Deep Packet Inspection vs. Metadatenanalyse von NDR-Lösungen

Die meisten Netzwerkerkennungs- und -reaktionslösungen basieren heute auf Verkehrsspiegelung und Deep Packet Inspection (DPI). Die Verkehrsspiegelung wird in der Regel auf einem einzelnen Core-Switch eingesetzt, um eine Kopie des Netzwerkverkehrs für einen Sensor bereitzustellen, der die Nutzdaten mithilfe von DPI gründlich analysiert. Dieser Ansatz bietet zwar eine detaillierte Analyse, erfordert jedoch eine große Menge an Rechenleistung und ist blind, wenn es um verschlüsselten Netzwerkverkehr geht. Die Metadatenanalyse wurde speziell entwickelt, um diese Einschränkungen zu überwinden. Durch die Verwendung von Metadaten zur Analyse kann die Netzwerkkommunikation an jedem beliebigen Erfassungspunkt beobachtet und mit Informationen angereichert werden, die Aufschluss über die verschlüsselte Kommunikation geben.

Netzwerkerkennungs- und -reaktionslösungen (Network Detection and Response, NDR) sind für die zuverlässige Überwachung und den Schutz des Netzwerkbetriebs unerlässlich geworden. Da der Netzwerkverkehr jedoch zunehmend verschlüsselt wird und die Datenmengen weiter steigen, stoßen die meisten herkömmlichen NDR-Lösungen an ihre Grenzen. Dies wirft die Frage auf: Welche Erkennungstechnologien sollten Unternehmen einsetzen, um die maximale Sicherheit ihrer Systeme zu gewährleisten?

Dieser Artikel beleuchtet das Konzept der Deep Packet Inspection (DPI) und der Metadatenanalyse. Wir werden beide Erkennungstechnologien vergleichen und untersuchen, wie moderne Network Detection and Response (NDR)-Lösungen IT/OT-Netzwerke effektiv vor fortschrittlichen Cyber-Bedrohungen schützen können.

Was ist Deep Packet Inspection (DPI), und wie funktioniert sie?

DPI ist eine Methode zur Überwachung des Netzwerkverkehrs, bei der Netzwerkpakete untersucht werden, die über einen bestimmten Verbindungspunkt oder Switch fließen. Bei DPI wird der gesamte Datenverkehr in der Regel von einem Core-Switch an einen DPI-Sensor gespiegelt. Der DPI-Sensor prüft dann sowohl den Header- als auch den Datenteil des Pakets. Wenn der Datenteil nicht verschlüsselt ist, sind die DPI-Daten reich an Informationen und ermöglichen eine zuverlässige Analyse der überwachten Verbindungspunkte. Herkömmliche NDR-Lösungen basieren auf DPI-basierten Technologien, die bis heute sehr beliebt sind. Angesichts der schnell wachsenden Angriffsflächen und der sich entwickelnden IT-Umgebungen werden die Grenzen von DPI jedoch immer deutlicher.

Warum reicht DPI nicht aus, um fortgeschrittene Cyberangriffe zu erkennen?

Unternehmen setzen zunehmend auf Verschlüsselung, um ihren Netzwerkverkehr und ihre Online-Interaktionen zu schützen. Obwohl die Verschlüsselung enorme Vorteile für die Online-Privatsphäre und die Cybersicherheit mit sich bringt, bietet sie auch eine gute Gelegenheit für Cyberkriminelle, sich im Dunkeln zu verstecken, um verheerende Cyberangriffe zu starten. Da die DPI-Technologie nicht für die Analyse von verschlüsseltem Datenverkehr entwickelt wurde, ist sie blind für die Prüfung verschlüsselter Nutzdatenpakete. Dies ist ein erhebliches Manko für DPI, da die meisten modernen Cyberangriffe wie APT, Ransomware und Lateral Movement in ihrer Angriffsroutine stark auf Verschlüsselung setzen, um Angriffsanweisungen von entfernten Command and Control Servern (C&C) zu erhalten, die im Cyberspace verstreut sind. Zusätzlich zu den fehlenden Verschlüsselungsfähigkeiten benötigt DPI große Mengen an Rechenleistung und Zeit, um den Datenteil der Pakete gründlich zu untersuchen. Folglich kann DPI nicht alle Netzwerkpakete in datenintensiven Netzwerken untersuchen, was es zu einer unpraktikablen Lösung für Netzwerke mit hoher Bandbreite macht.

Der neue Ansatz: Metadaten-Analyse

Die Metadatenanalyse wurde entwickelt, um die Einschränkungen von DPI zu überwinden. Durch die Verwendung von Metadaten für die Netzwerkanalyse können Sicherheitsteams die gesamte Netzwerkkommunikation überwachen, die durch physische, virtualisierte oder Cloud-Netzwerke läuft, ohne den gesamten Datenbereich jedes Pakets zu untersuchen. Folglich ist die Metadaten-Analyse unabhängig von der Verschlüsselung und kann mit dem ständig wachsenden Netzwerkverkehr umgehen. Um Sicherheitsteams mit Echtzeitinformationen über den gesamten Netzwerkverkehr zu versorgen, erfasst die Metadatenanalyse eine Vielzahl von Attributen über die Netzwerkkommunikation, Anwendungen und Akteure (z. B. Benutzeranmeldungen). So werden beispielsweise für jede Sitzung, die das Netzwerk durchläuft, die Quell-/Ziel-IP-Adresse, die Sitzungsdauer, das verwendete Protokoll (TCP, UDP) und die Art der verwendeten Dienste aufgezeichnet. Mit Metadaten können viele weitere wichtige Attribute erfasst werden, die wirksam zur Erkennung und Verhinderung fortgeschrittener Cyberangriffe beitragen:

• Host- und Server-IP-Adresse, Portnummer, geografische Standortinformationen
• DNS- und DHCP-Informationen, die Geräte IP-Adressen zuordnen
• Zugriffe auf Webseiten zusammen mit der URL und Header-Informationen
• Zuordnung von Benutzern zu Systemen anhand von DC-Protokolldaten
• Verschlüsselte Webseiten - Verschlüsselungstyp, Chiffre und Hash, Client/Server FQDN
• Verschiedene Objekt-Hashes - wie JavaScript und Bilder

Wie können Sicherheitsteams von einem auf Metadaten basierenden NDR profitieren?

Die Implementierung einer Network Detection and Response (NDR)-Lösung, die auf der Analyse von Metadaten basiert, bietet Sicherheitsteams zuverlässige Einblicke in die Vorgänge innerhalb ihres Netzwerks - unabhängig davon, ob der Datenverkehr verschlüsselt ist oder nicht. Die Analyse von Metadaten, ergänzt durch System- und Anwendungsprotokolle, ermöglicht es Sicherheitsteams, Schwachstellen zu erkennen und den internen Einblick in blinde Flecken zu verbessern.