DET.4.11 — Anomalien in Netzen und am Perimeter
SOLLTE
Security level: normal-SdT
Effort 5
BSI-Stand-der-Technik-Kernel
Statement (Anforderung)
Detektion für Netze SOLLTE den Netzwerkverkehr auf Anomalien überwachen.
Guidance (Erläuterung)
Beispiele sind ausgehende Netzverbindungen zu als bösartig bekannten oder gänzlich unbekannten DNS-Domains oder IP-Adressen, Anzeichen für DNS-Tunneling (ungewöhnlich lange Subdomains oder Spitzenwerte für TXT-Mengen), ungewöhnlich hohes Datenvolumen zu Cloud-Speicherlösungen, sowie unautorisierte Portscans oder Brute Force Angriffe auf Fernwartungsschnittstellen wie RDP oder SSH sein. Hierdurch können Verbindungen zu Angreiferservern (C2 Beacons), die Ausbreitung von Angriffen über das Netz, oder Datenabflüsse erkannt werden.
Statement properties
| Name | Value |
|---|---|
| target_object_categories | Netze |
| documentation | Detektions-Konzept |
| result | den Netzwerkverkehr auf Anomalien |
| action_word | überwachen |
| modal_verb | SOLLTE |
Control properties
| Name | Value |
|---|---|
| alt-identifier | e6cf2c48-c49f-4c10-9cca-252d903b0979 |
| sec_level | normal-SdT |
| effort_level | 5 |
| tags | Command & Control, Lateral Movement, Data Exfiltration |
Sub-controls
- DET.4.11.1 Authentifizierungsversuche an externen Schnittstellen
- DET.4.11.2 Netzwerk-Honeypots
- DET.4.11.3 Netzverkehrsfluss
Raw OSCAL JSON (complete control)
{
"class": "BSI-Stand-der-Technik-Kernel",
"controls": [
{
"class": "BSI-Stand-der-Technik-Kernel",
"id": "DET.4.11.1",
"params": [
{
"id": "det.4.11.1-prm1",
"label": "regelmäßig",
"props": [
{
"name": "alt-identifier",
"value": "1fc84b56-0931-439d-9b5a-4642926e0d04"
}
]
}
],
"parts": [
{
"id": "DET.4.11.1_stm",
"name": "statement",
"props": [
{
"name": "target_object_categories",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv",
"value": "Externe Netzanschlüsse"
},
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Detektions-Konzept"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "Authentifizierungsversuche auf unauthorisierte Verbindungen"
},
{
"name": "result_specification",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "{{regelmäßig}}"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "überprüfen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "KANN"
}
],
"prose": "Detektion für Externe Netzanschlüsse KANN Authentifizierungsversuche auf unauthorisierte Verbindungen {{ insert: param, det.4.11.1-prm1 }} überprüfen."
},
{
"id": "DET.4.11.1_gdn",
"name": "guidance",
"prose": "Ohne solche Überprüfungen könnte ein Angreifer unbemerkt wiederholt Zugangsdaten erraten (Brute-Force- oder Wörterbuchangriffe) oder unautorisierte Geräte an Schnittstellen wie VPN-Gateways, Firewalls oder externen Modems anbinden. Auch ein unbemerktes Einschleusen von Schadsoftware über offene Remote-Desktop- oder SSH-Verbindungen könnte langfristig unentdeckt bleiben. Eine kontinuierliche Auswertung von Anmeldeversuchen kann dagegen Auffälligkeiten wie ungewöhnlich viele Fehlversuche, Anmeldungen aus geografisch atypischen Regionen oder Verbindungsaufbau außerhalb üblicher Betriebszeiten aufzeigen und so eine wirksame Schutzwirkung entfalten. Als Frist können Intervalle wie \"täglich\", \"wöchentlich\" oder \"in Echtzeit\" je nach Kritikalität des Anschlusses angemessen sein. Verbindungen sind hier unautorisiert, wenn Anzeichen vorliegen, dass sie von unautorisierten Personen oder von unautorisierten Systemen stammen. Die Überprüfung kann manuell oder durch automatische Analyse von Logdateien erfolgen. Empfehlenswert ist eine kontinuierliche Überwachung. Dabei kann z.B. nach ungewöhnlichen vielen fehlgeschlagenen Anmeldungen, veralteten Berechtigungen, Einwahlen von Adminaccounts, ungewöhnlichen Einwahlorten/IP-Adressbereichen/User Agents oder Uhrzeiten gesucht werden. Als Reaktion kommen z.B. Sperren betroffener Adressbereiche, die Abschaltung angegriffener Schnittstellen oder stärkere Authentifizierungsmechanismen wie Mehr-Faktor-Authentifizierung in Betracht."
}
],
"props": [
{
"name": "alt-identifier",
"value": "1fc84b56-0931-439d-9b5a-4642926e0d04"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "erhöht"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "5"
},
{
"name": "tags",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv",
"value": "Advanced Persistent Threats (APT), Command & Control"
}
],
"title": "Authentifizierungsversuche an externen Schnittstellen"
},
{
"class": "BSI-Stand-der-Technik-Kernel",
"id": "DET.4.11.2",
"links": [
{
"href": "#DET.4.10",
"rel": "related"
}
],
"parts": [
{
"id": "DET.4.11.2_stm",
"name": "statement",
"props": [
{
"name": "target_object_categories",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv",
"value": "Netze"
},
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Detektions-Konzept"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "Netzwerk-Honeypots"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "installieren"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "KANN"
}
],
"prose": "Detektion für Netze KANN Netzwerk-Honeypots installieren."
},
{
"id": "DET.4.11.2_gdn",
"name": "guidance",
"prose": "Honeypots sind Systeme, die das Verhalten eines Betriebsservers simulieren, um bei netzbasierten Angriffen Informationen über den Angriff zu erhalten. Geeignet sind z.B. vermeintliche Rechnungsbearbeitungssysteme oder Datenbank-Server. Alarmierungsereignisse können hier z.B. Login-Versuche oder unerwartete API-Abfragen sein. Allerdings kann es hierbei zu falsch-positiv Vorfallsmeldungen kommen, insbesondere wenn die Honeypots dort platziert werden, wo sie für legitime Nutzende leicht zugänglich sind, oder wenn legitime Netzwerkscans bereits eine Alarmierung auslösen. Daher ist es sinnvoll, die konkreten Einsatzgegebenheiten in einer Risikoanalyse zu betrachten und den möglichen Detektionsmehrwert mit den potenziellen Risiken solcher falsch-positiv Meldungen abzuwägen."
}
],
"props": [
{
"name": "alt-identifier",
"value": "7715c6ec-8cf9-446c-807a-783d61ebd539"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "erhöht"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "3"
},
{
"name": "tags",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv",
"value": "Advanced Persistent Threats (APT), Honeypot"
}
],
"title": "Netzwerk-Honeypots"
},
{
"class": "BSI-Stand-der-Technik-Kernel",
"id": "DET.4.11.3",
"params": [
{
"id": "det.4.11.3-prm1",
"label": "Kriterien",
"props": [
{
"name": "alt-identifier",
"value": "80109af2-9ed7-4aca-807e-aae712dc8e18"
}
]
}
],
"parts": [
{
"id": "DET.4.11.3_stm",
"name": "statement",
"props": [
{
"name": "target_object_categories",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv",
"value": "Netze"
},
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Audit Log"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "auf kritische Netzverkehrsflüsse"
},
{
"name": "result_specification",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "anhand von {{Kriterien}}"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "überwachen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "KANN"
}
],
"prose": "Detektion für Netze KANN auf kritische Netzverkehrsflüsse anhand von {{ insert: param, det.4.11.3-prm1 }} überwachen."
},
{
"id": "DET.4.11.3_gdn",
"name": "guidance",
"prose": "Ein Netzverkehrsfluss ist eine Aufzeichnung von Verkehrsdaten einer Netzwerkverbindung (wie Quell-/Ziel-IP, Ports, Protokoll, übertragene Datenmenge und Zeitdauer). Die Aufzeichnung des gesamten Verkehrs (Packet Capture) des vollständigen Inhalts aller Datenpakete ist hierzu nicht erforderlich, sodass die zu untersuchende Datenmenge überschaubar bleibt. Allerdings sind hier Compliance-Anforderungen zur Datenspeicherung relevant. Für datenschutzrechtliche Fragen zu Verkehrsdaten kann der BfDI Leitfaden Speicherung Verkehrsdaten als Grundlage genutzt werden. Beispiele für Kriterien sind die Aufzeichnung an wichtigen Netzgrenzen (DMS-Internet), in kritischen Netzen, zwischen Serversystemen oder bei Leistungsproblemen."
}
],
"props": [
{
"name": "alt-identifier",
"value": "80109af2-9ed7-4aca-807e-aae712dc8e18"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "erhöht"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "5"
},
{
"name": "tags",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv",
"value": "Lateral Movement"
}
],
"title": "Netzverkehrsfluss"
}
],
"id": "DET.4.11",
"parts": [
{
"id": "DET.4.11_stm",
"name": "statement",
"props": [
{
"name": "target_object_categories",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv",
"value": "Netze"
},
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Detektions-Konzept"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "den Netzwerkverkehr auf Anomalien"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "überwachen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "SOLLTE"
}
],
"prose": "Detektion für Netze SOLLTE den Netzwerkverkehr auf Anomalien überwachen."
},
{
"id": "DET.4.11_gdn",
"name": "guidance",
"prose": "Beispiele sind ausgehende Netzverbindungen zu als bösartig bekannten oder gänzlich unbekannten DNS-Domains oder IP-Adressen, Anzeichen für DNS-Tunneling (ungewöhnlich lange Subdomains oder Spitzenwerte für TXT-Mengen), ungewöhnlich hohes Datenvolumen zu Cloud-Speicherlösungen, sowie unautorisierte Portscans oder Brute Force Angriffe auf Fernwartungsschnittstellen wie RDP oder SSH sein. Hierdurch können Verbindungen zu Angreiferservern (C2 Beacons), die Ausbreitung von Angriffen über das Netz, oder Datenabflüsse erkannt werden."
}
],
"props": [
{
"name": "alt-identifier",
"value": "e6cf2c48-c49f-4c10-9cca-252d903b0979"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "5"
},
{
"name": "tags",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv",
"value": "Command & Control, Lateral Movement, Data Exfiltration"
}
],
"title": "Anomalien in Netzen und am Perimeter"
}