Tipps für die Netzwerküberwachung in einer zunehmend unsicheren Welt

Autor/Redakteur: Michael Hack, Senior Vice President EMEA Operations bei Ipswitch/gg

Die Unternehmens-IT hat sich in den vergangenen zehn Jahren erheblich weiterentwickelt. Neben der Verfügbarkeit und Performance sind IT Teams heute mehr denn je für die Sicherheit ihres Netzwerks verantwortlich. Vor allem die Einführung Cloud-basierter Anwendungen und das Aufkommen des BYOD-Konzepts haben zur erhöhten Komplexität der Unternehmens-IT beigetragen. In naher Zukunft wird das Internet der Dinge die Netzwerkverwaltung für IT-Teams deutlich verändern. Cisco prognostiziert, dass der mobile IoT-Markt bis 2022 die Marke von 14,4 Billionen US-Dollar erreichen wird und 90 Prozent des weltweiten mobilen Datenverkehrs bis 2019 auf Cloud-Anwendungen entfallen werden.

Während dieser Technologiewandel Unternehmen mehr Effizienz beschert, bürdet er den IT-Teams größere Verantwortung auf, wenn es darum geht, sicherzustellen, dass die IT-Umgebung stets verfügbar und sicher ist sowie eine bestmögliche Performance für Benutzer liefert. Dazu müssen IT-Teams über jeden einzelnen Vorgang in ihren Umgebungen Bescheid wissen. Egal, ob ein betriebsinterner Mitarbeiter unberechtigt ein Gerät oder einen Dienst nutzt oder eine externe Bedrohung durch Internetkriminalität besteht: Sichtbarkeit und Nachverfolgbarkeit sämtlicher Netzwerkprozesse sind Voraussetzungen für die Beseitigung von Sicherheitsbedrohungen und die Sicherstellung der Leistungsfähigkeit. Für die effektive Netzwerküberwachung in komplexen IT-Umgebungen lassen sich entsprechend vier Erfolgsfaktoren identifizieren:

1. Flow-Records und Datenverkehrsanalysen automatisieren: Funktionen zur Flow-Erfassung und Datenverkehrsanalyse machen IT-Teams auf jegliche Abweichungen vom üblichen Umfang ihres Netzwerkverkehrs aufmerksam. Mit einer ausführlichen Analyse kann zudem ermittelt werden, ob das Netzwerk für nicht geschäftsbezogene Zwecke oder Aktivitäten, die Performance-Einbußen verursachen, genutzt wird. Je nach Resultat kann es sinnvoll sein, derartige Aktivitäten zu beschränken oder zu unterbinden, um sicherzustellen, dass das Netzwerk ausschließlich für geschäftliche Zwecke genutzt wird.
2. Protokolle aller kritischen IT-Systeme im Netzwerk überwachen: Die übergreifende Verwaltung von Protokollen kann IT-Teams ebenfalls Anzeichen für Sicherheitsverletzungen wie beispielsweise Brute-Force-Kennwortangriffe oder nicht autorisierte Konfigurationsänderungen liefern. Darüber hinaus können die automatisierte Erfassung und Speicherung von Protokollen das Einhalten von Audit- und Compliance-Anforderungen erleichtern. Durch die Identifizierung potenzieller Bedrohungen anhand kontinuierlicher Überwachung kann Protokollverwaltung die Fehlerbehebung in IT-Abteilungen optimieren und das Erkennen von Sicherheitsbedrohungen vereinfachen.
3. IP-Reputation und -Lokalisierung zur Feststellung ungewöhnlicher Netzwerkaktivitäten nutzen: Die Überwachung von IP-Adressen basierend auf ihrer Herkunft und Reputation kann Hinweise auf etwaige ungewöhnliche Aktivitäten im Netzwerk liefern. Die Lokalisierung einer IP-Adresse hilft dabei herauszufinden, ob Netzwerkverkehr aus Regionen eingeht, die nicht mit dem Geschäft in Verbindung stehen und kann den Ursprung von Sicherheitsrisiken ausfindig machen. Als Beispiel: Wenn ein IT-Administrator feststellt, dass während eines verteilten Denial-of-Service-Angriffs (Distributed Denial of Service, DDoS) der Großteil des Netzwerkverkehrs von einer bestimmten geografischen Region stammt, kann das IT-Team vorübergehend eine Netzwerk-Zugriffssteuerungsliste (Access Control List, ACL) implementieren, um sämtlichen Traffic von diesem Gebiet zu blocken. Auf ähnliche Weise kann das Blockieren des Netzwerkverkehrs von bekannten bösartigen IP-Adressen das Risiko von Sicherheitsverletzungen wie Firewall-Portscans, Botnet-Kommunikation und Malware weiter reduzieren.
4. Nutzer über die Auswirkungen ihres IT-Verhaltens auf das Unternehmen aufklären: Schlussendlich sollte IT-Sicherheit nicht die alleinige Aufgabe des IT-Teams sein. Vielmehr sollten alle Unternehmensmitarbeiter dazu angehalten werden, Verantwortung zu übernehmen. Dazu müssen sich IT-Teams die Zeit nehmen, Mitarbeiter darüber aufzuklären, wie sich deren IT-Verhalten auf den gesamten Betrieb und die IT-Infrastruktur auswirkt. Wissen Mitarbeiter zum Beispiel wie sie große Bilddateien mit hoher Auflösung so bearbeiten können, dass diese Dateien weniger Bandbreite verbrauchen? Schützen sie ihren Laptop und ihr Mobiltelefon mit einem Kennwort und ändern dieses regelmäßig?

Es empfiehlt sich, Mitarbeiter über den Verbrauch von Netzwerkbandbreite und die Bedeutung von Sicherheit aufzuklären, wann immer diese neue Hardware oder Software erhalten. So ist sichergestellt, dass das Netzwerk nicht von einem wohlmeinenden, jedoch unwissenden Mitarbeiter kompromittiert wird.

IT-Teams – auch jene mit begrenzten Ressourcen – müssen jetzt kreativer und wachsamer denn je sein, was den Schutz ihrer Unternehmensinfrastruktur anbelangt. Juniper Research prognostizierte vor kurzem, dass die Kosten von Internetkriminalität bis 2019 auf weltweit 2,1 Billionen US-Dollar steigen werden. Die Nutzung von Protokollverwaltung, Netzwerküberwachung und Datenverkehrsanalysen wird unabdingbar, um sämtliche Infrastrukturvorgänge im Auge zu behalten. Weiterhin sollten IP-Reputation und -Lokalisierung herangezogen werden, um ungewöhnliche Netzwerkaktivitäten aufzuspüren. IT-Sicherheit ist längst nicht mehr nur eine Angelegenheit, die von den IT-Teams alleine geschultert werden kann. Jedes Unternehmen sollte die Mitarbeiter deshalb darüber aufklären, welche drastischen Auswirkungen das individuelle Nutzerverhalten auf ein Unternehmen und dessen IT-Infrastruktur haben kann.