Netzwerksicherheit

Vorsicht vor Momentaufnahmen

18.02.2018
Von 


Der Diplom Ingenieur Rainer Singer ist Sales Engineering Manager Central Europe bei Netskope. Er verfügt über langjährige Erfahrung im Systems- und Security-Engineering-Bereich und war unter anderem bei SE Manager CEUR bei Infoblox, bei F5 Networks als Systems Engineer und bei Integralis als Technical Consultant tätig.
Zeit ist ein kritischer Faktor, wenn es um den Schutz von Netzwerken geht. Wir sagen Ihnen, was Sie tun müssen, um Bedrohungen effektiv auf die Spur zu kommen.

Jeder Laptop, jedes Handys, jedes Tablet: Das Erste, was sämtliche Geräte tun, wenn ein User beispielsweise seine Mails abruft oder andere webbasierte Anwendungen startet, ist die Abfrage des entsprechenden Domain Name System (DNS) Servers.

Doch wen verbindet die DNS-Kommunikation eigentlich miteinander? Was sind die Inhalte der DNS-Requests? Und gibt es unter Umständen versteckte Datenpakete, die in DNS-Anfragen eingebettet sind, um unbemerkt Informationen zu transportieren - sprich Malware zu verbreiten oder Daten zu stehlen?

Netzwerksicherheit: Was Sie tun müssen, um vor kriminellen Hackern verschont zu bleiben.
Netzwerksicherheit: Was Sie tun müssen, um vor kriminellen Hackern verschont zu bleiben.
Foto: dotshock - shutterstock.com

Ungebetene Gäste im Netzwerk

Besorgniserregende Fragen - besonders dann, wenn es in Unternehmen kein konsistentes Logging oder Reporting über die DNS-Kommunikation gibt. Was vielerorts leider der Fall ist. Die Folge: Organisationen sehen nicht, was eigentlich über das Domain Name System angefragt wird – und auch nicht, durch wen. Das birgt große Risiken, denn clevere kriminelle Hacker missbrauchen die Netzwerkkomponente DNS, eigentlich zuständig für die Auflösung von Namen (etwa URLs) und IP-Adressen, auf immer raffiniertere Weise als "Türöffner" zu den Netzwerken ihrer Opfer.

Wie aber feststellen, ob bösartige Domains an der DNS-Kommunikation beteiligt sind, die in Verbindung mit Command-and-Control-Servern, Phishing-Webseiten oder Malware stehen? In erster Linie bieten sich an dieser Stelle zwei Lösungswege an:

  • der Abgleich von Anfragen an Server der eigenen Organisation mit kontinuierlich aktualisierten Datensätzen bekannt böswilliger Domains.

  • die Erstellung von Risikoprofilen durch sensible DNS Security Software, die nach typischen Charakteristika verdächtiger Anfragen sucht und diese isoliert, bevor sie den Ziel-Server erreichen.

So sind auch verdächtige Anfragen, die bislang noch nicht in einem Threat-Intelligence-Feed verzeichnet sind, rechtzeitig zu identifizieren – und können ausgebremst und umgehend in die Threat-Verzeichnisse aufgenommen werden.

Riskante DNS-Kommunikation

Die Betonung liegt dabei auf dem Wort 'rechtzeitig'. Denn der wichtigste Faktor, um das eigene Netzwerk vor dubiosen Anfragen zu schützen, deren Muster zum Beispiel auf Zero-Day-Attacken oder Data Exfiltration schließen lassen, ist: Zeit. Auch solche DNS-Verhaltensanalysen, die einen fundierten "Threat Insight" ans Licht bringen sollen (ohne bereits auf einen Threat Intelligence Feed zurückgreifen zu können), müssen mit extrem kurzen Reaktionszeiten oder idealerweise in Echtzeit arbeiten.

Hintergrund: Riskante DNS-Kommunikation muss umgehend unterbrochen, umgeleitet (etwa auf eine Alert-Seite) oder in Quarantäne genommen werden, wenn Anfragen "Alarmsignale" enthalten, wie etwa einen hohen Anteil an Hex-Codes statt lesbarer Inhalte und weitere Anomalien. Anderenfalls könnte die Anfrage ihren Zielserver erreichen und nur noch im Nachgang als bösartig dokumentiert werden – zu spät für das gekaperte Netzwerk. Besonders groß ist das Risiko dann, wenn keine automatisierten Prozesse etabliert sind und im entscheidenden Moment keine manuelle Intervention erfolgt.

Es gilt also sicherzustellen, dass nicht einfach Namen in Adressen aufgelöst werden und mögliche versteckte Inhalte an Firewalls und Co. vorbeigeschleust werden. Der entscheidende Check findet bereits im Vorfeld statt - und das möglichst in Realtime: Ist der betreffende Name eigentlich gut- oder bösartig? Nicht umsonst gibt rund die Hälfte der Befragten einer Studie des Ponemon Institute an, dass die Aussagekraft von Threat-Intelligence-Analysen immer nur wenige Minuten umfasse. Kontinuierliche Datenaktualisierung und permanente Analyse statt gelegentlicher und schnell überholter Momentaufnahmen sind also dringend angezeigt.

Netzwerkfunktion Security

Bei immer komplexeren IT-Umgebungen und folglich immer mehr DNS-Kommunikation steht fest: Mit manuellen Prozessen alleine lässt sich konsistente und tiefgreifende DNS-Verhaltensanalyse nicht mehr gewährleisten. Alleine die ständig steigende Anzahl eingebundener Geräte sorgt dafür, dass Unternehmen ihre Endpunkte trotz Next Generation Firewalls oft nicht mehr im Blick behalten können.

Bestes Beispiel: IoT-Devices, die selbst über keine Management Software verfügen und für die keine regelmäßigen Patches vorgesehen sind. Immer mehr Netzwerke sind zudem automatisiert, was eine Automatisierung der Netzwerk-Steuerung und -Kontrolle obligatorisch macht. Insgesamt sollte IT-Sicherheit daher konsequenterweise als Netzwerkfunktion gedacht werden und nicht als reine Client-Thematik. Um Kunden bei der Umstellung von manueller auf automatisierte Netzwerk-Kontrolle und Fehlerbehebung zu unterstützen, arbeiten inzwischen zahlreiche Hersteller zusammen.

Dass das Thema bereits große Relevanz hat, zeigt ein weiterer Blick auf die bereits genannte Ponemon-Untersuchung: 47 Prozent der Befragten setzen bei Threat Investigation in ihren Unternehmen bereits auf automatisierte Prozesse oder auf hybride Ansätze, die manuelles und automatisiertes Vorgehen verbinden. Bedenklich aber ist dabei, dass 46 Prozent der Befragten sich nach wie vor auf manuelle Prozesse verlassen – ein Risikofaktor, der täglich mit der Digitalisierung der Unternehmensprozesse wächst. Wer beim Thema Netzwerksicherheit Automatisierung und einen kontinuierlichen Echtzeit-Ansatz integriert, macht es ungebetenen Gästen deutlich schwerer, sein Netzwerk zu entern. (fm)