Erkennung von Anomalien im Netzwerk: Das entscheidende Antimalware-Tool

Wenn sich Unternehmen gegen fortschrittliche Malware verteidigen wollen, müssen Sie Tools einsetzen, die nach Anomalien im Netzwerk-Traffic scannen.

Im ersten Teil haben wir erfahren, dass Firewalls, IDS und IPS alleine kein angemessener Schutz gegen fortschrittliche Malware sind. Advanced Malware ist speziell dafür entwickelt, diese Komponenten zu umgehen. Firewalls, IDS und IPS verwenden Signaturen und Richtlinien, die nach dem Prinzip „bekannte Bedrohungen und Aktivitäten“ funktionieren. Das kann natürlich effizient sein, um damit Datenklau zu verhindern, nachdem die Malware im Netzwerk ist. Es ist allerdings wirkungslos, um das Eindringen der Malware in das Netzwerk zu verhindern.

Aus diesem Grund muss sich der Fokus verschieben. Die Security-Teams dürfen nicht mehr nur versuchen, die Malware an den Netzwerkgrenzen erkennen und abwehren zu wollen. Man muss bei der Planung auch davon ausgehen, dass man möglicherweise nicht sämtliche Malware-Bedrohungen an den Grenzen entdecken und abweisen kann. Stattdessen sind Sicherheits-Tools erforderlich, die sich auf das Innere des Netzwerks konzentrieren. Sie müssen entsprechende Leistungsmerkmale besitzen, um Anomalien darin zu entdecken.

Dieser erweiterte Fokus bedeutet auch, dass man alle für das Unternehmen wichtigen Betriebsmittel identifizieren muss. Am besten ist dafür eine IT-Risikobewertung geeignet. Danach überwacht man diese Betriebsmittel, ob sie sich ungewöhnlich verhalten. Wenn plötzlich Tausende an Transaktionsaufzeichnungen der Kreditkartennummern von Kunden durch die Firewall nach draußen fließen, sollte man darüber nicht besser informiert und der Vorgang gestoppt werden?

Analyse des Netzwerk-Traffics mittels IP Flow

Eine Analyse des Netzwerk-Traffics, der auf IETF Internet Protocol Flow und IPFIX-Protokoll (Information Export) basiert, ist ein möglicherweise unzureichend genutztes Tool. Es kann aber dabei helfen, ungewöhnliches Verhalten zu identifizieren, das Malware innerhalb des Netzwerks verursacht. Das funktioniert auch dann, wenn der Schadcode Verschlüsselung verwendet, um sich zu verstecken.

Die Analyse des Netzwerk-Traffics oder des Netzwerkflusses ist eine, die auf dem Konzept von IP Flow (Internet Protocol Flow) basiert.

Man untersucht jedes IP-Paket nach gewissen Attributen, das innerhalb eines Routers oder Switches weitergeleitet wird. Diese Attribute stellen die Identität des IP-Pakets oder den Fingerabdruck dar. Somit lässt sich ermitteln, ob das Paket einzigartig oder ähnlich zu anderen Paketen ist.

In der Regel basiert ein IP Flow auf einem Satz von fünf bis sieben Attributen bei den IP-Paketen. Diese sind:

  • IP-Adresse der Quelle
  • IP-Adresse des Ziels
  • Quell-Port
  • Ziel-Port
  • Art des Protokolls auf Layer 3
  • Klasse des Services
  • Schnittstelle des Routers oder des Switches

Alle Pakete, bei denen Quell- und Ziel-IP-Adresse, Quell- und Ziel-Port, Schnittstelle des Protokolls und Klasse des Services gleich sind, werden in einem Fluss gruppiert. Dann sieht man nach, ob sich Pakete und Bytes decken. Diese Fingerabdruckmethode oder der Vergleich des Flows ist skalierbar, weil eine große Menge der Netzwerkinformationen in einer Datenbank zusammengefasst werden, die man auch Cache nennt.

Die Computeranalyse für den Netzwerk-Traffic beruht deswegen auf dem Sammeln und der Analyse von IP-Datenflüssen, um damit die Charakteristiken der gerade stattfindenden Netzwerkkommunikation zu bestimmen.

Der Fluss der Information ist aus mehreren Gründen extrem nützlich, um das Netzwerkverhalten zu verstehen.

  • Die Adresse des Ziels verrät, wer den Traffic empfängt.
  • Die Ports charakterisieren die Applikation, die den Traffic verursacht.
  • Die Klasse des Services sagen etwas über die Priorität des Traffics aus.
  • Die Schnittstelle des Geräts lässt darauf schließen, auf welche Weise das Netzwerkgerät den Traffic benutzt.
  • Die verglichenen Pakete und Bytes zeigen die Menge des Traffics, die zwischen den Punkten im Netzwerk fließen.
  • Flussinformationen ermöglichen Betriebssystemidentifikation, inklusive der Erkennung von unseriösen Betriebssystemen.
  • Die Flussinformationen erlauben zusätzlich die Identifizierung von häufig verwendeten Anwendungen.
  • Der Netzwerk-Traffic unerwünschter Anwendungen und Applikationen lässt sich ebenfalls ermitteln.
  • Mithilfe Flussinformationen lässt sich die Bandbreitennutzung identifizieren und somit unerwartete oder übermäßige Nutzung der Bandbreite ermitteln.

Malware durch ein Netzwerk-Traffic-Baseline erkennen

Die angesprochenen Informationen zum Netzwerkfluss ermöglichen es, eine Basis zu schaffen, die das normale Verhalten des Netzwerk-Traffics widerspiegelt. So ein Ausgangswert (Baseline) erleichtert das Erkennen von unerwünschtem oder ungewolltem Verhalten. Dazu gehört auch schädliche Aktivität, die durch fortschrittliche Malware verursacht wird. 

Anders gesagt kann ein Unternehmen so ermitteln, ob das Konto eines Anwenders große Mengen an E-Mail-Daten versendet, was etwa durch ein Botnet gesteuert wird. Natürlich ist das auch für große Mengen an Daten mit geistigem Eigentum denkbar, die das Netzwerk verlassen wollen. Vergleicht man dies mit der ermittelten Basis an Aktivitäten, sehen solche Datenübertragungen nicht normal aus.

Ähnlich verhält es sich, wenn ein Anwender eine Arbeitsstation mit einem anderen Betriebssystem startet. Das könnte zum Beispiel eine virtuelle Maschine sein. Ein Analyse-System für das Netzwerk könnte so ein Verhalten ebenfalls erkennen.

Verfügbarkeit

Die meisten modernen Router und viele Layer-3-Switches unterstützen das Protokoll NetFlow von Cisco oder das Protokoll IPFIX. Eines davon oder beide sind Voraussetzung, um die oben angesprochene Baseline für den Netzwerk-Traffic zu erstellen. Immer mehr Router und Switches unterstützen beide Protokolle.

Nun muss man Sammel- und Analysesysteme implementieren, die eine Analyse des Netzwerk-Traffics erlauben. Dabei ist natürlich im Auge zu behalten, welche Protokolle die entsprechende Infrastruktur unterstützt. Die Kosten für diese Sammel- und Analysesysteme rangieren von Null (Open Source) bis zu mehreren Hunderttausend Euro (kommerzielle Produkte). Die Kosten für kommerzielle Technologie hängen natürlich vom Umfang ab.

Vertrauenswürdiges Gateway

Netzwerk-Traffic lässt sich nicht überwachen, wenn man ihn nicht sehen kann. Erwägen Sie deswegen, sämtlichen Internet-Traffic des Unternehmens durch ein einzelnes, vertrauenswürdiges Gateway-System zu leiten und dann den Traffic kontinuierlich zu überwachen.

Die Exekutive der US-Regierung hat beispielsweise mit der Initiative TIC (Trusted Internet Connections) genau das realisiert. Die 110 ausführenden Abteilungen und Agenturen haben mehr als 8.000 weltweite Internetverbindungen in weniger als 100 Gateways konsolidiert, die immerzu überwacht werden. Weniger Eintrittspunkte machen das Monitoring einfacher und man kann besser kontrollieren, was in das Netzwerk gelangt. Für Malware ist es auf der anderen Seite schwieriger, durchzuschlüpfen.

Zusätzliche zum vertrauenswürdigen Gateway ins Internet, setzt TIC diverse Komponenten für das Security-Management und technische Kontrollmechanismen voraus. Dazu gehören:

  • Applikations-Proxy-Server für bidirektionale Inspektion von Anwendungen, die für Web, E-Mail und Dateiübertragungen zuständig sind.
  • Ein Security Information and Event Management System (SIEM), um Sicherheitsereignisse über alle Security-Geräte hinweg aggregieren, in Beziehung stellen und analysieren zu können.
  • Das Security Operations Center, das auf Alarme von Gateway-Geräten und vom SIEM reagiert. Es agiert als Frontend für das Vorfalls-Management.

Sie implementieren am besten ein einzelnes, vertrauenswürdiges Gateway in Ihrem Netzwerk. Dort überwachen Sie mit Umsicht den Traffic, der darüber fließt. Behalten Sie allerdings im Hinterkopf, dass Sie weiterhin nach sowohl herkömmlicher Malware als auch fortschrittlicher Malware Ausschau halten müssen. Anders gesagt ist es entscheidend, dass Sie die Kontrollmechanismen für die IT-Sicherheit über den momentanen Perimeter erweitern. Das bedeutet, dass Sie zusätzlich zu den existierenden Security Tools solche einsetzen, die Anomalien im Netzwerk erkennen können.

Über den Autor:
Peter Sullivan hat seine Karriere in den Bereichen Netzwerke, Informationssicherheit und Incident Response beim Militär der USA begonnen. In den vergangenen zehn Jahren hat Sullivan unter anderem Kurse zu Risikomanagement, Informationssicherheit, Vorfallsreaktion in Sachen Computer Security und digitale Forensik im Software Engineering Institute an der Carnegie Mellon University gegeben. Außerdem ist er Partner bei InfoSecure Solutions. Die Consulting-Firma ist auf IT-Risikomanagement und Planung für die Vorfallsreaktion spezialisiert. Sullivan ist mit den Zertifizierungen CISSP und CERT/CC Computer Security Incident Handling (CSIH) ausgezeichnet.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Netzwerksoftware