Kommentar von Jörg Hollerith, Product Manager bei Paessler
60 % der Cyber-Sicherheitsvorfälle betreffen Netzwerkgeräte, die nicht von der IT-Abteilung bemerkt wurden. Solche unsichtbaren Bestandteile von Netzwerkinfrastrukturen sind daher die größte Schwachstelle – schließlich kann man nichts schützen, von dem man nicht weiß, dass es überhaupt existiert. Netzwerkerkennung – auch Network Discovery – sollte daher der Grundstein für die Sicherheit von Netzwerken sein, um erfolgreiche Cyberangriffe und empfindliche Folgen wie Ausfallzeiten, Datendiebstahl oder Reputationsverluste zu vermeiden. Ansonsten basieren Risikobewertungen nur auf unvollständigen Daten, wobei Angreifern schon eine Schwachstelle für den Zugang in das Netzwerk ausreichen kann.
Wie hilft die Netzwerkerkennung bei der prädiktiven Risikobewertung?
Da die größten Sicherheitsrisiken von unbekannten Geräten oder Systemen in lokalen Netzwerken ausgehen, ist Network Discovery ein wichtiger Bestandteil von Cybersecurity-Strategien. Netzwerkerkennung ist ein Prozess, bei dem alle angeschlossenen Geräte in einem Netzwerk identifiziert und abgebildet werden. Es handelt sich dabei um eine Art Bestandsaufnahme aller Geräte – von Workstations und Routern bis hin zu Druckern und IoT-Geräten. Für die Fehlerbehebung ist sie absolut unverzichtbar: Denn was man nicht findet, kann man auch nicht beheben. Wenn Ihr Netzwerk ausfällt oder sich verlangsamt, können Sie das Problem nur dann lösen, wenn Sie wissen, was tatsächlich angeschlossen ist und wie alles miteinander kommuniziert.
Mit Network Discovery wird der blinde Fleck für IT-Security-Teams geringer – denn gegen Schatten-IT sind Sicherheitsmaßnahmen und Firewalls wirkungslos. Mit detaillierten Netzwerkkarten zeigen Tools für die Netzwerkerkennung genau, wo Engpässe oder Ausfälle auftreten. So lässt sich die Zeit für die Behebung erheblich reduzieren. Bei OT-Netzwerken kann die Situation noch unübersichtlicher sein, da industrielle Netze voll von spezialisierten Geräten sind, die häufig mit veralteten Protokollen arbeiten und bei denen standardmäßige Sicherheitsmaßnahmen nicht wirkungsvoll sind. Tools für die Netzwerkerkennung dagegen spüren verdächtige Netzwerkgeräte auf und zeigen, wie sie über Protokolle wie SNMP (Simple Network Management Protocol) oder LLPD (Link Layer Discovery Protocol) miteinander kommunizieren. Diese Informationen sind wichtig für die Risikobewertung von anstehenden oder aufkommenden Problemen mit möglichen Auswirkungen auf die Cybersicherheit.
Mit Tools für die Netzwerkerkennung können IT-Administratoren unter anderem …
– genaue Baselines des normalen Netzwerkverhaltens erstellen;
– Anomalien präziser und in Echtzeit erkennen;
– falsch-positive Ergebnisse beim Scannen von IP-Adressen signifikant reduzieren;
– neu angeschlossene Geräte automatisch verfolgen, sobald sie sich mit dem Unternehmensnetzwerk verbinden.
Kann Network Discovery die prädiktive Risikobewertung in OT-Netzwerken verbessern?
In OT-Netzen kommen häufig spezielle Geräte mit proprietären Protokollen vor, die von herkömmlichen Sicherheitstools nicht erkannt werden und die daher besondere Sicherheitsrisiken bergen. Eine speziell für OT-Umgebungen entwickelte Netzwerkerkennung kann diese speziellen Gerätetypen und ihre Kommunikationsmuster identifizieren und so wichtige Daten für eine vorausschauende Risikobewertung liefern. Diese Transparenz ist unerlässlich, unter anderem für
– die Erkennung von potenziellen Bedrohungen für industrielle Steuersysteme mithilfe von ICMP (Internet Control Message Protocol);
– die Überwachung von SCADA-Netzwerken auf Anomalien bei Routern und industriellen Geräten;
– die umfassende Geräteinventarisierung, um kritische Infrastrukturen vor neuen Bedrohungen zu schützen;
– die Festlegung von Sicherheitsgrundlagen für OT-spezifische Geräte in drahtlosen Netzwerken.
Was sind die ersten Schritte zur Implementierung von Network Discovery für eine vorausschauende Risikoanalyse?
Zunächst ist das umfassende Verständnis des Netzwerks und der kritischen, zu schützenden Assets ein äußerst wichtiger Schritt. Dann sollten folgende Maßnahmen umgesetzt werden:
– Kontrollierte Bereitstellung: Implementieren Sie die Netzwerkerkennung in einem begrenzten Segment des Netzwerks, um Prozesse zu etablieren und die Datenmuster zu verstehen. Stellen Sie sicher, dass die Network Discovery in den Einstellungen des Freigabezentrums aktiviert ist.
– Prioritäten für kritische Infrastrukturen: Konzentrieren Sie sich zunächst auf die sensiblen Bereiche, in denen Sicherheitsrisiken die größten Auswirkungen auf das Geschäft haben würden. Dazu gehört auch die Überprüfung der Freigabeeinstellungen auf kritischen Workstations.
– Systematische Erweiterungen: Erweitern Sie die Erkennung auf Ihre gesamte Umgebung, sobald Sie Ihren Ansatz verfeinert haben – einschließlich Cloud-Ressourcen, WLAN-Netzwerken und Remote-Standorten.
– Integration bestehender Systeme: Stellen Sie sicher, dass Ihr Tool für die Netzwerkerkennung über API-Integrationen mit Ihren Sicherheitssystemen verbunden ist, damit neu identifizierte Geräte automatisch in Risikoanalyse-Workflows aufgenommen werden.
Wie oft sollte man Network Discovery-Scans durchführen?
In vielen Fällen sind tägliche Scans sinnvoll – insbesondere bei sich schnell verändernden Umgebungen wird die Sicherheit durch Überwachung in Echtzeit erheblich verbessert. Bei eher statischen Unternehmensnetzwerken können wöchentliche Scans ausreichen. Wie auch immer Ihre Strategie für die Netzwerkerkennung aussieht – sie nicht einzusetzen und zu vergessen, kann dafür sorgen, dass Sicherheitsrisiken entstehen und übersehen werden.
Fazit
Wenn IT-Administratoren nicht wissen, was tatsächlich in ihrem lokalen Netzwerk an versteckten Gefahren lauern, sind ihre Risikobewertungen im Grunde nur Vermutungen. Teilweise legen IT-Teams sogar „vollständige“ Risikoberichte vor – und übersehen dabei ganze Segmente der Schatten-IT mit kritischen Schwachstellen.
Sich einmal ernsthaft mit der Netzwerkerkennung in IT- und OT-Netzwerken zu beschäftigen, verbessert auch die Sicherheitslage bei einem Cyberangriff. Dann können nämlich auch die Geräte direkt erkannt werden, die von einer Abteilung angeschlossen wurden und über die niemand informiert wurde – ein Szenario, was auch unter dem Namen Schatten-IT vermutlich jeder schon einmal erlebt hat. Netzwerkadministratoren sehen dann, wie „normal“ es in ihrem Netzwerk tatsächlich aussieht und erhalten alle notwendigen Informationen. Network Discovery sollte daher ein fester Bestandteil der Strategie für einen verbesserten Schutz von Netzwerken sein – warten Sie nicht darauf, dass eine Sicherheitsverletzung Ihr Weckruf ist! Dabei ist außerdem empfehlenswert, die wichtigen Funktionen Netzwerkerkennung, Netzwerk-Monitoring, Network-Observability und Warnmeldungen in einer ganzheitlichen Plattform miteinander zu kombinieren, anstatt mehrere unterschiedliche Tools einzusetzen.
Paessler bietet Monitoring-Lösungen für Unternehmen unterschiedlicher Branchen und Größen an, von kleinen Unternehmen, über den Mittelstand bis hin zu Großkonzernen. Paessler arbeitet mit renommierten Partnern zusammen, um sich gemeinsam den Monitoring-Herausforderungen einer sich immer schneller verändernden Welt zu stellen. Seit 1997, als PRTG Network Monitor auf den Markt kam, verbindet Paessler sein tiefgreifendes Monitoring-Wissen mit Innovationsgeist. Heute vertrauen mehr als 500.000 Anwender in über 190 Ländern auf PRTG und andere Paessler Lösungen, um ihre komplexen IT-, OT- und IoT-Infrastrukturen zu überwachen. Die Produkte von Paessler befähigen Nutzer, aus Daten umsetzbares Wissen zu erlangen, und helfen ihnen so, ihre Ressourcen zu optimieren.
Erfahren Sie mehr über Paessler – und wie Monitoring Ihnen helfen kann – unter www.paessler.com
Firmenkontakt
Paessler GmbH
Florian Staffort
Thurn-und-Taxis-Str. 14
90411 Nürnberg
+49 (0)911 93775-0
https://www.paessler.de
Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstrasse 3
56472 Nisterau
02661-912600
https://www.sprengel-pr.com
