{"id":22963,"date":"2023-03-10T11:54:00","date_gmt":"2023-03-10T10:54:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=22963"},"modified":"2023-02-23T12:07:11","modified_gmt":"2023-02-23T11:07:11","slug":"netzwerkdaten-fuer-security-richtig-nutzen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=22963","title":{"rendered":"Netzwerkdaten f\u00fcr Security richtig nutzen"},"content":{"rendered":"\n

Autor\/Redakteur: Steffen Eid, Senior Solutions Architect bei Infoblox<\/a>\/gg<\/p>\n\n\n\n

Immer wieder h\u00f6ren wir bei Infoblox die Frage \u201eWie zahlt DDI \u2013 sprich DNS, DHCP- und IP-Adress-Management \u2013 als B\u00fcndel aus Netzwerkbasisdiensten \u00fcberhaupt auf Security-Themen ein?\u201c W\u00e4hrend sich viele Security-Verantwortliche h\u00e4ufig schnell erschlie\u00dfen k\u00f6nnen, warum das Domain-Name-System (DNS) f\u00fcr die Sicherheit des Netzwerks ein wichtiger Bestandteil ist, braucht die Verkn\u00fcpfung von IP-Adress-Management (IPAM) und Security meist etwas mehr Erkl\u00e4rung. Dabei kann man nicht deutlich genug sagen: IPAM ist ein entscheidender Faktor f\u00fcr sichere Netzwerke und eine zentrale Komponente des Zero-Trust-Konzepts. Durch die Implementierung von IPAM k\u00f6nnen Unternehmen ihre Threat Intelligence verbessern und ihre Netzwerke besser vor Cyber-Angriffen sch\u00fctzen.<\/p>\n\n\n\n

\"\"<\/a>
Bild: Infoblox<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Fundgrube IPAM: leicht zug\u00e4ngliche interne Informationen f\u00fcr mehr Sicherheit<\/strong><\/p>\n\n\n\n

Im Bereich von DNS-Security ist die Nutzung von sorgf\u00e4ltig aufbereiteten Reputations-Intelligence-Feeds und sogenannten Newly-Observed-Domain-Feeds f\u00fcr Response-Policy-Zones (RPZs) notwendig und sehr wichtig. Doch viel zu h\u00e4ufig ignorieren Security- und Netzwerkexperten die mindestens genauso relevanten und zudem leicht zug\u00e4nglichen internen Informationen. Ein gut gepflegtes IPAM enth\u00e4lt alle Daten, die Sec-Ops-Teams ben\u00f6tigen, um zu bestimmen, wann, was und wo etwas im eigenen Netzwerk passiert. Es ist damit eine wahre Fundgrube an sicherheitsrelevanten Informationen und eine unerl\u00e4ssliche Grundlage f\u00fcr die Erkennung und rasche Eind\u00e4mmung von Gefahren.<\/p>\n\n\n\n

IPAM hilft jedoch nicht nur bei der Kl\u00e4rung der Frage, wer sich wann an welchem System und an welchem Port authentifiziert hat. Durch automatisierte Abl\u00e4ufe, die es erm\u00f6glichen, dass bestimmte Ereignisse entsprechende Folgeprozesse in Gang setzen, wird die Sicherheit auf ein noch h\u00f6heres Niveau gehoben. Wird beispielsweise ein neues Ger\u00e4t zum ersten Mal entdeckt, kann das System ein Tool zur Schwachstellenbewertung ansto\u00dfen, CMDB-Informationen senden oder sogar ein NAC-System starten, um einen Port auf Grund eines sicherheitsrelevanten Ereignisses zu isolieren.<\/p>\n\n\n\n

IPAM f\u00fcr Security nutzbar machen \u2013 ein Blick in die Praxis<\/strong><\/p>\n\n\n\n

Unternehmen, die beispielsweise Microsoft DNS\/DCHP verwenden, k\u00f6nnen mit einem sorgf\u00e4ltig verwalteten und eingerichteten IPAM-System neben der Active-Directory-User-ID auch alle DNS- und DHCP-Informationen von den Microsoft-Servern abrufen. Dieser Prozess wird mit einem Service-Account sowie einer Login-Authentifizierung f\u00fcr Zeitpunkt und Endger\u00e4t durchgef\u00fchrt. Zus\u00e4tzlich werden bei einer ordentlichen Einrichtung des Systems auch s\u00e4mtliche Layer-2- und Layer-3-Informationen aus der Infrastruktur ermittelt \u2013 wie beispielsweise zu Routern, Switches, Firewalls oder Wireless-Controllern. Auch sollten alle MAC- und Port-Informationen den IP-Adressen zugeordnet werden. Abschlie\u00dfend werden die Informationen aus virtuellen Systemen, wie beispielsweise Public- und Private-Cloud sowie SDN\/SDWAN-Informationen, beispielsweise \u00fcber eine API erfasst. Durch diese Art der Einrichtung und Erkennung erhalten die Sicherheitsexperten eine zentrale Anlaufstelle f\u00fcr topaktuelle Telemetriedaten \u00fcber das interne Netzwerk.<\/p>\n\n\n\n\n\n\n\n

Threat Intelligence als Schl\u00fcssel in Zero-Trust-Architekturen<\/strong><\/p>\n\n\n\n

Nun sollte klar sein, warum IPAM-Systeme nicht nur f\u00fcr das Netzwerkmanagement, sondern auch zur Verbesserung der Cybersecurity elementar sein k\u00f6nnen. Was hat das ganze aber mit Zero Trust zu tun? Zero Trust ist ein Sicherheitskonzept und Framework, das davon ausgeht, dass der gesamte Netzwerkverkehr nicht vertrauensw\u00fcrdig ist und eine starke Authentifizierung und Autorisierung erfordert. Bedrohungsdaten sowie ihre Erfassung, Verarbeitung und Analyse, die sogenannte Threat Intelligence, k\u00f6nnen dabei zur Unterst\u00fctzung der Entwicklung und Umsetzung von Zero-Trust-Richtlinien und -Kontrollen eingesetzt werden. Laut NIST SP 800-207 Spezifikation<\/a> zum Zero-Trust-Architecture-Framework ist Threat Intelligence eine Schl\u00fcsselkomponente von Zero-Trust-Architekturen.<\/p>\n\n\n\n

Bedrohungsdaten helfen den Experten zum einen dabei, wahrscheinliche und potenzielle Bedrohungen f\u00fcr ihr Unternehmen zu erkennen. Gleichzeitig dient Threat Intelligence als Grundlage f\u00fcr die Implementierung effektiver Sicherheitskontrollen. NIST SP 800-207 stellt fest, dass \u201eThreat Intelligence verwendet werden kann, um bekannte Angreifer und ihre TTPs sowie neue, bisher unbekannte Bedrohungen zu identifizieren\u201c.<\/p>\n\n\n\n

In einer Zero-Trust-Netzwerkumgebung muss davon ausgegangen werden, dass der gesamte Netzwerkverkehr nicht vertrauensw\u00fcrdig ist, so dass von den Mitarbeitern erwartet wird, dass sie auf m\u00f6gliche verd\u00e4chtige Aktivit\u00e4ten achten. Und genau hier kommt Threat Intelligence ins Spiel, welche neben der Identifikation von Angreifern und der von ihnen verwendeten Malware-Tools auch dazu verwendet werden kann, Mitarbeiter darin zu schulen, wie sie m\u00f6gliche Bedrohungen erkennen und am besten darauf reagieren k\u00f6nnen.<\/p>\n\n\n\n

In der Praxis ist es wichtig, Threat Intelligence so in eine Zero-Trust-Architektur zu integrieren, dass sie skalierbar, automatisiert und gut in andere Sicherheitskontrollen integriert ist. NIST SP 800-207 empfiehlt, dass Unternehmen einen Prozess zur Sammlung, Analyse und Verbreitung von Bedrohungsdaten einrichten. Dieser Prozess sollte auch gut in andere Sicherheitskontrollen wie Netzwerksegmentierung und Zugriffskontrollen integriert werden.<\/p>\n\n\n\n

IPAM-Daten unterst\u00fctzen Zero Trust<\/strong><\/p>\n\n\n\n

Gut implementierte IPAM-Systeme unterst\u00fctzen die interne Threat Intelligence. Unternehmen k\u00f6nnen sie dazu nutzen, verschiedene Bereiche des Netzwerkmanagements sowie der Cybersecurity zu verbinden und gegebenenfalls auch automatisierte Reaktionen anzusto\u00dfen, wenn verd\u00e4chtige Aktivit\u00e4ten erkannt werden. Somit sind IPAM-Systeme genau das, was Threat Intelligence laut NIST SP 800-207 zu einer der wichtigen Komponenten von Zero-Trust macht. Wer also mit schon im Netzwerk vorhandenen Intelligence-Ressourcen seine Cybersecurity ma\u00dfgeblich verbessern will, sollte einen Blick auf sein IP- Adress-Management werfen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Immer wieder h\u00f6ren wir bei Infoblox die Frage \u201eWie zahlt DDI \u2013 sprich DNS, DHCP- und IP-Adress-Management \u2013 als B\u00fcndel aus Netzwerkbasisdiensten \u00fcberhaupt auf Security-Themen ein?\u201c W\u00e4hrend sich viele Security-Verantwortliche h\u00e4ufig schnell erschlie\u00dfen k\u00f6nnen, warum das Domain-Name-System (DNS) f\u00fcr die Sicherheit des Netzwerks ein wichtiger Bestandteil ist, braucht die Verkn\u00fcpfung von IP-Adress-Management (IPAM) und Security meist etwas mehr Erkl\u00e4rung. Dabei kann man nicht deutlich genug sagen: IPAM ist ein entscheidender Faktor f\u00fcr sichere Netzwerke und eine zentrale Komponente des Zero-Trust-Konzepts. Durch die Implementierung von IPAM k\u00f6nnen Unternehmen ihre Threat Intelligence verbessern und ihre Netzwerke besser vor Cyber-Angriffen sch\u00fctzen.<\/p>\n","protected":false},"author":81,"featured_media":22965,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[11318,9648,1501,11311,17111],"class_list":["post-22963","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-ddi","tag-dhcp","tag-dns","tag-infoblox","tag-ip-adress-management"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22963","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=22963"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22963\/revisions"}],"predecessor-version":[{"id":22966,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22963\/revisions\/22966"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/22965"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=22963"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=22963"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=22963"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}