×
Stellen Sie sich vor, Sie müssten mit geschlossenen Augen den Weg von Ihrem Arbeitsplatz zur Kaffeemaschine finden. Theoretisch nicht so schwierig, praktisch aber fast unmöglich. Zu viele temporäre Hindernisse stünden im Weg: Kollegen beispielsweise oder auch nur eine Aktentasche, die jemand abgestellt hat. Genau so schwierig dürfte es sein, sich den Weg vorzustellen, den beispielsweise eine PowerPoint-Präsentation im Netzwerk von Ihrem Arbeitsplatzrechner zum Fileserver zurücklegt. Firewall oder Router sind noch die einfachsten Stationen, andere Komponenten oder gar Protokolle entpuppen sich schnell als nicht identifizierbar.
Genau so, wie wir ganz selbstverständlich unsere Augen benützen, um den Weg in die Kaffeeküche zu finden, sollten wir auch den Weg der Daten in unseren Netzwerken verfolgen können. Das allerdings ist nicht so einfach, wie es tönt. Denn jedes aktive Gerät, das mit einem Netzwerk verbunden ist, baut Verbindungen zu einem anderen Gerät auf. Dies kann zum Beispiel ein Computer sein, der eine Verbindung zu einem Fileserver aufbaut, oder aber Malware, die eine Verbindung zum Command and Control Server aufbaut. Diese Verbindungen werden Flows genannt. In der Regel passieren diese Verbindungen dabei diverse Netzwerkkomponenten, wie Switches, Router oder Firewalls. Letztere bieten die Möglichkeit, die Flows zu analysieren und C&C-Flows zu blockieren.
Zahlreiche Verbindungen laufen aber unglücklicherweise nie über eine Firewall und bleiben normalerweise unsichtbar, da Switches und Router normalerweise keine Protokollierung durchführen. Sollte dieser Netzwerkverkehr trotzdem protokolliert werden, fällt eine gigantische Menge an Metadaten an, die manuell analysiert werden müssen. Da dies sehr kostspielig ist, verzichten die meisten Unternehmen darauf. Dies führt zu einem Blindflug mit einem grossen Teil des Netzwerkverkehrs und den damit einhergehenden Sicherheitsrisiken.
Lückenlose Kontrolle
Buchstäblich Licht ins Dunkel bringt Cisco Stealthwatch. Das mächtige Kontrolltool sammelt und analysiert die Metadaten aller Netzwerkkomponenten sowie Flows und stellt auf dieser Basis eine umfangreiche Netzwerkmap zur Verfügung. Anhand selbst definierter Hostgruppen ist es möglich, die nötige Visibilität zu schaffen.
Da Stealthwatch die ganzen Metadaten zur Verfügung stehen, sind neben der Flow-Analyse weitere sicherheitsrelevante Analysen möglich. So kann zum Beispiel festgestellt werden, wenn ein Device Daten vom Fileserver auf die lokale Festplatte schreibt und somit Data Hoarding betreibt. Im Anschluss wird erkannt, wenn dieses Device die Daten über eine verschlüsselte Verbindung an einen Cloud-Speicher weiterschickt und der Verdacht auf Data Exfiltration besteht.
Eine zusätzliche Analysemöglichkeit der Flows stellt Global Threat Analytics zur Verfügung, eine cloudbasierte Machine-Learning-Plattform, die in Stealthwatch eingebunden ist. Global Threat Analytics greift in Echtzeit auf eine weltweite Datenbank zu und weiss so von Angriffsvektoren, die im eigenen Unternehmen noch nicht bekannt sind, jedoch bereits weltweit aktiv Schaden verursachen.
Dank Encrypted Traffic Analytics kann sogar verschlüsselter HTTP-Traffic analysiert werden, ohne dabei die übermittelten Daten selbst entschlüsseln zu müssen. Die beim Verbindungsaufbau ausgetauschten Metadaten werden analysiert und mit der globalen Visibilität, die Global Threat Analytics liefert, angereichert. So kann allein an der Form des Flows erkannt werden, ob es sich um eine schädliche Verbindung handelt. Das «Wie» ist hier entscheidend und nicht das «Was».
In Kombination mit Cisco ISE schliesslich können kompromittierte Devices direkt via Stealthwatch blockiert werden. So ist sichergestellt, dass sich der Angriffsvektor nicht weiter im internen Netzwerk verbreitet.
Keine Katze im Sack
Stealthwatch schafft eine durchgehende Visibilität im Netzwerk. Sie wollen aber nicht die Katze im Sack kaufen. Recht so! Rufen Sie uns an, wir zeigen Ihnen gern in einer Live-Demo, wie Stealthwatch in der Praxis funktioniert.
