Umfassende Einblicke in die Netzwerksicherheit ermöglichen, Bedrohungen in Echtzeit zu erkennen und nach dem Sicherheitsereignis den Betrieb im Unternehmensnetz wiederherzustellen. Zu diesem Zweck wird das Verkehrsverhalten im Zeitverlauf analysiert und die Konversationen werden für retrospektive Untersuchungen gespeichert.
Stärkung der Strategien zur Bedrohungsvermeidung durch Netzwerk-Sicherheitsforensik
In letzter Zeit haben schlagzeilenträchtige Angriffe die Notwendigkeit robusterer Tools zur Gewährleistung der Netzwerksicherheit unterstrichen. Hierbei geht es insbesondere um Software, die die tatsächlichen Netzwerkkonversationen analysieren und die zugrunde liegende Infrastruktur überwachen kann, um vorhandene Lösungen zur Bedrohungsvermeidung zu stärken.
Dieser Aufgabe wird Observer gerecht, da diese Lösung eine leistungsstarke Kombination aus umfassender Paketdaten-Analyse und Enriched-Flow-Datensätzen zur Verfügung stellt, die lückenlose Einblicke in den Netzwerkverkehr und in die unterstützende Infrastruktur gewährleistet. Diese aussagekräftigen Datenquellen fördern die Echtzeiterkennung von Bedrohungen sowie retrospektive Sicherheitsuntersuchungen. Damit lassen sich Sicherheitsverletzungen und kompromittierte Ressourcen umgehend identifizieren und Abwehrmaßnahmen ergreifen.
Mit der Veröffentlichung von Observer v18 bestehen Paketdaten und Enriched-Flow-Daten in Observer Apex nun nebeneinander. Da Observer die auf den Layern 2 und 3 gesammelten Informationen zu einem einzigen Enriched-Flow-Datensatz zusammenfasst, können beispiellose interaktive Visualisierungen erstellt werden, die die Beziehung zwischen Nutzer, IP, MAC und Anwendungsnutzung im Netzwerk verdeutlichen. Die Mitglieder der Netzwerk- und Sicherheitsteams (NetOps/SecOps) geben dann einfach einen Nutzernamen ein und erhalten sofort alle Geräte, Schnittstellen und Anwendungen, die mit diesem Namen in Verbindung stehen, angezeigt. Nie war es einfacher herauszufinden, welche Geräte angeschlossen sind und wer im Netzwerk kommuniziert.
Zu viel IT-Sicherheit gibt es nicht!
Zur Verteidigung komplexer hybrider IT-Netzwerke, die das Internet der Dinge (IoT) und Geräte an entfernten Nutzerstandorten umfassen, sind die Teams auf eine vielseitige Datenschutzstrategie angewiesen. Beispielsweise reicht der äußere Umkreis (Perimeter) des Netzwerks heute so weit wie nie zuvor und ist entsprechend verwundbar. Neben Firewalls und IDS-/DLP-Maßnahmen müssen effektive Sicherheitslösungen auch Sicherheitsdaten umfassen, die aus tiefgehenden Einblicken in den Netzwerkverkehr und in die zugrunde liegenden Ressourcen abgeleitet wurden.
Die NetOps-/SecOps-Teams sollten sich zusammensetzen, um gemeinsam einen hervorragenden Wert für das Unternehmen zu schaffen und den IT-Nutzern ein optimales Endnutzererlebnis zu bieten. Zu diesem Zweck stellt ihnen Observer die folgenden Leistungsmerkmale zur Verfügung:
- Identifizierung globaler Bedrohungen mit Umfang und Auswirkungen: Apex gewährt den uneingeschränkten Zugriff auf das Leistungspotenzial der Enriched-Flow-Datensätze von GigaFlow. Ausgehend vom Begrüßungsbildschirm in Apex ist es möglich, die Suche nach MAC-Adresse, IP-Adresse und Subnetz auszuführen oder auch GigaFlow direkt zu starten. Die angereicherten Datensätze werden mit kontinuierlich aktualisierten schwarzen Listen verglichen. Diese Sicherheitslösung versetzt die Netzwerk- und Sicherheitsteams in die Lage, sofort einzuschätzen, ob Geräte oder Anwendungen ein auffälliges Verhalten zeigen.
- Erweiterte Verkehrsprofilierung: Die anspruchsvolle Profilierung des Netzwerkverkehrs im Rahmen der Sicherheitsschutzfunktion von Observer erlaubt, in kürzester Zeit verdächtige Aktivitäten zu identifizieren und die zulässige Nutzung des Netzwerks zu überwachen. Über die Menüs von Apex haben die Techniker direkten Zugriff auf sämtliche, in ihrer gesamten IT-Umgebung mit GigaFlow erfassten Hosts und Geräte. Das Verkehrsprofil wird anhand von Typ, Nutzung, Anwendung und Kommunikationsaktivität beschrieben. Diese Profile werden nicht nur in Echtzeit aktualisiert und gespeichert, der gesamte zukünftige Verkehr wird zudem mit früheren Verhaltensmustern verglichen.
- Sicherheitsforensik und Wiederherstellung: Mit seinen intuitiven Dashboard-Ansichten und zusammenfassenden, zeitbasierten Informationen zu jeder einzelnen Transaktion dient Apex in Verbindung mit GigaStor bei jeder Netzwerkkonversation als „Augenzeuge“. Auch gewährleistet diese Lösung den mühelosen Zugriff auf einzelne Pakete für die erweiterte retrospektive Untersuchung verdächtiger Aktivitäten. Im Rahmen der Untersuchung ist es möglich, den Verkehr sofort zu filtern und in Sicherheits- und Analyse-Tools von Drittanbietern einzufügen.
Netzwerkbasierte Sicherheitsdaten als Schutzwall zur Bedrohungsvermeidung
Eine Firewall und Antivirus-Software sowie IDS- und DLP-Systeme sind zwar notwendig, aber keinesfalls mehr ausreichend, um einen robusten Schutz zu gewährleisten und die detaillierten Nachweise zu erhalten, die erforderlich sind, um Cyber-Angriffe und IT-Sicherheitsverletzungen erfolgreich abzuwehren und umfassend zu dokumentieren. Erweiterte Netzwerk-Sicherheitslösungen, die von Lösungen zur Leistungsüberwachung und Fehlerdiagnose im Netzwerk (NPMD), wie Observer, zur Verfügung gestellt werden, sind mit einer Überwachungskamera vergleichbar, die jede einzelne Ressource im Netzwerk rund um die Uhr im Blick hat. Sie erkennen auffälliges Verhalten in Echtzeit und speichern den Netzwerkverkehr über größere Zeiträume, um potentielle Bedrohungen sofort zu erkennen oder retrospektiv zu analysieren.
Die aufgezeichneten Paketdaten erlauben den Teams, den gesamten Verkehr im Netzwerk vor, während und nach der Sicherheitsverletzung zu rekonstruieren. Damit erhalten sie einen Überblick über den Kontext der Bedrohung. Zusätzlich vermitteln Enriched-Flow-Datensätze ihnen die benötigten tiefgehenden Einblicke in den Status sämtlicher angeschlossener Netzwerk-Ressourcen.
Gemeinsames Vorgehen der NetOps-/SecOps-Teams
Komplexe Netzwerkumgebungen erfordern die enge Zusammenarbeit der Sicherheits- und Netzwerk-Teams, um eine optimale Bereitstellung der Dienste zu gewährleisten und die IT-Umgebung gleichzeitig vor eskalierenden Sicherheitsbedrohungen zu schützen. Beide Aufgaben lassen sich durch die Analyse des Netzwerks, des übertragenen Verkehrs sowie der zugrunde liegenden Ressourcen erfüllen. Observer ist die Sicherheitslösung für Netzwerke, die diese Herausforderung der Zukunft mühelos bewältigt. Warum wollen Sie bis morgen warten, wenn Ihnen alle dringend benötigten Sicherheitsdaten zu Ihrem Netzwerk schon heute zur Verfügung stehen könnten?
„Obgleich die Netzwerk- und Sicherheitsteams häufig getrennt vorgehen, eint sie das gemeinsame Ziel, eine sichere und leistungsfähige Netzwerkinfrastruktur aufrechtzuerhalten. Die für die Infrastruktur und den Netzbetrieb Verantwortlichen können die gleichen Daten und Lösungen nutzen, um die Budgets zu optimieren, Doppelarbeit zu vermeiden und das Endnutzererlebnis zu verbessen.“
– „Align NetOps and SecOps Tool Objectives With Shared Use Cases“ von den Gartner-Analysten Sanjit Ganuli und Lawrence Orans, 24. Juli 2018
Wie kann Netzwerk-Sicherheitssoftware Ihnen helfen, bei einer Sicherheitsverletzung aussagekräftige Einblicke in Ihr Netzwerk zu gewinnen?
Bei einer Sicherheitsverletzung muss das SecOps-Team als erstes alle nur denkbaren Informationen zu der betreffenden IP-Adresse ermitteln. Üblicherweise werden sie dafür das NetOps-Team bitten, ihnen die pcap-Dateien zuzusenden, was allerdings etwas länger dauern könnte.
Die Netzwerk-Sicherheitslösung Observer fasst diese Einblicke in Ihr Netzwerk proaktiv, das heißt, noch bevor es überhaupt zu einer Sicherheitsverletzung kommt, für Sie zusammen.
Die Observer-Anwendung gibt den SecOps-Teams einen aussagekräftigen Überblick über ihr Netzwerk, indem sie nicht nur Router, Switche und Firewalls, sondern auch alle anderen Geräte im Netzwerk abfragt. VIAVI geht noch einen Schritt weiter und kommuniziert mit Ihren Proxy-Servern, Lastverteilern und sogar SD-WAN-Controllern.
Observer stellt diesen Geräten die folgenden Fragen:
- Ist diese IP-Adresse bekannt?
- Welche Entscheidungen wurden für diese IP-Adresse getroffen?
- Wie wurden diese Entscheidungen getroffen?
Observer liest die ARP-Tabelle aus, um die MAC-Adressen der Geräte im Netzwerk zu prüfen. Damit ist es möglich, die Nutzerkennungen von Authentifizierungsdomains, NetFlow, jFlow und IPFix zu ermitteln und diese Daten herauszufiltern.
Wie ergänzt die Observer-Plattform die anderen Komponenten Ihres Lösungspakets?
Die Observer-Anwendung fragt die Geräte im Netzwerk ab und vermittelt den SecOps-/NetOps-Teams auf diese Weise aussagekräftige Einblicke in sicherheitsrelevante Workflow auf den Layern 2 und 3.
Sie beantwortet diese kritischen Fragen: a) Was ist angeschlossen? und b) Wer kommuniziert mit wem? Anschließend werden diese Daten, darunter die MAC-Adressen, Nutzerkennungen und IP-Adressen, zu interaktiven und intuitiven Workflows zusammengeführt, die es Ihnen erlauben, zwischen diesen Beziehungen zu navigieren.
Welche unmittelbaren Auswirkungen hat die Netzwerk-Sicherheitslösung Observer auf Ihr Geschäft?
- Auf Grundlage der lückenlosen forensischen Daten ermöglicht Observer Ihren NetOps-/SecOps-Teams, Bedrohungen schneller und präziser zu erkennen.
- Observer vermittelt umfassendere Einblicke in und Überblicke über das Netzwerk, um die Anzahl der Fehlalarme zu verringern.
- Observer fördert die Zusammenarbeit zwischen den NetOps-/SecOps-Teams, sodass eine effizientere Arbeitsteilung umsetzbar ist.
- Observer rationalisiert die Ursachenanalyse insbesondere in Hinblick auf die Identifikation von Leistungsstörungen in Anwendungen.
- Observer hilft den NetOps-Teams, unberechtigte Reklamationen der Endnutzer zu klären.
- Observer mindert Risikofaktoren, die mit der Umsetzung größerer IT-Initiativen verbunden sind.
Welche Vorteile bietet eine datenflussbasierte Netzwerk-Sicherheitslösung?
Viele datenflussbasierte Produkte präsentieren sich als Sicherheitslösung, nur weil sie einige wenige „Sicherheitsberichte“ ausgeben. Observer dagegen schließt die Lücke zwischen NetOps- und SecOps-Funktionen mit aussagekräftigen Ansichten, die SPEZIELL für Sicherheitsexperten entwickelt wurden.
Observer ermöglicht die automatische Erkennung von verdächtigen und böswilligen Verhaltensmustern. Zu diesem Zweck nutzt die Lösung von VIAVI mehrere verschiedene Verfahren, die es in ihrer Gesamtheit erlauben, eine integrierte Bedrohungskarte zu erstellen.
- IP-Blacklisting: Observer aktualisiert kontinuierlich vorkonfigurierte und kundenspezifisch angepasste schwarze Listen.
- SYN-Forensik: Observer löst bei verdächtigen Mengen und Mustern von SYN-Only-Datenflusssätzen, die häufig auf zielgerichtete, systematische Scans von Netzwerken und Ports, sogenannte „Sweeps“, verweisen, einen Alarm aus.
- Verkehrsprofilierung: Eine Hauptfunktion von Observer besteht darin, anhand der Enriched-Flow-Datensätze ein Verkehrsprofil der im Netzwerk angeschlossenen Geräte zu erstellen. Die Profile werden in Echtzeit aktualisiert und der gesamte zukünftige, vom Netzwerk generierte Geräteverkehr mit früheren Verhaltensmustern verglichen, um ungewöhnliche oder abweichende Aktivitäten zu erkennen.
Häufige Sicherheitsprobleme in Netzwerken
Sie haben Fragen zur Anwendung von Enriched-Flow-Datensätzen in der Infrastruktur Ihres Netzwerks? Observer hilft Ihnen, unter anderem die folgenden Probleme mit der Netzwerk-Sicherheitssoftware zu lösen:
- Meine Geräte können keine Flussdaten übertragen …
Observer analysiert die Log-Daten, um Enriched-Flow-Datensätze zu erstellen, die wie normale Flussdaten funktionieren. - Die am weitesten verbreiteten Datenflussquellen geben keine Leistungsdaten aus …
Observer nutzt anspruchsvolle Analysefunktionen, um im Rahmen des Enriched-Flow-Datensatzes aus den Datenflüssen die Reaktionszeiten zu ermitteln. - Überwachungslösungen, die rein traditionelle Datenquellen wie NetFlow oder IPFix nutzen, aggregieren und deduplizieren die Daten, sodass der forensische Wert minimal ist …
Observer gewährleistet die forensische Analyse des gesamten Datenflusses; das heißt, jeder Fluss wird archiviert und steht zur detaillierten Analyse zur Verfügung. Diese Archivierungsfunktion erlaubt Observer, auf Grundlage einer hochgenauen Forensik aussagekräftige retrospektive Berichte zu Sicherheitsverletzungen zu erstellen.
Wodurch unterscheidet sich die datenflussbasierte Lösung von Observer von anderen datenflussbasierten Netzwerk-Überwachungslösungen?
Konventionelle datenflussbasierte Netzwerk-Sicherheitslösungen fassen die Datenflüsse nur von ausgewählten Infrastrukturgeräten des Netzwerks zusammen. VIAVI geht einen Schritt weiter und kombiniert die Nutzerquellen von Domain-Servern und Authentifizierungsservern, SNMP-Daten, MAC-Adressen aus ARP-Tabellen und sogar Cloud-Quellen wie AWS und Microsoft Azure.
Bei Nutzung von VIAVI Observer in Verbindung mit GigaStor, der von einer unabhängigen Einrichtung validierten Paketaufzeichnungslösung, erhalten die Unternehmen den umfassendsten Überblick über ihr Netzwerk – eben eine echte Netzwerk-Sichtbarkeit.
Welches sind die Alleinstellungsmerkmale der Sicherheitssoftware-/Leistungslösungen von VIAVI Observer für Netzwerke?
- Bewertung des Endnutzererlebnisses
VIAVI nutzt maschinelles Lernen (ML), um Probleme zu identifizieren und den Fehlerbereich automatisch innerhalb weniger Sekunden einzugrenzen. Mit nur drei Mausklicks kann der Nutzer von übergeordneten Dashboard-Anzeigen bis hinunter zur einzelnen Netzwerkkonversation oder Paketdaten-Transaktion navigieren. Damit ist eine effiziente Ursachenanalyse gewährleistet und es wird weniger Zeit für die Störungsbehebung (MTTR) aufgewendet.
Diese Funktion kann sich bei der Sicherheitsprüfung als nützlich erweisen, da eine mangelhafte Endnutzer-Erlebnisqualität auf einen Denial-of-Service(DoS)-Angriff hinweisen kann, der auch mit anderen Tools der Netzwerk-Sicherheitssoftware von Observer erkennbar ist.
- Enriched-Flow-Datensätze
Jede Netzwerk-Sicherheitssoftware sollte umfassende Einblicke in das Netzwerk vermitteln. Der Datenfluss gehört zu den am längsten genutzten, traditionellen Netzwerkdaten. Observer wandelt diesen konventionellen Datenfluss durch Kombination mit SNMP, Nutzeridentität und Session-Syslogs zu einem angereicherten Enriched-Flow-Datensatz um. Diese Einblicke in die Layer 2 und 3 ermöglichen in ihrer Gesamtheit einmalige bildliche Darstellungen, beispielsweise im IP Viewer. Diese interaktiven Visualisierungen und Berichte erlauben dem Kunden wiederum, so weit wie gewünscht unter anderem in die Beziehungen zwischen IP, MAC und Nutzer, in die Daten zu Schnittstellen und Gerätetypen, die Verkehrssteuerung und die Dienstgüte vorzudringen.
- Integrierte Bedrohungskarte
Eine direkt in Observer Apex aufrufbare Bedrohungskarte erlaubt, unbefugte Aktivitäten auf einen Blick zu erkennen sowie zu überwachen. Darin eingeschlossen sind Funktionen wie das IP-Blacklisting, über das einfache Whitelisting hinausgehende, erweiterte Verkehrsprofile sowie SYN-Forensik.
- Von einer unabhängigen Einrichtung validierte Paketaufzeichnung
Die Paketdatenaufzeichnung mit VIAVI GigaStor als Bestandteil der Observer-Plattform wurde von einer unabhängigen Einrichtung validiert. Diese Funktion stellt eine branchenführende Schreibgeschwindigkeit (Stream-to-Disk) und Metadatengenerierung zur Verfügung, um den Unternehmen lückenlose, paketbasierte forensische Einblicke in die gesamte Netzwerkaktivität zu vermitteln. Damit ist das SecOps-Team bei einer Sicherheitsverletzung in der Lage, die Netzwerkkonversationen bis hinunter auf die Paketebene zu untersuchen. In Verbindung mit einer datenflussbasierten Analyse profitieren die NetOps- und SecOps-Teams gleichermaßen von einem nahezu lückenlosen Überblick über ihr Netzwerk.
- Zentrale Benutzeroberfläche in Apex
Normalerweise erhält das SecOps-Team nicht immer sofort und rechtzeitig Einblicke in das Netzwerk. Das kann an organisatorischen Einschränkungen liegen, die die Nutzung der benötigten Tools erschweren, oder auch daran, dass es einfach mit einem erheblichen Zeitaufwand verbunden ist, die relevanten Netzwerkdaten zu finden. Mit Observer Apex jedoch verwenden die SecOps- und NetOps-Teams die gleiche Benutzeroberfläche, um sicherheits- und leistungsrelevante Probleme zu lösen.
- Kombinierte, datenflussbasierte Analyse und Paketdatenaufzeichnung
Observer kombiniert die Paketdatenaufzeichnung von GigaStor mit der datenflussbasierten Analyse und Archivierung von GigaFlow. Damit stellt diese Lösung aussagekräftige Informationen vom Rechenzentrum sowie vom hypothetischen Router am Netzrand zur Verfügung, die ein informatives Gesamtbild zeichnen. Die Speicherung dieser Enriched-Flow-Datensätze als hochpräzise forensische Daten in Verbindung mit der Archivierung der Netzwerkkonversationen mit GigaStor bedeutet, dass die SecOps-/NetOps-Teams jede Transaktion genau retrospektiv untersuchen können. Damit verfügen sie über eine echte Netzwerk-Sichtbarkeit.
Weitere Ressourcen:
