Network Traffic Analysis

Was ist Network Traffic Analysis?

Wer zum ersten Mal von Network Traffic Analysis (NTA) hört, denkt wahrscheinlich zu aller erst an klassisches Network-Monitoring, doch Network Traffic Analysis geht viel weiter als das.

Während klassische IDS/IPS-Lösungen im Network-Monitoring ihren Fokus auf netzübergreifenden Verkehr legen, umfasst Network Traffic Analysis eine genaue Überwachung des ganzen Verkehrs im eigenen Netzwerk in Echtzeit mit besonderem Fokus auf Threat Hunting, selbst wenn es sich beim überwachten Verkehr um einen verschlüsselten handeln sollte und man den Inhalt nicht prüfen kann. Angreifer und auch Malware müssen über das Netzwerk kommunizieren, was im Umkehrschluss bedeutet, auch wenn man Angreifer und Malware selbst nicht erkennen kann, kann man ihren Verkehr erkennen.

Network Traffic Analysis: Das Netzwerk lügt nicht

Bei der Network Analysis geht im Kern um das Abfangen und Untersuchen von Datenpaketen, um Rückschlüsse auf die beinhaltete Information aus den wiederkehrenden Mustern der Kommunikation zu ziehen.

Die allgemeine Regel lautet: Je mehr Datenpakete abgefangen oder überwacht wurden, desto mehr können ordentliche Rückschlüsse auf den Inhalt eines Nachrichtenflusses gezogen werden.

Network Traffic Analysis an sich ist kein neues Konzept. Militärs haben sich spätestens mit dem Aufkommen von Funkgeräten damit beschäftigt, durch das Analysieren von Funkverbindungen in Abhängigkeit von zum Beispiel Mustern, wie häufig gefunkt wird, wer mit wem funkt, wer eine Funkverbindung begann. Auch wird sich damit beschäftigt, wie lange Funkverbindungen andauerten, um Rückschlüsse auf Kommandoketten, Truppenbewegungen, Absichten, Vorbereitungen, Planungen und Identitäten zu ziehen

Network Traffic Analysis ist auch eng mit der Kryptoanalyse verbunden und in modernen Anwendungen der Network Traffic Analysis findet auch die soziale Netzwerkanalyse (Social Network Analysis, SNA) Anwendung.

Du willst Deine IT-Sicherheit fortlaufend optimieren?

Informiere Dich jetzt über unser Pentest as a Service Angebot!

Zum Pentest as a Service

Network Traffic Analysis: Welcome to the Jungle

Eine gut funktionierende Netzwerküberwachung ist seit jeher eine anspruchsvolle Aufgabe. Mit dem Einzug von Smartphones, Tablets, IoT, Cloud Computing, XaaS und der fortschreitenden Vernetzung aller verfügbaren Geräte bis hin zum Toaster und der Kaffeemaschine gleicht das Aufrechterhalten einer effektiven Netzwerküberwachung ohne blinde Flecken dem sprichwörtlichen Wald, den man vor lauter Bäumen nicht sehen kann.

Mit Angreifern, die fortlaufend neue Vorgehen entwickeln, ihre alten anpassen, sowie auf regelmäßig genutzte Dienste wie Programme innerhalb des Unternehmens zurückgreifen, um sich möglichst unentdeckt im Netzwerk zu bewegen, kommen die klassischen Ansätze der Überwachung wie IDS/IPS und gängige Endpoint Protection-Lösungen an ihre Grenzen, wenn es um die proaktive Erkennung möglicherweise problematischen anormalen Verkehrs oder Verhaltens geht.

Dazu ein kurzes Beispiel:
Für ein IDS oder IPS-System ist es einfach, eine Regel zu schreiben, die besagt: „Werden Verbindungen ins Tor-Netzwerk versucht aufzumachen, tue ich X:“.
Anders sieht das aus, wenn man Regeln sinnvoll implementieren will wie: „Schlage an, wenn vom Fileserver im Zeitraum X doppelt so viele Daten abfließen wie im 2-wöchigen Durchschnitt.“

Network Traffic Analysis als Augen des Netzwerks

Tools und Systeme, die heute versuchen, die Network Traffic Analysis technisch umzusetzen (Network Detection and Response, kurz NDR), versuchen diese Lücke zwischen Zeit und Wissen zu schließen.

Indem Verkehrsteilnehmer innerhalb der Netzwerkkommunikation identifiziert werden, in welcher Beziehung sie zu einander stehen und ihnen ihr jeweiliges typisches Verhalten zugeschrieben wird, soll das Detektieren bösartiger Absichten weitestgehend automatisiert werden.

Dies wiederum soll IT-Security-Personal in die Lage versetzen, für das jeweilige Unternehmen passgenaue Regeln zur Bedrohungserkennung zu implementieren, um ihnen so das Threat Hunting zu vereinfachen sowie auch um Incident Response Workflows zu befeuern.

Du suchst einen professionelle Partner für die IT-Sicherheit ?

Nimm jetzt Kontakt mit uns auf!

Jetzt kontaktieren

SIEM vs NDR a new player joined the SOC

Ein Security Operation Center (SOC) zu betreiben, ist heute gleichbedeutend damit, ein Security Information and Event Management (SIEM) Produkt zu benutzen. Es ist das Rückgrat des SOC und aufkommende NDR Produkte werden daran auch nichts ändern. Viel mehr werden sie in den kommenden Jahren zur zweiten essentiellen Säule des SOC.

SIEM basiert im Schwerpunkt auf den gesammelten Logs, die auf den überwachten Geräten konfiguriert wurden. NDRs, die die Network Traffic Analysis durch viel Machine Learning anwenden, sind hiervon unabhängig. Wenn SIEM das Skelett eines SOC darstellt, so werden NDRs durch die Network Traffic Analysis zu den Muskeln des SOC.