. Dabei blockiert eine via API integrierte Firewall bösartigen Datenverkehr.
Vorteile einer Netzwerk-Sicherheits-Lösung
NDR-Lösungen bieten Echtzeitinformationen zu verdächtiger Datenkommunikation.
Umfangreiche Netzwerk-Metadaten für Sicherheitsanalyse, maschinelles Lernen und die Suche nach Bedrohungen sind die Hauptfunktionen von NDR.
NDR erkennt proaktiv Angriffsmuster und Verhaltensanomalien.
Eine NDR-Lösung leitet automatisiert passende Gegenmassnahmen zur Vermeidung von Datenverlust ein.
Für wen eignet sich der Einsatz von Netzwerk-Sicherheits-Lösungen?
Eine NDR-Lösung eignet sich für grosse und kleine Firmen. Sie überwacht das Netzwerk kontinuierlich. Eine solche Lösung skaliert durch die Platzierung beliebig vieler Sensoren. Von einem einfachen Sensor bis zu hunderten Sensoren ist alles möglich. Oftmals sind NDR-Lösungen im Ansatz in diversen anderen Tools integriert, etwa in XDR oder EDR.
ARP-Spoofing – Schwachstelle in der Netzwerksicherheit
Anders als im Internet kommunizieren Geräte im LAN nicht direkt über IP-Adressen. Stattdessen werden für die Adressierung in lokalen IPv4-Netzen physische Hardware-Adressen genutzt. Bei diesen sogenannten MAC-Adressen (Media Access Control) handelt es sich um einzigartige 48-Bit-Nummern, die es ermöglichen, jedes Gerät im LAN über seine Netzwerkkarte eindeutig zu identifizieren.
Beispiel einer MAC-Adresse: 00-80-41-ae-fd-7e
MAC-Adressen werden von den jeweiligen Hardware-Herstellern vergeben und sind weltweit einmalig. Theoretisch würden sich diese Hardware-Adressen somit für eine globale Adressierung eignen. In der Praxis lässt sich dies jedoch nicht umsetzen, da IPv4-Adressen zu kurz sind, um die MAC-Adresse komplett abzubilden. In Netzwerken auf Basis von IPv4 ist die Adressauflösung via ARP daher unumgänglich.
Möchte nun ein Rechner A einen Rechner B im gleichen Netzwerk kontaktieren, muss dieser für dessen IP-Adresse zunächst die passende MAC-Adresse ermitteln. Dabei kommt das Address Resolution Protocol (ARP) zum Einsatz, ein Netzwerkprotokoll, das nach dem Request-Response-Schema arbeitet.
Auf der Suche nach der passenden MAC-Adresse sendet Rechner A zunächst eine Broadcast-Anfrage (den sogenannten ARP-Request) an alle Geräte im Netzwerk. Diese beinhaltet in etwa folgende Informationen:
Ein Rechner mit der MAC-Adresse xx-xx-xx-xx-xx-xx und der IP-Adresse yyy.yyy.yyy.yyy möchte Kontakt mit einem Rechner mit der IP-Adresse zzz.zzz.zzz.zzz aufnehmen und benötigt die passende MAC-Adresse.
Der ARP-Request wird von allen Rechnern im LAN entgegengenommen. Um zu verhindern, dass vor dem Absenden eines jeden Datenpakets eine ARP-Anfrage gestellt werden muss, führt jeder Rechner im Netzwerk eine lokale Tabelle, den ARP-Cache. In diesem werden alle bekannten MAC-Adressen inklusive der zugeordneten IP temporär gespeichert.
Alle Rechner im Netzwerk notieren sich somit das in der Broadcast-Anfrage mitgelieferte Absender-Adresspaar. Eine Antwort auf die Broadcast-Anfrage wird jedoch nur von Rechner B erwartet. Dessen ARP-Reply beinhaltet folgende Informationen:
Hier das System mit der IP-Adresse zzz.zzz.zzz.zzz. Die gesuchte MAC-Adresse lautet aa-aa-aa-aa-aa-aa.
Geht ein solcher ARP-Reply bei Rechner A ein, verfügt dieser somit über alle benötigten Informationen, um Datenpakete an Rechner B zu senden. Der Kommunikation über das lokale Netzwerk steht nun nichts mehr im Wege.
Doch was, wenn nicht der gesuchte Zielrechner antwortet, sondern ein anderes Gerät, das von einem Innentäter mit unlautereren Absichten kontrolliert wird? Hier kommt ARP-Spoofing ins Spiel.
Die Top 5 Gefahren für die Netzwerksicherheit – und wie Sie diese erfolgreich abwehren!
17.09.2021 von Svenja Koch
Phishing ist eine der ältesten Techniken, die Cyberkriminelle einsetzen. Gleichzeitig ist diese Methode nach wie vor sehr erfolgreich. Dies liegt vor allem an zwei Faktoren: Zum einen gehen die Angreifer beim Phishing sehr kreativ vor. Das macht es häufig schwer, Phishing-Attacken auch sofort als solche zu erkennen. Zum anderen zielt Phishing auf eine der größten Schwachstellen der Informationssicherheit ab: den menschlichen Faktor. Der klassische Ablauf beim Phishing ist nach wie vor der Weg über eine E-Mail. Als Absender wird eine vertrauenswürdige Quelle vorgetäuscht. In der Regel enthalten die Nachrichten Inhalte, die auf eine Störung bei einer Zahlung oder bei einem Account hinweisen. Gefordert wird eine schnelle Reaktion, um die Situation zu beheben. Die Phishing-Mail hält natürlich eine angebliche Lösung parat. In der Regel ist ein Link beigefügt, der auf eine gefälschte Webseite führt. Diese imitierten Webseiten sind teilweise sehr professionell und ahmen beispielsweise Banken oder Onlineshops nach. Die Mail fordert den Empfänger der Mail auf, sich in seinem Konto anzumelden. Erkennt der Empfänger nicht, dass es sich um eine gefälschte Webseite handelt und gibt sein Passwort ein, haben die Angreifer ihr Ziel erreicht. Sie verfügen nun über die echten Login-Informationen für die originale Webseite. Bei Webseiten, die Onlinebanking imitieren, versuchen die Kriminellen außerdem PINs und TANs abzugreifen.
Platz 4: Social Engineering
In den letzten Jahren bedroht das Social Engineering immer mehr die Datensicherheit in Unternehmen. Das Ziel beim Social Engineering ist es, gezielt an bestimmte Informationen zu gelangen. Dafür greifen die Kriminellen auf unterschiedliche Methoden zurück. Social Engineering findet so einerseits über soziale Medien statt. Mit Plan suchen die Angreifer nach Personen, die im Zielunternehmen arbeiten. Mit gefälschten Profilen erschleichen sich die Angreifer das Vertrauen der Zielperson. Dann wird beiläufig nach Details aus dem Unternehmen gefragt. Darüber hinaus nutzen Angreifer auch Mails oder Telefonanrufe, um Informationen zu erhalten. Hier wird ebenfalls mit falschen Identitäten gearbeitet, um eine Vertrauensbasis aufzubauen.
Das Gefährliche am Social Engineering ist die strategische und perfide Vorgehensweise der Cyberkriminellen. Die Angreifer nutzen gerne Informationen, die sie bereits extrahiert haben, um sich weitere Daten zu beschaffen. So geben die Angreifer bei einem Anruf vor, dass sie mit einem Kollegen etwas abgesprochen haben, der aber jetzt im Urlaub ist – wobei diese Information möglicherweise über Facebook extrahiert wurde. Dann gibt ein anderer Mitarbeitender eventuell weitere Informationen heraus, die vertraulich sind. Die Informationssicherheit ist dann nicht mehr gewährleistet. Durch eine Fülle an einzelnen Informationen sammeln die Angreifer ausreichend Daten für weitere Attacken.
Platz 3: DDoS-Attacken
Eine besondere Bedrohung der Netzwerksicherheit sind die Distributed-Denial-of-Service-Attacken. Hierbei handelt es sich um eine Angriffsmethode, bei der das Zielnetzwerk durch eine extrem hohe Anzahl an Anfragen überlastet wird. Dies sorgt zu einem Zusammenbruch der Systeme beziehungsweise dazu, dass die Anwendungen nicht mehr erreichbar oder nutzbar sind. DDoS-Angriffe basieren auf der Tatsache, dass Systeme wie ein Webserver nur eine bestimmte Anzahl an HTML-Anfragen unterstützen. Wird diese Kapazität überschritten, kommt es zu einer Überlastung des Servers. Dies führt dazu, dass sowohl das Netzwerk als auch der Server selbst durch die Überlastung nicht mehr reagieren. Auch Anwendungen oder Webserver stürzen dann häufig ab.
Mit einem DDoS-Angriff tarnen die Hacker gerne gezielte Angriffe, die die Datensicherheit in Gefahr bringen. Dann ist der DDoS-Angriff nur ein Werkzeug, um die Netzwerksicherheit ins Wanken zu bringen. Gleichzeitig beginnt der Angriff auf das eigentliche Ziel. Die IT Security der betroffenen Organisation ist durch den DDoS-Angriff abgelenkt. Außerdem ist es möglich, gefälschte DNS-Antworten auszuliefern, während das Zielsystem gestört ist. Dies betrifft dann dritte Nutzer, die auf den Service der angegriffenen Webseite zugreifen möchten. Diese Anfragen sind dann umgeleitet und führen auf eine gefälschte Webseite der Cyberkriminellen. Dies öffnet die Möglichkeiten für Phishing-Attacken. So ist selbst die Datensicherheit von unbeteiligten Dritten in Gefahr, ohne dass diese selbst einen Fehler begehen oder direkt das Ziel der Cyberattacke sind.
Platz 2: Ransomware und Malware
Malware ist eine der größten Gefahren für die Netzwerksicherheit. Bei Malware handelt es sich um Schadsoftware, die ganz unterschiedliche Zwecke hat. Malware stört den Betrieb der Systeme, die es befällt. Dies äußert sich auf ganz unterschiedliche Art und Weise. Zu der Klasse der Malware gehören beispielsweise Keylogger, die eingegebene Daten abfangen, oder Viren, die mehr oder weniger gefährlich sind. Malware ist häufig Teil eines größeren Cyberangriffs, wenn die Schadsoftware dafür eingesetzt wird, um Login-Informationen zu sammeln.
In Bezug auf die Informationssicherheit spielt Ransomware eine zentrale Rolle. Auch diese gehört zur Klasse der Malware, genauer zu den Trojanern. Ransomware hat zwei Aufgaben. Zunächst verschlüsselt diese Schadsoftware Daten auf Festplatten und Servern. Ist auch das Backup betroffen, ist die Datensicherheit nicht mehr gewährleistet. Darüber hinaus übersendet die Ransomware auch eine Erpressungsforderung an den Nutzer des befallenen Systems. In diesem Zusammenhang ist Ransomware teilweise in der Lage, das Betriebssystem zu blockieren und so die Nutzung des Computers zu verhindern.
Platz 1: Advanced Persistent Threats
Ein Advanced Persistent Threat (APT) beschreibt einen komplexen und gezielten Angriff auf eine IT-Infrastruktur. APTs unterscheiden sich von anderen IT Security Bedrohungen vor allem durch die Motivation und die Vorgehensweise der Angreifer. Während die meisten Schadprogramme in der Regel von finanziell motivierten Angreifern massenhaft verteilt werden und kein spezifisches Opfer im Visier haben, sind APTs oft langfristig und mit großem Aufwand geplante Angriffe auf einzeln ausgewählte, anspruchsvolle Ziele. Dementsprechend besteht ein APT-Angriff aus mehreren Phasen. Der Zyklus beginnt immer mit der Auswahl eines Ziels. Dann sammeln die Angreifer Informationen über das Opfer. Dazu gehört auch eine Analyse der Netzwerkstrukturen. Die Hacker entscheiden sich dann für einen oder mehrere Angriffsvektoren. Danach beginnt die Phase der Ausbringung der Angriffswerkzeuge. Ist die Infiltration erfolgreich, beginnen die Angreifer, im Netzwerk nach interessanten Daten zu suchen. Ebenfalls etablieren die Hacker ihren Zugang zum Netzwerk und bauen diesen aus.
Advanced Persistent Threats sind also aufwendige und langfristige Projekte. Die Hacker investieren eine Menge Zeit und Ressourcen in die Infiltration des Zielnetzwerks. Aus diesem Grund gehen die Angreifer besonders vorsichtig vor. Im Gegensatz zu vielen anderen Cyberangriffen bleiben die Hacker bei einem APT komplett unentdeckt. Die meisten anderen Cyberattacken gipfeln in einer Aktion, die den Nutzer direkt beeinflusst. Bei einer Ransomware-Attacke ist dies besonders offensichtlich, denn sind die Angreifer erfolgreich, sind die Daten verschlüsselt und das System nicht mehr einsatzbereit. Dies ist einer der Punkte, warum APT-Angriffe so gefährlich sind.
Ein weiterer Punkt, warum APTs eine Gefahr für die Datensicherheit darstellen, ist die Unberechenbarkeit. Im Gegensatz zu vielen anderen Cyberattacken gehen die Angreifer vorsichtig vor und legen hohen Wert darauf, unentdeckt zu bleiben. Außerdem ist ein APT geprägt von einem hohen manuellen Einsatz. Selbst Ransomware ist inzwischen hochgradig automatisiert, wohingegen bei einem APT die Hacker die Werkzeuge meist selbst steuern. Der dritte Punkt, warum APTs eine Gefahr für dir Informationssicherheit darstellen und schwer zu erkennen sind, ist das dynamische Angriffsmuster. Es gibt keinen bestimmten Weg, wie Hacker Netzwerke bei einem APT-Angriff infizieren. Vielmehr entscheiden sie individuell, welches Tool am besten für das Ziel geeignet ist. Die Angreifer spionieren also Lücken in der Netzwerksicherheit aus und nutzen diese gezielt.
Ein APT-Angriff ist außerdem eine dauerhafte Gefahr für die Datensicherheit. Dies liegt daran, dass die Hacker ein Interesse daran haben, unentdeckt zu bleiben. So behalten die Hacker den Zugang zum Netzwerk und nutzen diesen, um zu einem späteren Zeitpunkt weitere Daten zu extrahieren. Die Chance, dass ein APT in dieser Phase unentdeckt bleibt, ist hoch. Hat die vorhandene Netzwerksicherheit Schwächen und ist keine Anomalieerkennung vorhanden, gibt es keine Verteidigungsmechanismen mehr, die die Angreifer zuverlässig aufspüren.
APT-Angriffe haben unterschiedliche Ziele: Ihren Ursprung hat die Technik in der Wirtschaftsspionage. Hierbei geht es darum, gezielt Wirtschaftsgeheimnisse über das Netzwerk aus einem Unternehmen zu extrahieren. Inzwischen wird auch bei anderen Cyberattacken auf die Netzwerksicherheit mit ähnlichen Angriffsmustern von APTs gesprochen. Entscheidend ist die Vorgehensweise der Angreifer. APTs sind von manuellen und dynamischen Angriffsmustern geprägt.
Welche Abwehrtechniken sind effektiv gegen diese Bedrohungen und steigern Ihre Informationssicherheit wirklich?
Die fünf Hauptbedrohungen für die Netzwerk- und Datensicherheit erfordern spezielle Maßnahmen bei der Cyberabwehr. Gemein haben diese Bedrohungen, dass klassische Abwehrmechanismen in den meisten Fällen keinerlei Schutz bieten. Hierzu gehören Antivirensoftware oder Firewalls. Besonders gegen die APTs ist eine andere Herangehensweise erforderlich - hier wird von einer proaktiven und präventiven Abwehrtechnik gesprochen. Ein wesentlicher Bestandteil dieser Technik ist die Anomaliefrüherkennung im Rahmen der Netzwerküberwachung. Bei der Anomalieerkennung erfolgt eine permanente Überwachung aller Aktivitäten im Netzwerk. Dies beinhaltet Verbindungen, Traffic und Aktionen von Nutzern. Die Sammlung dieser Daten übernimmt eine Software. In Echtzeit kontrollieren IT Security Mitarbeiter Meldungen dieser Plattform und analysieren, ob dahinter illegale Aktivitäten stecken. Die Kontrolle in Echtzeit ist ein zentraler Bestandteil, um eine hohe Informationssicherheit zu gewährleisten. Ansonsten haben Hacker Zeit, ihre geplanten Aktionen durchzuführen.
In der Praxis gibt es primär zwei Optionen, wie sich die Anomaliefrüherkennung umsetzen lässt: Organisationen haben die Möglichkeit, ein Security Operations Center (SOC) einzurichten. Hier arbeitet ein Team von IT-Spezialisten an 365 Tagen rund um die Uhr ausschließlich an der Anomaliefrüherkennung und Netzwerksicherheit. Ein solches SOC erfordert also enorme Ressourcen, was für kleine und mittlere Unternehmen nicht zu leisten ist.
Die zweite Option ist ein externer Dienstleister wie der Active Cyber Defense (ACD)-Service von secion. Dieser übernimmt die proaktive 24/7 Überwachung des Netzwerks und die Analyse aller Aktivitäten. Bei verdächtigen Vorfällen, die die Informationssicherheit bedrohen, erhält die IT Security des Kunden eine sofortige Nachricht. So wird es möglich, auf unbefugte Zugriffe von Angreifern, zum Beispiel im Rahmen eines APT-Angriffs, umgehend zu reagieren.