Welche Arten von Netzwerksicherheit gibt es?

Die Arten der Netzwerksicherheit, die Sie implementieren, sollten sich an der Bedrohungslandschaft orientieren. Dazu gehören aktuelle Bedrohungsakteure, Angriffsvektoren und Schwachstellen. Auf dieser Grundlage müssen Ihrer Netzwerkumgebung Kontrollen hinzugefügt werden, um die Wahrscheinlichkeit eines erfolgreichen Angriffs zu verringern und die Folgen etwaiger Attacken zu reduzieren. 

Arten der Netzwerksicherheit

Die Sicherheit einer Netzwerkumgebung sollte auf der aktuellen und auf der für die Zukunft erwarteten Bedrohungslandschaft basieren. Dies gilt für Privat-, Unternehmens- und Service-Provider-Netzwerke.

Wirksame Netzwerksicherheit berücksichtigt bekannte Schwachstellen, Hacker oder andere Bedrohungsakteure und aktuelle Angriffstrends. Um ein Netzwerk richtig zu schützen, müssen Sie alle zugänglichen Assets Ihres Unternehmens kennen und wissen, wie sie angegriffen werden könnten.

Bedrohungslage

Die Bedrohungslage (oder auch Bedrohungslandschaft) umfasst viele Elemente, die Sie erkennen und verstehen müssen. Nur so erhalten Sie das Wissen, das Sie brauchen, um geeignete Maßnahmen zu ergreifen.

Beginnen wir mit den Bedrohungsakteuren. Sie sind diejenigen, die Angriffe starten und in Systeme eindringen. Bei diesen böswilligen Akteuren handelt es sich um Personen oder Organisationen, die je nach Art des Akteurs unterschiedliche Ziele verfolgen.

  • Cyberterroristen greifen beispielsweise kritische staatliche Einrichtungen an, um dem jeweiligen Land Schaden zuzufügen. Sie könnten zum Beispiel das Stromnetz eines Landes attackieren.
  • Staatlich geförderte Akteure greifen im Namen ihrer Regierung an. Sie attackieren eine andere Regierung, um die Ziele ihres eigenen Landes zu fördern.
  • Bei organisiertem Verbrechen oder Cyberkriminalität verfolgen die Akteure das Ziel, Geld zu verdienen. Sie betrachten dies als Job oder Einkommensquelle. Sie sind Kriminelle, die Unternehmen nicht physisch, sondern logisch bestehlen.
  • Hacktivisten wollen eine Botschaft vermitteln. Sie sind Aktivisten, die Unternehmen auf logische Weise angreifen.
  • Skript-Kiddies verwenden die Angriffstools anderer. Sie verfügen nicht über das Wissen, um den Angriff ohne diese Tools zu starten.
  • Insider sind Personen, die für das Unternehmen arbeiten und die Absicht haben, ihrem Arbeitgeber Schaden zuzufügen.

Bedrohungsvektoren

Der Bedrohungsvektor ist der Weg, über den der Angriff erfolgt. Er kann ganz simpel sein, z. B. indem der Angreifer jemanden darum bittet, eine Tür zum Gebäude physisch zu öffnen – das wäre eine sehr einfache Form von Social Engineering. Er kann aber auch sehr viel komplizierter sein und ein hohes Maß an Raffinesse erfordern.

Zum Beispiel beginnt ein Angriff häufig mit einer Social-Engineering-Attacke, die als Phishing bezeichnet wird. Ein Anwender fällt auf eine solche Phishing-E-Mail herein. Dabei wird Software auf dem System installiert, und die Software öffnet eine Backdoor zum System. Der Hacker nutzt diese Hintertür aus, um auf das System zuzugreifen und sich im Netzwerk zu bewegen (laterale Bewegung).

Schwachstellen

Schwachstellen sind Anfälligkeiten oder Fehler, die in Technologie vorhanden sind. Dazu gehören Sicherheitsprodukte wie Firewalls, Virenschutz und Anti-Malware-Lösungen, aber auch normale Endgeräte wie Server, Workstations, Laptops, Kameras, Thermostate und Kühlschränke. Und auch Netzwerkgeräte wie Router und Switches können betroffen sein. Schwachstellen lassen sich in drei Kategorien einteilen:

  1. Die Schwachstelle ist bekannt, und es gibt eine Lösung oder einen Patch (n-Day-Schwachstellen).
  2. Die Schwachstelle ist bekannt, aber es gibt noch keine Lösung bzw. keinen Patch (n-Day-Schwachstellen).
  3. Die Schwachstelle ist unbekannt (Zero-Day-Schwachstellen).

 

Websites wie MITRE zeichnen die ersten beiden Kategorien auf – zusammen bilden sie die CVE-Liste (Common Vulnerabilities and Exposures). Das National Institute of Standards and Technology (NIST) unterhält eine weitere Website, die bekannte Schwachstellen auflistet: die National Vulnerability Database (NVD).

Sie können Schwachstellen erkennen, indem Sie entsprechende Scans in Ihrem Netzwerk durchführen. Gute Tools, wie Nessus von Tenable, verknüpfen gefundene Software automatisch mit Datenbanken bekannter Sicherheitslücken. Schwachstellen-Scans melden vermutete Schwachstellen, bestätigen jedoch nicht, dass diese auch ausgenutzt werden können. Als Nächstes müssen Sie also herausfinden, ob sie in einem Netzwerk ausgenutzt werden können, und – wenn dies der Fall ist – Maßnahmen zum Schutz der Systeme ergreifen.

Wenn sich zum Beispiel ein Server mit Microsoft Windows Server 2019 in Ihrem Netzwerk befindet, sollte der Schwachstellen-Scanner Zerologon entdecken, ein Problem, das solche Server betreffen kann. Der Scanner stellt zunächst fest, dass es ein Gerät mit Windows Server 2019 gibt, und durchsucht dann die Datenbank nach bekannten Schwachstellen.

Dieser Scan sollte eine CVE des NIST namens Zerologon entdecken, die unzulässige Berechtigungen ermöglicht. Diese CVE weist einen Common Vulnerability Severity Score (CVSS) von 10 auf, also die höchstmögliche Bewertung. Das heißt, dass die Schwachstelle höchste Gefahr bedeutet und sofort behoben werden muss. Die CVE-Seite enthält Links zu Ratgebern, Lösungen und Tools. Sie verweist auch auf die Seite Common Weakness Enumeration (CWE), die weitere Informationen über den jeweiligen Angriff bietet.

Red Teams, Blue Teams

Es gibt viele verschiedene Tools und Methoden, die ein Unternehmen einsetzen kann, um Netzwerke auf Schwachstellen zu testen. Eine Methode besteht darin, einen Angriff auf das Unternehmen zu simulieren. Solche Attacken werden auch als Penetrationstests (oder kurz Pen-Tests) bezeichnet. Zu diesem Zweck setzen Unternehmen ethische Hacker (sogenannte White-Hat-Hacker) ein.

Indem ethische Hacker ein Netzwerk angreifen, finden sie spezifische Schwachstellen in diesem Netzwerk. Das Besondere an diesen Hackern ist, dass sie die Erlaubnis haben, ein System anzugreifen. Denn so können sie nachweisen, dass die in den CVEs aufgeführten Schwachstellen im Netzwerk vorhanden sind, oder Fehlkonfigurationen und unbekannte Sicherheitslücken aufdecken.

Eine Möglichkeit, einen Pen-Test durchzuführen, sind Red Teams und Blue Teams, also rote und blaue Teams. Das Red Team verwendet echte Hacking-Tools und versucht, die bestehende Netzwerkverteidigung zu durchbrechen. Das Blue Team ist ein Incident Response Team, das mithilfe bestehender Vorfallreaktionspläne (sogenannte Playbooks) auf den aktiven Angriff reagiert.

Wenn diese beiden Teams bei einem Pen-Test zusammenarbeiten, sind die Vorteile größer als bei einem normalen Pen-Test. Das Red Team deckt die Schwachstellen auf, und das Blue Team kann gleichzeitig die Reaktion auf entsprechende Angriffe üben. Netzwerke werden von echten Hackern angegriffen, daher ist es wichtig, dass das Incident Response Team darauf vorbereitet ist. Hierfür ist Übung entscheidend.

Prävention, Erkennung und Reaktion

Das Ziel der Netzwerksicherheit besteht in erster Linie darin, Angriffe zu verhindern. Doch wenn es trotz allem zu einem Angriff kommt, besteht der erste Schritt darin, ihn zu erkennen. Sobald der Angriff bekannt ist, ist es wichtig, richtig darauf zu reagieren. Der Schaden muss gesichtet und bewertet werden, Sie müssen den Umfang ermitteln, und die Schwachstellen bzw. der Angriffsvektor müssen gepatcht werden. Dieser Prozess wird gemeinhin als Prävention, Erkennung und Reaktion (Prevention, Detection and Response, PDR) bezeichnet.

Prävention

Prävention bedeutet, Systeme zu härten und mit Sicherheitskontrollen zu schützen. Die Härtung eines Systems umfasst Folgendes:

  • Patchen des Systems
  • Entfernen des Standardkontos, falls möglich
  • Ändern des Standardpassworts, falls das Konto nicht entfernt werden kann
  • Schließen unnötiger Ports
  • Abschalten oder Entfernen unnötiger Dienste
  • Hinzufügen von Kontrollmechanismen wie Anti-Malware-Software und Firewalls

Erkennung (Detection)

Die Erkennung erfolgt hauptsächlich anhand von Protokollen. Systeme wie Intrusion Detection Systems (IDS) beobachten den Datenverkehr und zeichnen verdächtige Aktivitäten auf. Das System protokolliert die Aktivitäten und sendet sie an einen Syslog-Server. Ein Security Information Event Manager (SIEM) korreliert und analysiert die Protokolle, um daraufhin die Sicherheitsabteilung über Indikatoren für eine Gefährdung (Indicators of Compromise, IOCs) zu informieren. Daraufhin ergreift die Sicherheitsabteilung oder das Incident Response Team Maßnahmen, um zu prüfen, ob es sich wirklich um eine Bedrohung handelt. Dann wird die Umgebung korrigiert, um zu verhindern, dass die Gefährdung erneut auftritt.

Reaktion (Response)

In einigen Fällen ist die Reaktion ganz einfach, z. B. der Download eines Patches auf das betroffene System. In anderen Fällen verursacht sie deutlich mehr Aufwand. Manchmal ist es notwendig, bestehende Konfigurationen in Firewalls, Intrusion Prevention Systems (IPS), Routern und allen anderen Netzwerk- und Sicherheitsanwendungen oder -geräten zu analysieren, um herauszufinden, was falsch konfiguriert ist.

Die Reaktion kann auch das Hinzufügen neuer oder anderer Sicherheitstools zum Netzwerk umfassen. Dieser Prozess kann sehr umfangreich sein und sogar die Entwicklung eines Businessplans beinhalten.

Weiterführende Artikel

Weiterführende Forschung