Menu

Das Napatech Pandion Plug-in für Palo Alto Firewalls

Lösungsbeschreibung

ZUSAMMENFASSUNG
HERAUSFORDERUNG
Die Herausforderung bestand darin, eine Lösung zu schaffen, die es den Nutzern der Firewalls von Palo Alto erlaubt, auf schnelle, intuitive und benutzerfreundliche Weise an die Details eines Sicherheitsvorfalls zu gelangen. Als Beispiel dient im Folgenden der Fall, dass Dateien, die ein Nutzer von einer bestimmten Webseite heruntergeladen hat, untersucht werden müssen.

LÖSUNG
Credocom ist ein Diamond-Partner von Palo Alto und ein etablierter Anbieter von Sicherheitslösungen für IT-Organisationen. Credocom hat unter Verwendung des Napatech Pandion Network Recorders eine Lösung entwickelt, die es den Kunden ermöglicht, die Details jedes Sicherheitsvorfalls zu analysieren.

Durch die Erweiterung des "Log-Link"-Integrationskonzepts von Palo Alto war es möglich, eine Ein-Klick-Lösung zu kreieren, die die relevante Datei aus den detaillierten Paketdaten, die vom Napatech Pandion Network Recorder erfasst und gespeichert wurden, extrahiert.

Vorteile
 Dies spart wertvolle Zeit und knappe Personalressourcen, sodass mehr Sicherheitsereignisse untersucht und analysiert werden können, was letztlich dazu führt, dass mehr Bedrohungen und Sicherheitsverletzungen erkannt werden. Darüber hinaus bietet die Lösung mehr Kontext und Details, was zu einer genaueren forensischen Analyse und einer schnelleren Erkennung und Bekämpfung von Sicherheitsverletzungen führt.

 

Source: ”The Cost of Malware Containment”, Ponemon Institute, January 2015
 

KUNDENBEDÜRFNISSE VON IT-ORGANISATIONEN
In der Cybersicherheit ist Zeit der wesentliche Faktor. Je schneller Sie einen Sicherheitsverstoß entdecken und bekämpfen können, desto weniger Schaden und Kosten entstehen. Doch wie finden Sie heraus, ob ein Sicherheitsvorfall schwerwiegend oder harmlos ist? Sie benötigen Beweise!

Eines der Hauptprobleme für Sicherheitsexperten besteht darin, dass heute pro Tag weitaus mehr Sicherheitsvorfälle anfallen, als sie bewältigen können. Gemäß Ponemon Research ist das Sicherheitsteam eines durchschnittlich großen Unternehmens pro Tag mit rund 2500 Sicherheitsvorfällen konfrontiert, kann aber nur 4 Prozent davon untersuchen. Die Fähigkeit, den Schweregrad dieser Vorfälle schnell zu erkennen ist daher entscheidend, um die richtigen Ereignisse für eine Untersuchung zu priorisieren. Dafür ist es notwendig, schnell an die harten Fakten zu gelangen.

In einem weiteren Bericht beziffert das Ponemon Institute die durchschnittliche Zeit bis zur Erkennung einer böswilligen Attacke mit 229 Tagen und die Zeit zur Bekämpfung derselben mit 82 Tagen. Die durchschnittlichen Kosten für die Entdeckung und Bekämpfung einer Attacke lassen sich allerdings um 29 Prozent senken, wenn sie innerhalb von 100 Tagen entdeckt und innerhalb von 30 Tagen eingedämmt wird. Dies ist von Bedeutung, betragen die durchschnittlichen Kosten einer Datenverletzung aktuell doch 4 Millionen US-Dollar.

Cybersicherheitslösungen wie die Firewalls von Palo Alto stehen bei der Verhinderung böswilliger Attacken an erster Stelle. Sie sind sehr komplex und bieten viele detaillierte Logs für verschiedene Arten von Sicherheitsvorfällen. Diese Protokolle sind Schnappschüsse, die einen Hinweis darauf geben können, dass etwas passiert ist. Sie enthalten jedoch nicht alle Details, die notwendig sind, um das Problem zu beheben. Es handelt sich bestenfalls um Indizien!

Beispielsweise kann ein Web-Sicherheitsprotokoll Ihnen anzeigen, dass ein Nutzer eine bestimmte Datei von einer bestimmten Webseite heruntergeladen hat. Es ist allerdings nicht möglich, direkt aus dem Log die Datei zu öffnen und deren Inhalt zu sichten, um schnell festzustellen, ob der Download verdächtig ist oder nicht. Um dies zu beurteilen, benötigen Sie mehr Details, was einen Blick auf die Paketdaten der entsprechenden Sitzung erfordert. 

 Dies ist nur ein Beispiel für verschiedene ähnliche Anwendungsfälle, in denen es notwendig ist, die Details zu kennen, bevor sich die Schwere des Ereignisses abschätzen lässt. Und die Uhr tickt.

DIE HERAUSFORDERUNG
SCHNELL DETAILLIERTE FAKTEN ZU SAMMELN

Die notwendigen Details zu erlangen, um die Schwere eines Sicherheitsvorfalls zuverlässig einzuschätzen, kann sich als Herausforderung erweisen. Paketverfolgungen werden oft bei Bedarf eingerichtet, wenn sich der Vorfall bereits ereignet hat. Dadurch erhält man Aufschluss darüber, was aktuell geschieht, aber nicht darüber, was zum Zeitpunkt des Vorfalls geschah. Dies mag für die Netzwerk-Forensik genügen, wenn ein Konfigurationsproblem zu einem persistenten Fehler führt. Für die Sicherheits-Forensik reicht es nicht, denn der Beweis für die Sicherheitsverletzung ist im Nachhinein nicht mehr verfügbar. Notwendig ist deshalb eine Paketverfolgung für den Zeitpunkt des Ereignisses.

Heute bedeutet dies, manuell die Informationen aus verschiedenen Sicherheitssystemen mit den Echtzeit-Paketerfassungsdaten eines Netzwerküberwachungssystems abzugleichen. Das ist ein Problem, zumal die Zeitangaben der beiden Systeme unter Umständen nicht synchronisiert sind, was es schwierig macht, die Paketdaten einem Sicherheitsereignis zuzuordnen. Außerdem müssen die Sitzungen rekonstruiert werden, um einzelne Dateien oder Objekte für die weitere Untersuchung aus den Daten zu extrahieren.

Dies alles ist zeitaufwendig und ressourcenintensiv, vor allem, wenn man bedenkt, dass die Zahl der zu untersuchenden Sicherheitsvorfälle zum Teil überwältigend ist. Die Reduktion der Zeit, die notwendig ist, um zusätzliche Details in Bezug auf ein bestimmtes Log-Ereignis aus den Paketdaten herauszufiltern, würde die Effizienz und Effektivität der Sicherheitsanalyse verbessern. Dadurch könnten mehr Bedrohungen entdeckt und rechtzeitig gestoppt werden

 

DIE HERAUSFORDERUNG BEIM KUNDEN UND DER MEHRWERT,
DEN CREDOCOM BIETET

Die Herausforderung besteht für IT-Organisationen heute darin, dass es schwierig ist, auf einfache, intuitive und benutzerfreundliche Art zu den für eine vollständige Sicherheitsanalyse erforderlichen Details zu gelangen. Die Bedürfnisse der Kunden sind zudem sehr verschieden, da keine zwei Unternehmen und Netzwerke gleich sind.

Als Lösungsintegrator und Diamond-Partner von Palo Alto überbrückt Credocom die Lücke zwischen den spezifischen Sicherheitsherausforderungen, die der Kunde angehen möchte, und der Leistungsfähigkeit der bereits installierten Sicherheitslösungen. Das Upgrade auf eine leistungsfähigere Lösung oder die Einführung einer komplett neuen Sicherheitslösung ist zwar eine sinnvolle Antwort auf die beschriebenen Herausforderungen. Allerdings übersteigen die dadurch verursachten Kosten oft die Zahlungsbereitschaft des Kunden. Viele Funktionen neuer Systeme sind zudem unnötig, da sie für das eigentliche Problem gar nicht relevant sind, werden aber dennoch als Bestandteil der Lösung geliefert.

Der Kunde erwartet von einem Lösungsintegrator wie Credocom, dass er eine Lösung mit Mehrwert anbietet, die genau zu seiner Herausforderung passt. Idealerweise sollte diese Lösung so konzipiert sein, dass sie die bereits installierten Systeme erweitert und weitere Ergänzungen für eine Zukunft ermöglicht, in der die Bedürfnisse des Kunden anspruchsvoller werden.

 

Die LÖSUNG
Für Kunden, die Firewalls von Palo Alto verwenden, ist der Napatech Pandion die perfekte Ergänzungslösung. Mit dem Napatech Pandion arbeiten Sie nicht länger mit Indizien, sondern mit harten Fakten.

Die Firewalls von Palo Alto bieten in Bezug auf Sicherheitsvorfälle verschiedene Log-Ansichten. Diese Log-Ansichten können zusätzlich durch "Log-Links" erweitert werden, die es ermöglichen, externe Lösungen mit dem Log zu "verknüpfen", um mehr Details zum fraglichen Ereignis zu erhalten. Durch die Möglichkeit Log-Links zu erstellen, erhalten die Sicherheitsanalysten eine besser integrierte Lösung, die ihnen erlaubt, schneller und effizienter zu arbeiten.

Als Diamond-Partner von Palo Alto hat Credocom die Erfahrung und das Wissen, um eine solche Log-Link-Integration für den Napatech Pandion Network Recorder zu entwickeln. Dadurch erhalten Nutzer mit einem einzigen Mausklick detaillierte Informationen gestützt auf Netzwerk-Datenpakete, die der Napatech Pandion in Echtzeit auf eine Festplatte aufgezeichnet hat.

Der Napatech Pandion Network Recorder erfasst bei Geschwindigkeiten von 10 bis 40 GBit/s alle Netzwerkdaten und schreibt sie auf die Festplatte, ohne ein einziges Bit zu verlieren. Die Speicherkapazität lässt sich ausbauen, um die Anforderungen an die Aufbewahrungszeit flexibel und skalierbar zu erfüllen. Mehrere Anwendungen können über eine REST-API auf den Napatech Pandion zugreifen, um Daten im PCAP-Dateiformat von mehreren Pandion-Instanzen gleichzeitig abzurufen. Zur Analyse der Daten lassen sich verbreitete Open-Source-Tools wie Wireshark verwenden. Zudem ist eine intuitive GUI-Schnittstelle verfügbar, die dem Nutzer einen direkten Zugriff auf den Pandion ermöglicht.

Als Bestandteil seiner Lösung hat Credocom mehrere Möglichkeiten geschaffen, um Daten vom Napatech Pandion abzurufen. So öffnet ein Log-Link die Napatech-Pandion-GUI mit bereits ausgefüllten Suchfeldern, die für den fraglichen Log-Eintrag relevant sind. Ein anderer Log-Link nutzt die REST-API um die PCAP-Datei mit den relevanten Parametern abzurufen und sie innerhalb der Palo-Alto-GUI verfügbar zu machen.

Credocom ging noch einen Schritt weiter und konzipierte eine Middleware-Lösung, die es ermöglicht, einem bestimmten Log-Eintrag auf den Grund zu gehen und damit zusammenhängende Dateien zu extrahieren. Es gibt viele Fälle, in denen eine Datei untersucht werden muss. Das Log enthält aber nur den Namen. Die Datei muss aus den PCAP-Daten rekonstruiert werden. Die Middleware-Lösung automatisiert diesen Prozess, sodass der Nutzer die fragliche Datei schnell extrahieren und betrachten kann.

   https://www.napatech.com/wp-content/uploads/2017/10/Napatech-Pandion-Palo-Alto-Fig.2-300x185.jpg 300w" data-lazy-sizes="(max-width: 576px) 100vw, 576px" sizes="(max-width: 576px) 100vw, 576px" srcset="https://www.napatech.com/wp-content/uploads/2017/10/Napatech-Pandion-Palo-Alto-Fig.2.jpg 576w, /https://www.napatech.com/wp-content/uploads/2017/10/Napatech-Pandion-Palo-Alto-Fig.2-300x185.jpg 300w" data-was-processed="true" width="576" height="356">

Source: Credocom

   https://www.napatech.com/wp-content/uploads/2017/10/Napatech-Pandion-Palo-Alto-Fig.3-300x231.jpg 300w" data-lazy-sizes="(max-width: 576px) 100vw, 576px" sizes="(max-width: 576px) 100vw, 576px" srcset="https://www.napatech.com/wp-content/uploads/2017/10/Napatech-Pandion-Palo-Alto-Fig.3.jpg 576w, /https://www.napatech.com/wp-content/uploads/2017/10/Napatech-Pandion-Palo-Alto-Fig.3-300x231.jpg 300w" data-was-processed="true" width="576" height="444">

Source: Credocom

   https://www.napatech.com/wp-content/uploads/2017/10/Napatech-Pandion-Palo-Alto-Fig.4-300x116.jpg 300w" data-lazy-sizes="(max-width: 576px) 100vw, 576px" sizes="(max-width: 576px) 100vw, 576px" srcset="https://www.napatech.com/wp-content/uploads/2017/10/Napatech-Pandion-Palo-Alto-Fig.4.jpg 576w, /https://www.napatech.com/wp-content/uploads/2017/10/Napatech-Pandion-Palo-Alto-Fig.4-300x116.jpg 300w" data-was-processed="true" width="576" height="222">

Source: Credocom
 

VORTEILE
Die Integration des Napatech Pandion über Log-Links in die Firewalls von Palo Alto erlaubt dem Nutzer, einem bestimmten Ereignis schnell auf den Grund zu gehen und die Details mit nur einem Tastendruck anzuzeigen. Darüber hinaus lassen sich zusätzliche Funktionen hinzufügen, beispielsweise Middleware, die PCAP-Dateien aus dem Napatech Pandion ausliest und die für den jeweiligen Fall relevanten Details schnell und unkompliziert anzeigt.

In der beschriebenen Lösung verwendet der Endnutzer die Funktion, um Dateien zu untersuchen, die von Nutzern heruntergeladen wurden und die als Web-Sicherheitsereignis geloggt wurden. Indem der Sicherheitsadministrator diese Dateien einfach extrahieren und betrachten kann, ist er in der Lage, schnell festzustellen, ob sie verdächtig sind oder nicht. Dies spart Zeit und knappe Personalressourcen, sodass mehr Ereignisse untersucht und letztlich mehr Sicherheitsbedrohungen und -verletzungen erkannt werden können.

Wenn die Durchschnittlichen Kosten eines Datenverstoßes 4 Mio. US-Dollar betragen und die durchschnittliche Zahl der untersuchten Vorfälle derzeit bei nur 4 Prozent liegt, ist jede Verbesserung der Anzahl untersuchter Vorfälle maßgeblich.

 

ANDERE HERAUSFORDERUNGEN, DIE SICH MIT DER LÖSUNG BEWÄLTIGEN LASSEN
Im erwähnten Anwendungsfall ging es darum, heruntergeladene Dateien zu inspizieren, was zu einer hochwertigen Lösung für den Endanwender führte. Dabei handelt es sich indes nicht um die einzige Herausforderung, die sich auf diese Weise bewältigen lässt. Es gibt eine ganze Reihe von Anwendungsfällen, bei denen der schnelle Zugriff auf detaillierte Daten erhebliche Vorteile bringt.

Für die Netzwerksicherheit ist es grundsätzlich wichtig, die Informationen, die von installierten Security-Appliances wie der Palo-Alto-Firewall zur Verfügung gestellt werden, durch detaillierte historische Netzwerkdaten anzureichern. Das ermöglicht die Entdeckung von Bedrohungen, die versuchen, solche Lösungen zu umgehen oder die noch nie zuvor gesichtet wurden, zumal sich das Netzwerkverhalten unter dem Einfluss von Sicherheitsverletzungen oft verändert.

Ein konkretes Beispiel dafür ist die Datenexfiltration, das heißt: Daten, die normalerweise nicht mit der Außenwelt geteilt werden, werden plötzlich aus dem Gebäude hinaus gesendet. Durch die historischen Daten, die im Pandion Network Recorder verfügbar sind, ist es möglich, zu sehen, was genau gesendet wurde, wer es gesendet hat und wann es gesendet wurde.

Diese Art von Details ermöglicht, Audit-Trails zu erstellen, die nicht nur der Sicherheit, sondern auch einer Reihe von anderen Anforderungen wie zum Beispiel der regulatorischen Compliance dienen. In den letzten Jahren entstand eine Vielzahl neuer Regulierungen, die IT-Organisationen im Falle eines Vorfalls verpflichten, rasch zu reagieren. Beispielsweise verlangen die kürzlich in Kraft getretenen Datenschutzvorschriften der DSGVO, dass Nutzer, deren Daten bei einem Datenverstoß kompromittiert wurden, innerhalb von 72 Stunden informiert werden. Aufgrund der historischen Daten im Pandion Network Recorder lässt sich genau ermitteln, wer betroffen ist und welche Daten exponiert waren.

Genau zu wissen, was geschehen ist, und über die harten Beweise und Fakten zu verfügen, die bei Bedarf vorgelegt werden können, ist auch bei zahlreichen normalen Geschäftsvorgängen hilfreich. Konflikte über die Rechnungsstellung oder die Einhaltung von Service Level Agreements (SLAs), die für eine Geschäftsbeziehung schädlich sind, können so schnell gelöst werden. Eine weitere Herausforderung, für die der Napatech Pandion Network Recorder unbestreitbare Beweise liefert, ist die Sicherstellung, dass sich die Mitarbeiter an die unternehmensinternen Richtlinien in Bezug auf Internetverhalten und Datennutzung halten.

Die Verfügbarkeit historischer Netzwerkdaten sorgt mithin für die grundlegenden harten Fakten, die IT-Organisationen benötigen, um ihr Tagesgeschäft mit so wenigen Unterbrechungen, Konflikten oder Unsicherheiten wie möglich aufrechtzuerhalten.

 

LÖSUNGEN UND ANBIETER IM ÜBERBLICK
SICHERHEITSLÖSUNGEN VON CREDOCOM
Netzwerke, Rechenzentren und Sicherheit sind die Kerngebiete von Credocom. Als Diamond-Partner von Palo Alto Networks löst das Unternehmen jeden Tag viele verschiedene Sicherheitsprobleme. Eine der Schlüsselkomponenten für die Bedrohungsanalyse und für forensische Aktivitäten ist die Verfügbarkeit von umfassenden und relevanten Daten.

Leistungsstarke Next-Generation-Firewalls bewältigen große Datenmengen und generieren Metadaten in Form von Logs. Logs sind jedoch eine starke Aggregation der Wirklichkeit und müssen durch die Möglichkeit, in die Vergangenheit zurückzublicken, ergänzt werden, um ein präzises Urteil zu ermöglichen. Traditionelle SIEMs und ähnliche externe Systeme bieten diese Funktionalität nicht.

Die Kombination aus Firewalls von Palo Alto Networks und dem Napatech Pandion Network Recorder ist eine optimale Lösung für alle Fälle, in denen Sicherheit der nächsten Generation, hohe Performance sowie hundertprozentige Datenintegrität und -verfügbarkeit benötigt werden. Mit dieser Kombination kann Credocom liefern, was anspruchsvolle, auf Sicherheit fokussierte Kunden benötigen.

NAPATECH PANDION NETWORK RECORDER
In Zeiten der Datenüberflutung ist Relevanz besonders wichtig. Mit dem Pandion Network Recorder erhalten Sie die Möglichkeit, den ganzen Datenverkehr in Echtzeit zu erfassen und im Bedarfsfall nur die relevanten Daten abzurufen. Der Napatech Pandion basiert auf Napatechs smarten FPGA-Netzwerkkarten und ist mit verschiedenen Ethernet-Schnittstellenoptionen, konfigurierbarem Speicher und der Napatech-Pandion-Software erhältlich. Der Pandion baut auf Napatechs seit mehr als einem Jahrzehnt branchenerprobter FPGA-Technologie auf und liefert hundertprozentige Paketdatenerfassung und -speicherung für führende Sicherheitsanalyse- und Compliance-Anwendungen.

 

1 “The cost of Malware containment”, Ponemon Research, January 2015
2 “2016 Cost of Data Breach Study, Global Analysis”, Ponemon Institute, June 2016

Napatech Splunk Case Study

Napatech Splunk case study

 

Explore the Napatech Pandion Network Recorder

Available in link speeds 1G, 10G, 40G and 100G.

NEOX - Standort

Unsere Partner

IT Security made in Germany TeleTrusT Quality Seal


Kontakt zu uns!

NEOX NETWORKS GmbH
Otto-Hahn Strasse 8
63225 Langen / Frankfurt am Main
Tel: +49 6103 37 215 910
Fax: +49 6103 37 215 919
Email: info@neox-networks.com
Web: http://www.neox-networks.com
Anfahrt >>