SECURITY PRAXIS22. September 2017

Große US-Bank mit 1.100 Filialen rüstet sich mit Netzwerk-Monitoring-Tools gegen Cyberattacken

Stuart Wilson, CEO EndaceEndace

Finanzinstitute, insbesondere Banken, stehen im Fokus von Cyber-Kriminellen und sind damit öfter von Angriffen auf die IT-Infrastruktur, den Point-of-Sale oder Bankautomaten betroffen. Um IT-Sicherheitsvorfälle schneller aufspüren zu können, optimierte eine der 30 Top US-Banken ihre Netzwerksicherheit mithilfe von Netzwerkrekordern. Mit dem Ausblick auf die DSGVO bei Finanzinstituten ein spannende Anwendung.

von Stuart Wilson, CEO Endace

Stolze 870.000 Euro – so viel zahlen Banken laut einer Studie von Kaspersky Lab im Schnitt pro Sicherheitsvorfall. Damit sind die Kosten doppelt so hoch wie in ähnlich großen Unternehmen aus anderen Branchen. Um diese Aufwände beispielsweise für Sicherheitsanalysen sowie Ausfallzeiten zu reduzieren, optimieren derzeit viele Banken ihre IT-Sicherheit.

Anwendung einer großen US-Privatbank

Auch eine große, private US-Bank, die aus Datenschutzgründen nicht genannt werden darf, wollte ihre komplexe und kritische Netzwerkinfrastruktur besser schützen. Hierbei ließ die Bank das bisher genutzte Netzwerk-Monitoring-Tool ersetzen, da es nicht mehr den hohen Anforderungen entsprach. Das neue System sollte die Ausfallzeiten bei Sicherheitsvorfällen möglichst gering halten sowie die unter Performanceproblemen leidenden Netzwerk- und Applikationsanalysen beschleunigen.

Ziel war es, die laufenden Bankgeschäfte, Mobile- und Onlinebanking, die 1.100 Filialen verbindet, sowie die 2.000 Bankautomaten sicherzustellen.”

Netzwerkrekorder
Netzwerkrekorder (hier im Bilder der EndaceProbe) sind in der Lage, große und komplexe Netzwerke zu überwachen – zum Beispiel für Banken, Telekommunikations- und Mobilfunkbetreiber, Medien- und Broadcast-Unternehmen sowie Gesundheits­orga­ni­sa­tionen und Regierungen. Mithilfe des Netzwerk-Monitorings erhalten Unternehmen verfolgbare Netzwerk-Daten, um Sicherheits-und Netzwerkleistungs-Probleme in Echtzeit zu identifizieren und zu beheben. Auch die Forensische Datenanalyse (FDA) ist mit Netzwerkrekordern möglich, um Datenschutzverletzungen beispielsweise vor dem Hintergrund der DSGVO zu erkennen.

Sicherheitsuntersuchungen dauerten zu lange

Stephen Donnelly, CTO beim Netzwerk-Monitoring-Spezialisten Endace, weiß, worauf es bei kritischen Infrastrukturen wie etwa in Banken ankommt: „Die beiden Fälle Tesco Bank und UniCredit zeigen auf, wie lange es dauert, um einerseits die Sicherheitslücken zu finden und andererseits Gewissheit über das Ausmaß, beispielsweise die Anzahl der gestohlenen Kontonummern, zu erhalten. Es sind in der Regel viel zu viele Security- und Monitoring-Tools im Einsatz, die nicht integriert sind und daher auch nicht effektiv arbeiten können. Das eigentliche Problem besteht darin, dass Daten von Anfang an nicht richtig erfasst und aufgezeichnet worden sind. So fehlen möglicherweise Informationen, die so auch nicht den Security- und Monitoring-Tools zur Verfügung stehen. Diese sogenannten Datenpakete (Packet Data) waren auch im Falle der US-Bank nicht vollständig bzw. ließen sich nicht schnell genug mithilfe des Netzwerk-Monitoring-Tools bereitstellen. Das hatte zur Folge, dass Sicherheitsuntersuchungen viel zu lange dauerten.“

Netzwerkrekorder sollten alle Daten erfassen und aufzeichnen

Bei der Auswahl solcher Tools ist deshalb darauf zu achten, dass Netzwerkrekorder oder Netzwerkkarten von Beginn an den Datenverkehr hundertprozentig erfassen und aufzeichnen (Packet Capture). Nur eine exakte Aufzeichnung liefert den eindeutigen Beweis, wann, wo und wie genau eine Attacke aufgetreten ist und welche Kundendaten möglicherweise gestohlen worden sind. Das Netzwerkbetriebs- und Sicherheitsteam (NetOps, SecOps) kann dann mithilfe der Playback-Funktion in die Vergangenheit zurückgehen, um zu sehen, was vorgefallen ist. Das ist sogar möglich, wenn Sicherheitstools wie Firewalls oder Intrusion-Detection-Systeme (IDS) und Intrusion-Prevention-Systeme (IPS) im ersten Schritt mögliche Bedrohungen übersehen haben.

Endace

Für das NetOps- und SecOps-Team der US-Bank war der eingesetzte Netzwerkrekorder sehr unhandlich und in der Praxis schwierig zu managen. Das IT-Team muss in der Lage sein, durch detaillierte Analysen Lücken schnell aufzudecken. Hierbei hilft ein Blick in die Datenhistorie, die eine vollständige, detaillierte Paketdatenquelle mit korrektem Zeitstempel liefert. Nur so lassen sich Netzwerkstörungen oder Sicherheitsvorfälle rekonstruieren und aufklären.”

Stephen Donnelly, CTO beim Netzwerk-Monitoring-Spezialisten Endace

Zudem lässt sich damit Gewissheit über mögliche gestohlene Daten erlangen. Andernfalls müssen sich Analysten oftmals auf Zusammenfassungen aus unterschiedlichen Quellen, wie Serverprotokolleinträge oder Netzwerk-Metadaten (wie NetFlow) verlassen, um Vorfälle wiederherzustellen.

Deshalb entschied sich die US-Bank für eine Lösung, die einen schnelleren Zugriff auf die Historie des Netzwerkverkehrs für Sicherheitsuntersuchungen erlaubt sowie ein schnelles Drill-Down bei einer Paketebenen-Analyse basierend auf Multi-Terabyte-Trace-Dateien liefert.

Außerdem sollte die Lösung fähig sein, den Netzwerkverkehr bei einer Übertragungsrate von 10 Gbit/s verlustfrei aufzeichnen zu können.”

Sie sollte für weiteres Wachstum skalierbar sowie mit den vorhandenen Monitoring-Tools wie Dynatrace Datacentre RUM und Splunk integrierfähig sein.

Stephen Donnelly, CTO Endace
Stephen Donnelly arbeitet seit 20 Jahren an Systemen zur Paketerfassung und Zeitstempelung und promovierte an der Universität Waikato, Neuseeland, zum Thema “High Precision Timing in Passive Measurements of Data Networks”. Er war Gründungsmitarbeiter bei Endace, wo er FPGA-basierte Paketerfassungs- und Zeiterfassungssysteme entwickelte. Er hat Taktsynchronisationssysteme und Hochleistungsnetzwerküberwachungsvirtualisierung für Endace Appliances entwickelt und mit Kunden aus den Bereichen Telekommunikation, Finanzen, Test & Measurement, Unternehmen und Behörden zusammengearbeitet, um einzigartige Probleme zu lösen.

14 Netzwerkrekorder, 2 Extra-Server, ein Dashboard

Die Wahl fiel auf die Netzwerkrekorder der neuseeländischen Sicherheitsfirma Endace, die in der Lage sind, den Datenverkehr auch bei schnellen und komplexen Netzwerken hundertprozentig aufzuzeichnen, zu erfassen und zu katalogisieren. Diese wurden an verschiedenen Standorten und in zwei Data Centern installiert. Zusätzlich wurden zwei Server der Sicherheitsfirma aufgebaut, zum einen als Backup und zum anderen als zentrale Verwaltung für die Netzwerkrekorder. Stephen Donnelly: „Nun ist die Bank in der Lage, zentral und simultan den aufgezeichneten Netzwerkverkehr abzurufen, um schnell und einfach Zugang zu den gewünschten Datenpaketen zu erhalten. Das alles geschieht automatisch, ohne dass es sich auf die Performance der Server auswirkt.“

Doppelte Produktivität bei Analysten

Auch die Integration der Netzwerkrekorder verlief dank der offenen API und der Unterstützung der Capture-Formate nach Industriestandards, wie PCAP und ERF mit den vorhandenen Monitoring-Anwendungen problemlos. NetOps-Analysten können direkt von einer Warnung in ihrem CAS-Dashboard relevante Datenpakete für die Untersuchung von Performance-Problemen im Netzwerk oder in Anwendungen abrufen. Ähnlich funktioniert das bei Sicherheitswarnungen. SecOps-Analysten oder IT-Systemadministratoren sind nun in der Lage, direkt nach einer Warnung in die Splunk-Konsole hineinzugehen, die relevanten Netzwerkdaten herunterzuladen und so mögliche Sicherheitsvorfälle zu untersuchen.

Gerade die Integration der Netzwerkrekorder mit Dynatrace und Splunk tragen zu einem besseren Workflow bei den investigativen Recherchen im Netzwerk bei. Im Vergleich zur vorherigen Lösung konnte die Privatbank somit die Zeit für das Finden und Abrufen von Datenpaketen um die Hälfte verkürzen“

Stephen Donnelly, CTO beim Netzwerk-Monitoring-Spezialisten Endace

Analysten sind nun doppelt so produktiv und haben zudem Gewissheit darüber, was genau wann im Netzwerk passiert ist. Insgesamt trägt es zu einem besseren Schutz des Netzwerks bei. Die richtigen Netzwerkrekorder für komplexe Infrastrukturen unterstützen vorhandene Sicherheits- und Monitoring-Tools in ihrer Performance, weil sie diese lückenlos mit Daten versorgen. Somit können sich auch Banken, egal ob es sich um einen Angriff auf Mobile- oder Online-Banking-Anwendungen oder auf Bankautomaten handelt, besser auf Angriffe vorbereiten und schneller Sicherheitslücken aufspüren und beseitigen.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert