Kontakt & Infos

Kontakt

Sie haben Fragen oder Anregungen? Wir freuen uns auf Ihr Feedback!

tel +49 89 991950-0
fax +49 89 991950-999
info@genua.de

» Kontaktformular

Interner Netzwerkverkehr sicher im Blick

Bisherige einfache IT-Security-Lösungen haben oft Schwächen und Cyber-Attacken bleiben über längere Zeit unentdeckt. Deshalb sind IDS-/IPS-Systeme für eine Überwachung des Netzwerkverkehrs sinnvoll, aber auch komplex und aufwendig in der Administration. Der Berliner IT-Dienstleister datenhain GmbH verfolgt einen anderen Weg: Mit dem praktikablen cognitix Threat Defender von genua wird der Datenverkehr in Echtzeit überwacht, um Gefahren innerhalb von Netzen zu erkennen und abzuwehren und somit hinter den Perimeter-Firewalls für zusätzliche IT-Sicherheit zu sorgen.

datenhain GmbH: IT-Sicherheitsdienstleistungen für Unternehmen

"Bisherige Sicherheitskonzepte legen den Hauptfokus darauf, Angreifer aus dem eigenen Netz fernzuhalten. Dem internen Netz wird dagegen vertraut und der Netzwerkverkehr wird nur selten überwacht und analysiert", benennt André Hermbusch, Geschäftsführer der datenhain GmbH, eine gängige Praxis. Das Unternehmen berät und unterstützt seit über 10 Jahren kleine und mittelständische Unternehmen zu den Themen IT-Infrastruktur und IT-Sicherheit. Das Problem: Immer ausgefeiltere und gut verschleierte Angriffsmethoden verwenden häufig Standardprotokolle, sind oft verschlüsselt und werden von signaturbasierten Systemen mit statischen Regeln nicht erkannt. So kann sich die Malware im internen Netz ausbreiten. Das ist besonders für kritische Infrastrukturen, entwicklungsintensive Unternehmen und andere hochsensible Bereiche ein aktuelles Thema. "Viele unserer Kunden müssen Compliance-Vorschriften mit erhöhten IT-Security-Anforderungen erfüllen. Wir haben deshalb nach einer praktikablen und leicht integrierbaren Lösung gesucht, um auch den internen Netzwerkverkehr genau im Blick zu behalten", so André Hermbusch.

Foto André Hermbusch, Geschäftsführer der datenhain GmbH
André Hermbusch, Geschäftsführer der datenhain GmbH

Netzverkehr in Echtzeit überwachen und Angriffe automatisch abwehren

Der IT-Dienstleister hatte nach einer State-of-the-Art-Lösung zur Netzwerkanalyse gesucht. Dabei werden nach den Erfahrungen von datenhain normale Netzwerk-Sniffer den immer komplexeren Kommunikationsbeziehungen und dem stark wachsenden Netzwerkverkehr nicht mehr gerecht. Die Lösung sollte vor allem die Kommunikation der Endgeräte ins Internet, zu internen Servern und der Geräte untereinander überwachen. "Wir brauchen eine maschinelle Logik, die den Netzwerkverkehr analysiert, in Echtzeit auf Gefährdungen hinweist und automatisiert Regeln zur Abwehr von Angriffen umsetzt. Der Kunde wünscht sich oft grafisch aufbereitete Übersichten, um interessante Stellen schnell heranzoomen zu können", beschreibt der Geschäftsführer seine Anforderungen. Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS) können zwar Anomalien im Netzwerkverkehr erkennen und Angriffe automatisiert verhindern, vielen Unternehmen fehlt es aber an den Ressourcen und an der Zeit, sich intensiv mit solchen Tools auseinanderzusetzen.

Ansicht Echtzeit-Reporting
Echtzeit-Reporting liefert Meldungen über mögliche Bedrohungen im Netzwerk

Der cognitix Threat Defender nutzt Data Analytics und Threat Intelligence

Der IT-Dienstleister wurde durch einen Test bei heise.de auf den cognitix Threat Defender von genua aufmerksam. Die Software-Lösung verbindet den IDS-Ansatz mit Prevention-Funktionen. Mit Data Analytics und Threat Intelligence erkennt der cognitix Threat Defender Angriffe in Echtzeit und bietet darüber hinaus eine Plattform für den Einsatz von KI-Technologien.

"Wir haben den cognitix Threat Defender getestet und waren überrascht, wie schnell wir eine erste Echtzeitübersicht über den Netzwerkverkehr erhalten. Nach der Basisinstallation der Software steht bereits ein Standardregelwerk zur Verfügung, das einen Überblick über das Netzwerk und die installierten Geräte gibt", beschreibt André Hermbusch den ersten Eindruck. Als typische Anwendungen nutzt datenhain den cognitix Threat Defender, um in normalen Büronetzen die horizontale Ausbreitung von Malware wie z. B. Verschlüsselungs-Trojanern zu erkennen. In Fabrikhallen mit technischen Geräten unterschiedlichster Hersteller wird überwacht, ob Geräte untereinander Kontakt aufnehmen, falls dies nicht dem Normalverhalten entspricht. Außerdem wird der Netzwerkverkehr in Klassen eingeteilt, um unerwünschte Protokolle zu unterbinden oder unerwünschten Verkehr z. B. zu YouTube oder Facebook zu erkennen.

Abbildung Erkennung von Verhaltensmustern der Netzwerkgeräte
Erkennung der Verhaltensmuster von Netzwerkgeräte

Der cognitix Threat Defender erkennt die Verhaltensmuster der Netzwerkgeräte und ordnet sie definierten Regeln zu. Dabei werden bisher getrennte Funktionen wie Netzwerkanalyse, Intrusion Prevention, Asset Tracking und eine dynamische Policy-Engine in einem System zusammengeführt.

Security Defined Networking garantiert hohes Schutzniveau

Der cognitix Threat Defender richtet ein selbstüberwachendes sicheres Netzwerk (Security Defined Networking) ein, was die Verhaltensmuster der Netzwerkgeräte erkennt und definierten Regeln zuordnet. Dabei werden bisher getrennte Funktionen wie Netzwerkanalyse, Intrusion Prevention, Asset Tracking und eine dynamische Policy-Engine in einem System zusammengeführt. Der cognitix Threat Defender analysiert den Netzverkehr nach IP- und MAC-Adressen, Ports, Protokollen und Anwendungen der OSI-Schichten 2 bis 7. Dabei wird der Traffic auf problematische Adressen, Domains oder Dateisignaturen überprüft, die erkannt und blockiert werden sollten. Zusätzlich wird eine Asset-Datenbank aller Geräte im Netzwerk angelegt und die Kommunikationsbeziehungen der Geräte untersucht.

Den Geräten werden Verhaltensregeln zugeordnet und diese überwacht. Tauchen neue Geräte auf, werden sie sofort gemeldet. Ein Echtzeitreporting mit einem Ampelsystem liefert Meldungen über ein mögliches Gefahrenpotenzial. Durch ein Drilldown-Reporting können in einer grafischen Darstellung des Netzverkehrs auffällige Bereiche durch anklicken näher betrachtet werden. So sind z. B. die Livedaten des gefilterten Bereichs mit einer Minute Vorlauf verfügbar, um die beteiligten Geräte und Zieladressen zu untersuchen.

Einfache Integration ins Netzwerk bei hoher Performance

"Wenn wir neu in ein Unternehmen kommen, untersuchen wir zunächst den Ist-Zustand des Netzwerks, um einen ersten Überblick über die bestehende Infrastruktur zu erhalten", berichtet André Hermbusch. Bei diesem Vorgehen wird der Netzwerkverkehr zunächst passiv gescannt und ein Abbild des "Normalzustands" erstellt. Mit einer solchen Anfangsbestandsaufnahme des Netzwerks werden auch generelle Schwachstellen und Sicherheitslücken erkannt, die beispielsweise durch Konfigurationsfehler, Netzwerkprobleme oder veraltete Gerätesoftware verursacht werden können.

Der Geschäftsführer beschreibt die Installation der Software und die Integration in das Netzwerk im Vergleich zu anderen IDS-Systemen als unkompliziert. Die Integration kann erfolgen, auch ohne dass Änderungen an der Netzwerktopologie erforderlich sind. Aus der Anfangsbestandsaufnahme werden Regeln über das "Normalverhalten" des Netzwerkverkehrs definiert. Eine Policy-Engine verwaltet die Regeln. Sie bestimmen, wie auf unerwünschtes Verhalten oder akute Gefährdungen reagiert werden soll. Wenn beispielsweise ein Gerät innerhalb von einer Minute mit mehr als zehn Hosts eine Verbindung aufbaut, kann eine Regel für die Isolation des Gerätes sorgen.

Dabei ist ein lückenloses Monitoring des gesamten Netzwerkverkehrs nach den Erfahrungen von datenhain eine große Herausforderung für die Performance: "Der cognitix Threat Defender ist eine reine Software-Lösung. Als Hardware reicht je nach Einsatzzweck ein Zigarettenschachtelgroßer Mini-PC oder ein leistungsfähiger Server für die Echtzeitanalyse eines 40-Gbit/s-Netzwerk-Traffics. Die Netzwerkanalyse führt nur zu minimalen Latenzeinbußen. Der cognitix Threat Defender erreicht annähernd Switch-Performance.

Problematischen Traffic sicher erkennen und ausschließen

André Hermbusch berichtet, dass bei der Erstanalyse der Kommunikationsbeziehungen regelmäßig unerwartete Details auftauchen. Als Beispiele nennt er die morgendliche Verbindung eines Fernsehers zum Hersteller nach China oder ein altes produktives System, was seit acht Jahren nicht mehr mit Sicherheitsupdates versorgt worden ist und leicht zu attackieren gewesen wäre. Ein länger nicht mehr genutzter Windows-PC wurde dagegen durch seinen ungewöhnlichen Verkehr als infiziert erkannt. Sichtbar wurde auch die im Betrieb untersagte private Nutzung von Facebook, was der cognitix Threat Defender durch Policy-Regeln verhindern oder im Netzwerkverkehr stark verlangsamen kann. Positiv vermerkt André Hermbusch zudem die kurzen Release-Zyklen beim cognitix Threat Defender, um Kundenwünsche umzusetzen.

Einen großen Schritt macht der cognitix Threat Defender Anfang 2020: Dann bietet genua die Sicherheitsplattform auf eigener Hardware an, die einfach als Appliance in Netze eingefügt werden kann.

Um für Sie unsere Webseite zu optimieren, verwenden wir Cookies.
Klicken Sie auf "Cookies zulassen", falls Sie der Nutzung von diesen Cookies zustimmen.
Weitere Informationen dazu finden Sie in unserer Datenschutzerklärung, in der Sie auch jederzeit Ihre Cookie-Einstellungen einsehen und anpassen können.
Datenschutz