Illustration Absmeier foto freepik

60 % der Cybersicherheitsvorfälle betreffen Netzwerkgeräte, die nicht von der IT-Abteilung bemerkt wurden. Solche unsichtbaren Bestandteile von Netzwerkinfrastrukturen sind daher die größte Schwachstelle – schließlich kann man nichts schützen, von dem man nicht weiß, dass es überhaupt existiert. Netzwerkerkennung – auch Network Discovery – sollte daher der Grundstein für die Sicherheit von Netzwerken sein, um erfolgreiche Cyberangriffe und empfindliche Folgen wie Ausfallzeiten, Datendiebstahl oder Reputationsverluste zu vermeiden. Ansonsten basieren Risikobewertungen nur auf unvollständigen Daten, wobei Angreifern schon eine Schwachstelle für den Zugang in das Netzwerk ausreichen kann.

Wie hilft die Netzwerkerkennung bei der prädiktiven Risikobewertung?

Da die größten Sicherheitsrisiken von unbekannten Geräten oder Systemen in lokalen Netzwerken ausgehen, ist Network Discovery ein wichtiger Bestandteil von Cybersecurity-Strategien. Netzwerkerkennung ist ein Prozess, bei dem alle angeschlossenen Geräte in einem Netzwerk identifiziert und abgebildet werden. Es handelt sich dabei um eine Art Bestandsaufnahme aller Geräte – von Workstations und Routern bis hin zu Druckern und IoT-Geräten. Für die Fehlerbehebung ist sie absolut unverzichtbar: Denn was man nicht findet, kann man auch nicht beheben. Wenn Ihr Netzwerk ausfällt oder sich verlangsamt, können Sie das Problem nur dann lösen, wenn Sie wissen, was tatsächlich angeschlossen ist und wie alles miteinander kommuniziert.

Mit Network Discovery wird der blinde Fleck für IT-Security-Teams geringer – denn gegen Schatten-IT sind Sicherheitsmaßnahmen und Firewalls wirkungslos. Mit detaillierten Netzwerkkarten zeigen Tools für die Netzwerkerkennung genau, wo Engpässe oder Ausfälle auftreten. So lässt sich die Zeit für die Behebung erheblich reduzieren. Bei OT-Netzwerken kann die Situation noch unübersichtlicher sein, da industrielle Netze voll von spezialisierten Geräten sind, die häufig mit veralteten Protokollen arbeiten und bei denen standardmäßige Sicherheitsmaßnahmen nicht wirkungsvoll sind. Tools für die Netzwerkerkennung dagegen spüren verdächtige Netzwerkgeräte auf und zeigen, wie sie über Protokolle wie SNMP (Simple Network Management Protocol) oder LLPD (Link Layer Discovery Protocol) miteinander kommunizieren. Diese Informationen sind wichtig für die Risikobewertung von anstehenden oder aufkommenden Problemen mit möglichen Auswirkungen auf die Cybersicherheit.

Mit Tools für die Netzwerkerkennung können IT-Administratoren unter anderem …

genaue Baselines des normalen Netzwerkverhaltens erstellen;
Anomalien präziser und in Echtzeit erkennen;
falsch-positive Ergebnisse beim Scannen von IP-Adressen signifikant reduzieren;
neu angeschlossene Geräte automatisch verfolgen, sobald sie sich mit dem Unternehmensnetzwerk verbinden.

Kann Network Discovery die prädiktive Risikobewertung in OT-Netzwerken verbessern?

In OT-Netzen kommen häufig spezielle Geräte mit proprietären Protokollen vor, die von herkömmlichen Sicherheitstools nicht erkannt werden und die daher besondere Sicherheitsrisiken bergen. Eine speziell für OT-Umgebungen entwickelte Netzwerkerkennung kann diese speziellen Gerätetypen und ihre Kommunikationsmuster identifizieren und so wichtige Daten für eine vorausschauende Risikobewertung liefern. Diese Transparenz ist unerlässlich, unter anderem für

die Erkennung von potenziellen Bedrohungen für industrielle Steuersysteme mithilfe von ICMP (Internet Control Message Protocol);
die Überwachung von SCADA-Netzwerken auf Anomalien bei Routern und industriellen Geräten;
die umfassende Geräteinventarisierung, um kritische Infrastrukturen vor neuen Bedrohungen zu schützen;
die Festlegung von Sicherheitsgrundlagen für OT-spezifische Geräte in drahtlosen Netzwerken.

Was sind die ersten Schritte zur Implementierung von Network Discovery für eine vorausschauende Risikoanalyse?

Zunächst ist das umfassende Verständnis des Netzwerks und der kritischen, zu schützenden Assets ein äußerst wichtiger Schritt. Dann sollten folgende Maßnahmen umgesetzt werden:

Kontrollierte Bereitstellung:
Implementieren Sie die Netzwerkerkennung in einem begrenzten Segment des Netzwerks, um Prozesse zu etablieren und die Datenmuster zu verstehen. Stellen Sie sicher, dass die Network Discovery in den Einstellungen des Freigabezentrums aktiviert ist.
Prioritäten für kritische Infrastrukturen:
Konzentrieren Sie sich zunächst auf die sensiblen Bereiche, in denen Sicherheitsrisiken die größten Auswirkungen auf das Geschäft haben würden. Dazu gehört auch die Überprüfung der Freigabeeinstellungen auf kritischen Workstations.
Systematische Erweiterungen:
Erweitern Sie die Erkennung auf Ihre gesamte Umgebung, sobald Sie Ihren Ansatz verfeinert haben – einschließlich Cloud-Ressourcen, WLAN-Netzwerken und Remote-Standorten.
Integration bestehender Systeme:
Stellen Sie sicher, dass Ihr Tool für die Netzwerkerkennung über API-Integrationen mit Ihren Sicherheitssystemen verbunden ist, damit neu identifizierte Geräte automatisch in Risikoanalyse-Workflows aufgenommen werden.

Wie oft sollte man Network-Discovery-Scans durchführen?

In vielen Fällen sind tägliche Scans sinnvoll – insbesondere bei sich schnell verändernden Umgebungen wird die Sicherheit durch Überwachung in Echtzeit erheblich verbessert. Bei eher statischen Unternehmensnetzwerken können wöchentliche Scans ausreichen. Wie auch immer Ihre Strategie für die Netzwerkerkennung aussieht – sie nicht einzusetzen und zu vergessen, kann dafür sorgen, dass Sicherheitsrisiken entstehen und übersehen werden.

Fazit

Wenn IT-Administratoren nicht wissen, was tatsächlich in ihrem lokalen Netzwerk an versteckten Gefahren lauern, sind ihre Risikobewertungen im Grunde nur Vermutungen. Teilweise legen IT-Teams sogar »vollständige« Risikoberichte vor – und übersehen dabei ganze Segmente der Schatten-IT mit kritischen Schwachstellen.

Sich einmal ernsthaft mit der Netzwerkerkennung in IT- und OT-Netzwerken zu beschäftigen, verbessert auch die Sicherheitslage bei einem Cyberangriff. Dann können nämlich auch die Geräte direkt erkannt werden, die von einer Abteilung angeschlossen wurden und über die niemand informiert wurde – ein Szenario, was auch unter dem Namen Schatten-IT vermutlich jeder schon einmal erlebt hat. Netzwerkadministratoren sehen dann, wie »normal« es in ihrem Netzwerk tatsächlich aussieht und erhalten alle notwendigen Informationen. Network Discovery sollte daher ein fester Bestandteil der Strategie für einen verbesserten Schutz von Netzwerken sein – warten Sie nicht darauf, dass eine Sicherheitsverletzung Ihr Weckruf ist! Dabei ist außerdem empfehlenswert, die wichtigen Funktionen Netzwerkerkennung, Netzwerk-Monitoring, Network-Observability und Warnmeldungen in einer ganzheitlichen Plattform miteinander zu kombinieren, anstatt mehrere unterschiedliche Tools einzusetzen.

Jörg Hollerith, Product Manager bei Paessler

1477 Artikel zu „Netzwerk Erkennung“

News | IT-Security | Künstliche Intelligenz | Online-Artikel

Sichere Erkennung von Fußgängern: Framework unterstützt die Analyse neuronaler Netzwerke

20. Februar 2020

Automatische Objektidentifikation und Bildverarbeitung für autonomes Fahren. Forschungsarbeit bildet Grundlage zur Erhöhung der Sicherheit im Straßenverkehr. Die Technik für künstliche Intelligenz (KI) und Convolutional Neuronal Networks (CNN) ist weit fortgeschritten und ermöglicht bereits die automatische Erkennung unterschiedlicher Objekte. Dennoch können fehlerhafte Klassifikationen nie völlig ausgeschlossen werden, weswegen die Zuverlässigkeit automatischer Prozesse bei der Bildverarbeitung weiterhin…