Cybersecurity Hands On

Einleitung

Die Vernetzung von Geräten, Haushalten, Organisationen und Firmen schreitet stetig voran. Das „Internet“ durchdringt alle Lebensbereiche. So wie die Anzahl von Verbindungen für Kommunikation stetig steigt, so steigt auch genauso stark die Möglichkeiten für Angriffe und Missbrauch, auch Angriffsvektoren genannt, auf die Kommunikation und ihre Kommunikationsteilnehmer. Die Kunst der Netzwerküberwachung ist nun die Trennung von gut- und bösartigem Netzwerkverkehr. Angreifer versuchen aber Ihre Spuren zu verdecken und im allgemeinen Datenrauschen unterzugehen, nicht aufzufallen.

Beweissicherung und Überwachung unterscheiden sich in der Absicht und dem Zeitpunkt zu dem sie ausgeführt werden, die eingesetzten Technologien und Werkzeuge sind aber in der Regel die selben. Netzwerküberwachung hat das Ziel Angriffsmuster möglichst früh zu erkennen und wenn möglich entsprechende Gegenmaßnahmen daraus ab- und einzuleiten. Geschwindigkeit ist mehrfach ein Thema. Weil der Netzwerkdurchsatz, Netzwerkgeschwindigkeit, steigt und die Erfassung vollständig ohne Einschränkungen für die Kommunikationsteilnehmer erfolgen sollte. Die Geschwindigkeit für die Suche und Analyse nach relevanten Ereignissen in dem  Datenmeer ist ein wesentlicher Faktor für den Erfolg von reaktiven Maßnahmen. Je schneller eine Suche auf aktuelle Daten durchgeführt werden kann, desto früher können (Gegen-)Maßnahmen ergriffen werden. Automatisierung, Revisionsfähigkeit und vollständige Transparenz stellen weitere Qualitätsfaktoren dar. Damit ist klar, dass bei Netzwerküberwachung auch die Themen Beweissicherung (vgl.: Network Forensic) und Datenschutz betroffen sind und auch entsprechend Beachtung finden sollten.

Ein großer Vorteil ist, dass Netzwerküberwachung im Gegensatz zur Speicherauswertung – Arbeitsspeicher, Festplattenspeicher et al. – in der Regel kein direkter Zugang zum System des Angreifers benötigt wird. Der Zugriff auf Daten kann so gestaltet werden, dass der Angreifer meist davon nichts bemerkt, bemerken kann. Die Überwachung dient vor allem, um festzustellen welche Systeme betroffen sind und wie die Kommunikation erfolgt.

Ablauf

Sobald eine Netzwerkverbindung vorhanden ist kann eine Überwachung und anschliessende Analyse erfolgen. Dieser Ablauf lässt sich in drei aufeinander folgende Abschnitte gliedern.

1. (Netzwerk-)Pakete Erfassen

Damit ist das Erfassen und Ablegen des gesamten Netzwerkverkehrs gemeint. Wie schon weiter oben angesprochen ist die anfallende Datenmenge eine große Herausforderung. Auf der einen Seite müssen die Daten vollständig von der Netzwerkschnittstelle übernommen werden und auf der anderer Seite danach dauerhaft abgespeichert werden können. Alles unter dem Vorbehalt, dass der eigentliche Verkehr dadurch nicht be-, oder eingeschränkt, wird. Das würde nämlich einen möglichen Hinweis auf eine Überwachung für den Angreifer liefern. Im Prinzip gibt es zwei Möglichkeiten Netzwerkverkehr zustandslos abzugreifen. Entweder als TAP (vgl.: Terminal Access Point), der den bestehenden Verkehr, als Signal verdoppelt und an zwei Schnittstellen, statt nur an der bisherigen einen Schnittstelle, ausgibt. Oder in der Form, dass der Verkehr aktiv an einer Netzwerkschnittstelle kopiert wird, auch bekannt unter den Bezeichnungen Mirroring, Sniffing, Span et al. Hardware, wie Netzwerk TAP und Managed Switch sind je ab etwa € 40,- bei Onlinehändlern zum Beispiel beziehbar.

2. Vorverarbeitung/ Normalisierung

Der Netzwerkverkehr und die darauf basierende Kommunikation wird in einzelne Übertragungspakete aufgeteilt. Dies bringt etliche Vorteile mit sich aber auch einen zusätzlichen Aufwand für die Kommunikationspartner – Pakete erstellen und wieder zusammensetzen. Das muss auch der machen, der den Netzwerkverkehr mitschneidet, kopiert, um aus den Daten den nötigen Informationsgehalt gewinnen zu können. Erst eine vollständige Kommunikation ermöglicht eine Auswertung, Suche, Gewichtung und Relativierung, die belastbar ist. Das ist unter Vorverarbeitung zu verstehen. Normalisierung ist in der Regel eine Vereinheitlichung auf ein gemeinsames Format, dass eine inhaltlich eindeutige Interpretation zulässt.

3. Analyse

Der letzte Schritt ist die eigentliche Auswertung, Analyse, der erfassten Daten und ist der eigentliche Zweck der Netzwerküberwachung. Der Zweck ist das Erkennen von Abweichungen und Spuren von ungewolltem, teils schadhaften, Netzwerkverkehr. Dazu werden verschiedene Aktionen miteinander verschränkt, in Beziehung gesetzt, ausgewertet und Maßnahmen ausgelöst. Der ungewollte Abfluss von Informationen aus dem Unternehmen, der Organisation, wird zum Beispiel durch Inspektion der Datenströmen überwacht. Aus dem Datenstrom können Inhalte, wie Word Dokumente, Bilder, etc., herausgefiltert werden und anhand von eindeutigen Merkmalen, wie Signaturen, Hash Werten et al. zugeordnet werden. Angriffe folgen in der Regel auch einem Schema und dazu gehört nach der Erkennungsphase die Ausbeutungsphase. In der Phase werden Systeme kompromittiert. Ein Abgleich von Informationen eines CVE (vgl.: Common Vulnerabilities and Exposures) Anbieters, wie es ein CERT ist, mit der eignen Infrastruktur und den Diensten bestimmt den Kreis der möglicherweise betroffenen Systeme. Eingeschränkt auf diese kann dort nach entsprechenden Mustern gesucht werden. War der Angriff, die Ausbeutung, erfolgreich, so hält in der Regel der Angreifer zu dem kompromittierten System Verbindung. Diese Kontrollverbindungen entsprechen meist einem einheitlichen Muster, vor allem wenn sie automatisiert erfolgen. Eine Permutation von (Verbindungs-)Verhalten und Inhalten findet nicht statt. Mit Hilfe von statistischen Verfahren und Modellen lässt sich auch nach möglichen Anomalien suchen. Diese werden meist verbrämt unter dem Ausdruck „künstliche Intelligenz“. Mögliche Prävalenzfehler nicht ausgeschlossen, vor allem, wenn die  Verfahren, Algorithmen, nicht offengelegt sind.

Verschlüsselter Verkehr stellt immer mehr eine Herausforderung dar. Vor allem die Abfrage von Namenservern (vgl.: DNS), weil damit droht ein wichtiger Teil der Metainformationen verloren zu gehen. Dazu haben sich vor allem zwei Verfahren etabliert – DoT und DoH.

Daten

Ein Aufzeichnung von Netzwerkdaten enthält Nutzdaten, die eigentliche Kommunikation, und Metadaten über die Kommunikations(-verbindung). Das sind vor allem:

  • MAC-Adresse / IP Kombination:
    Die MAC Adresse ist auf der Hardwareseite eindeutig einem Gerät durch den Hersteller zugewiesen. Die IP Adresse ist eine eindeutig Information über den Internetzugang durch en Provider. Dies kann helfen, eine Kommunikation einem bestimmten Gerät zuzuordnen, da die MAC Adresse eindeutig ist. Eine Verwertung der Information ist aber unter dem Gesichtspunkt zu machen, dass diese Information relativ einfach fälschbar ist.
  • Protokoll spezifische Daten
  • Angriffsmuster (z.B. Portscans, SQL Injections in Datenströmen, Shellcode, etc.).
  • Payload Daten (z.B. heruntergeladene Dateien, POST Requests, verschickte und empfangene Emails, etc.).
  • Malware Kommunikation

Metadaten enthalten verwertbare Informationen. Der Inhalt der Kommunikation kann sogar verschlüsselt – unlesbar für den Überwacher – erfolgen. Die Metadaten, als Beschreibung, wer mit wem, wie lange und in welcher Form wie oft kommuniziert ist in der Regel für Verhaltensanalyse ausreichend. Ein Anwendungsfall sind zum Beispiel Anbieter von verbotenen Inhalten im Internet. Die Kommunikation erfolgt verschlüsselt, aber die Namesauflösung erfolgt unverschlüsselt. Somit ist bekannt welche Inhalte abgerufen werden.

Diese Metadaten lassen sich in der Form verdichten, anonymisieren. Damit sind diese Daten interessant, weil sie aus Sicht des Datenschutz (relativ) unbedenklich sind, insbesondere, wenn sie so anfallen, dass der Analytiker keine Rückschlüsse auf eine Person (oder einen Anschluss machen kann).

Ausblick

Das Risikomanagement einer Organisation wird vor neue Herausforderungen – Stichwort Digitalisierung – gestellt auf die es reagieren muss. Eine Möglichkeit mit der ständig steigenden Anzahl von Angriffsvektoren umzugehen wäre zum Beispiel, dass man entsprechende Informationen zwischen Organisationen austauscht und es eine zentrale Instanz gibt, die diese Informationen entgegennimmt, wartet, überprüft und zur Verfügung stellt (vgl.: CERT). Technisch ist es höchstens eine Frage der Finanzmittel der Organisation, wie weit sie Risiken aus der Netzwerksphäre begegnet. Zu beobachten ist aber auch, dass Cloud- und Virtualisierungsstrategien Netzwerkverkehr auf Abstraktionsschichten heben, die wenig, oder gar nicht überwacht werden. Die Möglichkeiten sind vorhanden, aber da bei Virtualisierung, Kontainerisierung, Cloudauslagerung, etc. die Komplexität nicht verloren geht, sondern „nach hinten“ verlagert wird, ist auch der Aufwand zur Überwachung nicht geringer sondern eher um einiges höher zu erwarten.

Seit Jahren wird die Verschlüsselung von Kommunikation im Internet vorangetrieben. Verschlüsselung hilft in der Datensicherheit das Schutzziel Integrität, wie im Datenschutz das Gewährleistungsziel Integrität zu ermöglichen. Sie ist ein Schutz vor Offenlegung von Information und schützt die Privatsphäre. Das ist aber nur dann sinnvoll, wenn keine Hintertüren eingebaut sind, die missbraucht werden könnten. Je sensibler die Informationen sind, zB.: Gesundheitsdaten, desto wichtiger ist die Erfüllung des Gewährleistungsziels Integrität.

Bereits erwähnt wurde die mögliche Verschlüsselung von DNS Verkehr. Hinzukommt TLS 1.3, dass ein Abfangen (vgl.: Interception) anspruchsvoller gestaltet und aber auch keine Zertifikatsinformationen mehr im Klartext überträgt. Damit wird das Verwerten und Auslesen von Metainformationen schwierig, bis unmöglich vorerst.