Mobile-Menu

Netzwerk-Monitoring als Frühwarnsystem Netzwerk-Monitoring macht Angriffe sichtbar, bevor Schaden entsteht

Ein Gastbeitrag von Jay Miller 3 min Lesedauer

Anbieter zum Thema

Wer davon ausgeht, dass ein Angreifer bereits im Netzwerk sitzt, kann gezielter reagieren. Jay Miller, CISO bei Paessler, erläutert, welche Spuren Angreifer im Datenverkehr hinterlassen und wie sich diese mit Netzwerk-Monitoring aufspüren lassen.

Sensor-Übersichten und Alarmanzeigen machen Abweichungen vom normalen Netzwerkverkehr sichtbar, etwa wenn Flow-Sensoren ungewöhnliche Verbindungen oder Datenvolumen registrieren.(Bild:  Paessler)
Sensor-Übersichten und Alarmanzeigen machen Abweichungen vom normalen Netzwerkverkehr sichtbar, etwa wenn Flow-Sensoren ungewöhnliche Verbindungen oder Datenvolumen registrieren.
(Bild: Paessler)

Ein Angreifer, der unbemerkt im Netzwerk unterwegs ist und sich lateral durch die Infrastruktur bewegt, gehört für viele Unternehmen längst zur Realität. Der Grundsatz Assume Breach setzt genau hier an: Wer unterstellt, dass ein Angreifer bereits eingedrungen ist, kann dessen Aktivitäten gezielt suchen, statt auf den nächsten Alarm zu warten. Netzwerk-Monitoring liefert dafür die Datenbasis, denn ungewöhnlicher Datenverkehr, auffällige ausgehende Verbindungen oder plötzliche Lastspitzen sind häufig erste Hinweise auf eine Kompromittierung.

Wenig Zeit zwischen Offenlegung und Ausnutzung

Angreifer nutzen Schwachstellen gezielt als Einstiegspunkt, um Systeme zu kompromittieren und sich anschließend lateral im Netzwerk zu bewegen. Die Time-to-Exploit (TTE) beschreibt die Zeitspanne zwischen der Offenlegung einer Sicherheitslücke und ihrer ersten beobachteten Ausnutzung. Laut einer im Oktober 2024 von den Mandiant-Analysten Casey Charrier und Robert Weiner veröffentlichten Untersuchung lag die durchschnittliche TTE für im Jahr 2023 offengelegte Schwachstellen bei rund fünf Tagen, ein deutlicher Rückgang gegenüber den zuvor ermittelten 32 Tagen. Besonders kritisch sind Zero-Day-Schwachstellen, für die noch kein Patch existiert. Wird beispielsweise eine kritische Lücke zur Remote-Code-Ausführung in einem verbreiteten Web-Framework bekannt, beginnen Angreifer oft schon innerhalb weniger Stunden mit der Ausnutzung.

So lässt sich auf Sicherheitslücken reagieren

Wird eine kritische Sicherheitslücke bekannt, sind drei Schritte entscheidend: Zunächst müssen Unternehmen alle potenziell betroffenen Ressourcen identifizieren, Hardware, Software, Daten und Mitarbeiter eingeschlossen. Anschließend gilt es, den Datenverkehr auf Anomalien zu prüfen, etwa erhöhten ausgehenden Traffic, ungeplante Spitzen bei I/O und Speicherverbrauch, gehäufte DNS-Fehler, dauerhafte Verbindungen zu unbekannten Hosts oder eine Sättigung der Bandbreite. Drittens sollten Indicators of Compromise (IOC) überprüft werden, also Spuren, die Angreifer beim Ausnutzen einer Schwachstelle hinterlassen und die sich häufig in Server-, Anwendungs- oder Endpoint-Logs finden.

Vier Monitoring-Ansätze für die Praxis

Patches zu installieren bleibt die wirksamste Abwehrmaßnahme. Netzwerk-Monitoring kann jedoch bereits aktive Angriffe erkennen, bevor ein Patch verfügbar ist. Vier Sensortypen kommen dabei zum Einsatz.

Flow-Sensoren erfassen Datenpakete von Routern und Firewalls und zeigen die aktivsten Geräte, die häufigsten Verbindungen und die genutzten Protokolle. So werden unbekannte externe Verbindungen, verdächtige Datenverkehrstypen wie ungewöhnliche Remote-Verbindungen oder ein auffällig hohes Volumen bestimmter Traffic-Arten sichtbar.

SNMP-Traffic-Sensoren überwachen Bandbreite und Datenverkehr eines Geräts über das Simple Network Management Protocol. Sie liefern Einblick in ein- und ausgehende Pakete, verworfene Pakete, Fehler sowie zugestellte Unicast- und Multicast-/Broadcast-Pakete und ermöglichen so, eine Baseline für den Durchsatz jeder Schnittstelle zu erstellen.

Ressourcen-Monitoring überwacht CPU-Auslastung, verfügbaren Speicher, freien Speicherplatz und Betriebszeit eines Geräts.

Service-Checks prüfen die Verfügbarkeit und Ladezeiten von Diensten und senden DNS-Abfragen. Da HTTP/HTTPS und DNS gängige Angriffsvektoren sind, kann ihr Monitoring helfen, eine Kompromittierung frühzeitig zu erkennen.

Best Practices zur Erkennung von IOC

Um die Effektivität von Netzwerk-Monitoring bei der IOC-Erkennung zu erhöhen, lohnt sich zunächst der Blick auf die Baseline: Monitoring-Tools erkennen sowohl hohe als auch niedrige Abweichungen automatisch, was hilft zu verstehen, wie normaler Datenverkehr und Ressourcenverbrauch aussehen.

Auf dieser Basis lassen sich Schwellenwerte für Warnmeldungen festlegen, etwa wenn der ausgehende Datenverkehr die Baseline um 80 Prozent überschreitet. Zudem lohnt sich ein regelmäßiger Blick auf die von Flow-Sensoren bereitgestellten Listen der „Top Talkers“ und „Top Connections“, um verdächtige Hosts frühzeitig zu identifizieren.

Jay Miller.(Bild:  Paessler)
Jay Miller.
(Bild: Paessler)

Fazit

Angreifer können Malware verbergen, aber nicht den Datenverkehr, den sie erzeugen. Wer sich auf netzwerkbasierte Indicators of Compromise konzentriert, erhält ein wirksames Frühwarnsystem. Die Kombination unterschiedlicher Sensoren und individueller Integrationen im Netzwerk-Monitoring schafft die Transparenz, die nötig ist, um Sicherheitsverletzungen zu erkennen, bevor aus ihnen ein Datenleck wird.

Über den Autor

Jay Miller ist Chief Information Security Officer bei Paessler.

(ID:50871415)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Netzwerktechnik, IP-Kommunikation und UCC

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung