ClickCease Unzureichende interne Netzwerküberwachung bei der Cybersicherheit

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Unzureichende interne Netzwerküberwachung bei der Cybersicherheit

von Joao Correia

Januar 15, 2024 - Technischer Evangelist

Dieser Artikel ist Teil einer Serie, in der wir uns mit einem aktuellen NSA/CISA Joint Cybersecurity Advisory über die wichtigsten Cybersicherheitsprobleme, die bei den von diesen Organisationen durchgeführten Red/Blue-Team-Übungen festgestellt wurden. In diesem Artikel finden Sie einen ausführlicheren Blick auf das spezifische Problem, mit realen Szenarien, in denen es anwendbar ist, sowie mit Abhilfestrategien, die zur Begrenzung oder Überwindung des Problems eingesetzt werden können. Damit werden die Informationen aus dem NSA/CISA-Bericht erweitert.

Eine wirksame interne Netzwerküberwachung ist entscheidend für die Erkennung und Eindämmung von Cyber-Bedrohungen. Eine unzureichende Überwachung kann Unternehmen anfällig für unentdeckte Angriffe durch Angreifer machen. In diesem Kapitel werden die Auswirkungen einer unzureichenden Netzwerküberwachung untersucht und Strategien zur Verbesserung der Überwachungsfunktionen vorgestellt.

 

Das Problem der unzureichenden Überwachung

 

Beschränkungen bei Host- und Netzwerksensor-Konfigurationen

 

Viele Unternehmen versäumen es, Host- und Netzwerksensoren optimal für die Erfassung des Datenverkehrs und die End-Host-Protokollierung zu konfigurieren. Diese Unzulänglichkeit kann zu unentdeckten Kompromittierungen durch Angreifer führen und schränkt die Fähigkeit ein, Verkehrsdaten zu sammeln, die für die Erstellung einer Sicherheits-Baseline und die Erkennung von Anomalien erforderlich sind.

 

Herausforderungen bei rein Host-basierter Überwachung

 

Sich ausschließlich auf die hostbasierte Überwachung zu verlassen, kann unzureichend sein, da dieser Ansatz zwar über schädliche Aktivitäten auf einzelnen Hosts informiert, nicht aber über Aktivitäten, die zwischen Hosts verlaufen. So könnte eine Organisation mit hostbasierter Überwachung zwar infizierte Hosts identifizieren, nicht aber die Quelle der Infektion, was die Bemühungen zur Verhinderung künftiger lateraler Bewegungen und Infektionen behindert.

Darüber hinaus erschwert das Fehlen einer angemessenen Überwachungskorrelation zwischen den Hosts das Verständnis von Mustern - entweder vor oder nach der Ausbeutung -, was zu Ineffizienzen und potenziellen Versäumnissen beim Versuch, die Situation zu korrigieren, führt.

 

Versagen bei der Erkennung seitlicher Bewegungen und Kommando- und Kontrolltätigkeiten

 

Unternehmen mit unzureichender Netzwerküberwachung erkennen möglicherweise nicht, wenn es in ihren Netzwerken zu Seitwärtsbewegungen und Command-and-Control-Aktivitäten kommt. Selbst ausgereifte Cybersicherheitsmaßnahmen können gefährdet sein, wenn die Netzwerküberwachung nicht umfassend ist, wie die Fälle zeigen, in denen Bewertungsteams tiefen Zugang erhalten, ohne Sicherheitsmaßnahmen auszulösen.

Strategien zur Schadensbegrenzung

Erstellen Sie eine Basis von Anwendungen und Diensten

 

Überprüfen Sie regelmäßig den Zugriff und die Nutzung von Anwendungen und Diensten, insbesondere bei administrativen Tätigkeiten. Diese Praxis hilft dabei, das normale Netzwerkverhalten zu verstehen und erleichtert so die Erkennung von Anomalien.

 

Umfassende Netzwerküberwachung implementieren

 

Kombinieren Sie die hostbasierte Überwachung mit der Netzwerküberwachung, um einen vollständigen Überblick über die Cybersicherheitslandschaft zu erhalten. Diese Kombination ermöglicht die Erkennung bösartiger Aktivitäten sowohl auf einzelnen Hosts als auch auf dem Weg durch das Netzwerk.

 

Regelmäßige Audits des Netzwerkverkehrs

 

Führen Sie routinemäßige Überprüfungen des Netzwerkverkehrs und der Muster durch, um ungewöhnliche Aktivitäten oder unbefugte Zugriffsversuche zu erkennen. Dieser proaktive Ansatz hilft bei der frühzeitigen Erkennung und Reaktion auf potenzielle Bedrohungen.

 

Einsatz fortgeschrittener Analysetools

 

Setzen Sie fortschrittliche Analysetools und Algorithmen ein, um den Netzwerkverkehr auf Muster zu analysieren, die auf Cyber-Bedrohungen hindeuten. Techniken des maschinellen Lernens können besonders effektiv bei der Erkennung ausgeklügelter Angriffe sein, die sich herkömmlichen Überwachungsmethoden entziehen könnten.

 

Schulung des Personals in den Praktiken der Netzwerküberwachung

 

Sorgen Sie dafür, dass das IT-Personal in den Praktiken der Netzwerküberwachung gut geschult ist und über die neuesten Cyber-Bedrohungen Bescheid weiß. Regelmäßige Schulungen können helfen, das Team über neue Technologien und Angriffsvektoren auf dem Laufenden zu halten.

 

Pläne für die Reaktion auf Vorfälle erstellen

 

Entwicklung und regelmäßige Aktualisierung von Reaktionsplänen für Zwischenfälle, die Verfahren für die Reaktion auf Anomalien enthalten, die bei der Netzüberwachung festgestellt werden. Diese Pläne sollten sowohl technische Reaktionen als auch Kommunikationsstrategien umfassen.

 

Angemessene Trennung von Hosts durchsetzen

 

Wenn es keinen Grund gibt, dass zwei Hosts miteinander kommunizieren, sollte erwogen werden, sie in getrennte Netzwerksegmente zu verlegen. Obwohl es sich nicht um eine Überwachungsrichtlinie per seist dies zumindest ein Versuch, die Sichtbarkeit und Exposition von Bedrohungsakteuren zu verringern.

 

Ändern Sie Blockregeln in Block-und-Log

 

Identifizieren und untersuchen Sie blockierte Kommunikationsversuche zwischen getrennten Systemen. Eine einfache Blockierung der Verbindung kann dazu führen, dass Sondierungsversuche über lange Zeiträume unentdeckt bleiben.

 

Schlussfolgerung

 

Durch das Erkennen der Lücken in den derzeitigen Überwachungspraktiken und die Umsetzung dieser Abhilfestrategien können Unternehmen ihre Fähigkeit, Cyber-Bedrohungen zu erkennen und auf sie zu reagieren, erheblich verbessern.

Zusammenfassung
Unzureichende interne Netzwerküberwachung bei der Cybersicherheit
Artikel Name
Unzureichende interne Netzwerküberwachung bei der Cybersicherheit
Beschreibung
Es werden die Auswirkungen einer unzureichenden Netzüberwachung untersucht und Strategien zur Verbesserung der Überwachungsmöglichkeiten vorgestellt.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Werden Sie ein TuxCare-Gastautor

E-Mail

Helfen Sie uns,
die Linux-Landschaft zu verstehen!

Füllen Sie unsere Umfrage zum Stand von Open Source aus und gewinnen Sie einen von mehreren Preisen, wobei der Hauptpreis mit 500 $ dotiert ist!

Ihr Fachwissen ist gefragt, um die Zukunft von Enterprise Linux zu gestalten!