Security-Vorfälle erkennen und richtig bewerten
Wissen, was wirklich gefährlich ist
Nur etwa fünf bis zehn Prozent der in einem Unternehmen angezeigten Security-Vorfälle sind überhaupt relevant. Geht eine Sicherheitswarnung ein, muss die IT einiges zeitnah ermitteln: Um was für eine Bedrohung handelt es sich, ist sie neu oder bekannt, ist der Vorfall kritisch, wie etwa bei Ransomware, oder doch eher harmlos? Hier muss sie schnell entscheiden können.
Sicherheitswarnhinweise stammen in der Regel aus zwei Quellen: von einer SIEM-Lösung (Security-Information- und Event-Management) oder direkt von einer Security-Komponente, zum Beispiel einer Firewall. Das SIEM-System sammelt, speichert und bewertet sicherheitsrelevante Informationen und Daten über Sicherheitsereignisse, wie etwa unterschiedlich aufgebaute Logdaten von Betriebssystemen, Applikationen und IT-Security-Komponenten. SIEM-Technik konsolidiert sehr viele verschiedene Logdaten - die Ergebnisse sind daher oft recht überladen und SIEM als Einzellösung in manchen Fällen überlastet. Da SIEM nicht darauf ausgelegt ist, sämtliche Vorfälle zu erkennen und einzustufen, ist es für Unternehmen kompliziert, auf dieser Basis richtig zu beurteilen, was relevant ist.
Häufig kommen Warnhinweise auch von klassischen und Next-Generation Firewalls. In den meisten Fällen werden DNS-Anfragen (Domain Name System) auf Port 53 ohne intensivere Inspektion einfach durchgeleitet - die Verfügbarkeit des Services ist seit vielen Jahren oberste Priorität. Auch wenn Firewalls einen gewissen Detailschutz vor Malware, Viren oder Trojanern offerieren, ist der Umfang meist sehr begrenzt. Die IT-Organisation muss SIEM-Lösungen und Firewalls daher ergänzen: um Infrastruktursicherheit, Malware-Erkennung, einen Threat Intelligence Datafeed sowie autoritatives IP-Address-Management.
Malware herausfiltern per DNS
Auf Ebene der Infrastruktur ist das DNS ein starker Kontrollpunkt, der relevante Sicherheitsvorfälle und gefährliche Transaktionen herausfiltern kann. Jegliche Art der Internetkommunikation beruht auf Domain-Namen, jede Client-Server-Kommunikation und generell jede Kommunikation in IT-Netzwerken beginnt mit einem DNS-Lookup: Der Client fragt das DNS, unter welcher IP-Adresse sich ein bestimmter Server befindet. Diese Eigenschaft qualifiziert das DNS als Kontrollinstanz, die eine normale Transaktion von einer böswilligen unterscheiden und herausfiltern kann.
Das DNS eignet sich damit sehr gut, um Einblick in Web-Anfragen zu gewinnen und Sicherheitsrichtlinien durchzusetzen. Und da die Überprüfung vor Herstellung der IP-Verbindung erfolgt, kann das IT-Team Bedrohungen bereits in einer sehr frühen Phase erkennen - und somit noch weit vom Unternehmensnetzwerk entfernt abfangen. Eine Methode dafür sind DNS Response Policy Zones des Internet Software Consortiums (ISC RPZ). Sie legen fest, dass bösartige Domain-Namen nicht aufgelöst werden sollen.
Threat-Intelligence-Dienste können Daten aus unterschiedlichen Quellen sammeln, filtern, analysieren und in nutzbarer Form bereitstellen. Diese interne Blacklist wird dank Streaming-Analysen und maschinellem Lernen laufend aktualisiert. Sie umfasst Informationen zu Sicherheitsbedrohungen wie Cyberangriffen, aktuell erkannten Schwachstellen in Software wie Zero-Day Threats oder Sicherheitslücken in Hardwaresystemen.
Schutz vor Malware bietet darüber hinaus eine eigene DNS-Firewall (RPZ). Diese stoppt Clients, die durch Anklicken eines bedrohlichen Links oder durch Malware infiziert sind. Außerdem lässt sich die Kommunikation von Malware und APTs (Advanced Persistent Threats) über das DNS-Protokoll zu Botnets und Command-and-Control-Servern blockieren. Schließlich schreibt eine solche Lösung sämtliche Malware-Aktivitäten in Protokolldateien und erstellt Berichte, um infizierte Geräte und Angriffe zu erfassen.
Autoritatives IPAM
Um ein infiziertes Gerät im Netzwerk zu erkennen und zu lokalisieren, ist Einblick in Informationen über den realen Status quo unerlässlich: Wer ist wann und wo mit welchem Gerät und unter welcher IP-Adresse im Netzwerk eingeloggt? Denn nur so lässt sich ein möglicherweise infiziertes Endgerät identifizieren und isolieren. Dafür bedarf es eines umfassenden autoritativen IP-Address-Managements (IPAM). Die automatische Erfassung sämtlicher IP-Endgeräte mit Spezifikationen ist Grundvoraussetzung für maximale Transparenz im Netzwerk. Die IT-Organisation sollte Geräte auf Layer 2 und Layer 3 wie Switches, Router, Firewalls und Load Balancer manuell und automatisiert überwachen und kontrollieren. Zudem sollte sie neue Geräte automatisch durch Vulnerability-Scanner ermitteln. Per DHCP-Fingerprinting kann sie auch Gerätetyp oder OS-Version erkennen und so eine von einem Endgerät ausgehende Gefahr noch schneller bannen.
Sobald ein Nutzer sich mit seinem Endgerät ins WLAN oder Netzwerk eines Unternehmens einloggt, wird er vom System erfasst, und zwar inklusive Angaben wie Standort, Etage, Raum und genutztem WLAN-Hotspot. Meldet nun beispielsweise eine Firewall einen Security-Vorfall, macht es einen großen Unterschied, ob sich ein Client in der Sicherheitszone im Server-Segment oder lediglich im Gäste-WLAN eingeloggt hat - denn hier hat er weitaus weniger Zugriffsrechte und ist durch Firewalls eingeschränkt.
Autoritatives IP-Address-Management ist noch nicht weit verbreitet. Entsprechend tappen viele Security-Teams im Dunkeln, was die tatsächlich im Netzwerk vorhandenen Geräte anbelangt. Oft verfügen sie nur über eine theoretische Übersicht, die aber nicht mit den real eingeloggten Geräten abgeglichen wurde. Dabei wäre dies heute absolut notwendig, da die Anzahl der Endgeräte rapide ansteigt und IP-fähige IoT-Geräte auf dem Vormarsch sind. Zudem ist die rein manuelle Suche ein Zeitfresser: Dank Automation können die Security-Teams enorme Ressourcen einsparen und so für andere Projekte einsetzen.
Kontextinformationen kombinieren
Ist eine schädliche Transaktion festgestellt oder ein infiziertes Gerät lokalisiert, erfolgt als nächster Schritt die Bewertung. Dazu gibt es Portale, die mehrere Security-Research-Tools zusammenfassen und dadurch Kontextinformationen aus verschiedenen Quellen gleichzeitig zur Verfügung stellen, um die Untersuchung von Bedrohungen einfacher zu gestalten und zu beschleunigen. Dazu zählen Alexa, ActiveTrust, Google Custom Search, Malware Analysis und weitere - durch die Kombination profitiert der Researcher von den Stärken der verschiedenen Lösungen.
Wird beispielsweise eine IP-Adresse oder URL als bedrohlich angezeigt, kann der Researcher sie überprüfen. Mit Eingabe der URL kann der Suchauftrag parallel über mehrere Tools laufen und die Historie ist nachvollziehbar. Zudem erkennt der Researcher, ob es sich um eine neue oder bekannte Bedrohung handelt und welche Domains, Subseiten oder Bereiche befallen sind. Zu sehen ist ebenfalls, ob Malware einer IP-Adresse mehrere Domains zugeordnet hat - ein wichtiger Hinweis auf eine Bedrohung.
Eine weitere relevante Information ist, ob die Bedrohung bereits beseitigt wurde und die IP-Adresse oder URL wieder sauber ist. Grundsätzlich gilt: Je mehr Informationen über einen Security-Vorfall vorliegen, je mehr unterschiedliche Quellen man kombiniert, umso schneller kann das IT-Team den Vorfall bewerten und auf eine Bedrohung reagieren. Das Problem: Es gibt verschiedenste Security-Technologien und -Lösungen verschiedenster Anbieter, die jeweils ein spezialisiertes Segment der Sicherheitskette abdecken.
Einzelne Sicherheitsanbieter sind nicht in der Lage, sämtliche Sicherheits- sowie Compliance-Anforderungen abzudecken und auf die große Spannweite an IT-Sicherheitsvorfällen angemessen zu reagieren. Daher lohnt es sich für Unternehmen, auf das gebündelte Wissen verschiedener Hersteller zu setzen. Aus diesem Grund gibt es im Security-Umfeld zahlreiche Kooperationen und Allianzen. So ist es unter anderem für Anbieter von SIEM-Lösungen, Firewalls sowie Endpunkt-Security-Tools hochinteressant, auf die umfangreichen Netzwerkdaten aus Netzwerk-Monitoring- und IPAM-Lösungen zuzugreifen und diese mit den eigenen Ergebnissen zu synchronisieren.
Security-Lösungen für richtlinienbasierten Zugriff von Benutzern und Geräten wie beispielswiese die Cisco Identity Services Engine (ISE) lassen sich mit Daten aus autoritativem IPAM anreichern und umgekehrt. Von einer DNS-Firewall wie etwa Infoblox gemeldete Vorfälle werden automatisch weitergegeben; so kann man das infizierte Gerät in Quarantäne nehmen. NAC- (Network Access Control) und Endpunkt-Security-Lösungen erhalten Informationen über den Vorfall und können automatisiert die Bereinigung des Endgeräts durchführen.
APTs gemeinsam aufspüren
Sicherheitsanbieter wie FireEye erkennen APTs und geben missbrauchte Domains an die DNS-Firewall weiter, die diese dann automatisiert blockt. Das funktioniert auch in einer verteilten Architektur: Gefahren zentralisiert erkennen und dezentral blocken. Nur wenn verschiedene Hersteller Integrationsoptionen bieten, können IT-Organisationen die Stärken mehrerer Lösungen kombinieren.
Ein weiteres Beispiel: NAC-Lösungen wie Aruba ClearPass und ForeScout CounterACT haben keinen automatisierten Einblick in aktuelle IP-Adressdaten und das DNS. NAC-Lösungen können über Outbound-Notification-APIs wichtige IPAM-Daten erhalten, die für NAC-Richtlinien und -Reporting nutzbar sind. Unternehmen profitieren damit von konsistenten IPAM- und NAC-Datenbanken, verbesserten Funktionen und erhöhter Sicherheit.
Erfolgsrezept Integration
Grundsätzlich gilt es, die oftmals verteilte Sicherheitslandschaft mit ihren verschiedenen Bereichen wie Advanced Threat Detection, SIEM, Threat Intelligence, NAC, Schwachstellensscanner, DNS-Sicherheit und Endpoint Security zusammenzubringen. Insellösungen kosten Geld und Ressourcen - langfristig ist das keine brauchbare Strategie. Man ist gut beraten, Hersteller auszuwählen, die in vielfältigen Ökosystemen Allianzen schmieden, Integrationen mit anderen Anbietern bereits umgesetzt haben und weitere planen.
Lesen Sie mehr zum Thema
