Warum die Überwachung von Netzwerkgeräten für die Netzwerksicherheit entscheidend ist

Eine sichere Netzwerkinfrastruktur ist für Organisationen entscheidend, und das erfordert eine genaue Überwachung dessen, was mit Routern, Switches und anderen network devices vor sich geht. Sie müssen in der Lage sein, Bedrohungen für Ihre Perimetersicherheit schnell zu erkennen und zu untersuchen, wie zum Beispiel unbefugte Änderungen an Konfigurationen, verdächtige Anmeldeversuche und Scan-Bedrohungen. Wenn Sie beispielsweise unangemessene Änderungen an den Konfigurationen Ihres network device nicht rechtzeitig erkennen, wird Ihr Netzwerk anfällig für Angreifer, die in Ihr Netzwerk eindringen und sogar die Kontrolle darüber erlangen können.

In diesem Blogbeitrag teile ich die vier wichtigsten Probleme, bei deren Lösung das Auditing von Netzwerkgeräten helfen kann, und biete ein 3-Schritte-Verfahren an, um effektiv mit dem Auditing Ihrer Netzwerkgeräte zu beginnen.

Top 4 Sicherheitsprobleme für Netzwerkgeräte

Problem # 1: Falsch konfigurierte Geräte

Unsachgemäße Konfigurationsänderungen gehören zu den Hauptbedrohungen im Zusammenhang mit Netzwerkgeräten. Eine einzige unsachgemäße Änderung kann Ihre Perimetersicherheit schwächen, Bedenken bei regulatorischen Audits hervorrufen und sogar kostspielige Ausfälle verursachen, die Ihr Geschäft zum Stillstand bringen können. Beispielsweise kann eine falsch konfigurierte Firewall Angreifern leichten Zugang zu Ihrem Netzwerk verschaffen, was zu langfristigen Schäden für Ihre Organisation führen könnte.

Die Überwachung von Netzwerkgeräten in Kombination mit Alarmierungsfunktionen verschafft Ihnen die Einsicht und Kontrolle, die Sie benötigen. Indem sie Ihnen ermöglicht, unangemessene Konfigurationsänderungen schnell zu erkennen und zu verstehen, wer was geändert hat, fördert die Überwachung eine bessere Benutzerverantwortlichkeit und hilft Ihnen, potenzielle Sicherheitsvorfälle zu erkennen, bevor sie echte Probleme verursachen.

Ausgabe # 2: Unbefugte Anmeldungen

Die meisten Versuche, sich bei einem Netzwerkgerät anzumelden, sind gültige Aktionen von Netzwerkadministratoren — aber einige sind es nicht. Die Unfähigkeit, verdächtige Anmeldeversuche umgehend zu erkennen, macht Ihre Organisation angreifbar für Angreifer, die versuchen, sich Zugang zu Ihrem Netzwerk zu verschaffen. Daher müssen Sie sofort über ungewöhnliche Ereignisse informiert werden, wie zum Beispiel ein Gerät, das an einem Feiertag oder außerhalb der Geschäftszeiten von einem Admin zugegriffen wird, fehlgeschlagene Anmeldeversuche und die Änderung von Zugriffsrechten, damit IT-Personal Maßnahmen ergreifen kann, um einen Sicherheitsvorfall zu verhindern.

Es ist auch wesentlich für Compliance-Audits, ein network device monitoring und Alarmierungssystem zu haben, damit Sie belegen können, dass Sie die privilegierten Benutzer und deren Aktivitäten auf Ihren Geräten genau beobachten (z.B., wer sich anmeldet und wie häufig).

Ausgabe # 3: VPN-Anmeldungen

Viele Organisationen implementieren einen Virtual Private Network (VPN)-Zugang, um die Sicherheit von Fernverbindungen zu verbessern, aber es gibt viele damit verbundene Risiken, die nicht übersehen werden sollten. Die Praxis zeigt, dass VPNs nicht 100% sicher sind und jede VPN-Verbindung ein Risiko darstellt. Idealerweise werden Rechte für den Zugriff auf Netzwerkressourcen über VPN nur nach ordnungsgemäßen Genehmigungen erteilt und Benutzer können nur auf die Vermögenswerte zugreifen, die sie für ihre Arbeit benötigen. In der Realität können VPN-Verbindungen jedoch meist von jedem in der Organisation ohne jegliche Genehmigungen genutzt werden.

Daher müssen Sie in der Lage sein, Bedrohungen zu erkennen, wie beispielsweise einen Benutzer, der sich über öffentliches WLAN verbindet (da jemand dessen Anmeldeinformationen stehlen könnte) und einen Benutzer, der normalerweise nicht mit VPN arbeitet, aber plötzlich damit beginnt (was ein Zeichen dafür sein kann, dass ein Benutzer sein Gerät verloren hat und jemand anderes versucht, sich damit anzumelden). Eine sorgfältige Überwachung Ihrer Netzwerkgeräte und das genaue Verfolgen jedes VPN-Anmeldeversuchs helfen Ihnen schnell zu verstehen, wer versucht hat, auf Ihre Netzwerkgeräte zuzugreifen, von welcher IP-Adresse jeder Authentifizierungsversuch unternommen wurde und die Ursache jedes fehlgeschlagenen VPN-Logins.

Ausgabe #4: Bedrohungen scannen

Das Scannen von Netzwerken ist nicht grundsätzlich ein feindseliger Prozess, aber Hacker nutzen es oft, um die Struktur und das Verhalten eines Netzwerks zu erlernen und Angriffe auf das Netzwerk auszuführen. Wenn Sie Ihre Netzwerkgeräte nicht auf Scan-Bedrohungen überwachen, könnten Sie unangemessene Aktivitäten übersehen, bis ein Data Breach auftritt und Ihre sensiblen Daten kompromittiert sind.

Die Überwachung und Alarmierung von Netzwerkgeräten wird Ihnen helfen, Ihr Netzwerk proaktiv gegen Scan-Bedrohungen zu verteidigen, indem sie Fragen beantwortet wie: Welcher Host und welches Subnetz wurden gescannt, von welcher IP-Adresse wurde das Scannen initiiert und wie viele Scan-Versuche wurden unternommen.

Fallstudie: Sicherheitslücken in D-Link-Netzwerkgeräten machen Nutzer für Angriffe anfällig

Erfahrungen zeigen, dass viele Sicherheitsvorfälle mit Angriffen auf Netzwerkgeräte beginnen. Daher stellen Schwachstellen in diesen Geräten ein großes Risiko für die Systeme und Daten einer Organisation dar. Ein Beispiel ist eine große Sicherheitslücke in D-Link-Geräten, die 2016 von Forschern des Sicherheits-Start-ups Senrio entdeckt wurde. Sie berichteten, dass ein Stack-Overflow-Problem in einer Wi-Fi-fähigen Kamera, D-Link DCS-930L, es ihnen ermöglichte, das Administratorpasswort für die webbasierte Verwaltungsschnittstelle unbemerkt zu ändern. Diese Schwachstelle hätte von Angreifern genutzt werden können, um Administratorpasswörter zu überschreiben und Malware auf den Geräten zu installieren. Als Antwort auf den Bericht versprach D-Link, ein Firmware-Update für DCS-930L zu veröffentlichen, um die Schwachstelle zu beheben, und begann, die Auswirkungen des Fehlers auf seine anderen Modelle zu testen.

Dies war nicht das letzte Mal, dass D-Link es versäumte, ernsthafte Schwachstellen in seinen Geräten selbst zu entdecken. Im Jahr 2018 berichtete ein Forscher der Technischen Universität Schlesien in Polen, dass acht D-Link Routermodelle aus der für kleine Büros und Heimanwender gedachten „DWR“-Reihe anfällig für eine vollständige Übernahme sind. Dieses Mal sagte D-Link, dass sie nur zwei der acht betroffenen Geräte patchen werden; die anderen werden nicht länger unterstützt.

Einstieg in die Überwachung von Netzwerkgeräten

Drei grundlegende Schritte helfen Ihnen, mit dem ordnungsgemäßen Monitoring der Netzwerkinfrastruktur zu beginnen. Dies sind allgemeine Empfehlungen, die an die Bedürfnisse Ihrer Organisation angepasst werden sollten; Sie müssen Ihre IT-Umgebung und Geschäftsprozesse gut kennen, um Ihre Netzwerkgeräte auf effektivste Weise zu auditieren.

• Bewerten Sie regelmäßig Risiken und führen Sie Penetrationstests durch.

Sie müssen Ihre Angriffsfläche verstehen und Schwachstellen erkennen, die Sie gefährden könnten. Regelmäßige Risikobewertungen sind hier sehr hilfreich, aber idealerweise sollten Sie auch regelmäßige Penetrationstests durchführen, um Fehler in Ihren Netzwerkgeräten zu identifizieren, bevor Hacker sie entdecken und ausnutzen können.

• Ermitteln Sie, welche Geräte Sie auditieren müssen.

Es gibt keine definitive Liste von Netzwerkgeräten, die Sie prüfen müssen; dies hängt von den Besonderheiten Ihres Unternehmens, Ihrer Branche sowie der Größe und Architektur Ihres Netzwerks ab. Ich empfehle Ihnen definitiv, die Geräte zu überwachen, die für die wichtigsten Vermögenswerte in Ihrer Organisation verantwortlich sind, sowie alle mit dem Internet verbundenen Geräte.

• Bestimmen Sie die Häufigkeit der Überwachung.

Eine der häufig gestellten Fragen ist, wie oft Sie Ihre Netzwerkgeräte auditieren müssen. Kein Compliance-Standard definiert einen spezifischen Zeitrahmen für das Auditing von Netzwerkgeräten, und die Praxis zeigt, dass es von der Art Ihres Geschäfts und der Komplexität Ihrer Netzwerkinfrastruktur abhängt. Eine gängige Richtlinie ist, monatliche Überprüfungen des Gesamtzustands Ihrer Netzwerkgeräte durchzuführen und sicherzustellen, dass Sie sofortige Warnungen bei verdächtigen Aktivitäten erhalten, die eine Bedrohung für Ihre Netzwerkumgebung darstellen könnten, wie eine Änderung an der Konfiguration eines Geräts.