Blog - article

Wie man Angriffserkennung ins Rechenzentrum bringt

By:
Gérard Bauer
September 27, 2016

Wir sind stolz darauf, dass die Cybersecurity-Plattform von Vectra nun auch in Unternehmens-rechenzentren und Public Clouds nutzbar ist. Für dieses Release wollten wir viel mehr erreichen, als nur das existierende Produkt in eine virtualisierte Umgebung zu portieren. Stattdessen haben sich Security Researcher, Data Scientists und Entwickler bei Vectra noch einmal völlig neu damit auseinandergesetzt, was die echten Security Herausforderungen dieser Zeit sind und wie man Bedrohungen optimal adressieren kann, die speziell auf Unternehmens-Rechenzentren und Cloud-Umgebungen abzielen.

Durchschaubarkeit fürs ganze Unternehmen

Ein erster wichtiger Punkt bei den Überlegungen war, dass ein Rechenzentrum mit dem physischen Unternehmen gleichzeitig vollständig verbunden und doch auf bestimmte Weise davon getrennt sein kann. Um ein Beispiel zu nennen: Angriffe können sich von der Office-Umgebung auf die des Rechenzentrums ausbreiten, und in diesem Fall müssen die Security-Teams genau wissen, wie die Verbindungen zwischen den Events in den beiden Bereichen aussehen. Außerdem ist zu beachten, dass 80 Prozent des Rechenzentrums-Traffics diese Umgebung niemals verlassen – womit er für die traditionellen Security-Systeme unsichtbar bleibt.

Vectra adressiert diese beiden Faktoren, indem das System einen vereinheitlichten Ansatz zur Cybersecurity umsetzt. Das Modell integriert native Darstellungs- und Analysefunktionen fürs virtualisierte Rechenzentrum mit unserer eher traditionellen Vorgehensweise, die wir für Einblicke in zentrale und dezentrale Office-Umgebungen nutzen. Die virtuellen Sensoren von Vectra können sich an vSwitches ankoppeln, um für Angriffe typische Verhaltensweisen zwischen virtuellen Workloads aufzudecken. Zusätzlich sorgt die Integration mit dem VMware vCenter dafür, dass ein Top-Down-Überblick der Umgebung zur Verfügung steht und dass die Teams alarmiert werden können, wann immer sich zeigt, dass Vectra ein existierendes virtuelles Asset nicht erfasst.

Gerüstet für ausgefeiltesten Attacken

Bei unserer Analyse des aktuellen Security-Status‘ in den Rechenzentren war schnell klar, dass sich das Hauptinteresse der Branche bisher weitgehend auf Dinge wie Segmentierung und die Umsetzung von Richtlinien in der virtuellen Umgebung gerichtet hat. Diese Punkte sind wichtig, aber die Durchsetzung von Policies ist noch nicht dasselbe wie die Erkennung aktiver Cyberattacken.

Der hohe Stellenwert des Rechenzentrums bedeutet ja auch, dass ebendort einige der gefährlichsten Angreifer angezogen werden. Aufgrund der Positionierung des Rechenzentrums im Unternehmen, haben sich Angriffer möglicherweise schon umfassendes Wissen angeeignet , wenn sie dann final das Rechenzentrum erreichen. Auch hier ein Beispiel: Ein Cyberkrimineller wird zunächst vielleicht den Laptop eines Mitarbeiters am Perimeter kompromittieren, sich dann intern im Netz ausbreiten, Administrationsrechte kapern – und sich dann damit befassen, ins Rechenzentrum vorzudringen. Deshalb mussten wir uns mit der neuen Vectra-Version speziell auf hochprofessionelle Angreifer vorbereiten, die bereits in einem späten, weit vorangeschrittenen Stadium eines komplexen Angriffs operieren.

Um hierauf zu reagieren, haben wir neue Erkennungsmodelle entwickelt, um die ausgefeiltesten Angriffsstrategien zu erkennen und die gesamte Angriffsfläche der Rechenzentren abzudecken. So haben wir etwa schnell erkannt, das einige der gefährlichsten Widersacher nicht darauf aus waren, die virtuelle Umgebung zu kompromittieren, sondern dass sie sich darauf konzentrierten, die physikalische Infrastruktur zu unterwandern, auf die ein virtuelles Rechenzentrum baut. Wenn es beispielsweise einem Angreifer gelingt, eine Backdoor unterhalb der Ebene des Betriebssystems eines Servers zu platzieren und den physischen Plattenspeicher zu lesen, dann sieht er wirklich alle Daten, die ihn interessieren.

Deshalb zielen wir mit einigen weiteren neuen Erkennungsmodellen nun auf Infrastrukturen, deren Integrität bereits untergraben wurde – ob im Rechenzentrum oder in der Office-Umgebung. Auf diese Weise fallen Sub-OS-Rootkits wie Synful Knock auf, die in Netzwerk-Infrastrukturen bereits aufgetaucht sind, und Backdoors in Firewalls, wie diejenigen, mit denen man es beim Angriff auf die Equation Group zu tun hatte. Auch der Missbrauch von Low-Level-Management-Protokollen wie IPMI wird sichtbar. Diese Protokolle werden genutzt, um Server im Rechenzentrum zu verwalten.

Als nächstes haben wir uns mit der Vertrauensproblematik im Rechenzentrum befasst. Ohne Administratoren lässt sich ein solides und zuverlässiges Rechenzentrum nicht betreiben, aber die Systemverwalter sind zugleich vorrangige Ziele für die Angreifer. Deshalb bietet Vectra nun auch neue Erkennungsmodelle für Anzeichen, dass ein Administratorenkonto kompromittiert wurde oder dass ein Administrator böswillig agiert. Erfasst werden dabei auch Endanwender, die administrative Credentials missbrauchen.

All diese Informationen liefern aber nur einen sehr oberflächlichen Einblick in das, was die Lösung zu leisten vermag. Wenn Sie weitere Informationen wünschen, empfehlen wir das Whitepaper „Securing the cloud data center from cyber attacks“. Oder setzen Sie sich mit uns in Verbindung, um zu erfahren, wie Sie das Produkt in Ihrem eigenen Netzwerk testen können.

{{cta('125a43d9-6934-4022-9cdf-4ff0e135abd0','justifyleft')}}

About the author

Gérard Bauer

Gérard Bauer is Vice President EMEA at Vectra AI with experience in international sales and business development and a successful history in both Senior Executive & General Manager positions.

Most recent blog posts from the same author

Infrastructure

BGP-Piraten: “… und dieser Traffic geht nach Russland!“

December 20, 2017
Read blog post
Artificial intelligence

Deep Learning in der Cybersicherheit

August 22, 2017
Read blog post
Breach

Petya: Cyberkriminelle lernen voneinander, Unternehmen sollten dies auch tun

June 28, 2017
Read blog post