Der Mehrwert von NDR? Dass dem Netzwerk nichts entgeht.

Es vergeht derzeit kaum eine Woche, ohne dass eine neue Sicherheitslücke die IT-Welt in Alarmbereitschaft versetzt.

Wo es Anfang des Jahres noch der Supply Chain-Angriff über SolarWinds (auch bekannt unter „Sunburst“) war, folgten im April der Exchange-Server-Exploit und nun in diesem Monat die Ransomware-Attacke auf Colonial Pipeline.

Hervorzuheben ist, dass vielen Angriffen eine Phase vorangeht, wo Angreifer unbemerkt in das Netzwerk eindringen und lange unter dem Radar der gängigen IDS/IPS-Tools bleiben. Auch mit EDR (Endpoint Detection and Response) ausgestattete Hosts werden gerne umgangen. Erschwerend kommt hinzu, dass Agenten nicht auf allen Servern installiert werden können, um kontinuierlich alle Zugriffe und Aktivitäten zu überwachen – man denke nur an DNS-Server oder IoT-Devices. Logs sind in dieser Hinsicht ebenfalls nicht zuverlässig, denn sie können manipuliert oder gelöscht werden, um unlautere Aktivitäten zu verschleiern.

Im Fall von Colonial Pipeline hat es das Netzwerk getroffen, das für die Steuerung und Kontrolle der technischen und systemrelevanten Infrastruktur zuständig war. Idealerweise sollten solche sensiblen Netzwerke von der übrigen IT-Umgebung abgekoppelt sein. In der Realität ist das oftmals jedoch nicht der Fall und eine noch so kleine Verbindung zwischen beiden Netzwerken lässt sich finden. Sobald der letzte Perimeter überwunden (oder wahrscheinlicher: umgangen) ist, steht einer Attacke nichts mehr im Weg – es sei denn, man überwacht das Netzwerk selbst.

Mehr Sichtbarkeit durch NDR

Im Gegensatz zu Logs können Netzwerkpakete weder manipuliert noch gelöscht werden, denn das würde die Datenübertragung stören. Das wiederum fällt auf. Selbiges gilt für die Übertragung ungewohnt großer Datenmengen, die Kommunikation mittels unüblicher Protokolle oder außerordentliche Zugriffe. Das Aufspüren solcher außergewöhnlichen Verhaltensweisen ist eine der Stärken von NDR (Network Detection and Response) und kann unter dem Begriff „(User) Behavior Analytics“ zusammengefasst werden. Zusätzlich ist die grundsätzliche Erhöhung der Netzwerksicherheit durch Überwachung gängiger Security-Hygiene-Praktiken möglich.

Unter dem Strich lässt sich also feststellen, dass der Schwerpunkt des Netzwerkmanagements sich zunehmend von einer reinen Betriebsbetrachtung hin zu einer Anomalie-basierten Betrachtung verschiebt. Dieser kollaborative Ansatz bedient verschiedene IT-Teams mit derselben Datengrundlage und wird auf diese Weise künftig umfassend zur Geschäftssicherung beitragen.

Eine weitere Analyse zum Colonial Pipeline-Angriff finden Sie unter diesem Link. Oder kommen Sie direkt auf uns zu: Olga Wall, Consultant für Application Performance Management oder Fabian Fink, Account Manager.

Besuchen Sie uns auch gerne auf dem BizOps-Forum, wo wir am 9. Juni einen Workshop zum Thema „amasol SecOps – a user-centric security foundation for IT-driven business outcomes” halten werden.

Olga Wall ist seit 2019 als Consultant im Application Performance Management (APM) Team von amasol tätig. In dieser Funktion berät sie Kunden zu unterschiedlichen Themen rund um netzwerkbasiertes Application Performance Management (ExtraHop, Dynatrace, IXIA, NPBs) sowie synthetisches Monitoring (Dynatrace). Darüber hinaus begleitet Olga APM-Einführungsprojekte als technische Projektleitung.

Olga studierte zuerst Materialwissenschaften und dann Informatik. Über ein Praktikum zum Abschluss ihres Informatiksstudium stieß sie zum amasol APM-Team. Dort verfasste sie auch ihre Bachelorarbeit mit dem Titel Das Verschlüsselungsprotokoll TLS 1.3 und seine Auswirkungen auf das Netzwerk-Monitoring."

In ihrer Freizeit beschäftigt sich Olga mit Brettspielen und Flamenco sowie Kammermusik, denn sie spielt selbst auch Geige.

Autorin:
Olga Wall