Durchgängiges Netzwerkmonitoring – Welche Vorteile sind damit verbunden?

h_1-2-2015_shutterstock_93601198

Kontinuierliches Netwerkmonitoring sollte ein fester Bestandteil jedes Netzwerks sein. Quartalsweise oder monatliche Vulnerability Scans können tagesaktuelle Bedrohungen nicht bekämpfen.

Ähnlich wie der menschliche Körper, unterliegen Netzwerke ständigen Bedrohungen. Der Mensch wird permanent von verschiedenen Erregern angegriffen und muss sich dagegen wehren. Dafür hat er ein Immunsystem, welches Angriffe abwehrt, auf Bedrohungen reagiert und sich schnell anpassen kann. Ist das Immunsystem angeschlagen, besteht eine erhöhte Gefahr krank zu werden.

Auch Netzwerke werden konstant attackiert. Für sie besteht ebenfalls laufend Gefahr, durch kleine Bedrohungen beeinträchtigt zu werden. Ein Grund dafür ist die schnell fortschreitende Entwicklung neuer Technologien, wie Mobile Computing, BYOD, Cloud Computing oder Social Media, welche immer breitere Angriffsflächen bietet. Zudem verändern sich Unternehmensnetzwerke mit hoher Geschwindigkeit und es kommt eine Vielfalt an Software zum Einsatz, die es Angreifern ermöglicht, Schwachstellen zu finden.

Gelingt es nicht, die »Gesundheit« eines Netzwerkes zu erhalten, so wird es immer mehr Eindringlingen erleichtert, die Stabilität des gesamten Systems zu gefährden. Aufgrund der fortschreitenden Entwicklung ist es nötig, von herkömmlichen Methoden abzuweichen und neue Wege zu gehen, um den Bedrohungen Herr zu werden.

Unvollständiges Bild der Schwachstellenlandschaft. Beim traditionellen Schwachstellenmanagement werden Systeme und Anwendungen in bestimmten Abständen auf Schwachpunkte gescannt. Die Intervalle reichen von jährlichen über quartalsweisen bis hin zu monatlichen Scans. Problematisch ist hierbei, dass Unternehmen nur auf die Schwachstellen aufmerksam werden, die zu diesem Zeitpunkt ermittelt werden. Sehr wenige Netzwerke sind statisch und die meisten befinden sich in einem konstanten Wandel, da permanent neue Server, Nodes oder Anwendungen hinzugefügt, entfernt, geändert oder aktualisiert werden. Ebenso werden beispielsweise virtuelle Systeme oder BYOD-Geräte, die offline oder nicht mit dem Netzwerk verbunden sind, zum Zeitpunkt des Vulnerability Scans nicht berücksichtigt. Wer beim Vulnerability Management den traditionellen Weg geht, erhält in Folge dessen ein unvollständiges Bild der Schwachstellenlandschaft, die verwaltet werden muss.

Kontinuierliches Netzwerkmonitoring hingegen bietet großes Potenzial, Netzwerke dauerhaft vor Bedrohungen zu bewahren. Für Unternehmen ist es der bestmöglichste Weg, um sich zu schützen und den Sicherheitsstatus aller Netzwerkkomponenten aufrecht zu erhalten. Durchgängige, automatisierte Tests darüber, ob die Schutzmechanismen des Netzwerks den Sicherheitsrichtlinien entsprechen, sind die beste Methode um den Gesundheitszustand des Netzwerks zu überwachen und sicherzustellen. Letztendlich ist es der Schlüssel für den Betrieb eines Netzwerks, Sicherheitsrisiken genau und in Echtzeit zu bestimmen.

Risiken einschätzen. Der Aufwand und die Komplexität zur Behebung von Sicherheitslücken sind oft sehr groß. IT-Teams können daher häufig nur eine Schwachstelle innerhalb eines Tages beheben. Welche sollte dies sein? Die Entscheidung zu treffen kann schwierig sein und weitreichende Folgen haben, da die Risiken korrekt eingeschätzt werden müssen. Umso fataler wäre es jedoch, als Entscheidungsgrundlage eine Schwachstellenanalyse heranzuziehen, die 30 Tage zurückliegt. Dies ist in der Praxis noch häufig der Fall.

Dringt ein Angreifer ins Netzwerk ein, muss ebenso schnell erkennbar werden, welches System betroffen ist. Es muss ersichtlich werden, welche Problematik besteht, welche Software auf dem System Asset läuft und welche Konfigurationen und Schwachstellen vorliegen. Diese Informationen sind absolut entscheidend, um herauszufinden, wie ein Eindringling ins Netzwerk gelangen konnte. Ebenso ist es wichtig, bestimmen zu können, welche anderen Assets betroffen sein könnten. Wird nur einmal im Monat gescannt, ist unklar ob Sicherheitslücken erst kurz vor dem Scan geschlossen wurden und ob das System über einen längeren Zeitraum angreifbar war.

Durchgängiges Netzwerkmonitoring. Aktuelle Sicherheitsbedrohungen führen die Notwendigkeit des durchgängigen Netzwerkmonitorings vor Augen. Schwachstellen wie Heartbleed und Shellshock treten häufig mehrfach in einer Umgebung auf. Um bestimmen zu können, wo und inwiefern ein Unternehmen für Shellshock anfällig ist, muss sichergestellt werden, dass der Patch korrekt im System installiert wird. Auch zur Abwehr der »BlackEnergy«-Malware die Router befällt, um Netzwerkschwachstellen auszuspähen, ist es sinnvoll den Netzwerkverkehr kontinuierlich zu überwachen. Traditionelle Abwehrmechanismen reichen hier nicht aus und sind möglicherweise nicht in der Lage, die BlackEnergy-Malware rechtzeitig zu identifizieren. Vielmehr ist es wichtig, nach anormalen Aktivitäten Ausschau zu halten, die von Routern ausgehen, um so die Angriffsfläche zu reduzieren.

Auch dies zeigt, dass kontinuierliches Netzwerkmonitoring ein unverzichtbarer Bestandteil jedes Netzwerks sein sollte.


autor_andreas_kietzmannAndreas Kietzmann,
Regional Sales Manager DACH & Scandinavia,
Tenable Network Security

 

 

Bild: © nmedia/shutterstock.com