Gewusst wie: Verbessern Sie Ihre Netzwerk-Überwachungsfunktionen ohne Malware-Erkennung | enterprise.netscout.com

Gewusst wie: Verbessern Sie Ihre Netzwerk-Überwachungsfunktionen ohne Malware-Erkennung

12. Januar 2016

Antivirus- und Antimalware-Software sind schon lange die Standard-Schutzmaßnahme von Netzwerk-Sicherheitsspezialisten, mit denen sie Angreifer ausfindig machen und abwehren. Leider gibt es einige Probleme mit dieser Methode, sowohl aus der Hacker-Sicht als auch aus der Sicht des Administrators. Während Antivirus-Software außergewöhnlich gut ist, bekannte Malware zu erkennen und blockieren, werden neue Bedrohungen, die noch nicht von Entwicklern von Antivirus-Software identifiziert worden sind, allgemein nicht erkannt und können in der Regel unerkannt und unbehindert durchschlüpfen.

Netzwerk-Administratoren sind konfrontiert mit einer steigenden Zahl von Benutzern und Geräten. Sie benötigen eine Möglichkeit, Eindringlinge auch ohne die Anwesenheit von verräterischer Malware zu erkennen.

Legitime Tools ersetzen Malware für den Netzwerkzugriff

Aus Sicht der Hacker ist es sinnlos, ein Tool zu entwickeln und davon abhängig zu werden, das nur eine sehr kurze Lebensdauer haben wird. Genau wie der Entwickler der legitimen Software muss der Hacker eine Rendite sehen, damit sich seine Anstrengungen lohnen. Das bedeutet, dass die ausgefeilteren und ernsteren Hacker völlig auf das Konzept der Malware verzichten. Daher kann man sich nicht mehr allein auf Antivirus- und Antimalware-Software verlassen, dass diese die eingehenden Bedrohungen feststellen und stoppen.

Statt des fiesen kleinen Virus, Trojaners oder Wurms verwendet der fortgeschrittene Hacker von heute legitime Tools, die die Antivirussoftware für lediglich eine weitere gutartige Software-Anwendung hält, die harmlos im Netzwerk ausführt. Genau wie bei Malware verwenden Hacker legitime Tools wie Remote Management-Anwendungen und Skriptmodule, um die gleichen Dinge zu tun, für die sie früher Malware verwendet hatten: einbrechen und die Anmeldeinformationen eines Benutzers stehlen, Passwörter knacken, Passwort-Hashes dumpen und dann remote Desktop-Tools einsetzen, um von einem System zum nächsten zu springen, um ihre Diebstähle und ihr Chaos zu verbreiten. Die meisten Hacker verstehen, dass ihr Angriff im Endeffekt entdeckt und beendet wird. Sie wollen einfach die Tools verwenden, mit denen sie für längere Zeit mehr Unfug anstellen können.

Konten mit Zugriff auf höhere Ebenen müssen stärker als durchschnittliche Benutzer überwacht werden, aber es muss auch eine Grundlinie für normales Verhalten über das gesamte Netzwerk eingerichtet werden.

Schutz vor der neuen Malware-freien Attacke

Wie können Unternehmens-IT-Abteilungen diese neue „legitimierten“ Angriffe identifizieren und sich davor schützen? Zuerst müssen sie aufhören, sich auf Malware- und Antivirusschutz zu verlassen. Diese Werkzeuge sind Krücken, die Netzwerkadministratoren veranlassen können, sich fälschlicherweise in Sicherheit zu wiegen, da die Antivirensoftware keine Angriffswarnung signalisiert.

Stattdessen sollte Sicherheit eine rigorose und intelligente Überwachung der Netzwerkleistung beinhalten. Bei dieser Methode wird die Grundlinie normaler Netzwerkaktivität bestimmt und anschließend werden Warnungen festgelegt, wenn die Normen überstiegen werden, was einen Angriff bedeuten könnte.

Je länger Sie sich mit dem Erstellen der Grundlinien befassen, desto besser wird Ihr neues Erkennungssystem für legitimierte Angriffe. Am besten sollten mehrere Wochen oder Monate Überwachung integriert werden, so dass man eine gute Basis für normale Arbeitstage, Nächte und Wochenenden schafft, und sogar sehen kann, wie die Netzwerkaktivität zu Urlaubszeiten aussieht. Die Lösung für die Netzwerkleistungsüberwachung sollte nach Anomalien wie einem Schwarm von ungültigen Kennwort-Versuche oder ungewöhnlichen Tätigkeiten mit hochsensiblen und/oder selten genutzten Dateien und Ordnern suchen. Je höher die Benutzerebene und je kritischer die betroffenen Werte, die die Anomalie einbezieht, desto geringer sollte der Schwellenwert für die Warnung vor einer potentiellen Bedrohung sein. Mit anderen Worten, lassen Sie es nicht durchgehen, wenn ein Admin-Konto 3 fehlerhafte Kennwortversuche anzeigt, selbst wenn Ihr Schwellenwert für ein durchschnittliches Benutzerkonto 5 oder 6 ist.

Wenn Sie keine Benutzer haben, die um 04:00 Uhr von der anderen Seite der Welt auf Daten zugreifen sollten, sollte auch nur ein Zugriffsversuch unter diesen Umständen eine rote Fahne auslösen.

Was macht eine gute Netzwerküberwachungs-Lösung zum Schutz vor Hackern aus?

Hier sind die Faktoren, die bei der Festlegung von Grundlinien und Schwellenwerten für Warnungen an IT über Anomalien einbezogen werden sollten:

  • Ursprung des versuchten Zugriffs. Für Risikogebiete ist ein niedrigerer Schwellenwert festzulegen. Wenn Sie keine Interessen in Regionen mit hohem Risiko haben, wird ein Schwellenwert von eins empfohlen.
  • Wie oft die Anomalie auftritt. Sieht es aus, als sei es ein frustrierter Benutzer oder etwas Unheilvolleres?
  • Das Timing der Anomalie. Wenn sie mitten in der Nacht auftritt, wenn nur wenige Benutzer auf das Netzwerk zugreifen sollten, ist das verdächtiger als eine schwerere Verletzung der Schwellenaktivität während der Tagesmitte.
  • Die Dauer der Anomalie. Überschreiten die Zugriffsversuche das, was man von einem Benutzer erwarten würde, der einfach sein Kennwort vergessen hat?
  • Die Quelle der Anomalie. Handelt es sich um einen hochrangigen Benutzer mit Zugriff auf streng geheime Daten? Ist es ein fortgeschrittener Benutzer, der nicht vergesslich ist oder nie sein Kennwort mehrmals falsch eingeben würde?
  • Das Muster der Anomalie. Ein Benutzer navigiert in der Regel direkt zu der Aktivität, die er geplant hat. Ein Angreifer bewegt sich systematisch so durch das Netzwerk, wie das kein normaler Benutzer tun würde.

Offensichtlich ändert sich die Landschaft der Netzwerksicherheit ständig, und Ihr CIO und Ihre Tech-Teams müssen darauf vorbereitet sein. Weitere tolle Ideen finden Sie im CIO Brief über Netzwerk-Performance, Sicherheit, Trends, Technologien und Weiteres.

 
 
Powered By OneLink