Sergey Nivens - stock.adobe.com

Network Traffic Analysis mit Corelight Sensors und Zeek

Corelight entwickelt Network-Traffic-Analyselösungen, die Netzwerkdatenpakete in Protokolle und extrahierte Dateien umwandeln, um Sicherheitsbedrohungen schneller zu erkennen.

Corelight wurde von Dr. Vern Paxson, Professor für Informatik an der UC Berkeley (Chief Scientist bei Corelight), Robin Sommer (CTO) und Seth Hall (Chief Evangelist) gegründet. Ihr Ziel ist es, Netzwerke transparenter und weniger anfällig für Sicherheitsbedrohungen zu machen. Grundlage ist das Open-Source-Framework Zeek (früher Bro – eine Referenz an George Orwell‘s Big Brother).

Paxson begann 1995 mit der Entwicklung von Zeek, als er am Lawrence Berkeley National Laboratory (LBNL) arbeitete. Die Software hat sich seitdem zu einer Standardsoftware für Network Traffic Analysis (NTA) entwickelt und wird nach eigenen Angaben weltweit von Organisationen eingesetzt. Dazu gehören unter anderem Amazon, Apple, Dropbox, die Harvard University und die Supermarktkette Target.

Rohdaten verstehen und Traffic analysieren

Die Corelight-Plattform kann Netzwerk-Traffic analysieren, Anwendungen und Dateienbewegungen nachvollziehen und den Zugriff auf Daten überwachen. Hierfür setzt Corelight auf dynamische Scans, so dass man Benutzer, Dateien und Endknoten über verschiedene Verbindungen und Sitzungen hinweg erkennt.

„Eine Möglichkeit, Daten zu identifizieren und umzuwandeln, besteht darin, Verbindungen und Dateien eindeutige Session-IDs zuzuweisen, so dass Benutzer und Dateien auch über verschiedene Verbindungen hinweg verfolgt werden können“, erläutert Gregory Bell, CEO von Corelight, die Vorgehensweise.

Dies ermöglicht es zum Beispiel, bestimmte Dateien und Dateikategorien direkt aus dem Netzwerk-Traffic zu erfassen und wiederherzustellen. Die Zuweisung erfolgt aber nicht nur bei Corelight, sondern auch in vorgelagerten Produkten.

Die größte Herausforderung bei der Traffic-Analyse und beim Erkennen von Sicherheitsbedrohungen ist die Datenmenge, die überwacht werden muss. „Das ist kein Big Data, das ist Huge Data“, sagt Gregory Bell, CEO von Corelight. Doch wie lassen sich diese Daten analysieren? „Man erreicht das vor allem durch eine verbesserte Sichtbarkeit des Traffics.“

Abbildung 1: Laut Gregory Bell ist Corelight neben der Bedrohungserkennung und -beseitigung auch für das Anreichern von Log-Daten und die Beseitigung von Load-Balancing-Probleme geeignet.
Abbildung 1: Laut Gregory Bell ist Corelight neben der Bedrohungserkennung und -beseitigung auch für das Anreichern von Log-Daten und die Beseitigung von Load-Balancing-Probleme geeignet.

Eine bessere Sichtbarkeit soll durch ein Zusammenspiel von Zeek und Corelight Sensors erreicht werden. Corelight Sensors transformiert den Netzwerkverkehr beziehungsweise die übertragenen Pakete in Protokolle und extrahierte Dateien.

Die Umwandlung erfolgt über Zeek, das entweder als Open-Source-Software oder in Kombination mit Corelight Sensors mit erweiterten Features erworben werden kann. Einen Vergleich zwischen beiden Varianten und deren Features stellt der Anbieter auf seiner Website zur Verfügung.

Corelight hat sich mit Sensors und Zeek darauf spezialisiert, als eine Art Middleware zu fungieren, um Datenpakete zu aggregieren, anzureichern sowie zu transformieren und diese Daten an traditionelle Monitoring- und Security-Systeme, wie zum Beispiel SIEM-Anwendungen, zu senden. Dafür wandelt Zeek die Pakete in lesbare Daten um.

Sensors wird von Corelight in verschiedenen Appliances, als Cloud Sensor oder Virtual Sensor angeboten. Mit Corelight Cloud Sensor können Unternehmen Ihren Amazon-VPC-Datenverkehr innerhalb der AWS-Cloud überwachen. Virtual Sensors dienen der Überwachung von Netzwerk-Traffic in virtuellen Umgebungen. Die Anwendung setzt mindestens VMware ESXi 6.0 oder Hyper-V auf Windows Server 2016 voraus.

Die Appliance ist in drei Varianten erhältlich und kann je nach Rack zwischen 2 und 25 Gbit/s Traffic durchforsten und analysieren. Corelight setzt auf FPGA-Komponenten in seinen Appliances, um die Paketanalyse zu beschleunigen. Das AP-3000-Rack erreicht dabei eine Leistung von bis zu 25 Gbit/s.

Die Racks lassen sich auch zusammenfassen, um mehr Daten gleichzeitig zu überwachen. „Durch die Kombination der Appliances konnten wir eine Leistung 700 Gbit/s bei einer öffentlichen Institution in den USA erreichen. Bei einem europäischen Kunden schafften wir 300 Gbit/s“, sagt der Corelight CEO.

Netzwerkrohdaten verstehen

Anwender können mit Zeek verschiedene Analyseskripte hinzufügen, um zum Beispiel plötzliche Anomalien in Datenströmen zu erkennen. „Wir wandeln rohe Netzwerkdaten in einfach zu bedienende Protokolle um“, erklärt Bell. „Wir können diese umwandeln, selbst wenn der Datenverkehr verschlüsselt ist.“

Abbildung 2: Dr. Vern Paxson entwickelt seit fast 25 Jahren an Zeek und seiner Open-Source-Skriptsprache. Paxson ist ebenfalls Chief Scientist bei Corelight.
Abbildung 2: Dr. Vern Paxson entwickelt seit fast 25 Jahren an Zeek und seiner Open-Source-Skriptsprache. Paxson ist ebenfalls Chief Scientist bei Corelight.

Das in San Francisco ansässiges Start-up gab Mitte Oktober bekannt, dass es in einer von Insight Partners und Accel geleiteten Serie-C-Finanzierungsrunde 50 Millionen US-Dollar einsammeln konnte.

Damit summiert sich das Kapital, welches Corelight in drei Finanzierungsrunden beschafft hat, auf 84 Millionen US-Dollar. Laut CEO Greg Bell werden die neuen finanziellen Mittel vor allem in Produktentwicklung und Forschung, aber auch Vertrieb und Marketing, investiert.

Corelight stellte seine Produkte im Rahmen der IT Press Tour vor, die mehrmals im Jahr Besuche bei Start-ups und IT-Unternehmen organisiert.

Nächste Schritte

Drei zentrale Anwendungsfälle für Netzwerkanalysen.

Netzwerkanalyse: Die Angebote der Marktführer im Vergleich.

Technisches Online-Handbuch zur Netzwerkanalyse mit Wireshark.

Erfahren Sie mehr über Big Data