{"id":22839,"date":"2023-02-20T11:52:00","date_gmt":"2023-02-20T10:52:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=22839"},"modified":"2023-02-14T08:38:57","modified_gmt":"2023-02-14T07:38:57","slug":"die-erkennung-von-verdaechtigen-inhalten-und-aktivitaeten-in-verschluesseltem-netzwerkverkehr","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=22839","title":{"rendered":"Die Erkennung von verd\u00e4chtigen Inhalten und Aktivit\u00e4ten in verschl\u00fcsseltem Netzwerkverkehr"},"content":{"rendered":"\n

Autor\/Redakteur: Gerald Hahn, Country Manager f\u00fcr DACH, Zentral- und Osteuropa bei Gatewatcher<\/a>\/gg<\/p>\n\n\n\n

Herk\u00f6mmliche und insbesondere auf Signatur- oder heuristischen Ans\u00e4tzen basierende Sicherheits-L\u00f6sungen sind bei verschl\u00fcsselten Netzwerkverkehr einschlie\u00dflich der darin \u00fcbertragenden Dateien nicht effektiv. Sie sind weder dazu in der Lage, Schadcode noch Anomalien, also verd\u00e4chtige Verhaltensweisen und Abl\u00e4ufe im Netzwerkverkehr, zu erkennen. Sie k\u00f6nnen den urspr\u00fcnglichen, unverschl\u00fcsselten Inhalt nicht analysieren, sind aber genau daf\u00fcr entwickelt worden. Der eigentliche Anwendungsfall der Verschl\u00fcsselung zum Datenschutz verhindert gleichzeitig die Wirksamkeit herk\u00f6mmlicher Sicherheitsl\u00f6sungen. Dies ist auch unerw\u00fcnschten Interessenten und Angreifern bekannt.<\/p>\n\n\n\n

\"\"<\/a>
Bild: cottonbro studio von Pexels<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Aufgrund dieser zwiesp\u00e4ltigen Situation von Datenschutz und Angriffsfl\u00e4che w\u00fcrde man nat\u00fcrlich nicht auf Datenverschl\u00fcsselung verzichten. Schon gar nicht in \u00f6ffentlichen, unkontrollierten Netzwerkinfrastrukturen. Mehr als 90 Prozent der Netzwerkkommunikation ist dementsprechend heute verschl\u00fcsselt. Dies umfasst unter anderem Protokolle wie HTTPs \/ TLS V1.3, DNS und VoIP.<\/p>\n\n\n\n

Wie geht man nun vor, um das Einschleusen von Schadcode und Infiltrieren von Unternehmensressourcen \u00fcber verschl\u00fcsselte Netzwerkkommunikation zu erkennen und zu verhindern?  Dies gilt nicht nur f\u00fcr Angriffe, sondern auch f\u00fcr Vorg\u00e4nge, die von Unternehmen unerw\u00fcnscht sind wie zum Beispiel das \u00dcbertragen kritischer, zu sch\u00fctzender Inhalte in nicht gesch\u00fctzte Umgebungen und Infrastrukturen. Auch wenn dies den Mitarbeitern eines Unternehmens so nicht bewusst ist.<\/p>\n\n\n\n

Tats\u00e4chlich gibt es M\u00f6glichkeiten und Methoden, \u00dcbertragungsvorg\u00e4nge von Inhalten zu erkennen. Und zwar in Verbindung mit verd\u00e4chtigen Verhaltensweisen und Infrastrukturen. Daraus lassen sich dann Angriffe und Datenentwendungen ableiten und erm\u00f6glichen eine entsprechende Reaktion zum Schutz von Daten und Unternehmen.<\/p>\n\n\n\n

Durch inzwischen weit entwickelte M\u00f6glichkeiten des ‚Machine Learnings‘ und Ans\u00e4tze die in Richtung ‚K\u00fcnstliche Intelligenz‘ gehen, ist man heute mit modernen Technologien in der Lage, Anomalien effizient auch in verschl\u00fcsseltem Netzwerkverkehr zu identifizieren und eine sofortige Reaktion zur Unterbindung einzuleiten. Das System lernt \u00fcber die Zeit durch aufgezeichnete Netzwerkdaten was als ’normal‘ zu bezeichnen ist. Welche Systeme kommunizieren wie lange und zu welchen Zeiten unter normalen Umst\u00e4nden, welches Datenvolumen wird in welche Richtung ausgetauscht, welcher Server konsumiert und produziert welche Datenvolumina.<\/p>\n\n\n\n

\"\"<\/a>
Bild: Anete Lusina von Pexels<\/figcaption><\/figure>\n\n\n\n

Ergibt sich nun eine Abweichung, k\u00f6nnen Algorithmen auf Basis des Erlernten und Trainierten zuverl\u00e4ssige Aussagen zu Anomalien treffen und Alarme ausl\u00f6sen. In der direkten Folge lassen sich dann umfangreiche oder individuelle Analysen und Methoden durchf\u00fchren. Bis hin zu Automatisierungen in Abh\u00e4ngigkeit von Reputationen der beteiligten Netzwerkstationen. So sind Vorf\u00e4lle oder Ereignisse in Verbindung mit Angriffen in der Vergangenheit dazu in der Lage, Maschinen des \u00f6ffentlichen Internets mit der entsprechenden Reputation und den damit verbundenen Angriffen (Verteilen von Malware oder C&C Infrastrukturen) zu entlarven.<\/p>\n\n\n\n

In der Praxis kann sich dies sehr komplex und umfangreich gestalten, was an der Vorgehensweise und Effektivit\u00e4t nichts \u00e4ndert. Es ist nur eine umfangreiche und leistungsf\u00e4hige Datensammlung und -analyse erforderlich. Diese l\u00e4sst sich durch moderne und zeitgem\u00e4\u00dfe Technologie realisieren.<\/p>\n\n\n\n\n\n\n\n

Um die genannte Datensammlung zu gew\u00e4hrleisten, wird komplett aufgezeichneter Netzwerkverkehr analysiert. Anschlie\u00dfend werden aus dem Verkehr Metadaten gewonnen, um daraus effektive und aussagekr\u00e4ftige Indikatoren f\u00fcr Verhaltensweisen bis hin zu Angriffen daraus und Vorf\u00e4lle (‚Incidents‘) gesamtheitlich darzustellen. Diese enthalten sehr reichhaltige Informationen zum Erkennen und Visualisieren eines potenziellen Cyber-Angriffs, auch ohne gesamtheitliche Entschl\u00fcsselung des Netzwerkverkehrs zum Gewinn der tats\u00e4chlich \u00fcbertragenen Daten (Dateien). Informationen die protokolliert und analysiert werden sind beispielsweise die folgenden und dar\u00fcber hinaus nat\u00fcrlich noch wesentlich mehr:<\/p>\n\n\n\n