Sie können ein Netzwerk nicht schützen, das Sie nicht sehen können

Die Aussage "Was ich nicht weiß, macht mich nicht heiß" ist nicht mehr gültig, wenn es um Netzwerksicherheit geht. Was Sie nicht wissen, ist genau das, was Sie in brenzlige Situationen bringen wird. Aus diesem Grund ist die vollständige Netzwerktransparenz so wichtig, um Ihr Unternehmen zu schützen. Und die Vermeidung von Compliance-Strafen und -Untersuchungen.

Wussten Sie, dass seit Beginn der COVID-19-Pandemie im vergangenen Jahr die Zahl der dem FBI gemeldeten Cyberkriminalität um 300 % gestiegen ist? Viele dieser Angriffe richten sich direkt gegen das Netzwerk, und Cisco prognostiziert, dass es bis 2023 15,4 Millionen DDoS geben wird. Angriffe.

Compliance-Strafen können die geringsten Ihrer finanziellen Sorgen sein, da Verizon berechnet, dass Datenschutzverletzungen im letzten Jahr im Durchschnitt 3,86 Millionen US-Dollar gekostet haben. Accenture hat herausgefunden, dass die Unternehmer diese Probleme verstehen, und 68 % von ihnen glauben, dass die Cybersicherheitsrisiken zunehmen.

Deshalb müssen Sie wissen, woraus Ihr Netzwerk besteht – einschließlich Verbindungen, Segmenten, Geräten und sogar Anwendungen und virtuellen Maschinen. Diese Elemente sind alle in Gefahr für die wachsenden Horden von immer raffinierteren Cyber-Kriminellen.

„Die Herausforderung der Sichtbarkeit kommt darauf zurück. Sie können nicht schützen, was Sie nicht sehen können. Umfassende Transparenz in Ihren Netzwerkumgebungen, sei es lokal oder in der Cloud, ist von grundlegender Bedeutung für die Einrichtung und Aufrechterhaltung einer robusten Sicherheits- und Compliance-Haltung. Die detaillierte Übersicht zeigt, welche Geschäftsanwendungen und zugrunde liegenden Konnektivitätsflüsse von Änderungen der Sicherheitsregeln oder geplanten Ausfallzeiten von Servern und Geräten betroffen sind. Dies ist wichtig, um die Auswirkungen auf wichtige Anwendungen bei der Migration oder Außerbetriebnahme von Servern oder bei der Fehlerbehebung zu verstehen und kostspielige Ausfälle zu vermeiden", argumentierte Security Boulevard.

Natürlich ist die Netzwerküberwachung Teil eines Expertenansatzes für IT-Sicherheit, ein Element in einer eingehenden Verteidigungsstrategie - ein absolut wesentliches Element. So wie Anti-Malware und Firewalls alle Ihre Ressourcen abdecken sollten, sollte die Netzwerküberwachung jede Netzwerkressource verstehen und verfolgen und sich darüber im Klaren sein, wann neue online gehen.

Licht in Dunkle bringen - mit Netzwerküberwachung

Lassen Sie uns darüber sprechen, wie die Netzwerküberwachung Ihrer IT-Infrastruktur eine wichtige Schutzschicht hinzufügt. Eine gute Netzwerküberwachungslösung erkennt Änderungen in der Konfiguration, die auf einen Verstoß hinweisen können, während Netzwerkprotokolle genau anzeigen, was passiert ist und was behoben werden muss. Verstöße werden schneller erkannt oder blockiert, die Compliance-Gefährdung wird verringert und wirtschaftliche Verluste werden verringert oder beseitigt.

Diese Verstöße sind mehr als ein Ärgernis. 36 Milliarden, ja Milliarden, Rekorde wurden in der ersten Hälfte des letzten Jahres durch Verstöße aufgedeckt. Und diejenigen, die sich um Compliance kümmern, sollten wissen, dass 58% dieser Verstöße personenbezogene Daten betrafen, stellte Verizon fest.

Netzwerksicherheit beginnt mit der Nertzwerkerkennung

Wie aus unserem Blog-Titel hervorgeht, können Sie ein Netzwerk, das Sie nicht sehen oder verstehen können, nicht schützen. Aus diesem Grund ist die Netzwerkerkennung das erste, was eine gute Netzwerküberwachungslösung leistet. Dadurch werden alle Teile gefunden, ein Profil definiert und ein Inventar erstellt. Noch besser ist, dass Sie die Erkennung automatisieren können, sodass die Lösung zu einem vorgewählten Zeitpunkt neue Netzwerkelemente und Geräte Ihrem Netzwerk findet und diese dann dem Inventar hinzufügt. Auf diese Weise stellen neue Geräte, Verbindungen und Netzwerksegmente keine neue Sicherheitsanfälligkeit für Ihre Umgebung dar.

Festlegung einer Performance-Baseline

Zu Ihrer Netzwerksichtbarkeit gehört das Verständnis, wie das Netzwerk bei ordnungsgemäßem Betrieb eingerichtet ist. Das ist die Performance-Baseline für Ihr Netzwerk.

Ihre Baseline sollte umfassend sein und wichtige Leistungs- und Sicherheitsbenchmarks umfassen, z. B. Nutzungsstatistiken für Speicher, CPU, Schnittstellen und Festplatte. Sobald diese festgelegt sind, können Sie Schwellenwerte festlegen, z. B. wenn eine Festplatte fast ausgelastet ist, und Warnungen erhalten, die auf Probleme aufmerksam machen, die auf ein Sicherheitsproblem hinweisen können. Überlastete Geräte können beispielsweise auf einen gefährlichen DDoS-Angriff hinweisen, der sofortige Aufmerksamkeit erfordert.

Ein weiteres Beispiel ist das Mining der Kryptowährung, die zwar nicht unbedingt ein Sicherheitsereignis ist, Ihr Netzwerk jedoch so stark verstopfen kann, dass es nicht verfügbar ist. Dieses Mining findet häufig außerhalb der Geschäftszeiten statt, wenn Mitarbeiter Ihr Netzwerk mit Bitcoin- oder anderen Kryptoverarbeitungsaufgaben laden. Die CPU- und Speicherüberwachung kann diese Aktivitäten erkennen, auch wenn Ihr Shop anderweitig geschlossen ist, und Ihnen dabei helfen, dem ein Ende zu setzen.

In diesem Fall suchen Sie zuerst Ihre CPU-Basislinie. Einige Server werden zu 90% ausgeführt, da sie effizient genutzt werden. Legen Sie daher in diesen Fällen den Schwellenwert höher fest. Wenn Ihre normale CPU-Auslastung zwischen 50 und 60% liegt, legen Sie den Schwellenwert für eine Warnung auf 90% fest. Auf diese Weise können Sie alle Ihre Server überwachen, um verdächtiges Verhalten zu erkennen und ein Gefühl dafür zu bekommen, ob die Geräte ihren aktuellen Aufgaben gewachsen sind.

Warnungen

Alle Entdeckungen der Netzwerkerkennung und Baselining in der Welt spielen keine Rolle, wenn Sie nicht auf Probleme aufmerksam gemacht werden. Wir haben gerade über Warnungen gesprochen, wenn CPUs oder andere Netzwerkelemente Schwellenwerte überschreiten. Warnungen können für alle möglichen anderen Dinge festgelegt werden, z. B. für Leistungsprobleme, überlastete Bandbreite, ungewöhnliches Verhalten und unzählige andere Elemente.

Warnungen müssen jedoch ordnungsgemäß eingerichtet werden. Erstens möchten Sie nicht Warnungen für jede einzelne Sache, die am wenigsten ungewöhnlich erscheint. Berichte können diese nachverfolgen, und wenn sie ein kritisches Niveau erreichen, können sie zu einer Warnung werden. Bei einer Alarmüberlastung wird die IT durch triviale Ereignisse abgelenkt und kann nicht immer auf Ereignisse achten, die wirklich wichtig sind.

Warnungen sollten nicht massenhaft an alle Personen gesendet werden, die Ihre Netzwerküberwachungslösung verwenden, sondern zielgerichtet auf der Grundlage der Verantwortung. Serverwarnungen gehen an das Serverteam, Anwendungswarnungen an diese Gruppe und Bandbreitenelemente an diejenigen, die Ihre Verbindungen verwalten . Warnungen können auch unterschiedliche Schweregrade haben. Die meisten Warnungen, die Sie sehen möchten, aber keine Notfälle sind, können an E-Mail- oder Kollaborationslösungen wie Slack gesendet werden, während wichtige Elemente als Text zur sofortigen Aufmerksamkeit gesendet werden können.

Konfiguration erkennen und steuern

Wussten Sie, dass laut Gartner 80% der Verstöße auf eine Fehlkonfiguration oder einen anderen Administratorfehler zurückzuführen sind?

Um Zugriff auf Netzwerke zu erhalten, konfigurieren Angreifer häufig Dienste oder Hosts neu und machen sie während des Neukonfigurationsprozesses vorübergehend nicht verfügbar. Die Netzwerküberwachung kann den Verlust des Dienstes erkennen und die böswillige Neukonfiguration finden - was den Tag rettet.

Glücklicherweise erkennt und dokumentiert eine gute Überwachungslösung Ihre Konfigurationen und kann je nach Schweregrad der Konfigurationsänderung sogar Warnungen, E-Mails oder Texte senden. Noch besser ist, dass Sie automatische Konfigurationen einrichten können, die auf definierten und bewährten Richtlinien basieren. So wissen Sie, dass die Konfiguration richtig durchgeführt wird. Wenn Sie eine Konfiguration verlieren oder Probleme damit auftreten, stellen automatisierte Sicherungen sicher, dass sie nie wirklich verloren gehen und einfach auf die richtigen Einstellungen zurückgesetzt werden können.

Konfigurationsfehler entstehen häufig durch neue Einstellungen, die von den bewährten Normen abweichen. Ihr Konfigurationsinventar und Ihre automatischen Konfigurationen kümmern sich um diese Probleme.

Sie können auch Sicherheitsrichtlinien festlegen, z. B. die Kennwortverschlüsselung aktivieren und die Einhaltung der Richtlinien sicherstellen.

Netzwerkverkehrsanalyse findet DDOS, Datenexfiltration und Dark Web-Nutzung

Viele Sicherheits- (und Leistungs-)Probleme beziehen sich auf die Bandbreite, weshalb die Netzwerkverkehrsanalyse so wichtig ist. Auf diese Weise können Sie NetFlow, NSEL, S-Flow, J-Flow und IPFIX analysieren und umfassende und detaillierte Informationen darüber erhalten, welche Ressourcen, Abteilungen, Gruppen oder sogar Einzelpersonen die Bandbreite nutzen. Diese Analyse kann ungewöhnliches Verhalten wie Botnet-Angriffe und Netzwerkübernahmen, Exfiltration von Daten durch Cyberkriminelle, DDoS-Angriffe, Data Mining, das wir zuvor besprochen haben, und sogar Mitarbeiter, die Netflix oder Amazon Prime beobachten, erkennen.

Wenn Sie eine Baseline haben, zeigt die Überwachung der Bandbreitennutzung in Echtzeit, wenn etwas nicht stimmt. Diese Funktion berichtet über historische Bandbreitentrends, sodass Sie wissen, wann Sie das Netzwerk aktualisieren müssen.

Die Netzwerkverkehrsanalyse ist auch der Schlüssel zur Sicherheitsforensik, zum Erkennen nicht autorisierter Anwendungen, zum Verfolgen des Verkehrsvolumens zwischen bestimmten Quellen- und Zielpaaren und zum Ermitteln hoher Verkehrsströme zu nicht überwachten Ports.

Mit WhatsUp Gold Netzwerk-Monitoring können Sie Administratoren benachrichtigen, wenn Benutzer auf das Dark Web zugreifen. Diese Benutzer können Tor verwenden, das freiwillige Netzwerk von Relais, über das der Dark Web-Besucher weitergeleitet werden kann, um anonym zu bleiben. Die IT kann alle Netzwerkquellen auf bekannte Tor-Ports überwachen und den Zugriff auf das Dark Web erkennen oder blockieren.

Andere wichtige Funktionen der WhatsUp Gold Software zur Netzwerküberwachung

Wie Sie vielleicht vermutet haben, sind alle in diesem Blog beschriebenen Netzwerküberwachungsfunktionen in WhatsUp Gold von Progress Software verfügbar. Hier sind drei weitere, die Sie interessieren könnten.

NetFlow – Mit der NetFlow-Funktion kann die IT-Abteilung Daten von Cisco-Geräten einfach und automatisch analysieren, um das Netzwerkverhalten zu analysieren, Sicherheitsprobleme zu erkennen und Echtzeitwarnungen für Netzwerk- und Sicherheitsprobleme einzurichten.

Protokollverwaltung (Log Management) – Die Verwaltung von Protokollen ist für die Sicherheit von entscheidender Bedeutung, für die Einhaltung von Compliance-Bestimmungen und für die genaue Darstellung, was genau passiert ist und welche Schritte unternommen wurden, als ein Sicherheitsereignis auftrat.

Geplante Compliance-Audits – Geplante Compliance-Audits - Was wäre, wenn Ihre Netzwerküberwachungslösung auch die Möglichkeit hätte, regelmäßig Audits so durchzuführen, wie es SOX, HIPAA, PCI und FISMA benötigen? WhatsUp Gold macht genau das!

Erfahren Sie mehr über die Sichtbarkeit von Netzwerken

Lehnen Sie sich zurück und lassen Sie sich von Progress-Experten alles über die Netzwerktransparenz in unserem Webinar informieren – Sie können nicht schützen, was Sie nicht sehen können.

Es gibt viel mehr in WhatsUp Gold 2021, aber nur so viel Platz hier im Blog.