zurück zur Übersicht

Network-basierte Malware Detection

Es gibt verschiedene Möglichkeiten, die eigenen Systeme vor Angreifern zu schützen. Neben Firewall und Endpoint Protection sollte auch das Netzwerk immer im Blick der IT Security sein. In diesem Artikel möchte ich Vectra Cognito™ vorstellen – ein netzwerkbasiertes Analysetool.

Automatische Analyse

Die Vectra erkennt automatisch Bedrohungen in Echtzeit, indem sie den Netzwerkverkehr überwacht. Dazu werden passive Sniffer an den Grenzen verschiedener Netzwerksegmente und am Perimeter zum Internet platziert und der Netzwerkverkehr fortlaufend analysiert.

Nach der Implementierung lernt Vectra die Verkehrsbeziehungen und -charakteristika sowie das Kommunikationsverhalten des Netzwerkes. Die Verhaltensdaten werden korreliert und sollte eine Auffälligkeit im Verhaltensmuster erkannt werden, wird automatisch eine Detection erstellt, die Situation graphisch visualisiert und kontextuell bewertet.

Der Detection sowie dem betroffenen Host wird ein Scoring zugeordnet, welches sich aus den zwei Faktoren Threat Score (Bedrohungsrate) und Certainty (Bewertung der Wahrscheinlichkeit des Eintretens) zusammensetzt.

Jede Detection sowie jeder Host besitzt den Threat Certainty Index. Das Threat Level eines Host kann beispielsweise durch den historischen Kontext erhöht sein. Vectra lokalisiert so die Hosts, die mit hoher Wahrscheinlichkeit Einfallstore für Bedrohungen im Netzwerk darstellen.

Erkennung

Die Kill Chain beschreibt den Ablauf eines Angriffs.
Die Kill Chain beschreibt den Ablauf eines Angriffs.

Durch die Verwendung dieses Vorgehensmodells ist es möglich, Reconnaissance-Verhalten, Botnets, Backdoors, CnC-Kommunikation, Datenausleitungen und diverse Malware aufzuspüren und alle Phasen des Attack-Live-Cycles zu erkennen:

  • Command-and-Control-Kommunikation
  • Botnet-Kommunikation
  • Internal Reconnaissance
  • Lateral Movement
  • Data Exfiltration

Analyseprozess

Öffnet man Vectra, gelangt man zuerst auf das Dashboard mit den Aktivitäten der letzten 24 Stunden. Der Analyst kann dann über den Host, eine Kampagne und über die Detection auf einen Vorfall zugreifen. Kampagnen werden gebildet, wenn mindestens eine aktive Control & Command Kommunikation erkannt wurde, bei der mehrere Hosts mit der gleichen Domäne oder IP-Adresse kommunizieren.

Vectra Cognito ermöglicht dem Analysten eine schnelle Untersuchung des potentiellen Vorfalls durch die automatische Priorisierung und Korrelation von Bedrohungen des Zielhosts und –Assets.

Darüber hinaus arbeitet Vectra Cognito mit Next Gen Firewalls, Endpoint Protection und anderen Security Produkten, um automatisch unbekannte und benutzerdefinierte Cyberangriffe zu blockieren.

Das Vorgehen lässt sich gut am Beispiel des Infiltration Testing Service erläutern. Nachdem die Appliance und die virtuellen Sensoren in dem Netzwerk platziert sind, beginnt die Lernphase der Vectra. Die Verhaltensmuster und die Netzwerkumgebung werden registriert, um im Anschluss Auffälligkeiten wahrzunehmen. In der nächsten Phase wird bei jeder Detection der Analyst per Email informiert und analysiert den Vorfall. Aufgrund der Korrelation der Events und der gegeben Informationen, wie grafische Darstellung der Detection, Timeline, betroffene Ports und User, PCAP,  Quell- und Ziel-IP, kann die Situation schnell eingeschätzt und gegeben falls Incident Response Verfahren eingeleitet werden. Stellt sich die Detection als kein Vorfall heraus, so kann die einzelne Detection geschlossen, aber auch Triage Filter erstellt werden, wenn genau dieser Fall nicht mehr alarmieren soll.

Ein paar technische Punkte

Die Vectra X-Serie-Plattform wird durch die Verbindung zu einem Port auf dem Core-Switch implementiert, der als Switch Port Analyzer (SPAN) Port oder einem Netzwerk Test Access Port (TAP) konfiguriert ist. Da die meisten Bedrohungen von einem kompromittierten Host innerhalb eines Unternehmensnetzwerks stammen, muss die Vectra bidirektionale Verkehrsströme für eine genaue Bedrohungserkennung sehen.

Vectra Networks bietet auch die Möglichkeit virtuelle Sensoren unter VMware ab ESXi Version 5.0 zu betreiben oder Sensoren der S-Serie.

Die Sensoren überwachen passiv den Netzwerkverkehr, extrahieren daraus kritische Metadaten und leiten die Metadaten zur Gefährdungsanalyse an eine X-Serie-Plattform weiter.


Links:

https://vectra.ai/

Bild: ©iT-CUBE SYSTEMS AG 2017

Schreibe einen Kommentar