Monitoring von Netzwerkangriffen mit PRTG

Unter Network Attack Monitoring versteht man das kontinuierliche Beobachten und Analysieren von Netzwerkaktivitäten, um böswillige Aktivitäten oder Sicherheitsverletzungen zu erkennen, darauf zu reagieren und sie zu verhindern.

Dabei werden verschiedene Tools, Techniken und Praktiken eingesetzt, um sicherzustellen, dass alle unbefugten oder verdächtigen Handlungen innerhalb eines Netzwerks sofort erkannt und abgewehrt werden:

• Intrusion Detection Systeme (IDS)
• Systeme zur Verhinderung von Eindringlingen (IPS)
• Sicherheitsinformations- und Ereignisverwaltungssysteme (SIEM)
• Werkzeuge zur Analyse des Netzwerkverkehrs (NTA)
• Monitoring-Tools für Netzwerke
• Firewalls
• Endpunkt-Erkennung und -Reaktion (EDR)
• Plattformen für Bedrohungsanalysen
• Kontinuierliches Monitoring
• Planung der Reaktion auf Vorfälle
• Suche nach Bedrohungen
• Netzwerksegmentierung

Netzwerkangriffe können je nach ihren Zielen, Techniken und Zielen auf verschiedene Weise kategorisiert werden. Im Folgenden finden Sie eine Übersicht über die wichtigsten Arten von Netzwerkangriffen:

1. Denial of Service (DoS)- und Distributed Denial of Service (DDoS)-Angriffe

• DoS-Angriff: Überflutung eines Netzwerks oder Servers mit Datenverkehr, um die Ressourcen zu erschöpfen und sie für legitime Benutzer unzugänglich zu machen.
• DDoS-Angriff: Ähnlich wie DoS, aber von mehreren kompromittierten Geräten aus gestartet, was die Eindämmung erschwert.
• Botnetze: Netze aus kompromittierten Computern, die von Angreifern ferngesteuert werden, um koordinierte Angriffe, häufig DDoS, durchzuführen.

2. Man-in-the-Middle-Angriffe (MitM)

• Lauschangriff: Abhören der Kommunikation zwischen zwei Parteien ohne deren Wissen.
• Session Hijacking: Übernahme einer aktiven Sitzung zwischen zwei Parteien durch Diebstahl von Sitzungs-Tokens.

3. Phishing und Spear-Phishing-Angriffe

• Phishing: Versenden von betrügerischen Mitteilungen, häufig E-Mails, um Personen dazu zu bringen, vertrauliche Informationen preiszugeben.
• Spear-Phishing: Gezielte Phishing-Angriffe, die auf bestimmte Personen oder Organisationen abzielen, auch "Social Engineering" genannt.

4. SQL-Injection-Angriffe

Ausnutzung von Schwachstellen in der Software einer Anwendung durch Einschleusen bösartiger SQL-Abfragen, um die Datenbank zu manipulieren.

5. Cross-Site-Scripting (XSS)

Einschleusen von bösartigen Skripten in Webseiten, die von anderen Benutzern aufgerufen werden. Diese Skripte können Daten stehlen, Benutzersitzungen entführen oder nicht autorisierte Aktionen durchführen.

6. Malware-Angriffe

• Viren: Bösartiger Code, der sich an eine Wirtsdatei anhängt und sich auf andere Dateien ausbreitet.
• Würmer: Eigenständige Malware, die sich selbst repliziert und auf andere Geräte überträgt.
• Trojanische Pferde: Bösartige Software, die als legitime Software getarnt ist.
• Ransomware: Verschlüsselt die Daten des Opfers und fordert Lösegeld für den Entschlüsselungsschlüssel.

7. Auf Zugangsdaten basierende Angriffe

• Brute-Force-Angriff: Es werden alle möglichen Kombinationen von Passwörtern ausprobiert, bis das richtige gefunden wird.
• Ausfüllen von Zugangsdaten: Verwendung einer Liste bekannter Paare von Benutzernamen und Kennwörtern, die oft aus früheren Angriffen stammen, um unbefugten Zugang zu erhalten.

8. Insider-Bedrohungen

Angriffe, die von vertrauenswürdigen Personen innerhalb des Unternehmens ausgehen, die ihre Zugangsrechte missbrauchen.

9. Ausnutzung ungepatchter Schwachstellen

Ausnutzung bekannter Schwachstellen in Software oder Hardware, die nicht gepatcht oder aktualisiert wurden.

10. Netzwerk-Sniffing und Spoofing

• Schnüffeln: Erfassen und Analysieren von Paketen, die ein Netzwerk durchlaufen.
• Spoofing: Vorgeben, ein anderes Gerät oder ein anderer Benutzer in einem Netzwerk zu sein, um Daten zu stehlen, Malware zu verbreiten oder die Zugangskontrollen zu umgehen.

Der beste Weg, um Netzwerkangriffe zu verhindern, ist die Reduzierung der Schwachstellen in Ihrem Netzwerk. Zu den Schwachstellen gehören nicht nur Softwaremängel, Laufzeitfehler und komplexe IT-Infrastrukturen, sondern auch unvorsichtige Mitarbeiter.

Software-Schwächen beheben

Gehen Sie immer davon aus, dass Software fehlerhaft ist und dass Bugs Einfallstore schaffen werden. Exploits nutzen Schwachstellen, um sich Zugang zu externen Computern zu verschaffen und Malware zu installieren. Diese Exploits werden in "Exploit-Kits" gespeichert und mit bequemen Benutzeroberflächen an Interessenten verkauft. Wenn Sie eine Schwachstelle entdecken und feststellen, dass ein Patch oder ein Update verfügbar ist, installieren Sie die Korrektur schnell - am besten mit einem automatischen Update-Verteiler, der alle Arbeitsplätze in Ihrem Unternehmen abdeckt.

Betrachten Sie IT-Sicherheit als einen fortlaufenden Prozess

Die Technologie entwickelt sich ständig weiter: Software bietet immer neue Funktionen und Sicherheitslücken tauchen immer wieder auf. Wenn eine neue Sicherheitssoftware auf den Markt kommt, gibt es bereits einen Hacker, der weiß, wie man sie knacken kann. Das bedeutet, dass Sie die IT-Sicherheit als eine kontinuierliche Aufgabe betrachten müssen, die nie endet.

Richten Sie umfassende Sicherheitsmaßnahmen ein

Ein umfassender Ansatz, der über Virenscanner und Firewalls hinausgeht, ist für die Netzwerksicherheit unerlässlich. IT-Sicherheit umfasst inzwischen auch Updates, Schulungen, Monitoring, intelligente Sicherheits-Tools und sogar die Zusammenarbeit mit anderen Unternehmen Ihrer Branche, um aktuelle Entwicklungen im Bereich der IT-Sicherheit zu berücksichtigen.

Reduzieren Sie die IT-Komplexität

Je komplexer Ihre Infrastruktur ist, desto anfälliger ist Ihr System. Vereinfachen Sie die IT-Strukturen und minimieren Sie die Anzahl der Tools, die Sie zur Abwehr potenzieller Angriffe einsetzen. Jede Software schafft Gateways, entweder selbst oder wenn sie mit anderen Programmen ausgeführt wird. Indem Sie die Dinge einfach halten, schließen Sie potenzielle Einfallstore und verhindern, dass Hacker einen Weg ins Innere finden.

Stellen Sie die IT-Sicherheit in den Vordergrund

Die IT-Sicherheit sollte bei jedem neuen Projekt eine wichtige Rolle spielen - und zwar nicht nur für die Verantwortlichen für Sicherheit und Datenschutz. Auch IT-Administratoren und Softwareentwickler müssen auf dem Laufenden sein. Und auch wenn die Geschäftsleitung bestimmte Aufgaben weitergibt, sollte sie über alle Sicherheitsentwicklungen informiert sein.

Halten Sie sich an den "Stand der Technik"

Das Gesetz schreibt vor, dass Unternehmen den "Stand der Technik" verwenden, lässt aber in bestimmten Situationen Ausnahmen zu. Die Unternehmen müssen über alle technologischen Entwicklungen auf dem Laufenden bleiben. Da die Bestimmungen jedoch recht vage sind und sich auf verschiedene Verordnungen verteilen, empfiehlt es sich, mit Hilfe eines Juristen eine Strategie auszuarbeiten.

Bringen Sie Ihre Mitarbeiter auf den gleichen Stand

Die Schulung der Mitarbeiter sollte Teil Ihres Sicherheitsmodells sein. Die größte Herausforderung besteht darin, Mitarbeiter zu gewinnen, die sich kaum für IT-Sicherheit interessieren. Da es sich um eine Daueraufgabe handelt, sollten proaktive Mitarbeiterschulungen ein wesentlicher Bestandteil Ihres Ansatzes sein.

Machen Sie es für Hacker kostspielig

Professionelle Hacker haben Ausgaben und wollen Gewinne erzielen. Sie sind immer auf der Suche nach lukrativen Zielen, deren Infiltration wenig kostet. Unternehmen können Angriffe reduzieren, indem sie Verschlüsselung, Zugangskontrollsysteme und moderne Sicherheitslösungen einsetzen, um Netzwerkangriffe für Hacker kostspielig zu machen.

Blockieren von Netzwerkangriffsrouten

Zu den üblichen Routen für Netzwerkangriffe gehören offene Ports, herkömmliche E-Mail-Anhänge mit Viren sowie Trojanische Pferde oder Drive-by-Angriffe beim Besuch von mit Malware infizierten Websites. Firewalls und Antiviren-Software werden empfohlen, um diese Wege zu blockieren.

Die Zeiten, in denen man einfach nach Signaturen scannen konnte, sind vorbei. Der einfache Musterabgleich reicht bei der Bekämpfung von Netzwerkangriffen nicht mehr aus.

Verhinderung von Sicherheitslücken

Heutige Antivirenprogramme suchen nach Ähnlichkeiten mit früheren Angriffen, schalten Software ab, die im Verdacht steht, gefährlich zu sein, und ermöglichen die sichere Einkapselung von Malware. Auch Clouds sollten regelmäßig überprüft werden.

Automatisierte Verhaltensanalysen sind ein Muss, denn die Geschwindigkeit, mit der neue Bedrohungen auftauchen, kann von Menschen mit ihren eigenen Ressourcen nicht mehr bewältigt werden. Aber auch maschinelle Lernwerkzeuge erfordern menschliches Know-how. Heutzutage können Firewalls auch mit Präventionskomponenten ausgestattet sein, die nach verdächtigen Mustern suchen.

Technische Instrumente zum Ausmerzen von Malware nutzen

Da die Systeme immer komplexer und die Angriffsvektoren immer intelligenter werden, reichen selbst moderne Virenscanner und Firewalls nicht mehr aus. Außerdem bieten nachlässige Mitarbeiter Hackern die Möglichkeit, Sicherheitsprogramme zu umgehen und direkt auf das Unternehmensnetz zuzugreifen. Es bedarf daher spezieller technischer Instrumente, um Schadsoftware, die sich unbemerkt in das Netzwerk eingeschlichen hat, aufzuspüren.

Einsatz eines Intrusion Detection Systems

Intrusion Detection Systeme (IDS) werden eingesetzt, um verdächtigen Netzwerkverkehr zu erkennen. Diese Systeme können z. B. bei Switches ansetzen, wo sie den Datenverkehr durchforsten und auf Malware überprüfen. Intrusion-Prevention-Systeme (IPS) können auch zur Entfernung von Malware eingesetzt werden. Der Nachteil dieser Systeme ist, dass sie sich mit Ihrem System verbinden müssen, um zu funktionieren. Ein IPS kann daher selbst zu einem attraktiven Ziel für Hacker werden. Um falsche Alarme während des Erkennungsprozesses zu vermeiden, sollte das IDS in die Sicherheitsstrategie des Unternehmens integriert werden.

PRTG ist zwar kein Ersatz für ein Intrusion Detection System, verfügt aber über viele Funktionen, die zum Schutz vor Cyberangriffen beitragen:

• PRTG überwacht Ihr gesamtes Netzwerk: Server, Speichergeräte, angeschlossene Geräte wie Router, Computer und Drucker, Datenverkehr usw.
• Mit unserer All-in-One Monitoring-Lösung PRTG beseitigen Sie die Schwachstellen, die beim Einsatz verschiedener Programme auftreten können
• Die Netzwerkaufzeichnung ermöglicht Ihnen die Überprüfung Ihrer Daten auf Anomalien und dient als Datenbasis für IT-Sicherheitssysteme
• PRTG überprüft die Funktionalität von Firewalls, Virenscannern, Sicherheitssoftware und Backups sowie die Zugriffsrechte auf Serverräume und andere Bereiche

In PRTG sind „Sensoren“ die grundlegenden Monitoring-Elemente. Ein Sensor überwacht in der Regel einen Messwert in Ihrem Netzwerk, z.B. den Traffic eines Switchports, die CPU-Last eines Servers oder den freien Speicherplatz auf einer Festplatte. Im Durchschnitt benötigen Sie etwa 5-10 Sensoren pro Gerät oder einen Sensor pro Switch-Port.