Netzwerkforensik - von Markus Winkler
Zuletzt aktualisiert: 26.07.2022

Unternehmensnetzwerke ändern sich. Sie sind schneller als je zuvor und von zentraler Bedeutung für das Geschäft. Sie sind jedoch auch verwundbarer durch Angriffe. Um einen komfortablen und sicheren Geschäftsbetrieb zu gewährleisten, müssen IT-Verantwortliche strategische Entscheidungen darüber treffen, auf welche Netzwerk- und Sicherheitstechnologien sie sich konzentrieren wollen.

Dieses Whitepaper stellt die Technologien und Praktiken der Netzwerkforensik vor und erläutert, warum diese speziell für Unternehmen, die auf 10G oder schnellere Netzwerke umstellen, inzwischen unverzichtbar ist.


Whitepaper - Vorteile der Netzwerkforensik

In den letzten Jahren haben sich drei wesentliche Veränderungen in Unternehmens Netzwerke ergeben. Sie sind schneller als je zuvor. Es bestehen deutlich mehr Geräteverbindungen, was zum Teil daran liegt, dass viele Mitarbeiter mehrere mobile Geräte mit sich führen. Zudem besteht ein immer größer werdender Anteil des Netzwerk-Traffics aus Rich Media wie VoIP und Video, die äußerst empfindlich auf Verzögerungen innerhalb des Netzwerks reagieren.

Geldverschwendung - Photo from Jp Valery

Neben höherer Geschwindigkeit und Verbindungszahl sowie den Voice- und Videoanforderungen, ist die Absicherung und die Behebung von Netzwerkproblemen deutlich schwieriger geworden. Dies liegt zum Teil daran, dass die heutigen 10G¹ oder schnelleren Netzwerke einfach zu viele Daten transportieren und daher traditionelle Tools für Netzwerk-Monitoring und Fehlersuche keine verlässlichen Daten mehr sammeln und analysieren können.
Um dies zu umgehen, verlassen sich Analyse-Tools häufig auf Stichproben des Traffics und verallgemeinernde Statistiken. Unglücklicherweise fehlen diesen Stichproben und Statistiken die notwendigen Detailinformationen und damit jegliche Beweiskraft, die IT-Fachleute zur schnellen Lösung von Problemen und zur Auswertung von Angriffen so dringend benötigen.

Netzwerkausfälle sind kostspielig. In etwa der Hälfte aller Organisationen liegt der mittlere Zeitbedarf zum Beheben von Performance-Problemen bei einer Stunde. Und diese eine Stunde verursacht, unter Berücksichtigung sämtlicher finanziellen Aspekte, Kosten in bis zu siebenstelliger EURO/Dollar-Höhe (in Großunternehmen).

Teure Ausfallzeiten sind jedoch nicht das einzige Problem. Ein „undurchsichtiges“ Netzwerk schwächt die Schutzmechanismen der IT-Organisation insbesondere gegen jene Angriffe, die in interne Netzwerke eindringen und vertrauliche Daten stehlen wollen. Datenschutzverstöße können Betrugsvergehen begünstigen, dem guten Ruf schaden, Strafzahlungen an Behörden in Millionenhöhe sowie den Verlust von Wettbewerbsvorteilen bedeuten.

Wie können Unternehmen ihre schnellen, verwundbaren Netzwerke wieder transparent machen?
Mithilfe der Netzwerkforensik. Die Netzwerkforensik befasst sich mit der Aufzeichnung, Speicherung und Analyse von Netzwerk-Traffic. Sie ermöglicht eine vollständige Aufzeichnung der Netzwerkkommunikation sowie leistungsstarke Such- und Analyse-Tools mit deren Hilfe gespeicherter Traffic auswertet und kritische Informationen gewonnen werden können.

¹ 10G bedeutet 10 Gigabit pro Sekunde, was ungefähr 1,25 GB/s bzw. dem Zehnfachen jener Datenmenge entspricht, die vor rund zehn Jahren über „schnelle“ Netzwerken transportiert wurde.

Die Netzwerkforensik bietet den Unternehmen
die folgenden wichtigen Vorteile:

  • Schnellere Behebung von Problemen und damit Reduktion von Ausfallzeiten und Erhöhung der Mitarbeiterproduktivität
  • Schnellere Erkennung und Behebung von Sicherheitsvorfällen
  • Optimierte Ausnutzung der Netzwerkressourcen durch bessere Berichte und Planung
  • Spurensuche und Beweissicherung im Netzwerk
  • Die Analyse eines Systems nach einem Einbruch oder Cyberangriff

Unternehmensführungen müssen verstehen, dass die Netzwerkforensik zu einer unverzichtbaren IT-Fähigkeit geworden ist, die für jedes Netzwerk zur Verfügung stehen muss, damit rund um die Uhr und an jeder Stelle die vollständige Transparenz von Geschäftsbetrieb, Netzwerk-Performance und IT-Risiken gewährleistet ist.

Einführung

Wir haben dieses Whitepaper verfasst, um Unternehmens- und IT-Entscheidern einen klaren und exakten Einblick in einige wichtige Aspekte heutiger Unternehmensnetzwerke zu geben und diese dabei zu unterstützen die Rolle der Netzwerkforensik bei der Behandlung von Problemstellungen, wie Netzwerksicherheit und Netzwerkverfügbarkeit, zu verstehen.

Lassen Sie uns zuerst einen Blick auf Unternehmensnetzwerke werfen.

Moderne Unternehmensnetzwerke

Inwieweit unterscheiden sich die heutigen Netzwerke von jenen, die noch vor ein paar Jahren üblich waren? Hier sind die drei wichtigsten Unterschiede. Die heutigen Netzwerke sind:

  •  Schneller als je zuvor.
    Seit einigen Jahren erweitern Unternehmen jetzt ihre Netzwerke durch Einkauf von Netzwerk-Ports, Routern und anderen Geräten zur Unterstützung einer exponentiell wachsenden, größeren Bandbreite. Noch vor wenigen Jahren waren 1G-Netzwerke die Norm. Inzwischen investieren die meisten Unternehmen in 10G-Netzwerke: Bei insgesamt 75% aller Highspeed-Port (10G+)-Anschaffungen handelt es sich um 10G. Der Rest verteilt sich auf 40G-,100G-, 200G- und 400G-Ports.
  •  Anbindung von mehr Geräten und unterschiedlichen Gerätetypen.
    Vor zehn Jahren waren zumeist Desktop-PCs und Server mit den Unternehmensnetzwerken verbunden. Im aktuellen Zeitalter des BYOD (Bring Your Own Device) führen nahezu alle Mitarbeiter mobile Geräte mit sich. Und dies sind nicht nur ein oder zwei. Bereits 2012 lag der Durchschnitt dieser Geräte pro Anwender bei 2,93.
    Aus dem Traffic zum Desktop-PC und zurück ist inzwischen ein Traffic hin und zurück zu einem Smartphone, einem Tablet und einem Notebook geworden, die unterschiedliche Betriebssysteme verwenden (gewöhnlich eine Kombination aus Windows, OS X, iOS und Android). Im Normalfall greifen alle diese Geräte auch auf öffentliche Netzwerke wie zum Beispiel WiFi-Hotspots zu.
    Ende 2021 lag der Anteil mobiler Geräte am Internetverkehr bereits bei 54% und ist bis in´s 2. Quartal 2022 auf 59% gestiegen. PCs sind somit mittlerweile in der Minderheit.4.
  •  Transport von Rich Media.
    Mittlerweile liegt der Anteil an Videoinhalten am gesamten Internetverkehr bei über 75% und diverse Prognosen gehen von einer weiteren Steigerung in den nächsten Jahren aus. Youtube ist die zweitgrößte Suchmaschine weltweit und Jugendliche nutzen vermehrt Tiktok um nach Informationen zu suchen.5.

3   http://nakedsecurity.sophos.com/2013/03/14/devices-wozniak-infographic/
4   https://www.statista.com/statistics/277125/share-of-website-traffic-coming-from-mobile-devices…
5   https://petapixel.com/2022/07/13/google-says-young-people-using-instagram-and-tiktok-to-search/

Die drei großen Probleme

Die Unternehmens-IT ist komfortabler und leistungsfähiger als je zuvor. 10G-, 40G- sowie schnellere Netzwerke übermitteln Rich Media, Webdienste und mehr, und ermöglichen uns so einen einfacheren Zugang zu Unternehmensdaten und Kollegen mithilfe von Smartphones, Tablets und Notebooks.

IT-Verantwortliche und andere Manager müssen sich jedoch mit drei wichtigen Problemen auseinandersetzen, die mit diesen schnellen und hyperkonnektiven Netzwerken einhergehen.

Die Kosten von IT-Ausfällen

Bei geschäftlicher Nutzung von Netzwerken können Netzwerkprobleme und -ausfälle überaus teuer sein. Das Erhöhen der Netzwerkgeschwindigkeit macht es zunehmend schwerer, den Traffic zu überwachen. Zudem erhöht sich die Menge an Traffic, der bei einem Ausfall betroffen ist.

Betrachten wir einmal die MTTR (Mean Time to Resolution – Mittlere Zeitspanne zur Lösung von Problemen), die von den meisten IT-Organisationen in der Umfrage von TRAC Research angegeben wird:

  • 48% aller Unternehmen benötigen pro Fall mehr als 60 Minuten für die Diagnose von Netzwerkproblemen.
  • Unternehmen verlieren bei einem Netzwerkausfall durchschnittlich 72.000 US-Dollar pro Minute. 
    Bei einem Netzwerkproblem, das einen Ausfall verursacht und dessen Lösung etwa eine Stunde in Anspruch nimmt, verliert das betroffene Unternehmen im Durchschnitt 4.320.000 US-Dollar. Selbst wenn trotz Berücksichtigung von Produktivitätseinbußen, Kundenzufriedenheitseinbußen, Datenverlust und anderen Effekten nur die Hälfte dieser Kosten entsteht, dann ist dies immer noch für viele IT-Organisationen ein guter Grund, um nach besseren Möglichkeiten zur Lösung von Netzwerkproblemen zu suchen.

Unternehmen verlieren im Durchschnitt 72.000 US-Dollar pro Minute bei einem Netzwerkausfall laut TRAC Research.

Zunehmende Sicherheitsbedrohungen

Vor rund einem Jahrzehnt bestanden die häufigsten Sicherheitsbedrohungen für Netzwerke in Massen von Spam-Mails und Malware in Form von Würmern und Ransomware, welche die Netzwerke überlasteten oder den IT-Betrieb gänzlich zum Erliegen brachten.

Heute sind die Bedrohungen deutlich subtiler, höher entwickelt und bei Weitem gefährlicher. An die Stelle des einfachen Unterbrechens von Diensten oder des Anpreisens zwielichtiger Pharmazeutika sind heute Angriffsszenarien getreten, die auf ein unbemerktes Eindringen in Netzwerke abzielen, um dort Tage oder Wochen mit dem Aufspüren von Daten wie Produktpläne oder Kundendaten zu verbringen. Diese Daten werden dann langsam und in kleinen Dosen, aber stetig, in Richtung eines externen Rechenzentrums herausgefiltert, das irgendwo im Ausland liegen kann.
Moderne Angreifer geben sich längst nicht mehr mit bloßem „Cybervandalismus“ zufrieden. Sie versuchen stattdessen geistiges Eigentum zu stehlen, das sich auf dem Schwarzmarkt verkaufen lässt, und vertrauliche Daten, die sich zum Identitätsdiebstahl und für finanziellen Betrug eignen.

Aktuelle Statistiken6 werfen ein düsteres Licht auf die IT-Sicherheit:

  • Die Cyberkriminalität ist aufgrund der COVID-19-Pandemie um 600 % gestiegen
  • Schätzungen zufolge werden sich die Kosten durch Internetkriminalität bis 2025 weltweit jährlich 10,5 Billionen Dollar betragen.
  • Im Durchschnitt kostet ein Malware-Angriff ein Unternehmen über 2,5 Millionen Dollar (einschließlich der Zeit, die für die Behebung des Angriffs benötigt wird).
  • Ransomware ist im Jahr 2021 57-mal zerstörerischer als noch im Jahr 2015.
  • Über 66 % aller KMUs in den USA hatten zwischen 2018 und 2020 mindestens einen Vorfall.
  • Die durchschnittlichen Kosten einer Datenschutzverletzung für kleine Unternehmen liegen zwischen 120.000 und 1,24 Millionen US-Dollar.
  • Über 50 % aller Cyberangriffe werden auf kleine und mittlere Unternehmen verübt.

Wie können IT-Organisationen Detailinformationen erhalten, die zu einer Verbesserung von Netzwerkanalysen und zum Lösen von Netzwerkproblemen beitragen, so dass Probleme schnell erkannt und beseitigt sowie Sicherheitslücken geschlossen werden können? Wenn Übersichtsstatistiken nicht die erforderlichen Flow-Informationen für Detailanalysen liefern können, welche Art von Lösung ist dann dazu in der Lage? Die Antworte lautet: Die Netzwerkforensik.

Laut Verizons Data Breach Investigations Report dauerte es in 66% aller Fälle Monate oder noch länger, die Eindringversuche zu entdecken.
Den IT-Organisationen fehlen offenbar die notwendigen Tools, um diese Bedrohung in Form von Kosten für das Unternehmen oder Gefährdung des Wettbewerbsvorteils in angemessener Weise zu untersuchen und zu unterbinden.

6   https://purplesec.us/resources/cyber-security-statistics/… 

Eingeschränkte Sichtbarkeit

Ironischerweise stellt sich gerade dann, wenn Unternehmen mehr denn je in ihre Netzwerke investieren, heraus dass die meisten IT-Organisationen keinen vollständigen Einblick mehr in ihre Netzwerkaktivitäten haben. Sie können zwar noch Überblickstatistiken aufrufen, die auf allgemeinen Trends und Flows der Anwendungen basieren. Ein Abtauchen in die Details, die zur Behandlung von Problemen oder zum Auffinden von Sicherheitsverstößen unverzichtbar sind, ist jedoch nicht länger möglich.

Das Problem lässt sich auf den Durchsatz zurückführen. Die meisten traditionellen Monitoring-Tools, die IT-Techniker zur genauen Analyse des Netzwerk-Traffics auf IP-Paketebene bislang verwendet haben, können mit dem Traffic hoher Bandbreite der 10G- und schnelleren Netzwerke nicht mehr mithalten. Dies gilt selbst dann, wenn diese Netzwerke nur mit der Hälfte ihrer theoretischen Kapazität arbeiten. Weil sie nicht mithalten können, dann lassen sie Datenpakete aus und verzerren so ihre Berichtsergebnisse.

Viele IT-Abteilungen sind sich dieser Problematik bewusst. In einer Studie von TRACS Research verliehen kürzlich 59% aller befragten ITler ihrer Sorge Ausdruck, dass ihre Netzwerk Monitoring-Tools eher Pakete droppen, anstatt den Highspeed-Traffic zuverlässig für eine Analyse aufzuzeichnen. 51% aller Befragten bezweifelten zudem die Genauigkeit der Daten, die ihr Netzwerk Monitoring-Tool anzeigt.

Das Fazit: Die Netzwerke leisten zwar mehr, aber die IT sieht weniger

Die eingeschränkte Sicht kann für das Geschäft kostspielige Folgen haben. Einschränkungen in der Netzwerk-Performance verursachen eine sinkende Mitarbeiterproduktivität. Ohne ausreichende Transparenz der Netzwerkereignisse kann es für die IT schwierig werden, wenn diese Anwendungsdienste optimieren soll.

Netzwerkforensik : Transparenz an jeder einzelnen Stelle im Netzwerk, jederzeit und bei jeder Geschwindigkeit

Netzwerkforensik : Eine Definition

Sie dient der Überwachung von Highspeed-Netzwerken und der Verringerung von Netzwerkeinschränkungen und -ausfällen sowie zur Sicherstellung von Beweisen für Angriffe.

Unternehmen müssen die Transparenz ihrer Netzwerke
drastisch verbessern, um:

  • Insbesondere 10G-, 40G- und 100G-Netzwerke, die für traditionelle Monitoring-Tools zu schnell sind, überwachen und Probleme beheben zu können
  • Die kostspieligen Performance-Einschränkungen und Ausfälle von Netzwerken zu minimieren
  • Verdeckte Angriffe beweisen zu können, damit diese nachvollziehbar werden und unterbunden werden können. Um diesen Grad an Transparenz zu erreichen, müssen Unternehmen in Netzwerkforensik investieren.

Die Netzwerkforensik befasst sich mit der Aufzeichnung, Speicherung und Analyse von Netzwerk-Traffic. Eine Netzwerkforensik Lösung zeichnet Netzwerk-Traffic auf, speichert diesen in einem durchsuchbaren Repository. IT-Technikern werden Filter zum Durchsuchen der gespeicherten Daten zur Verfügung gestellt, um Anomalien zu erkennen und zu analysieren. Mithilfe der Netzwerkforensik können IT-Security Spezialisten sowohl die Ursache einer Anomalie als auch deren Auswirkungen auf IT-Dienste und Anlagen wie Server und Datenbanken aufdecken.

Stellen Sie sich die Netzwerkforensik wie eine Zeitmaschine vor, die Sie in die Lage versetzt den Traffic wiederzugeben, zu überprüfen oder detailliert zu analysieren, damit Sie die Ursache von Performance-Problemen identifizieren und die Ursprünge von Angriffen aufdecken können.

Wie weit können Sie mit dieser Zeitmaschine in die Vergangenheit reisen? Es hängt davon ab, wie viel Speicherplatz Sie zur Verfügung stellen und wie viel Bandbreite Ihr Netzwerk-Traffic normalerweise beansprucht. Die beste Vorgehensweise besteht darin, die Daten mehrerer Tage aufzuzeichnen, so dass ein Angriff, der Freitagabend begonnen hat, am Montagmorgen immer noch erkannt und im Detail analysiert werden kann.

"Das Überwachen von Datenpaketen ist die definitive, umfassendste Datenquelle im Hinblick auf Performance, die Ihnen zur Verwaltung von Netzwerken und insbesondere zur Problembehebung zur Verfügung steht." 

– Jim Frey 
Managing Research Director 
Enterprise Management Associates, Inc.

Warum Analysen auf Datenpaketebene wichtig sind

Netzwerkforensik liefert Ihnen mehr als nur einfache Übersichtszusammenfassungen von Netzwerkereignissen. Sie liefert Ihnen den tatsächlichen Traffic: Jedes einzelne Datenpaket, welches das Netzwerk durchquert hat. Und sie stellt Ihnen diesen Traffic mithilfe einer Vielzahl von Tools und Filtern zur Verfügung, damit Sie diesen auf verschiedenste Weise untersuchen und so diejenigen Datenpakete treffsicher ermitteln können, die Sie interessieren.

Anwendungsfälle für Netzwerkforensik

Nach Einführung der Netzwerkforensik-Lösung von LiveAction (ehemals Savvius/Wildpackets) können Sie diverse Arten forensischer Untersuchungen durchführen:

  •  Network Performance Benchmarking für Detailberichte zu Netzwerk-Performance, Geschäftsaktivitäten, Ressourcenverteilung und andere Zwecke.
  •  Network Troubleshooting für das Beheben verschiedenster Netzwerkprobleme, insbesondere jener, die sporadisch auftreten.
  • Transaktionsanalyse zur Bereitstellung des „ultimativen Audit-Trails“ für alle Arten von Verbindungen, inklusive Web und Datenbanktransaktionen. Wenn Serverprotokolle und andereserverbasierte Beweismittel nur unzureichende Daten für die Einstufung einer Transaktion liefern, dann ermöglicht die Netzwerkforensik der IT-Organisation die Lokalisierung und Untersuchung des exakten Inhalts und Ausführungszeitpunkts einer auffälligen Verbindung.
  • Sicherheitsanalyse ermöglicht Sicherheitsbeauftragten und IT-Security Mitarbeitern die Erkennung und Schadensbegrenzung im Falle eines Angriffs, der die Sicherheitsvorkehrungen des Netzwerks überwunden hat. Die Netzwerkforensik ermöglicht den Verantwortlichen, dass die Untersuchung durchführt, Beweise für einen Angriff zu finden und dessen Auswirkungen auf IT-Ressourcen ermitteln.

Performance-Analyse und Problembehebung

  • Aufzeichnung und Analyse sporadischer Netzwerkprobleme
  • Behebung von Problemen, die vor Stunden oder bereits vor Tagen aufgetreten sind
  • Auffinden von Mustern, die bei Adhoc- oder reaktiver Problembehandlung übersehen werden

Transaktionsanalyse

  • Erstellen Sie den ultimativen Audit-Trail für Geschäftsvorgänge – nicht nur Serveraktivitäten, sondern für sämtliche client- und serverseitigen geschäftlichen Transaktionen
  • Beheben Sie auch jene Transaktionsprobleme, die nicht im Serverprotokoll zu finden sind

Angriffsanalyse

  • Weisen Sie Angriffe nach – egal, ob diese gerade begonnen haben oder bereits vor Tagen stattgefunden haben – so dass Ihre IT-Techniker und Datenschutzteams die Angriffe nachvollziehen und stoppen können
  • Setzen Sie Filter, um bösartiges Verhalten zu isolieren
    •  Statten Sie Ihr IT-Netzwerkteam mit einem leistungsstarken Incident-Response-Tool aus

Fallstudie:
Einsatz der Netzwerkforensik zum Aufdecken eines Angriffs

Hier ist eine wahre Geschichte über die Netzwerkforensik und wie diese dem IT-Team eines Unternehmens geholfen hat, den Umfang und Modus Operandi eines Angriffs zu ermitteln.

Ein innerhalb des Netzwerks installiertes Sicherheits-Tool stellte eine ungewöhnliche Aktivität auf einem Server fest und löste Alarm aus. Als das IT-Team dies untersuchte, stellte man fest, dass der Server durch einen Angriff kompromittiert worden war. Bedauerlicherweise stellte das Sicherheits-Tool keine weiterführenden Informationen zu diesem Angriff zur Verfügung, wie zum Beispiel wer der Täter war und welche anderen Systeme außerdem noch betroffen sein könnten. Diese oberflächliche Art von Alarm ist durchaus üblich. Die Sicherheits-Tools erkennen zwar eine Anomalie. Um aber voll und ganz zu verstehen, um welche Art von Angriff es sich handelt und welches Ziel dieser hatte, müssen die IT-Techniker den Vorfall genauer untersuchen.

Um mit den Nachforschungen zu beginnen, setzte das Team sein Netzwerkforensik System ein, das den Traffic vor, während und nach dem Angriff aufgezeichnet hatte. Unter Verwendung eines Dashboards (in diesem Fall LiveAction Compass) erkannte das Team, dass das kompromittierte System kurz nach Beginn des Angriffs eine Spitze im CIFS (Common Internet File System)-Traffic aufwies. (CIFS ist ein Netzwerkprotokoll, das von Windows-Computern zur Verwaltung des Zugriffs auf Dateien und Drucker verwendet wird.) Um mehr über die Systeme im Zusammenhang mit der CIFS-Spitze zu erfahren, öffnete das Team eine Peer-Map, die eine grafische Darstellung der gesamten aufgezeichneten Netzwerkkommunikation ist, die während des fraglichen Zeitraums stattgefunden hat.

Die Peer-Map bestätigte, dass der kompromittierte Server mit diversen anderen Systemen kommuniziert hatte.

Abbildung 1. Eine Peer Map stellt die vollständige Netzwerkkommunikation in einem ausgewählten Zeitfenster dar.

Als Nächstes filterte das Team den Traffic, um ausschließlich die vom kompromittierten Server ausgehende Kommunikation anzuzeigen. Auf diese Weise konnten ganz einfach drei weitere Systeme identifiziert werden, mit denen der kompromittierte Server nach dem Angriff kommuniziert hatte.

Abbildung 2. Das Filtern innerhalb der Peer-Map machte es einfach, die Adressen der Systeme zu ermitteln mit denen der kompromittierte Server kommuniziert hatte. Die Netzwerkforensik lieferte kritische Informationen, die von den Sicherheits-Tools übersehen wurden.

Das IT-Team wusste nun, auf welche Server es seine Bemühungen konzentrieren musste, um den Angriff wirksam einzudämmen und dessen Auswirkungen zu beheben. Zusätzlich zur Quarantäne und Reparatur des eingangs angegriffenen Servers, stellte das Team noch drei weitere infizierte Server unter Quarantäne.

Ausgehend von einem eher vagen Sicherheitsalarm konnte das Team die Netzwerkforensik zur Identifizierung jener Systeme einsetzen, die unter Quarantäne gestellt werden mussten und auf die es sich zum Behebung des Angriffsschadens konzentrieren musste. Die Netzwerkforensik ermöglichte dem Team die Sicherstellung von Beweisen für den Angriff und das Nachvollziehen von dessen Auswirkungen.

Eine Checkliste für Netzwerkforensik Lösungen

Lösungskomponenten

Eine Netzwerkforensik Lösung besteht normalerweise aus:

  • Einem Netzwerk-TAP, womit die Daten rückwirkungsfrei aus der aktiven Netzwerkleitung gespiegelt werden. Ein Netzwerk-TAP kopiert die Daten und ist für Angreifer unsichtbar im Netzwerk, da es auf dem OSI Layer 1 arbeitet. Ferner wird beim Einsatz eines TAP’s die Integrität der Daten sichergestellt.
  • Einer Netzwerk Capture Appliance, einer Capture Anwendung für die präzise Aufzeichnung der Netzwerkdaten, idealerweise ausgestattet mit einer FPGA Netzwerkkarte und Timestamping Funktion mit einer Genauigkeit von
  • Einem Netzwerk-Analyzer, einer leistungsstarken Softwareanwendung, die Such-, Filter- und Analyse-Tools für den aufgezeichneten Traffic zur Verfügung stellt. Im Idealfall sollte der Netzwerk-Analyzer die Daten für Berichtszwecke exportieren können und so verschiedenen IT-Experten die Zusammenarbeit bei der Lösung von Problemen mit der Netzwerk-Performance oder -Sicherheit erleichtern.

Viele Hersteller bieten eine Kombination aus Netzwerk Capture Appliance und Netzwerkanalysator in einer einzigen Hardware an. Vervollständigt wird die Forensik Lösung mit einem Netzwerk-TAP, denn nur so ist sichergestellt, dass die Daten zur Analyse unversehrt sind.

Netzwerk Forensik und Datenaufzeichnung - Anwendungsszenario

Funktionsumfang der Netzwerkforensik-Lösung

Eine Netzwerkforensik-Lösung muss leistungsstarke, präzise und kostengünstige Funktionen für sämtliche Aspekte der Netzwerkforensik zur Verfügung stellen:

  • Datenaufzeichnung – Die Lösung sollte den Traffic mitschneiden können (alle Datenpakete sämtlicher Flows für alle Netzwerkprotokolle und nicht nur Übersichtsstatistiken) und zwar auf verlässliche Weise für Geschwindigkeiten bis zu 20G, dem Äquivalent einer 10G Voll-Duplexverbindung. Sie darf auf gar keinen Fall Datenpakete verlieren. Die Statistiken müssen stets exakt sein, selbst dann wenn einzelne Netzwerksegmente unter hoher Last stehen. Die Lösung sollte mehrere parallele, unabhängige Datenmitschnitte unterstützen sowie ein Auslösen des Mitschneidens über Policies ermöglichen, damit der Traffic bei Eintritt bestimmter Bedingungen automatisch aufgezeichnet wird.
  • Datenspeicherung – Die Lösung muss Traffic in Geschwindigkeiten bis zu 20G, dem Äquivalent einer 10G Voll-Duplexverbindung, absolut verlustfrei aufzeichnen können. Während die Daten in das Speichermedium geschrieben werden dürfen keine Datenpakete ausgelassen werden, selbst dann nicht, wenn einzelne Netzwerksegmente gerade hoch ausgelastet sind. Das System sollte leicht skalierbar sein, um bis zu Hunderten von Terabytes an gespeichertem Traffic zu unterstützen. Es sollte zudem die Adhoc-Erweiterung externer Speichersysteme, wie zum Beispiel SANs oder JBODs, unterstützen.
  • Datenanalyse – Schnelle, einfach zu bedienende und intuitive Such- und Filterwerkzeuge sind unverzichtbar. Das Mitschneiden und Speichern von Daten ist sinnlos, wenn die IT-Techniker diese Daten (die sich höchstwahrscheinlich im zweistelligen Terabytebereich bewegen) nicht schnell und effizient durchsuchen können, um Problemursachen zu identifizieren, Angriffe aufzudecken und andere forensische Untersuchungen durchzuführen.

Best Practices

Die Netzwerkforensik liefert Ihrem IT-Team, Ihrer Personalabteilung sowie Ihren Rechts- und Compliance-Abteilungen umfassende Beweise zur Untersuchung von Anomalien und Bewältigung von Krisen. Sie können durch Einhaltung der unten aufgeführten Best Practices sicherstellen, dass Ihre Organisation das volle Potenzial der Netzwerkforensik ausschöpft. 

Best Practice Tipp Nr. 1: Setzen Sie Netzwerkrecorder ein, die Ihren Netzwerk-Traffic über mehrere Tage verlässlich aufzeichnen können

Es ist eine gute Idee ein Benchmark der Netzwerkrecorder durchzuführen, bevor man diese integriert. Einige Hersteller versprechen Performance im Highspeed-Bereich, scheitern jedoch, wenn es um das verlässliche Mitschneiden von Traffics bei Erreichen von 10G oder höheren Bandbreiten geht. 

Best Practice Tipp Nr. 2: Schneiden Sie den Traffic an allen Orten mit

Um das Lösen von Netzwerkproblemen zu erleichtern, die Netzwerksicherheit zu erhöhen und Compliance-Anforderungen gerecht zu werden, sollten IT-Organisationen den Traffic an allen Stellen mitschneiden und nicht nur im Netzwerkkern. 

Denken Sie dabei an den Fall eines Großunternehmens, das einem Angriff auf eine seiner Zweigstellen zum Opfer fiel. Der Angriff breitete sich von der Zweigstelle bis ins Hauptquartier aus. Ohne eine detaillierte Analyse des Zweigstellen-Traffics wäre die IT-Organisation nicht in der Lage gewesen die Angriffsquelle zu ermitteln und angemessene Vorkehrungen zu treffen, um eine weitere Ausbreitung zu verhindern.

Best Practice Tipp Nr. 3: Schneiden Sie den Traffic rund um die Uhr mit

Ergänzend zum Mitschneiden des Traffics an allen Stellen, müssen IT-Organisationen dafür sorgen, dass dieser unterbrechungsfrei, rund um die Uhr mitgeschnitten wird, damit auch Anomalien, die außerhalb der Geschäftszeiten aufgetreten sind, untersucht werden können.

Best Practice Tipp Nr. 4: Nehmen Sie Baseline-Messungen zur Netzwerk-Performance vor

Um ein Gefühl für den „Normalzustand“ zu entwickeln, sollten die IT-Techniker Baseline-Messungen für verschiedene Arten von Netzwerk-Traffic, wie zum Beispiel HTTP, VoIP und wichtige Geschäftsanwendungen für übliche Zeiträume, wie z.B. eine Stunde, einen Tag, oder eine Woche für das Gesamtnetzwerk durchführen. 

Best Practice Tipp Nr. 5: Setzen Sie Filter, um anomales Verhalten zu erkennen

Ergänzend zur Durchführung fortlaufender Tages- oder Wochenmitschnitte des gesamten Netzwerk-Traffics, kann es hilfreich sein Sekundärmitschnitte zu definieren, die nur bestimmte Anomalien abdecken, die auf einen Sicherheitsverstoß hinweisen können. Falls keine Anomalien auftreten, wird kein Sekundärmitschnitt gestartet und es werden keine Alarme ausgelöst. Falls jedoch Anomalien auftreten, dann ist es für die IT-Techniker und Sicherheitsexperten vorteilhaft, dass die Beweise in einer kleinen Capture-Datei vorliegen, die exakt die relevanten Daten enthält.

Zusammenfassung und Ausblick

Durch unterbrechungsfreies Mitschneiden von Netzwerk-Traffic für Analysezwecke stellen Netzwerkforensik Lösungen sicher, dass Unternehmen – selbst in Highspeed-Netzwerken auf dem neuesten Stand der Technik – jederzeit für die Analyse und Untersuchung von Performance-Problemen, Sicherheitsbedrohungen und anderen Netzwerkanomalien bereit sind.

Durch schnelleres Lösen von Problemen und Behebung von Angriffen, kann Ihre Organisation:

  • Netzwerkausfälle reduzieren und die Mitarbeiterproduktivität erhöhen
  • Das Risiko von Angriffen senken und Bußgelder aufgrund von Datenschutzverstößen vermeiden
  • Basierend auf einem besseren Verständnis der Netzwerkauslastung die Netzwerkressourcen besser nutzen

Die kritischen Fragen

Wie kann die Netzwerkforensik Ihr Unternehmen unterstützen?

Es kann bei der Bewertung der Stärken, Schwächen, Strategien und potenziellen Investitionen Ihrer Organisation vorteilhaft sein, über die folgenden Fragen nachzudenken:

  • Welche Vorkehrungen haben wir getroffen, um Probleme im Bereich der Netzwerk-Performance, Angriffe untersuchen zu können?
  • Schneiden wir an allen Stellen den Traffic und können so sicherstellen, dass wir Probleme möglichst schnell lösen und Sicherheitsverstöße erkennen?
  • Wären wir nach einem Angriff auf einen unserer Server in der Lage sämtliche Geräte zu identifizieren, mit denen der Server anschließend kommuniziert hat? Und falls ja, wie lange würde eine solche Untersuchung wahrscheinlich dauern?
  • Welche Konsequenzen hätte es, wenn der höchsten Geheimhaltung unterliegende Daten unseres Unternehmens offengelegt werden? Sind wir mit unseren aktuellen Sicherheitsvorkehrungen zufrieden und untersuchen wir bereits Möglichkeiten zur Schließung einer solchen Schwachstelle?
  • Wenn wir vorhaben die Geschwindigkeit und die Bandbreite unseres Netzwerks zu erhöhen, müssen wir dann auch die Fähigkeit unserer IT zur Überwachung und Analyse dieser Netzwerke verbessern? Haben wir ein Audit unserer aktuellen Netzwerküberwachungs- und unserer Netzwerkanalyse-Tools durchgeführt, um festzustellen ob diese aufgrund von Trends wie Highspeed-Netzwerken und Rich Media (z.B. VoIP und Video) sowie Kommunikation mit einer höheren Anzahl von Endpunkten und Sicherheitsrisiken durch Nutzung privater Mobilgeräte im Büro überflüssig werden?

Die Beantwortung dieser Fragen ermöglicht es Ihnen und Ihrem Unternehmen wichtige Entscheidungen zu den Themen Netzwerkforensik, Sicherheit, Bereitstellung von Anwendungen und Mitarbeiterproduktivität zu fällen.

Wir beraten Sie gerne und freuen uns über Ihre Kontaktaufnahme!