Bacher Systems

• Newsletter
  • Home
  • IT-Security
  • Application Delivery
  • Unified Storage
  • Server Virtualisierung
  • IT-Service Monitoring
  • Trainings
  • Dienstleistungen
  • Referenzkunden
• Anomaly Detection: Zeigt abnormales Netzwerk-Verhalten auf
  • „Unterwegs“ Firmenanwendungen schnell und sicher nutzen: mit Application Delivery
  • Mit Sicherheit in die "Private Cloud" - der Nebel lichtet sich
  • Clientless NAC: Welches Endgerät in Ihr Netzwerk darf, bestimmen jetzt Sie alleine.
  • Archiv
  • "Alles im grünen Bereich" Stabile IT-Services durch proaktive Systembetreuung
  • Übersicht und Kontrolle bringt Informationssicherheit
  • Serverkonsolidierung und Performance in den Außenstellen ist kein Widerspruch
  • Storage einmal anders betrachtet
  • Organisatorische Lösungen waren gestern - Data Leak Prevention ist heute
  • Check Point Firewalls nachvollziehbar betreiben
  • Schutzschild für Webportale
  • Anomaly Detection: Zeigt abnormales Netzwerk-Verhalten auf
  • Device Control ist mehr als USB-Sperre
  • Virtuelle Server geben neuen Freiraum
  • IT-Security Trends unter der Lupe
  • Datenverfügbarkeit aus einem Guss
  • Intrusion Prevention: Das Lösungsdesign entscheidet
  • Storage ist mehr als Terabytes
  • Notebooks sicher verschlüsseln
  • Backupfenster in Sekundengröße
  • Remote Access von überall
  • Backup-Konzeption ohne Ablaufdatum
  • Professionelle Mobile Services
  • Storage mit Eigenintelligenz
  • Neu: Check Point NGX
  • Spyware ist mehr als ein Störfaktor
  • Jederzeit schnelle Restores
  • Saubere Notebooks für sichere Netzwerke
  • Wie nützlich ist Solaris 10?

Anomaly Detection: Zeigt abnormales Netzwerk-Verhalten auf

Funktionsweise eines Anomaly Detection Systems, am Beispiel von ISS Komponenten

Von Zeit zu Zeit entstehen im IT-Security Bereich wirklich neue Ansätze. Mit dem unter dem Begriff "Anomaly Detection" bezeichneten Verfahren ist ein echtes Novum gegeben. Den Betreibern komplexer Netzwerkstrukturen wird damit ein Werkzeug geboten, das einen umfassenden Überblick der Vorgänge im Netzwerk liefert. Administratoren kommen damit in die Lage, selbst die komplexesten Strukturen aus einer Draufsicht zu betrachten, Auffälligkeiten und besondere Vorkommnisse zu erkennen und Sicherheitslücken rechtzeitig zu identifizieren. Alles in allem wird es mit Anomaly Detection Systemen möglich, die Security Policy des Unternehmens zu überprüfen und ihre praktische Wirkung beurteilen zu können.

Nun ruft der Begriff Anomaly Detection unweigerlich eine Assoziation mit Intrusion Detection & Prevention hervor. Es drängt sich also die Frage auf, ob Anomaly Detection vielleicht nur eine logische Weiterentwicklung der bereits bekannten Intrusion Prevention ist. Wie die weiteren Ausführungen zeigen, ist genau das nicht der Fall. Anomaly ­Detection Systeme bringen einen ­völlig neuen und unabhängigen Ansatz mit sich. Um die Funktionsweise von Anomaly Detection Systemen (ADS) möglichst klar aufzuzeigen, wird sie im Folgenden den bekannten Intrusion Prevention Systemen (IPS) gegenübergestellt.

Anomaly Detection ist Analyse

Alle Intrusion Prevention Lösungen ­dienen dem Zweck, Angriffsversuche aus internen und externen Netzwerken zu erkennen und abzuwehren. Anomaly Detection dagegen ist primär ein Analysewerkzeug. Es sammelt Daten von bestehenden Netzwerkkomponenten und führt diese einer zentralen Auswertung zu. Dadurch ergibt sich eine Gesamtsicht des Netzwerkverhaltens. Vor allem für große Netzwerke war eine solche Draufsicht bis dato nicht zu erreichen. Aus den Reports, die ADS nun liefern, können zum Beispiel gefährliches Userverhalten, lokale Engpässe in der Performance, Verstöße gegen die Policies oder unerwünschte Freischaltungen erkannt werden.

Anomaly Detection betrachtet Traffic

Intrusion Prevention Systeme zielen auf die übermittelten Daten im Netzwerkverkehr ab. IPS verfügen damit über die Möglichkeit, aus unzähligen Datenpaketen eines Datenstromes die Bösartigen von den Erlaubten zu unterscheiden und zu eliminieren. Anomaly Detection dagegen untersucht den Traffic selbst - also die Wege, die der Datenstrom nimmt. Es geht also nicht wie bei IPS darum, Angriffsversuche in Datenpaketen zu erkennen. Vielmehr untersuchen ADS welche User und Hosts mit welchen Clients und Servern über welche Services und mit welcher Bandbreite kommunizieren. Dieser zentrale Unterschied von IPS und ADS lässt sich am Besten am Beispiel eines Virenausbruchs verdeutlichen: Während ein Virenausbruch von einem IPS unter anderem durch das versuchte Ausnützen einer Schwachstelle erkannt und verhindert wird, fällt er einem ADS durch den unüblich hohen Datenverkehr auf, der bei der Virenverbreitung entsteht. Somit können auch neuartige Schädlinge erkannt und die verantwortlichen Personen alarmiert werden.

Anomaly Detection sieht alles

Für Intrusion Prevention Systeme gibt es zwei grundsätzliche Möglichkeiten der Einbindung: Direkt auf einem zu schützenden Host (hostbasiertes IPS) oder in einem zu schützenden Netzsegment (netzbasiertes IPS). In beiden Fällen gilt, dass Intrusion Prevention immer nur eine lokale Wirkung haben kann. Deshalb werden IPS vor allem für den Schutz geschäftskritischer Systeme eingesetzt. Im Unterschied dazu sammeln Anomaly Detection Systeme die benötigten Informationen global bei eingesetzten Netzwerkkomponenten. Über Netflow, jFlow, sFlow, Tap, SPAN oder RSPAN bezieht der AD Collector sein Wissen über alle auftretenden Datenströme. Diese Informationen gibt er an eine weitere Appliance, den AD Analyser weiter (siehe Abbildung). Dort stehen die Informationen dann für Reports und Analysen zur Verfügung und über unübliches Verhalten wird sofort alarmiert.

Anomaly Detection liefert Transparenz

Intrusion Prevention hat eine ausgesprochene Schutzfunktion für wichtige Daten, Dienste und Prozesse. Anomaly Detection dagegen erbringt eine Leistung, die kein Intrusion Prevention System je bieten kann - es liefert die totale Transparenz des Netzwerks. Damit wird es möglich, allgemeine Sicherheitspolicies zu überprüfen und die praktische Umsetzung nachzuweisen - was im Sinn der zunehmenden Compliance Anforderungen immer wichtiger wird. Da­rüber hinaus werden die Veränderungen, wie sie in großen Netzwerken häufig stattfinden, mit ADS gut abgesichert. Ob etwa eine bestimmte Freischaltung auf der Firewall unerwünschte Seiteneffekte hat, kann zum Beispiel sofort erkannt werden. Auch Engpässe in der Performance lassen sich erkennen, genauso wie anormales Verhalten von Clients oder Servern. Alles in allem, Anomaly Detection liefert dem Administrator eine Röntgenbrille für sein Netzwerk - Unregelmäßigkeiten werden sofort erkannt und er kann sicherstellen, dass alles mit rechten Dingen zugeht.