Exploits erkennen: wie Netzwerk-Monitoring die Cybersecurity stärkt

Der Angreifer ist bereits im Netzwerk, unbemerkt, lateral unterwegs und auf der Suche nach sensiblen Daten. Für viele Unternehmen ist das eine reale Bedrohung. Der Grundsatz always assume breach bringt es auf den Punkt: Wer davon ausgeht, dass sich ein Angreifer bereits im Netzwerk befindet, kann gezielt Maßnahmen ergreifen, um dessen Aktivitäten frühzeitig zu erkennen, zu analysieren und zu stoppen, bevor größerer Schaden entsteht. Genau hier kommt Netzwerk-Monitoring ins Spiel und kann verdächtige Aktivitäten sichtbar machen. Denn ungewöhnlicher Datenverkehr, auffällige ausgehende Verbindungen oder plötzliche Lastspitzen liefern erste Hinweise auf eine Kompromittierung.

Kommentar von Jay Miller, Chief Information Security Officer bei Paessler

Angreifer nutzen Schwachstellen und Sicherheitslücken gezielt als Einstiegspunkt, um Systeme zu kompromittieren und sich lateral im Netzwerk zu bewegen. Die sogenannte Time-to-Exploit (TTE) gibt an, wie lange der Zeitraum zwischen der Offenlegung einer Sicherheitslücke und ihrer Ausnutzung ist. 2024 lag die TTE im Durchschnitt bei nur fünf Tagen (Charrier, Weiner, 2024) [1]. Besonders kritisch sind Zero-Day-Schwachstellen, bei denen noch kein Patch verfügbar ist. Wird beispielsweise eine kritische Schwachstelle zur Remote-Code-Ausführung in einem weit verbreiteten Web-Framework bekannt, beginnen Angreifer oft schon innerhalb weniger Stunden mit der Ausnutzung.

Auf Sicherheitslücken richtig reagieren

Wenn eine kritische Sicherheitslücke bekannt wird, ist es von größter Bedeutung, schnell zu handeln und sicherzustellen, dass die folgenden Schritte in Ihre Reaktion einbezogen werden:

• Identifizierung von Ressourcen: Es ist besonders wichtig, dass alle Ressourcen, Hardware oder Software identifiziert werden, die betroffen sein könnten. Dazu gehören auch Daten und Mitarbeiter.
• Auf Anomalien prüfen: Sicherheitslücken werden genutzt, um sich Zugang zu einer Umgebung zu verschaffen und Ressourcen zu kompromittieren. Die Ausnutzung einer Sicherheitslücke kann unter anderem zu erhöhtem ausgehendem Datenverkehr, ungeplanten Spitzen bei I/O und Speicher, DNS-Fehlern, dauerhaften Verbindungen zu unbekannten Hosts und einer Sättigung der Bandbreite führen.
• IOC überprüfen: Indikatoren für Kompromittierung (Indicators of Compromise, IOC) beziehen sich auf Spuren, die Angreifer beim Ausnutzen einer Sicherheitslücke hinterlassen. Diese Spuren finden sich häufig in Serverprotokollen, Anwendungsprotokollen oder Endpoint-Logs.

Wie Netzwerk-Monitoring helfen kann

Das Installieren von Patches ist wahrscheinlich die wirksamste Abhilfemaßnahme. Mit Netzwerk-Monitoring lassen sich aktive Angriffe jedoch auch schon erkennen, bevor Patches bereitgestellt werden. Monitoring-Tools, wie PRTG Network Monitor, ergänzen die Sicherheitsinfrastruktur von Unternehmen und ermöglichen eine ganzheitliche Netzwerktransparenz. Dazu gehören insbesondere wichtige Einblicke in den Datenverkehr, den Systemzustand von Geräten und die Verfügbarkeit von Diensten.

Zentrale Monitoring-Ansätze in der Praxis

• Flow-Sensoren: Erfassen Datenpakete von Routern und Firewalls und zeigen die aktivsten Geräte, die häufigsten Verbindungen, die am häufigsten verwendeten Protokolle sowie die Verteilung der Traffic-Protokolle. So wird sichtbar, welche Endpunkte die meisten Daten senden und empfangen, einschließlich Informationen wie Quell- und Ziel-IP-Adressen. Administratoren können so unbekannte externe Verbindungen, verdächtige Datenverkehrstypen wie Remote-Verbindungen oder ein überdurchschnittlich hohes Volumen bestimmter Datenverkehrstypen erkennen.
• SNMP-Traffic-Sensoren: Überwacht die Bandbreite und den Datenverkehr auf einem Gerät über das Simple Network Management Protocol (SNMP) und ermöglicht so den Einblick in die Zähler für den ein- und ausgehenden Datenverkehr, eingehende und ausgehende Pakete (einschließlich verworfener Pakete und Fehler) sowie zugestellte Unicast-Pakete und an Multicast-/Broadcast-Adressen adressierte Pakete. Mit den SNMP-Traffic-Sensoren können Sie den Durchsatz an jeder Schnittstelle Ihrer Netzwerkgeräte überwachen und eine Basislinie erstellen.
• Ressourcen-Monitoring: Diese Sensoren überwachen die Systemauslastung der CPU, den Prozentsatz des verfügbaren Speichers im Gerät, den freien Speicherplatz auf einer logischen Festplatte sowie die Betriebszeit eines Geräts.
• Service-Checks: Diese Sensoren prüfen den Ausfall von Diensten, überwachen die Verfügbarkeit und Ladezeiten und senden DNS-Abfragen. Das ermöglicht die Erkennung von Dienstausfällen und Anomalien. Da HTTP/HTTPS und DNS gängige Angriffsvektoren sind, kann ihr Monitoring bei der Erkennung einer Kompromittierung helfen.

Best Practices für die Erkennung von IOC mit Netzwerk-Monitoring

Mit diesen Tipps können Sie die Effektivität von Netzwerk-Monitoring bei der Erkennung von Indicators of Compromise maximieren:

• Überprüfen Sie die Baselines: Netzwerk-Monitoring-Tools erkennen sowohl hohe als auch niedrige Abweichungen automatisch. Das hilft Ihnen beim Verständnis dafür, wie „normaler“ Datenverkehr und Ressourcenverbrauch aussehen. Abweichungen davon als Hinweis für Anomalien lassen sich dann leicht erkennen.
• Legen Sie Schwellenwerte fest: Konfigurieren Sie manuelle Warnmeldungen für Anomalien, zum Beispiel wenn der ausgehende Datenverkehr die Baseline um 80 % überschreitet.
• Überprüfen Sie die Top-Listen regelmäßig: Flow-Sensoren stellen „Top Talkers“ und „Top Connections“ zur Überprüfung bereit. So lassen sich verdächtige Hosts entdecken.

Fazit

Angreifer können Malware verbergen, aber nicht den Datenverkehr. Durch die Konzentration auf Netzwerk-basierte Indicators of Compromise erhalten Sie ein leistungsstarkes Frühwarnsystem. Die Kombination aus unterschiedlichen Sensoren und benutzerdefinierten Integrationen im Netzwerk-Monitoring bietet die nötige Transparenz, um Sicherheitsverletzungen zu erkennen, bevor sie zu einem Datenleck führen.

[1] Charrier, C., & Weiner, R. (2024, October 15). How Low Can You Go? An Analysis of 2023 Time-To-exploit Trends. Mandiant Blog. How Low Can You Go? An Analysis of 2023 Time-to-Exploit Trends | Google Cloud Blog

Paessler bietet Monitoring-Lösungen für Unternehmen unterschiedlicher Branchen und Größen an, von kleinen Unternehmen, über den Mittelstand bis hin zu Großkonzernen. Paessler arbeitet mit renommierten Partnern zusammen, um sich gemeinsam den Monitoring-Herausforderungen einer sich immer schneller verändernden Welt zu stellen. Seit 1997, als PRTG Network Monitor auf den Markt kam, verbindet Paessler sein tiefgreifendes Monitoring-Wissen mit Innovationsgeist. Heute vertrauen mehr als 500.000 Anwender in über 190 Ländern auf PRTG und andere Paessler Lösungen, um ihre komplexen IT-, OT- und IoT-Infrastrukturen zu überwachen. Die Produkte von Paessler befähigen Nutzer, aus Daten umsetzbares Wissen zu erlangen, und helfen ihnen so, ihre Ressourcen zu optimieren.

Erfahren Sie mehr über Paessler – und wie Monitoring Ihnen helfen kann – unter www.paessler.com.

Firmenkontakt
Paessler GmbH
Florian Staffort
Thurn-und-Taxis-Str. 14
90411 Nürnberg
+49 (0)911 93775-0
https://www.paessler.de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstrasse 3
56472 Nisterau
02661-912600

Startseite