Sicherheit in der IT ist zur Pflicht aller IT-Nutzer geworden. Wie die letzten globalen Ransomware-Angriffe gezeigt haben, können Unternehmen sich nicht mehr auf den Status quo verlassen, um ihre Daten und Infrastruktur effektiv zu verteidigen.

Das bedeutet, dass IT-Teams und alle Teilnehmer der IT-Infrastruktur Hand in Hand arbeiten müssen. Vor allem aber sind die Security-Abteilungen und die Netzwerk-, Server- und Applikationsentwicklung nicht mehr voneinander zu trennen, wenn es um das Aufspüren und Ausbessern von Sicherheitslücken geht. Die IT-Teams, die die täglichen Aufgaben der IT-Infrastruktur mittels IP-Monitoring überwachen, sind in der idealen Position, die Sicherheit zu verbessern. Sie sollten wissen, wer sich in der Infrastruktur tummeln darf und wer nicht. Idealerweise sollten sie ebenfalls wissen, wer welche Applikationen, Ports und Elemente wann nutzen darf. Schließlich sind diese IT-Teams am ehesten in der Lage, verdächtige Aktivitäten zu identifizieren.

Des Weiteren sind die IT-Verantwortlichen dafür zuständig, aktuelle Patches auf die Systeme zu spielen; eine einfache Aufgabe, die man gerne übersieht oder verzögert, solange die Security der Systeme nicht zur Priorität erhoben wird. Die Notwendigkeit, Patches schnell anzuwenden, trat durch Ransomware wie Wannacry und Notpetya, die beide SMBv1-Schwachstellen ausnutzen, wieder ins Bewusstsein.

Darüber hinaus hat das IT-Team Zugriff auf den Datenstrom, den man benötigt, um Bedrohungen zeitnah zu erkennen und zu bekämpfen. Dieser Datenstrom, den das Netzwerk-, Server- und Applikationsteam bereits heute nutzt, um die Performance zu bewerten und Kapazitätsplanungen zu erstellen, ist eine Goldmine für Security-relevante Einblicke in die Infrastruktur. Beispielsweise können die Anwendungsbetreuer CIFS/SMB-Metriken (Common Internet File System/Server Message Block) auslesen, um herauszufinden, was letztendlich im SMB-Protokoll für die schlechte Anwendungsperformance oder unverhältnismäßige Bandbreitenentwicklung im Netzwerk verantwortlich ist.

Die Analyse des Netzwerkverkehrs erkennt Anomalien sowie typisches Ransomware-Verhalten. Bild: Extrahop

Außerdem kann man aus den CIFS/SMB-Metriken in Echtzeit Ransomware-Angriffe erkennen. Aus der Sicht der Security ist die Verhaltensanalyse bestechend, da sie nicht auf Signaturen beruht und daher nicht nur eine bestimmte Ransomware-Variante erkennt, sondern das typische Verhalten einer solchen analysiert. Wenn also beispielsweise mehrere Hundert Rewrites pro Minute auf einem Shared Drive erfolgen, kann man davon ausgehen, dass es sich um Ransomware handelt. Sicherheitsverantwortliche müssen daher sowohl Zugriff auf diese wichtigen Daten als auch auf die Erfahrung der Netzwerkteams erhalten. Ein Netzwerkanalysesystem hilft dabei, die Mauern zwischen dem Netzwerk- und dem Sicherheitsteam einzureißen. Dazu sollten Sicherheitsverantwortliche essentielle Informationen aus dem Datenverkehr erhalten, um eine gemeinsame Ansicht der Netzaktivitäten zu haben.

Ein gutes Beispiel dafür sind Abwehrprozesse im Falle eines Ransomware-Angriffs. Wenn das Netzwerkteam per Verhaltensanalyse eine Attacke bemerkt, wird automatisiert per Servicenow oder ähnlichen Systemen ein Ticket erzeugt und ein automatisierter Prozess in Gang gesetzt, der infizierte Netzwerk-Ports blockt oder in Quarantäne setzt.

Netzwerkanalysen sind zudem auch sehr hilfreich, um in Zusammenarbeit mit Netzwerk- und Security-Teams zu definieren, was „normales” Netzwerkverhalten eigentlich ist, und wann verdächtiges Verhalten zum Handeln veranlasst. In der Zusammenarbeit können sie mithilfe von Dashboards festlegen, wann DNS-, SSH- oder FTP-Aktivitäten ungewöhnlich sind, und auf einen möglichen Datendiebstahl hinweisen.

Analyse-Tools helfen zudem den Security-Teams, zu sehen, wer sich im Netzwerk aufhält, welche Server noch SMBv1 im Einsatz haben, welche SSL-Zertifikate man benutzt, wann diese auslaufen und welche Art von Verschlüsselung sie nutzen. Ein gutes Analyse-Tool ist wie ein kontinuierliches vollautomatisiertes Compliance- und Auditing-Tool, welches täglich rund um die Uhr Ergebnisse liefert.

Anstatt also auf den nächsten Ransomware-Angriff zu warten, ist es für die IT-Teams notwendig, sich zusammenzuschließen und koordinierte Prozesse und Abwehrmaßnahmen auf den Weg zu bringen. Schließlich verfügen alle Abteilungen über wertvolle Informationen, die es lohnt zu teilen, um gemeinsam im Unternehmen an einer besseren Sicherheit und einem besseren Monitoring der IT-Infrastruktur zu arbeiten.

Christian Buhrow ist Sales Director DACH bei Extrahop, www.extrahop.com.