SIEM Use Cases Teil 5: Netzwerk-Segmentierung

Im Umfeld der ISO 27001 Zertifizierung wird eine “Network Segregation” gefordert, also eine Trennung der Netzwerke. Je nach Reifegrad dieser Segmentierung kann auch das SIEM zur Kontrolle der netzwerküberschreitenden Kommunikationsversuche herangezogen werden und mögliche Ausbreitungen einer Malware im Unternehmen aufdecken.

Eine Netzwerk-Segmentierung ist ein guter Ansatz, die Ausbreitungsversuche einer Malware zu erschweren. Netzwerk-Segmentierung bedeutet im konsequenten Ausbau, die Kommunikation zwischen zwei Segmenten wird über eine Firewall geregelt und nur notwendige Kommunikation wird erlaubt.

Flache Netze

In vielen Unternehmen ist das ein nicht trivial erreichbares Ziel, speziell, wenn mal in einem 10.10.0.0/16 gestartet wurde, alle Systeme in ein internes Firewall-Regelwerk einzubringen. Im ersten Schritt muss in der Regel eine Sortierung der Systeme erfolgen, um sie in die verschiedenen Netzbereiche einzuteilen. Am schwierigsten ist hierbei übrigens das Server-Netz, in dem man auch alle anderen Dinge gesammelt hat, sei es Zeiterfassungsterminals oder der Remotezugriff für USV-Systeme.

Im Abschnitt 13.1.3 der ISO 27002 stehen weitere zu berücksichtigende Parameter für eine Netzwerk-Segmentierung. Wir wollen uns nun mit den Möglichkeiten auseinandersetzen, die eine Firewall an dieser Stelle in der Analyse der Kommunikation bietet.

Netzwerk-Segmentierung

Der erste Schritt hin zu einem segmentierten Netz ist die Verteilung der Systeme und Geräte auf verschiedene VLANs. Mit einem solchen strukturierten Netz ist die nächste Möglichkeit, den Core Router Schritt für Schritt durch eine interne Firewall zu ersetzen, um von einer echten Segmentierung zu sprechen. In dem Moment, in dem eine Firewall mit einem Regelwerk implementiert ist, greifen die gleichen Kontroll-Mechanismen wie bei einer Perimeter-Firewall.

Auch hier ist der erste Schritt, die abgelehnte Kommunikation auszuwerten. Grundvoraussetzung ist hier eine sinnvolle Definition der internen Netzsegmente, um ganze Bereiche von Client-Systemen auch gemeinsam auswerten zu können. Diese Metadaten-Definition für das LAN kann sich beispielsweise auch an den Strukturen im Firewall-Regelwerk orientieren. Dann ist auch die operative Unterstützung für die Pflege und das Debugging der Firewall-Regelwerke gegeben.

 

 

Laterale Ausbreitung

So können dann interne, sogenannte laterale Ausbreitungen von Malware frühzeitig aufgedeckt werden. Wenn ein Angreifer in der Lage war, einen PC aus dem Unternehmen mit Malware zu infizieren und dann auch die Kontrolle über den Client zu übernehmen, muss er das Netz, in dem er sich nun befindet, auskundschaften. Hierzu kann er beispielsweise Portscans einsetzen.

Ist der Client in einem eigenen Segment reglementiert, werden alle Zugriffsversuche in das restliche Unternehmensnetz an der Firewall registriert. Verwendet er großzügig Port- oder Netzwerk-Scans sollten diese als eine große Zahl abgelehnter Verbindungs-Versuche in der Firewall blockiert und geloggt werden. Das SIEM kann hierauf nun reagieren und stellt diese unübliche große Zahl an nicht notwendigen Verbindungsversuchen feststellen.

Portscan nach Datenbanken

Sehr auffällig wäre beispielsweise, wenn der Arbeitsplatz-Rechner aus dem Recruiting oder dem Sekretariat plötzlich versucht, sich auf diversen internen IPs mit dem Port 1433/TCP zu verbinden. Das ist üblicherweise der Port für Microsoft SQL Server (MSSQL)-Datenbanken. Dann ist ausreichender Verdacht gegeben, dass sich ein externer Angreifer auf diesem PC eingenistet hat.

Möglicherweise existieren zu diesem Rechner auch Verdachtsmomente in der überwachten Außen-Kommunikation, sei es auf der Firewall oder auf dem Proxy, die ebenfalls für einen Malware-Befall sprechen. Die internen Mitarbeiter sind in der Regel nicht die Verursacher dieser Scans. Sie haben möglicherweise durch eine unbedachte Handlung oder ein gutes Social Engineering der Angreifer eine Software gestartet, die dem Angreifer die Nutzung des PCs ermöglicht, sodass der Außentäter wie ein Innentäter wirkt.

Besondere Risiken

Eine Art von Systeme begegnet uns in sehr vielen Unternehmen: aus Sicht der IT hoffnungslos veraltete Steuerungs-Systeme, die ebenfalls in ein spezielles Segment isoliert gehören. Im Idealfall sogar noch mit Port Isolation oder einem Private VLAN (PVLAN). Hier sind alle Kommunikationsverbindungen zu kontrollieren, denn diese Systeme sind in der Regel immer mit Sicherheitslücken angreifbar.

Known Issues abstellen

Um eine effiziente Analyse der Verbindungen durchzuführen,  gilt hier das gleiche wie es für die Kommunikation von Systemen mit dem Internet gilt: Die Häufung von Verdachtsmomenten zu einem System darf nicht von systematischen Konfigurationsfehlern von anderen Systemen in diesem Netzsegment überdeckt werden. Auch hier ist eine qualitativ hochwertige Arbeit notwendig, um eine saubere Konfiguration der Netzsegmente durchzuführen, die über „works for me“ hinausgeht.

Incident-Response-Prozess

Kann ein Angriff durch ein entsprechend ausgefeilte Analyse im SIEM oder SOC aufgedeckt werden, können auch die entsprechenden Maßnahmen zur Vermeidung einer weiteren Ausbreitung der Angreifer eingeleitet werden. Hier ist dann eine enge Abstimmung mit den Prozessen zum Incident-Management notwendig.

Im ungünstigsten Fall ist man nicht vorbereitet und muss jetzt erst einen Incident-Response-Prozess entwickeln. Das führt in der Regel dazu, dass die Maßnahmen zu zurückhaltend sind und der Angreifer nicht aus dem Netz verbannt werden kann. Oder die Maßnahmen sind zu weitgehend und unterbrechen die Produktivität von zu vielen Mitarbeitern. Darum ist auch bei der Implementierung eines SIEM-Systems die Definition des Incident-Response-Prozesses zwingend notwendig.

 


Webinar: IT-Sicherheit und Compliance mit SIEM & UEBA

SIEM und UEBA (User and Entity Behavior Analytics) sind die Security Enabler schlechthin und ergänzen sich gegenseitig zu einem mächtigen Werkzeug für die Erkennung von Cyberbedrohungen. Erfahren Sie im Webinar, wie dieses Security-Team ihnen ungeahnte Einblicke verschafft und Ihre IT-Abteilung entlastet.

Dienstag, 13. Juli 2021, 14:00 – 15:00 Uhr CEST

>> Mehr erfahren und Plätze sichern <<

Sie haben an dem Termin keine Zeit? Kein Problem! Registrieren Sie sich trotzdem. Sie erhalten dann nach dem Live-Webinar die Aufzeichnung zur Verfügung gestellt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *