Unzureichende interne Netzwerküberwachung bei der Cybersicherheit
Dieser Artikel ist Teil einer Serie, in der wir uns mit einem aktuellen NSA/CISA Joint Cybersecurity Advisory über die wichtigsten Cybersicherheitsprobleme, die bei den von diesen Organisationen durchgeführten Red/Blue-Team-Übungen festgestellt wurden. In diesem Artikel finden Sie einen ausführlicheren Blick auf das spezifische Problem, mit realen Szenarien, in denen es anwendbar ist, sowie mit Abhilfestrategien, die zur Begrenzung oder Überwindung des Problems eingesetzt werden können. Damit werden die Informationen aus dem NSA/CISA-Bericht erweitert.
Eine wirksame interne Netzwerküberwachung ist entscheidend für die Erkennung und Eindämmung von Cyber-Bedrohungen. Eine unzureichende Überwachung kann Unternehmen anfällig für unentdeckte Angriffe durch Angreifer machen. In diesem Kapitel werden die Auswirkungen einer unzureichenden Netzwerküberwachung untersucht und Strategien zur Verbesserung der Überwachungsfunktionen vorgestellt.
Das Problem der unzureichenden Überwachung
Beschränkungen bei Host- und Netzwerksensor-Konfigurationen
Viele Unternehmen versäumen es, Host- und Netzwerksensoren optimal für die Erfassung des Datenverkehrs und die End-Host-Protokollierung zu konfigurieren. Diese Unzulänglichkeit kann zu unentdeckten Kompromittierungen durch Angreifer führen und schränkt die Fähigkeit ein, Verkehrsdaten zu sammeln, die für die Erstellung einer Sicherheits-Baseline und die Erkennung von Anomalien erforderlich sind.
Herausforderungen bei rein Host-basierter Überwachung
Sich ausschließlich auf die hostbasierte Überwachung zu verlassen, kann unzureichend sein, da dieser Ansatz zwar über schädliche Aktivitäten auf einzelnen Hosts informiert, nicht aber über Aktivitäten, die zwischen Hosts verlaufen. So könnte eine Organisation mit hostbasierter Überwachung zwar infizierte Hosts identifizieren, nicht aber die Quelle der Infektion, was die Bemühungen zur Verhinderung künftiger lateraler Bewegungen und Infektionen behindert.
Darüber hinaus erschwert das Fehlen einer angemessenen Überwachungskorrelation zwischen den Hosts das Verständnis von Mustern - entweder vor oder nach der Ausbeutung -, was zu Ineffizienzen und potenziellen Versäumnissen beim Versuch, die Situation zu korrigieren, führt.
Versagen bei der Erkennung seitlicher Bewegungen und Kommando- und Kontrolltätigkeiten
Unternehmen mit unzureichender Netzwerküberwachung erkennen möglicherweise nicht, wenn es in ihren Netzwerken zu Seitwärtsbewegungen und Command-and-Control-Aktivitäten kommt. Selbst ausgereifte Cybersicherheitsmaßnahmen können gefährdet sein, wenn die Netzwerküberwachung nicht umfassend ist, wie die Fälle zeigen, in denen Bewertungsteams tiefen Zugang erhalten, ohne Sicherheitsmaßnahmen auszulösen.
Strategien zur Schadensbegrenzung
Erstellen Sie eine Basis von Anwendungen und Diensten
Überprüfen Sie regelmäßig den Zugriff und die Nutzung von Anwendungen und Diensten, insbesondere bei administrativen Tätigkeiten. Diese Praxis hilft dabei, das normale Netzwerkverhalten zu verstehen und erleichtert so die Erkennung von Anomalien.
Umfassende Netzwerküberwachung implementieren
Kombinieren Sie die hostbasierte Überwachung mit der Netzwerküberwachung, um einen vollständigen Überblick über die Cybersicherheitslandschaft zu erhalten. Diese Kombination ermöglicht die Erkennung bösartiger Aktivitäten sowohl auf einzelnen Hosts als auch auf dem Weg durch das Netzwerk.
Regelmäßige Audits des Netzwerkverkehrs
Führen Sie routinemäßige Überprüfungen des Netzwerkverkehrs und der Muster durch, um ungewöhnliche Aktivitäten oder unbefugte Zugriffsversuche zu erkennen. Dieser proaktive Ansatz hilft bei der frühzeitigen Erkennung und Reaktion auf potenzielle Bedrohungen.
Einsatz fortgeschrittener Analysetools
Setzen Sie fortschrittliche Analysetools und Algorithmen ein, um den Netzwerkverkehr auf Muster zu analysieren, die auf Cyber-Bedrohungen hindeuten. Techniken des maschinellen Lernens können besonders effektiv bei der Erkennung ausgeklügelter Angriffe sein, die sich herkömmlichen Überwachungsmethoden entziehen könnten.
Schulung des Personals in den Praktiken der Netzwerküberwachung
Sorgen Sie dafür, dass das IT-Personal in den Praktiken der Netzwerküberwachung gut geschult ist und über die neuesten Cyber-Bedrohungen Bescheid weiß. Regelmäßige Schulungen können helfen, das Team über neue Technologien und Angriffsvektoren auf dem Laufenden zu halten.
Pläne für die Reaktion auf Vorfälle erstellen
Entwicklung und regelmäßige Aktualisierung von Reaktionsplänen für Zwischenfälle, die Verfahren für die Reaktion auf Anomalien enthalten, die bei der Netzüberwachung festgestellt werden. Diese Pläne sollten sowohl technische Reaktionen als auch Kommunikationsstrategien umfassen.
Angemessene Trennung von Hosts durchsetzen
Wenn es keinen Grund gibt, dass zwei Hosts miteinander kommunizieren, sollte erwogen werden, sie in getrennte Netzwerksegmente zu verlegen. Obwohl es sich nicht um eine Überwachungsrichtlinie per seist dies zumindest ein Versuch, die Sichtbarkeit und Exposition von Bedrohungsakteuren zu verringern.
Ändern Sie Blockregeln in Block-und-Log
Identifizieren und untersuchen Sie blockierte Kommunikationsversuche zwischen getrennten Systemen. Eine einfache Blockierung der Verbindung kann dazu führen, dass Sondierungsversuche über lange Zeiträume unentdeckt bleiben.
Schlussfolgerung
Durch das Erkennen der Lücken in den derzeitigen Überwachungspraktiken und die Umsetzung dieser Abhilfestrategien können Unternehmen ihre Fähigkeit, Cyber-Bedrohungen zu erkennen und auf sie zu reagieren, erheblich verbessern.