Network Behavior Analysis

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Bild: Windows-Netzwerkmonitor

Network Behavior Analysis (NBA) ist eine Antwort auf die Probleme bei der signaturbasierenen Angriffserkennung per Intrusion Detection System (IDS). Die aktuelle Schutzwirkung solcher Systeme ist unvollständig, da sie Zero-Day Exploits und bisher unbekannte Angriffe nicht erkennen können. Aber inbesondere der zunehmende Anteil an verschlüsselten Verbindungen (z.B. https) auf Grund der NSA-Ausspähaffäre sowie der technische Fortschritt durch Einsatz neuer Techniken mit hohem Verschlüsselungsanteil (VoIP als Ersatz für die veraltete TK-/ISDN-Technik) senkt die Schutzwirkung kontinuierlich herab. Mitte 2016 erreichte der Anteil der https-Verschlüsselung im Web erstmals 50 Prozent der Gesamtübertragung[1]. Die Telekom will bis Ende 2018 ihre gesamte Technik auf IP umstellen und kündigt damit das Ende von ISDN und klassischer Telefonie an[2]. Insofern soll durch NBA, in Analogie zur Entwicklung der Virenscanner, der bisherige signaturbasierenden IDS-Ansatz durch eine Verhaltens- und Anomalieerkennung abgelöst werden. Möglich wird das auch durch den verstärkten KI-Einsatz[3].

Bild: Beispiel "Defense-in-Depth"

Im Rahmen des aktuellen NGFW-Trends (Next Generation Firewall) werden deshalb tendenziell die IDS-Funktionalitäten in Richtung des sogenannten Perimeterschutzes (Firewall, Viren- und Spam-Filter) am Rand von Netzwerken verschoben. Hier ermöglicht das Aufbrechen verschlüsselter Datenströme auf der Firewall per SSL-Gateway eine automatisierte Untersuchung des Contents. Auch kann eine Umkonfiguration der Firewall im Angriffsfall ohne händische Eingriffe erfolgen. Insofern wird zukünftig hier wohl IDS durch das automatische Intrusion Prevention System (IPS) verdrängt werden. Auch Datenschutzgründe sprechen dafür, da im Gegensatz zu einem im Netz verteilten IDS-System die Untersuchung nun an einer zentralen Stelle erfolgt und eine automatisierte Abwehr ohne Kenntnisnahme des Dateninhaltes beispielsweise durch einen Systemadministrator (ebenfalls wieder in Analogie zum Virenscanner) normalerweise keine Beanstandung erwarten lässt. Allerdings hat dieser Ansatz allein auch große Schwächen, da dies dann lediglich einen weiteren Perimeterschutz bedeutet und die Untersuchung des internen Netzwerktraffics außen vor lässt.

Innerhalb des Netzwerkes wird deshalb wohl NBA der IDS-Nachfolger als neuer Bestandteil der "Verteidigung in der Tiefe" (Defense-in-Depth), wobei allerdings der technische Unterschied nicht allzu groß ausfallen dürfte. Host-orientierte Sensoren beherrschten auch auf Grund ihrer Nähe zu User Behavior Analytics schon immer die Systemverhaltensanalyse, moderne netzwerk-orientierte IDS-Systeme können zwischenzeitlich auch die Anomalieerkennung (beispielsweise zur Erkennung von Infection-Proxies mittels KI[4][5]). Allerdings ändert sich natürlich der Fokus der Untersuchungen.


Einzelnachweis

  1. "HTTPS-Verschlüsselung im Web erreicht erstmals 50 Prozent" in heise.de/Security vom 16.Oktober.2016
  2. "Telekom konkretisiert All-IP-Pläne für Geschäftskunden" in computerwoche.de vom 02.Juli.2015
  3. "Cisco analysiert verschlüsselten Traffic, um Malware zu erkennen" in heise.de/Security vom 22.Juni.2017
  4. Beitrag in <The International Arab Journal of Information Technology> Vol. 12, No. 6A, 2015 "A Statistical Framework for Identification of Tunnelled Applications using Machine Learning"
  5. Beitrag in der <kes> 4/2017 "Automatisierte Erkennung von Infection-Proxies"


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 22. August 2017 um 13:10 Uhr von Oliver Wege geändert.

Anzeigen