IT-Sicherheit – Schützen Sie Ihr Netzwerk und Ihre Daten
Die richtige Balance zwischen Sicherheit und Komfort
IT-Sicherheit ist einer der wichtigsten Faktoren für eine reibungslose Produktivität Ihres Unternehmens. Auch beim Schutz von IT-Infrastrukturen kommt es darauf an, den richtigen Mittelweg zwischen Restriktion und Vereinfachung zu finden. Sicherheitsinstrumente wie z.B. Multi-Faktor-Authentifizierung sind im Alltag oft umständlich und zeitraubend, dem Sicherheitsstandard aber sehr zuträglich.
Im Rahmen einer umfassenden Sicherheitsanalyse stellen wir fest, an welchen Stellen potenzielle Einfallstore bestehen und eruieren entsprechende Lösungsmöglichkeiten. Dabei legen wir besonderen Wert auf die Beibehaltung von kurzen Wegen und einer größtmöglichen Standardisierung. Hierbei unterstützen z.B. Werkzeuge wie Office 365 Single-Sign-On oder Active-Directory Integration bei VPN-Verbindungen.
Was sind Maßnahmen zur Netzwerksicherheit?
Maßnahmen zur Netzwerksicherheit Maßnahmen zur Netzwerksicherheit sind die Sicherheitskontrollen, die Sie zu Ihren Netzwerken hinzufügen, um Vertraulichkeit, Integrität und Verfügbarkeit zu schützen. Diese Kontrollen werden ständig weiterentwickelt, doch es gibt viele grundlegende, allgemeine Informationen. Angreifer von Ihrem Netzwerk fernzuhalten, kostet einiges an Aufwand. Sie können dafür Firewalls, Proxys und Gateways einsetzen. Sie dürfen jedoch nicht davon ausgehen, dass diese Appliances Angreifer in sämtlichen Fällen von Ihrem Netzwerk fernhalten. Letztendlich finden Hacker einen Weg hinein. Der bekannte Hacker Kevin Mitnick behauptet, dass alle Penetrationstests erfolgreich waren, die er im Auftrag von Unternehmen durchführte, um deren Netzwerksicherheit zu überprüfen. Es gibt immer einen Weg hinein. Sicherheit erfordert kontinuierliche Arbeit. Nur so können Sie lernen, sich weiterentwickeln und Hackern einen Schritt voraus bleiben. Außerdem ist es von entscheidender Bedeutung, Pläne und Teams für den Fall aufzubauen, dass Hacker doch in das System eindringen.
Firewall
Eine Firewall blockiert den Datenverkehr oder lässt ihn hindurch. Der Datenverkehr, der die Firewall passieren darf, ist in ihrer Konfiguration angegeben und basiert darauf, welche Art von Datenverkehr das Unternehmen nutzt und benötigt. Das wichtigste bewährte Sicherheitsverfahren ist, die Firewall so einzustellen, dass sie standardmäßig jeglichen Datenverkehr blockiert. Daraufhin sollte sie so konfiguriert werden, dass nur festgelegter Datenverkehr an bekannte Dienste weitergeleitet wird. Die Konfiguration der Firewall ist entscheidend – und damit auch das Wissen des Firewall-Administrators. Firewalls arbeiten auf verschiedenen Schichten des OSI-Modells (Open System Interconnect) der International Standards Organization (ISO). Normalerweise befinden sich alle Komponenten, die als Firewall bezeichnet werden, auf den Schichten 2 bis 5. Befindet sich die Firewall auf Schicht 7, wird sie oft als Proxy oder Gateway bezeichnet. Die Ausnahme bilden Web Application Firewalls (WAF), die zwar das Wort Firewall enthalten, sich aber auf Schicht 7 befinden. Firewalls analysieren die Informationen auf der Schicht des OSI-Modells, auf der die jeweilige Firewall arbeitet. Im Folgenden finden Sie einige Beispiele dafür, wie eine Firewall auf den verschiedenen Schichten funktioniert: Schicht 2, Sicherung: Hier könnte die Firewall anhand der MAC-Adresse (Media Access Control) des Frames entscheiden, ob der Datenverkehr weitergeleitet oder blockiert wird.
Schicht 3, Vermittlung: Hier könnte die Firewall anhand der IP-Adresse (Internet Protocol) im Paket entscheiden, ob der Datenverkehr weitergeleitet oder blockiert wird.
Schicht 4, Transport: Hier könnte die Firewall anhand der TCP-Portnummer (Transmission Control Protocol) im Datagramm entscheiden, ob der Datenverkehr weitergeleitet oder blockiert wird.
Schicht 5, Sitzung: Hier könnte die Firewall anhand der RTP-Informationen (Real-Time Protocol) entscheiden, ob der Datenverkehr weitergeleitet oder blockiert wird.
Schicht 7, Anwendung: Hier könnte die Firewall anhand der Anwendung oder des Anwendungsdienstes entscheiden, ob der Datenverkehr weitergeleitet oder blockiert wird. Eine Firewall wird mit einer Liste von Regeln konfiguriert, die manchmal auch als Richtlinien bezeichnet werden. Anhand dieser Regeln bestimmt die Firewall, was mit dem Datenverkehr passieren soll, wenn er die Firewall erreicht. Die Regeln funktionieren aus einer Top-down-Perspektive, also von oben nach unten. Die Firewall vergleicht den Frame oder das Paket, den bzw. das sie gerade erhalten hat, mit der ersten Regel in der Liste. Wenn der Frame oder das Paket dem Datenverkehrstyp dieser Regel entspricht, befolgt die Firewall die Anweisungen für diese Regel. Eine Regel kann besagen, dass der Datenverkehr weitergeleitet werden oder dass er blockiert und verworfen werden soll. Wenn der Frame oder das Paket nicht der ersten Regel entspricht, vergleicht die Firewall das Element mit der zweiten Regel und so weiter. Entspricht der Datenverkehr keiner der explizit definierten Regeln, folgt die Firewall der letzten Regel, die besagt, dass der Datenverkehr verworfen werden soll. Proxy Eine Proxy-Firewall befindet sich auf Schicht 7 des OSI-Modells. Wenn ein Proxy Datenverkehr empfängt, verarbeitet er den Frame oder das Paket aufwärts durch die verschiedenen Schichten. Wenn beispielsweise der Frame auf Schicht 2 entfernt wird, werden die Header des Pakets auf Schicht 3 entfernt und so weiter, bis zum Schluss auf Schicht 7 nur noch die Daten vorhanden sind. Die TLS-Verbindung (Transport Layer Security) wird auf Schicht 4 beendet, und ab diesem Zeitpunkt liegen die Daten im Proxy im Klartext vor. Daraufhin analysiert der Proxy die übertragenen Daten, was auf den niedrigeren Schichten aufgrund der Verschlüsselung nicht möglich gewesen wäre. Dadurch kann das Gerät sehr viel mehr Daten analysieren als eine Standard-Firewall. Das erfordert in der Regel mehr Zeit oder Rechenleistung als eine normale Firewall, bietet jedoch auch eine bessere Kontrolle über den Anwenderverkehr. Gateway Der Begriff Gateway hat unterschiedliche Bedeutungen – je nachdem, wen man fragt. Früher war ein Gateway eine Hardware, die sich zwischen zwei Netzwerken befand. Heutzutage enthält ein durchschnittliches Gateway auch eine Firewall-Komponente. Microsoft Azure hat beispielsweise eine WAF in sein Gateway integriert. Gateways stellen also mittlerweile ebenfalls eine Art Firewall dar.
Intrusion Detection and Prevention Systems
Die nächste Aufgabe ist die Erkennung von Eindringlingen in einem Netzwerk, und zwar mithilfe von Intrusion Detection Systems (IDS). Diese Geräte sind passiv. Sie beobachten den Netzwerkverkehr und protokollieren verdächtige Vorgänge. Ein IDS kann sich im Netzwerk oder auf dem Endgerät befinden. Je nachdem, wo es sich befindet, wird es als netzwerkbasiertes IDS (NIDS) oder als hostbasiertes IDS (HIDS) bezeichnet. Ein NIDS ist in der Regel an den TAP- oder SPAN-Port eines Switches angeschlossen. Das bedeutet, dass der Datenverkehr ungestört an sein Ziel weitergeleitet wird, während eine Kopie zur Analyse an den SPAN-Port des NIDS geht. Wenn es sich um ein HIDS handelt, befindet es sich auf dem Laptop, Tablet, Server usw. Die meisten HIDS analysieren nicht den Live-Datenverkehr, sondern im Nachhinein die Verkehrsprotokolle. Irgendwann haben die Hersteller diese Geräte weiterentwickelt: Wenn sie einen Angriff erkennen konnten, sollten sie verdächtige Frames oder Pakete auch auf dem Gerät verwerfen können, statt sie nur zu melden. So entstanden Intrusion Prevention Systems (IPS). Auch ein IPS kann netzwerkbasiert (NIPS) oder hostbasiert (HIPS) sein. Die Idee war hervorragend, hat jedoch auch einen Nachteil: Das IPS muss wissen, was legitimer Datenverkehr ist und was nicht. Das erfolgt entweder mithilfe von Signaturdateien, oder das System kann selbst lernen.
Virtual Private Network (VPN)
Das nächste Problem, das es zu lösen gilt, ist der Schutz von Daten, Sprache oder Videos, die an Orte übertragen werden, wo jemand mithören könnte. Dies gilt innerhalb von Unternehmens- oder Heimnetzwerken, aber auch außerhalb, z. B. bei einer Übertragung über das Internet oder das Netzwerk eines Service Providers. Verschlüsselung löst dieses Problem, indem sie die Daten ohne den Schlüssel unlesbar macht. Für die Datenübermittlung gibt es mehrere Möglichkeiten der Verschlüsselung. Sie lauten wie folgt: Secure Socket Layer (SSL)/Transport Layer Security (TLS)
Secure Shell (SSH)
Internet Protocol Security (IPsec) SSL/TLS SSL/TLS wird seit 1995 zum Schutz von browserbasierten Verbindungen eingesetzt. SSL wurde von Netscape erfunden. Die Versionen 2.0 und 3.0 waren in Gebrauch, bis die Internet Engineering Task Force (IETF) das Protokoll übernahm und umbenannte. Dies geschah im Jahr 1999, als America Online (AOL) Netscape aufkaufte. Heute ist TLS 1.3 (RFC 8446) die neueste Version. TLS wird nicht nur für browserbasierte Verbindungen verwendet. Es wird auch für VPN-Verbindungen zwischen Anwender und Büro eingesetzt. SSL/TLS ist ein Transportschichtprotokoll, das den TCP-Port 443 verwendet, wenn es auf Browserverbindungen angewendet wird. SSH SSH ist eine Verschlüsselungsmethode, die in der Regel für Remote-Anmeldungen verwendet wird. Netzwerkadministratoren verwenden SSH, um sich aus der Ferne anzumelden und Netzwerkgeräte wie Router und Switches zu verwalten. Es wird im Allgemeinen als Ersatz für Telnet angesehen, ein unverschlüsseltes Schicht-7-Protokoll zur Remote-Anmeldung. Es kann jedoch auch für VPN-Verbindungen verwendet werden. SSH ist in IETF RFC 4253 definiert. Das Protokoll verwendet TCP-Port 22. IPsec IPsec ist ein Protokoll auf Netzwerkschicht, das Verschlüsselung und Integritätsprüfung für jeden Verbindungstyp bietet. Es gibt viele verschiedene IETF-RFC-Dokumente, in denen die verschiedenen Teile von IPsec definiert sind. RFC 6071 bietet eine Roadmap, die zeigt, wie diese Dokumente miteinander in Beziehung stehen. IPsec bietet zwei Sicherheitsprotokolle: Authentication Header (AH) und Encapsulating Security Payload (ESP). AH wird verwendet, um die Authentifizierung und Integrität der Datenherkunft zu überprüfen. IPsec-Implementierungen müssen AH nicht unterstützen. AH verschlüsselt den Header des IP-Pakets.
Alle IPsec-Implementierungen müssen ESP unterstützen, das Authentifizierung, Integrität und Vertraulichkeit des Datenursprungs abdeckt. ESP verschlüsselt die Payload des IP-Pakets.
Data Loss Prevention und Digital Rights Management
Der Schutz des geistigen Eigentums ist nach wie vor ein wichtiges Thema. Zum geistigen Eigentum gehören Handbücher, Verfahren, Konstruktionsunterlagen, Forschungs- und Entwicklungsdaten usw. Dabei gibt es zwei Hauptprobleme: Zum einen geht es darum, vertrauliche Informationen unter Verschluss zu halten. Und zum anderen muss sichergestellt werden, dass die Informationen nur von denjenigen eingesehen werden können, die sie auch einsehen sollen. Datenklassifizierung und Zugriffskontrolle sind zwei der vielen Möglichkeiten, den Zugriff angemessen zu kontrollieren. Damit Daten Ihr Unternehmen nicht auf unangemessene Weise verlassen, können Sie sie mithilfe von DLP-Technologie (Data Loss Prevention) kontrollieren. Diese Technologie sucht nach vertraulichen Informationen in übertragenen Daten, z. B. in E-Mails. Wenn die DLP-Software entsprechende Informationen entdeckt, etwa eine Kreditkartennummer, dann wird die Übertragung blockiert oder gestoppt. Sie kann die Daten auch verschlüsseln, wenn das sinnvoller ist. Die Frage ist, was Ihr Unternehmen kontrollieren möchte und wie das Netzwerk reagieren soll, wenn die DLP-Software diese Daten entdeckt. DRM nutzt Technologie, um den Zugriff auf geistiges Eigentum zu kontrollieren. Wenn Sie schon einmal Kindle, iTunes, Spotify, Netflix oder Amazon Prime Video genutzt haben, dann haben Sie auch DRM-Software verwendet. Diese Software ermöglicht es Ihnen, das Video zu sehen, das Buch zu lesen oder die Musik zu hören, nachdem Sie den jeweiligen Inhalt vom Anbieter gekauft haben. Ein Beispiel aus der Wirtschaft ist Cisco. Das Unternehmen kontrolliert den Zugang zu Kurshandbüchern, sobald der Kunde einen Kurs gekauft hat. Javelin und LockLizard sind weitere Beispiele für DRM-Technologien, die Unternehmen zur Kontrolle der Inhaltsverbreitung einsetzen können. Die DRM-Technologie verwendet eine Zugriffskontrolle, die festlegt, wie lange jemand den Inhalt nutzen kann, ob er gedruckt oder weitergegeben werden darf usw. Die Parameter basieren auf den Wünschen des Eigentümers des geistigen Eigentums.
Protokolle, Überwachung und SIEMs
Sie können ein Netzwerk nicht schützen, das Sie nicht sehen können
Die Aussage "Was du nicht weißt, kann dir nicht schaden" ist nicht mehr gültig, wenn es um Netzwerksicherheit geht. Was du nicht weißt, ist genau das, was dir wehtun wird. Aus diesem Grund ist die vollständige Netzwerktransparenz so wichtig, um Ihr Unternehmen zu schützen. Und die Vermeidung von Compliance-Strafen und -Untersuchungen.
Wussten Sie, dass seit Beginn der COVID-19-Pandemie im vergangenen Jahr die Zahl der dem FBI gemeldeten Cyberkriminalität um 300 % gestiegen ist? Viele dieser Angriffe richten sich direkt gegen das Netzwerk, und Cisco prognostiziert, dass es bis 2023 15,4 Millionen DDoS geben wird. Angriffe.
Compliance-Strafen können die geringsten Ihrer finanziellen Sorgen sein, da Verizon berechnet, dass Datenschutzverletzungen im letzten Jahr im Durchschnitt 3,86 Millionen US-Dollar gekostet haben. Accenture hat herausgefunden, dass die Unternehmer diese Probleme verstehen, und 68 % von ihnen glauben, dass die Cybersicherheitsrisiken zunehmen.
Deshalb müssen Sie wissen, woraus Ihr Netzwerk besteht – einschließlich Verbindungen, Segmenten, Geräten und sogar Anwendungen und virtuellen Maschinen. Diese Elemente sind alle in Gefahr für die wachsenden Horden von immer raffinierteren Cyber-Kriminellen.
„Die Herausforderung der Sichtbarkeit kommt darauf zurück. Sie können nicht schützen, was Sie nicht sehen können. Umfassende Transparenz in Ihren Netzwerkumgebungen, sei es lokal oder in der Cloud, ist von grundlegender Bedeutung für die Einrichtung und Aufrechterhaltung einer robusten Sicherheits- und Compliance-Haltung. Die detaillierte Übersicht zeigt, welche Geschäftsanwendungen und zugrunde liegenden Konnektivitätsflüsse von Änderungen der Sicherheitsregeln oder geplanten Ausfallzeiten von Servern und Geräten betroffen sind. Dies ist wichtig, um die Auswirkungen auf wichtige Anwendungen bei der Migration oder Außerbetriebnahme von Servern oder bei der Fehlerbehebung zu verstehen und kostspielige Ausfälle zu vermeiden", argumentierte Security Boulevard.
Natürlich ist die Netzwerküberwachung Teil eines Expertenansatzes für IT-Sicherheit, ein Element in einer eingehenden Verteidigungsstrategie - ein absolut wesentliches Element. So wie Anti-Malware und Firewalls alle Ihre Ressourcen abdecken sollten, sollte die Netzwerküberwachung jede Netzwerkressource verstehen und verfolgen und sich darüber im Klaren sein, wann neue online gehen.
Licht in Dunkle bringen - mit Netzwerküberwachung
Lassen Sie uns darüber sprechen, wie die Netzwerküberwachung Ihrer IT-Infrastruktur eine wichtige Schutzschicht hinzufügt. Eine gute Netzwerküberwachungslösung erkennt Änderungen in der Konfiguration, die auf einen Verstoß hinweisen können, während Netzwerkprotokolle genau anzeigen, was passiert ist und was behoben werden muss. Verstöße werden schneller erkannt oder blockiert, die Compliance-Gefährdung wird verringert und wirtschaftliche Verluste werden verringert oder beseitigt.
Diese Verstöße sind mehr als ein Ärgernis. 36 Milliarden, ja Milliarden, Rekorde wurden in der ersten Hälfte des letzten Jahres durch Verstöße aufgedeckt. Und diejenigen, die sich um Compliance kümmern, sollten wissen, dass 58% dieser Verstöße personenbezogene Daten betrafen, stellte Verizon fest.
Netzwerksicherheit beginnt mit der Nertzwerkerkennung
Wie aus unserem Blog-Titel hervorgeht, können Sie ein Netzwerk, das Sie nicht sehen oder verstehen können, nicht schützen. Aus diesem Grund ist die Netzwerkerkennung das erste, was eine gute Netzwerküberwachungslösung leistet. Dadurch werden alle Teile gefunden, ein Profil definiert und ein Inventar erstellt. Noch besser ist, dass Sie die Erkennung automatisieren können, sodass die Lösung zu einem vorgewählten Zeitpunkt neue Netzwerkelemente und Geräte Ihrem Netzwerk findet und diese dann dem Inventar hinzufügt. Auf diese Weise stellen neue Geräte, Verbindungen und Netzwerksegmente keine neue Sicherheitsanfälligkeit für Ihre Umgebung dar.
Festlegung einer Performance-Baseline
Zu Ihrer Netzwerksichtbarkeit gehört das Verständnis, wie das Netzwerk bei ordnungsgemäßem Betrieb eingerichtet ist. Das ist die Performance-Baseline für Ihr Netzwerk.
Ihre Baseline sollte umfassend sein und wichtige Leistungs- und Sicherheitsbenchmarks umfassen, z. B. Nutzungsstatistiken für Speicher, CPU, Schnittstellen und Festplatte. Sobald diese festgelegt sind, können Sie Schwellenwerte festlegen, z. B. wenn eine Festplatte fast ausgelastet ist, und Warnungen erhalten, die auf Probleme aufmerksam machen, die auf ein Sicherheitsproblem hinweisen können. Überlastete Geräte können beispielsweise auf einen gefährlichen DDoS-Angriff hinweisen, der sofortige Aufmerksamkeit erfordert.
Ein weiteres Beispiel ist das Mining der Kryptowährung, die zwar nicht unbedingt ein Sicherheitsereignis ist, Ihr Netzwerk jedoch so stark verstopfen kann, dass es nicht verfügbar ist. Dieses Mining findet häufig außerhalb der Geschäftszeiten statt, wenn Mitarbeiter Ihr Netzwerk mit Bitcoin- oder anderen Kryptoverarbeitungsaufgaben laden. Die CPU- und Speicherüberwachung kann diese Aktivitäten erkennen, auch wenn Ihr Shop anderweitig geschlossen ist, und Ihnen dabei helfen, dem ein Ende zu setzen.
In diesem Fall suchen Sie zuerst Ihre CPU-Basislinie. Einige Server werden zu 90% ausgeführt, da sie effizient genutzt werden. Legen Sie daher in diesen Fällen den Schwellenwert höher fest. Wenn Ihre normale CPU-Auslastung zwischen 50 und 60% liegt, legen Sie den Schwellenwert für eine Warnung auf 90% fest. Auf diese Weise können Sie alle Ihre Server überwachen, um verdächtiges Verhalten zu erkennen und ein Gefühl dafür zu bekommen, ob die Geräte ihren aktuellen Aufgaben gewachsen sind.
Warnungen
Alle Entdeckungen der Netzwerkerkennung und Baselining in der Welt spielen keine Rolle, wenn Sie nicht auf Probleme aufmerksam gemacht werden. Wir haben gerade über Warnungen gesprochen, wenn CPUs oder andere Netzwerkelemente Schwellenwerte überschreiten. Warnungen können für alle möglichen anderen Dinge festgelegt werden, z. B. für Leistungsprobleme, überlastete Bandbreite, ungewöhnliches Verhalten und unzählige andere Elemente.
Warnungen müssen jedoch ordnungsgemäß eingerichtet werden. Erstens möchten Sie nicht Warnungen für jede einzelne Sache, die am wenigsten ungewöhnlich erscheint. Berichte können diese nachverfolgen, und wenn sie ein kritisches Niveau erreichen, können sie zu einer Warnung werden. Bei einer Alarmüberlastung wird die IT durch triviale Ereignisse abgelenkt und kann nicht immer auf Ereignisse achten, die wirklich wichtig sind.
Warnungen sollten nicht massenhaft an alle Personen gesendet werden, die Ihre Netzwerküberwachungslösung verwenden, sondern zielgerichtet auf der Grundlage der Verantwortung. Serverwarnungen gehen an das Serverteam, Anwendungswarnungen an diese Gruppe und Bandbreitenelemente an diejenigen, die Ihre Verbindungen verwalten . Warnungen können auch unterschiedliche Schweregrade haben. Die meisten Warnungen, die Sie sehen möchten, aber keine Notfälle sind, können an E-Mail- oder Kollaborationslösungen wie Slack gesendet werden, während wichtige Elemente als Text zur sofortigen Aufmerksamkeit gesendet werden können.
Konfiguration erkennen und steuern
Wussten Sie, dass laut Gartner 80% der Verstöße auf eine Fehlkonfiguration oder einen anderen Administratorfehler zurückzuführen sind?
Um Zugriff auf Netzwerke zu erhalten, konfigurieren Angreifer häufig Dienste oder Hosts neu und machen sie während des Neukonfigurationsprozesses vorübergehend nicht verfügbar. Die Netzwerküberwachung kann den Verlust des Dienstes erkennen und die böswillige Neukonfiguration finden - was den Tag rettet.
Glücklicherweise erkennt und dokumentiert eine gute Überwachungslösung Ihre Konfigurationen und kann je nach Schweregrad der Konfigurationsänderung sogar Warnungen, E-Mails oder Texte senden. Noch besser ist, dass Sie automatische Konfigurationen einrichten können, die auf definierten und bewährten Richtlinien basieren. So wissen Sie, dass die Konfiguration richtig durchgeführt wird. Wenn Sie eine Konfiguration verlieren oder Probleme damit auftreten, stellen automatisierte Sicherungen sicher, dass sie nie wirklich verloren gehen und einfach auf die richtigen Einstellungen zurückgesetzt werden können.
Konfigurationsfehler entstehen häufig durch neue Einstellungen, die von den bewährten Normen abweichen. Ihr Konfigurationsinventar und Ihre automatischen Konfigurationen kümmern sich um diese Probleme.
Sie können auch Sicherheitsrichtlinien festlegen, z. B. die Kennwortverschlüsselung aktivieren und die Einhaltung der Richtlinien sicherstellen.
Netzwerkverkehrsanalyse findet DDOS, Datenexfiltration und Dark Web-Nutzung
Viele Sicherheits- (und Leistungs-)Probleme beziehen sich auf die Bandbreite, weshalb die Netzwerkverkehrsanalyse so wichtig ist. Auf diese Weise können Sie NetFlow, NSEL, S-Flow, J-Flow und IPFIX analysieren und umfassende und detaillierte Informationen darüber erhalten, welche Ressourcen, Abteilungen, Gruppen oder sogar Einzelpersonen die Bandbreite nutzen. Diese Analyse kann ungewöhnliches Verhalten wie Botnet-Angriffe und Netzwerkübernahmen, Exfiltration von Daten durch Cyberkriminelle, DDoS-Angriffe, Data Mining, das wir zuvor besprochen haben, und sogar Mitarbeiter, die Netflix oder Amazon Prime beobachten, erkennen.
Wenn Sie eine Baseline haben, zeigt die Überwachung der Bandbreitennutzung in Echtzeit, wenn etwas nicht stimmt. Diese Funktion berichtet über historische Bandbreitentrends, sodass Sie wissen, wann Sie das Netzwerk aktualisieren müssen.
Die Netzwerkverkehrsanalyse ist auch der Schlüssel zur Sicherheitsforensik, zum Erkennen nicht autorisierter Anwendungen, zum Verfolgen des Verkehrsvolumens zwischen bestimmten Quellen- und Zielpaaren und zum Ermitteln hoher Verkehrsströme zu nicht überwachten Ports.
Mit WhatsUp Gold Netzwerk-Monitoring können Sie Administratoren benachrichtigen, wenn Benutzer auf das Dark Web zugreifen. Diese Benutzer können Tor verwenden, das freiwillige Netzwerk von Relais, über das der Dark Web-Besucher weitergeleitet werden kann, um anonym zu bleiben. Die IT kann alle Netzwerkquellen auf bekannte Tor-Ports überwachen und den Zugriff auf das Dark Web erkennen oder blockieren.
Andere wichtige Funktionen der WhatsUp Gold Software zur Netzwerküberwachung
Wie Sie vielleicht vermutet haben, sind alle in diesem Blog beschriebenen Netzwerküberwachungsfunktionen in WhatsUp Gold von Progress Software verfügbar. Hier sind drei weitere, die Sie interessieren könnten.
NetFlow – Mit der NetFlow-Funktion kann die IT-Abteilung Daten von Cisco-Geräten einfach und automatisch analysieren, um das Netzwerkverhalten zu analysieren, Sicherheitsprobleme zu erkennen und Echtzeitwarnungen für Netzwerk- und Sicherheitsprobleme einzurichten.
Protokollverwaltung (Log Management) – Die Verwaltung von Protokollen ist für die Sicherheit von entscheidender Bedeutung, für die Einhaltung von Compliance-Bestimmungen und für die genaue Darstellung, was genau passiert ist und welche Schritte unternommen wurden, als ein Sicherheitsereignis auftrat.
Geplante Compliance-Audits – Geplante Compliance-Audits - Was wäre, wenn Ihre Netzwerküberwachungslösung auch die Möglichkeit hätte, regelmäßig Audits so durchzuführen, wie es SOX, HIPAA, PCI und FISMA benötigen? WhatsUp Gold macht genau das!
Erfahren Sie mehr über die Sichtbarkeit von Netzwerken
Lehnen Sie sich zurück und lassen Sie sich von Progress-Experten alles über die Netzwerktransparenz in unserem Webinar informieren – Sie können nicht schützen, was Sie nicht sehen können.
Es gibt viel mehr in WhatsUp Gold 2021, aber nur so viel Platz hier im Blog.
Probieren Sie es aus: Laden Sie eine kostenlose voll funktionsfähige Testversion von WhatsUp Gold herunter.