Wir erhalten häufig Fragen zu unserer Entscheidung, die Netzwerktransparenz in den Netzwerk-Metadaten zu verankern, sowie dazu, wie wir die algorithmischen Modelle auswählen und gestalten, um sie für Data Lakes und sogar SIEMs weiter anzureichern. Die Geschichte von Goldlöckchen und den drei Bären bietet eine ziemlich gute Analogie, als sie auf der Suche nach dem Komfort, den sie für richtig hält, über eine Hütte im Wald stolpert.
Wenn Sicherheitsteams nach den besten Bedrohungsdaten für die Analyse in ihren Data Lakes suchen, fallen Netzwerk-Metadaten oft in die Kategorie "genau richtig". Das meine ich folgendermaßen: NetFlow bietet unvollständige Daten und wurde ursprünglich für die Verwaltung der Netzwerkleistung konzipiert. PCAPs sind leistungsintensiv und kostspielig, wenn sie so gespeichert werden sollen, dass sie bei post-forensischen Untersuchungen zuverlässig sind. Die Kompromisse zwischen NetFlow und PCAPs lassen die Sicherheitsexperten in einem unhaltbaren Zustand zurück.
NetFlow: Zu wenig
Wie der ehemalige Leiter der Analyseabteilung des US-CERT in einem kürzlich erschienenen Artikel empfahl: "Viele Unternehmen versorgen ihre Sicherheitsteams mit einem ständigen Strom von Layer-3- oder Layer-4-Daten. Aber was sagen uns diese Daten mit ihrem begrenzten Kontext wirklich über moderne Angriffe? Leider nicht viel."
Das ist NetFlow.
Ursprünglich für das Netzwerk-Performance-Management entwickelt und für Sicherheitszwecke umgewidmet, versagt NetFlow beim Einsatz in forensischen Szenarien. Was fehlt, sind Attribute wie Port-, Anwendungs- und Host-Kontext, die für die Suche nach Bedrohungen und die Untersuchung von Vorfällen von grundlegender Bedeutung sind. Was ist, wenn Sie tief in die Verbindungen selbst eindringen müssen? Woher wissen Sie, ob es SMBv1-Verbindungsversuche gibt, den Hauptinfektionsvektor für WannaCry-Ransomware? Sie wissen vielleicht, ob eine Verbindung über Port 445 zwischen Hosts besteht, aber wie können Sie die Verbindung ohne Details auf Protokollebene untersuchen?
Das kann man nicht. Und genau das ist das Problem mit NetFlow.
PCAPs: Zu viel
PCAPs werden bei postforensischen Untersuchungen zur Analyse von Nutzdaten und zur Rekonstruktion von Dateien verwendet, um das Ausmaß und den Umfang eines Angriffs zu ermitteln und bösartige Aktivitäten zu identifizieren.
Doch wie die Gartner-Analysten Augusto Barros, Anton Chuvakin und Anna Belak in ihrer am 18. März 2019 veröffentlichten Forschungsnotiz "Applying Network-Centric Approaches for Threat Detection and Response" (ID: G00373460) schreiben, "versuchten Netzwerk-Forensik-Tools (NFTs) vor Jahren, rohe Pakete in großem Umfang zu sammeln, aber die schnellen Netzwerke von heute machen diesen Ansatz für fast alle Unternehmen unpraktisch."
In einer Analyse vollständiger PCAPs in der Zeitschrift Security Intelligence wird erläutert, dass die einfachsten Netzwerke Hunderte von Terabytes, wenn nicht gar Petabytes an Speicherplatz für PCAPs benötigen. Aus diesem Grund - ganz zu schweigen von den exorbitanten Kosten - speichern Unternehmen, die sich auf PCAPs verlassen, selten mehr als den Datenbestand einer Woche, was bei einem großen Datensee nutzlos ist. Eine Woche an Daten ist auch unzureichend, wenn man bedenkt, dass die Sicherheitsteams oft erst nach Wochen oder Monaten erfahren, dass ein Einbruch stattgefunden hat.
Hinzu kommt die enorme Leistungsverschlechterung - ich meine frustrierend langsam - bei der Durchführung von post-forensischen Untersuchungen in großen Datenbeständen. Warum sollte jemand für die Speicherung von PCAPs bezahlen, wenn er dafür eine mangelhafte Leistung erhält?
Netzwerk-Metadaten: Genau richtig
Die Erfassung und Speicherung von Netzwerk-Metadaten stellt ein Gleichgewicht dar, das für Data Lakes und SIEMs genau richtig ist. Barros, Chuvakin und Belak schreiben später in der gleichen Forschungsnotiz: "Daher bieten umfangreiche Metadaten und die Erfassung von Dateien einen viel besseren Untersuchungswert - es ist einfacher und schneller, Dinge zu finden - bei viel geringeren Rechen- und Speicherkosten."
Die von Zeek formatierten Metadaten bieten Ihnen ein ausgewogenes Verhältnis zwischen Netzwerktelemetrie und Preis/Leistung. Sie erhalten umfangreiche, organisierte und leicht durchsuchbare Daten mit Verkehrsattributen, die für Sicherheitserkennungen und Ermittlungszwecke relevant sind (z. B. das Attribut Verbindungs-ID). Mit Hilfe von Metadaten können Sicherheitsteams auch Abfragen erstellen, die die Daten abfragen und zu tieferen Untersuchungen führen. Von dort aus können schrittweise gezielte Abfragen erstellt werden, wenn mehr und mehr Angriffskontext extrahiert wird.
Und das ohne die Leistungs- und Big-Data-Einschränkungen, die bei PCAPs üblich sind. Netzwerk-Metadaten reduzieren die Speicheranforderungen im Vergleich zu PCAPs um über 99 %. Außerdem können Sie selektiv die richtigen PCAPs speichern, indem Sie sie erst dann benötigen, wenn die metadatenbasierte Forensik relevante Nutzdaten ermittelt hat.