Case Study
datenhain: Interner Netzwerkverkehr sicher im Blick
Bisherige einfache IT-Security-Lösungen haben oft Schwächen und Cyber-Attacken bleiben über längere Zeit unentdeckt. Deshalb sind IDS-/IPS-Systeme für eine Überwachung des Netzwerkverkehrs sinnvoll, aber auch komplex und aufwendig in der Administration. Der Berliner IT-Dienstleister datenhain GmbH verfolgt einen anderen Weg: Mit dem praktikablen cognitix Threat Defender von genua wird der Datenverkehr in Echtzeit überwacht, um Gefahren innerhalb von Netzen zu erkennen und abzuwehren und somit hinter den Perimeter-Firewalls für zusätzliche IT-Sicherheit zu sorgen.
Bisherige Sicherheitskonzepte legen den Hauptfokus darauf, Angreifer aus dem eigenen Netz fernzuhalten. Dem internen Netz wird dagegen vertraut und der Netzwerkverkehr wird nur selten überwacht und analysiert.
André Hermbusch, Geschäftsführer, datenhain GmbH
datenhain GmbH: IT-Sicherheitsdienstleistungen für Unternehmen
Das Unternehmen berät und unterstützt seit über zehn Jahren kleine und mittelständische Unternehmen zu den Themen IT-Infrastruktur und IT-Sicherheit. Das Problem: Immer ausgefeiltere und gut verschleierte Angriffsmethoden verwenden häufig Standardprotokolle, sind oft verschlüsselt und werden von signaturbasierten Systemen mit statischen Regeln nicht erkannt. So kann sich die Malware im internen Netz ausbreiten. Das ist besonders für kritische Infrastrukturen, entwicklungsintensive Unternehmen und andere hochsensible Bereiche ein aktuelles Thema. „Viele unserer Kunden müssen Compliance-Vorschriften mit erhöhten IT-Security-Anforderungen erfüllen. Wir haben deshalb nach einer praktikablen und leicht integrierbaren Lösung gesucht, um auch den internen Netzwerkverkehr genau im Blick zu behalten“, so André Hermbusch.
Netzverkehr in Echtzeit überwachen und Angriffe automatisch abwehren
Der IT-Dienstleister hatte nach einer State-of-the-Art-Lösung zur Netzwerkanalyse gesucht. Dabei werden nach den Erfahrungen von datenhain normale Netzwerk-Sniffer den immer komplexeren Kommunikationsbeziehungen und dem stark wachsenden Netzwerkverkehr nicht mehr gerecht. Die Lösung sollte vor allem die Kommunikation der Endgeräte ins Internet, zu internen Servern und der Geräte untereinander überwachen. „Wir brauchen eine maschinelle Logik, die den Netzwerkverkehr analysiert, in Echtzeit auf Gefährdungen hinweist und automatisiert Regeln zur Abwehr von Angriffen umsetzt. Der Kunde wünscht sich oft grafisch aufbereitete Übersichten, um interessante Stellen schnell heranzoomen zu können“, beschreibt der Geschäftsführer seine Anforderungen. Intrusion-Detection-Systeme (IDS) und Intrusion-Prevention-Systeme (IPS) können zwar Anomalien im Netzwerkverkehr erkennen und Angriffe automatisiert verhindern, vielen Unternehmen fehlt es aber an den Ressourcen und an der Zeit, sich intensiv mit solchen Tools auseinanderzusetzen.
cognitix Threat Defender nutzt Data Analytics und Threat Intelligence
Der IT-Dienstleister wurde durch einen Test bei heise.de auf cognitix Threat Defender von genua aufmerksam. Die Software-Lösung verbindet den IDS-Ansatz mit Prevention-Funktionen. Mit Data Analytics und Threat Intelligence erkennt cognitix Threat Defender Angriffe in Echtzeit und bietet darüber hinaus eine Plattform für den Einsatz von AI-Technologien.
„Wir haben cognitix Threat Defender getestet und waren überrascht, wie schnell wir eine erste Echtzeitübersicht über den Netzwerkverkehr erhalten. Nach der Basisinstallation der Software steht bereits ein Standardregelwerk zur Verfügung, das einen Überblick über das Netzwerk und die installierten Geräte gibt“, beschreibt André Hermbusch den ersten Eindruck. Als eine der typischen Anwendungen nutzt datenhain cognitix Threat Defender, um in normalen Büronetzen die horizontale Ausbreitung von Malware wie z. B. Verschlüsselungs-Trojanern zu erkennen. In Fabrikhallen mit technischen Geräten unterschiedlichster Hersteller wird überwacht, ob Geräte untereinander Kontakt aufnehmen, falls dies nicht dem Normalverhalten entspricht. Außerdem wird der Netzwerkverkehr in Klassen eingeteilt, um unerwünschte Protokolle zu unterbinden oder unerwünschten Verkehr z. B. zu YouTube oder Facebook zu erkennen.
cognitix Threat Defender erkennt die Verhaltensmuster der Netzwerkgeräte und ordnet sie definierten Regeln zu. Dabei werden bisher getrennte Funktionen wie Netzwerkanalyse, Intrusion Prevention, Asset Tracking und eine dynamische Policy Engine in einem System zusammengeführt.
Security Defined Networking garantiert hohes Schutzniveau
cognitix Threat Defender richtet ein selbstüberwachendes sicheres Netzwerk (Security Defined Networking) ein, das die Verhaltensmuster der Netzwerkgeräte erkennt und definierten Regeln zuordnet. Dabei werden bisher getrennte Funktionen wie Netzwerkanalyse, Intrusion Prevention, Asset Tracking und eine dynamische Policy Engine in einem System zusammengeführt. cognitix Threat Defender analysiert den Netzverkehr nach IP- und MAC-Adressen, Ports, Protokollen und Anwendungen der OSI-Schichten 2 bis 7. Dabei wird der Traffic auf problematische Adressen, Domains oder Dateisignaturen überprüft, die erkannt und blockiert werden sollten. Zusätzlich werden eine Asset-Datenbank aller Geräte im Netzwerk angelegt und die Kommunikationsbeziehungen der Geräte untersucht.
Den Geräten werden Verhaltensregeln zugeordnet und diese überwacht. Tauchen neue Geräte auf, werden sie sofort gemeldet. Ein Echtzeit-Reporting mit einem Ampelsystem liefert Meldungen über ein mögliches Gefahrenpotenzial. Durch ein Drilldown Reporting können in einer grafischen Darstellung des Netzverkehrs auffällige Bereiche durch Anklicken näher betrachtet werden. So sind z. B. die Live-Daten des gefilterten Bereichs mit einer Minute Vorlauf verfügbar, um die beteiligten Geräte und Zieladressen zu untersuchen.
Einfache Integration ins Netzwerk bei hoher Performance
„Wenn wir neu in ein Unternehmen kommen, untersuchen wir zunächst den Ist-Zustand des Netzwerks, um einen ersten Überblick über die bestehende Infrastruktur zu erhalten“, berichtet André Hermbusch. Bei diesem Vorgehen wird der Netzwerkverkehr zunächst passiv gescannt und ein Abbild des „Normalzustands“ erstellt. Mit einer solchen Anfangsbestandsaufnahme des Netzwerks werden auch generelle Schwachstellen und Sicherheitslücken erkannt, die bspw. durch Konfigurationsfehler, Netzwerkprobleme oder veraltete Geräte-Software verursacht werden können.
Der Geschäftsführer beschreibt die Installation der Software und die Integration in das Netzwerk im Vergleich zu anderen IDS-Systemen als unkompliziert. Die Integration kann erfolgen, auch ohne dass Änderungen an der Netzwerktopologie erforderlich sind. Aus der Anfangsbestandsaufnahme werden Regeln über das „Normalverhalten“ des Netzwerkverkehrs definiert. Eine Policy Engine verwaltet die Regeln. Sie bestimmen, wie auf unerwünschtes Verhalten oder akute Gefährdungen reagiert werden soll. Wenn bspw. ein Gerät innerhalb von einer Minute mit mehr als zehn Hosts eine Verbindung aufbaut, kann eine Regel für die Isolation des Gerätes sorgen.
Dabei ist ein lückenloses Monitoring des gesamten Netzwerkverkehrs nach den Erfahrungen von datenhain eine große Herausforderung für die Performance: „cognitix Threat Defender ist eine reine Software-Lösung. Als Hardware reicht je nach Einsatzzweck ein Zigarettenschachtel-großer Mini-PC oder ein leistungsfähiger Server für die Echtzeitanalyse eines 40-Gbit/s-Netzwerk-Traffics. Die Netzwerkanalyse führt nur zu minimalen Latenzeinbußen. cognitix Threat Defender erreicht annähernd Switch Performance.
Problematischen Traffic sicher erkennen und ausschließen
André Hermbusch berichtet, dass bei der Erstanalyse der Kommunikationsbeziehungen regelmäßig unerwartete Details auftauchen. Als Beispiele nennt er die morgendliche Verbindung eines Fernsehers zum Hersteller nach China oder ein altes produktives System, das seit acht Jahren nicht mehr mit Sicherheits-Updates versorgt worden ist und leicht zu attackieren gewesen wäre. Ein länger nicht mehr genutzter Windows-PC wurde dagegen durch seinen ungewöhnlichen Verkehr als infiziert erkannt. Sichtbar wurde auch die im Betrieb untersagte private Nutzung von Facebook, was cognitix Threat Defender durch Policy-Regeln verhindern oder im Netzwerkverkehr stark verlangsamen kann. Positiv vermerkt André Hermbusch zudem die kurzen Release-Zyklen bei cognitix Threat Defender, um Kundenwünsche umzusetzen.
Einen großen Schritt macht cognitix Threat Defender Anfang 2020: Dann bietet genua die Sicherheitsplattform auf eigener Hardware an, die einfach als Appliance in Netze eingefügt werden kann.