photobank.kiev.ua - Fotolia

Monitoring des ausgehenden Netzwerk-Traffics: Darauf müssen Sie achten

Der ausgehende Traffic ist eine Schwachstelle vieler Unternehmens-Netzwerke und ein wichtiger Angriffsvektor. Wir zeigen, wie Sie die Löcher stopfen.

Als Folge der massiven DDoS-Attacken (Distributed Denial of Service), die durch kompromittierte Router und IoT-Geräte (Internet of Things) möglich wurden, sprechen sich viele Verantwortliche für ein besseres Monitoring des ausgehenden Traffics aus. Außer auf potenzielle Daten-Exfiltration, unberechtigte Uploads und Internetzugriffe, die gegen die geltenden Firmenrichtlinien verstoßen, muss sich die Aufmerksamkeit der Unternehmen nun ebenfalls auf Systeme und Protokolle richten. Das sind beispielsweise ihre drahtlosen Hotspots, Multifunktionsdrucker und anderen Geräte, die bislang als nicht kritisch galten.

In einem typischen Netzwerk finden derart viele Aktivitäten statt, dass die meisten Menschen höchstwahrscheinlich nicht wissen, was direkt vor ihren Augen passiert. Davon zeugen die unzähligen bestätigten Vorfälle und Datenlecks, die aufgetreten sind. Nach Angaben von Skyhigh Networks Inc. werden in einem beliebigen Enterprise-Netzwerk mehr als 1.400 Cloud-Services genutzt. Dabei handelt es sich um legitime (aber nicht unbedingt genehmigte oder unterstützte) Anwendungen.

Hinzu kommen die ganzen Diskussionen um Malware, Hacking und Sicherheitsherausforderungen, die durch ungepatchte oder falsch konfigurierte Systeme entstehen. Alle diese Faktoren sind Ausdruck einer sich verändernden Realität, die jeden betrifft. Mit anderen Worten: Man kennt nicht, was man nicht weiß.

Ein weiteres Ergebnis der Untersuchungen von Skyhigh Networks zeichnet ein noch komplexeres Risikobild. Demnach ignorieren 32 Prozent der IT-Fachleute Sicherheitswarnungen aufgrund der vielen False Positives. Wie können Unternehmensleiter erwarten, dass die Informationssicherheit in ihrer Organisation effektiv gehandhabt wird, wenn ihre Mitarbeiter nicht wissen, was wo ist, wer was macht und welches Maß an Geschäftsrisiko dadurch ermöglicht wird? Einfach gesagt: Das funktioniert nicht.

Bevor sich die Experten für Enterprise-Sicherheit auf den ausgehenden Netzwerk-Traffic konzentrieren, sollten sie sich fragen, ob ihre Methoden die Ausgaben erhöhen oder zur Einstellung von mehr Mitarbeitern führen könnten. Im Rahmen meiner internen Sicherheitsprüfungen und Penetrationstests setze ich häufig OmniPeek ein, um ungewöhnlichen Traffic an den Ein- und Ausgangspunkten aufzuspüren.

Es kommt kaum vor, dass man – insbesondere im ausgehenden Traffic – keine Auffälligkeiten feststellt. Oft finde ich geschwätzige Geräte, wo keine sein sollten (etwa Rechner von Benutzern), und erkenne Kommunikation mit dubiosen ausländischen Staaten. Beides kann zu nicht autorisiertem Netzwerkverhalten und Malware-Infektionen führen. Das ist ein einmaliger Test und Machbarkeitsnachweis in meinen Überprüfungen. Für ein umfangreicheres Sicherheits-Monitoring des Netzwerks benötigen Unternehmen Tools und Prozesse, die den kontinuierlichen Einblick bieten können, der notwendig ist, um die Risiken auf lange Sicht zu minimieren.

Im Folgenden finden Sie einige Beispiele für ausgehenden Traffic, die auf potenzielle Sicherheitsrisiken hinweisen:

  • SSL/TLS- oder andere verschlüsselte Verbindungen – besonders solche, die zu unbekannten Systemen führen oder von ihnen kommen.
  • Netzwerkfehler und Protokollanomalien, zum Beispiel verworfene Pakete, Authentifizierungsfehler und erhöhter DNS-Traffic (Domain Name System) oder NTP-Traffic (Network Time Protocol).
  • Ungewöhnliche oder nicht unterstützte Protokolle, die von Netzwerksegmenten stammen, die für Drucker, drahtlose Gastsysteme und andere, kaum auffallende Systeme reserviert sind.
  • Bedrohungen auf Anwendungsebene, etwa Traffic von Advanced Persistent Threats (APT) und Zero-Day-Angriffen, einschließlich DNS-Lookups an unbekannte Server, Kommunikation mit Hosts im Ausland und umfangreichen Traffics zu und von einer kleinen Anzahl von Hosts.

Nach meinen Erfahrungen mit der Analyse von Firewall-Regeln verzichtet ein Großteil der Sicherheits- und Netzwerkteams in Unternehmen darauf, ausgehenden Traffic an der Firewall zu blockieren. Häufig gilt der damit verbundene Aufwand als zu groß – zu viele Dinge gehen schief, was zu etlichen Beschwerden und Anrufen für IT- und Sicherheitsteams führt. Bestimmte, als Ausgleich gedachte Kontrollmöglichkeiten, beispielsweise Zugriffssteuerungslisten, Proxies und Routing-Konfigurationen, können diesen Traffic begrenzen. Allerdings ist das kein absolut sicherer Ansatz und kann sich, ähnlich wie Firewall-Regeln, als mühsam und umständlich erweisen.

Spezielle Technologien, etwa Web-Proxies, Next-Generation Firewalls (NGFW) und Cloud Access Security Broker (CASB), eignen sich, um ausgehenden Traffic auf ungewöhnliches Verhalten zu überwachen. Netzwerk-Analyzer und forensische Rekorder können außerdem eingesetzt werden.

Der vielleicht klügste Ansatz, um diesem wachsenden Risiko zu begegnen, besteht darin, diese Funktion an einen Anbieter von Managed Security Services auszulagern. Ich bin kein großer Fan davon, dass IT- und Sicherheitsfachleute neue Zuständigkeiten übernehmen, denn genau in dem Moment müssen Sie dafür etwas anderes aufgeben oder erledigen beides, allerdings weniger effektiv.

Fazit

Für welche Maßnahmen Sie sich auch immer entscheiden: Das durch ausgehenden Traffic entstehende Risiko muss Ihnen bewusst sein. Er muss nicht nur überwacht werden, sondern auch zur Kenntnis genommen und, wo es praktikabel ist, blockiert werden. Ausgehender Netzwerk-Traffic war eine der ursprünglichen Schwachstellen, die Unternehmen in den frühen Tages des World Wide Web versucht haben zu kontrollieren.

Heute ist er nach wie vor eine der wenigen Grenzen der Netzwerksicherheit, die wir noch zu bewältigen haben. Sofern und solange wir das nicht schaffen, werden Kriminelle diese Schwachstelle weiter ausnutzen, und unsere derzeitigen Sicherheitsherausforderungen werden sich zu komplexeren und schwieriger zu lösenden Problemen entwickeln.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

So finden Sie das beste Tool für das Netzwerk-Monitoring

Korrumpierten Datenverkehr trotz Verschlüsselung aufdecken

DNS als leichtes Ziel für Hacker: Über Angriffsarten und Sicherheitsvorkehrungen

Datenschutz: Sicherheits-Monitoring statt Mitarbeiterüberwachung

Erfahren Sie mehr über Netzwerksicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close