Netzwerksicherheit

Das Netzwerk als Sensor

9. Dezember 2019, 16:17 Uhr | Autor: Torsten Harengel / Redaktion: Diana Künstler

Der Schutz des Perimeters reicht angesichts neuartiger und anhaltender Bedrohungen nicht mehr aus. Heute benötigen Unternehmen intelligente Lösungen, die Anomalien sofort erkennen. Diese können im Netzwerk integriert sein, das dann selbst als eine Art Security-Sensor die notwendigen Daten liefert.

Gefahren entstehen heute von überall. Außerhalb des Unternehmens treiben Cyberkriminelle, staatlich unterstützte Hacker oder neuartige Malware ihr Unwesen und können jederzeit die Netzwerke angreifen. Aber auch im Unternehmen gibt es zahlreiche Bedrohungen wie mögliche Insider, unvorsichtige Mitarbeiter oder ungeprüfte Geräte, Apps und Daten. Diese unbekannten Faktoren für die Sicherheit beschäftigen viele Verantwortliche, wie die aktuelle CISO Benchmark Studie von Cisco zeigt. Denn sie wissen genau: Sie können nicht vor etwas schützen, das sie nicht sehen. Dabei wird immer klarer, dass klassische Security-Lösungen wie Firewall und Antivirus alleine nicht mehr alle Gefahren abwehren können und nur einen Grundschutz gegen Standard-Attacken bieten. So müssen Unternehmen umfassende Sicherheitsarchitekturen entwickeln und einsetzen. Der klassische Perimeter-Schutz genügt dazu nicht mehr, da Cloud-Anwendungen, Mobilgeräte und Remote-Zugänge heute zum Standard gehören. Dadurch löst sich die Grenze zwischen „außerhalb“ und „innerhalb“ des Unternehmensnetzwerks auf.

Netzwerkdaten intelligent nutzen
Entsprechend muss heute auch das Netzwerk selbst in das Sicherheitskonzept eingebunden werden. Tatsächlich liefert es über seine Geräte wie Router, Switches oder Access Points die notwendigen und ausreichende Telemetrie-Daten, um die im Netzwerk auftretenden Vorgänge abzubilden. Damit entfällt die Notwendigkeit zur Installation eigenständiger Sensoren, die den Datenverkehr überwachen.

Zudem ist das Netzwerk bereits überall im Unternehmen installiert und bildet auch das Rückgrat für den gesamten Datenverkehr. Das bedeutet, dass jeder externe oder interne Angriff auf Anwendungen oder Daten über das Netzwerk erfolgen muss. Es bildet daher den idealen Ausgangspunkt, um sämtlichen Traffic zu überwachen und darüber Abweichungen und Anomalien zu erkennen. Selbst herkömmliche Router und Switches bilden grundsätzlich die gesamte Netzwerkaktivität ab, also wer mit wem für wie lange spricht. Dies ist für die Erkennung von Bedrohungen essenziell. Und kein Angreifer kann sich vor diesem Telemetriemodell verstecken, da er irgendeine Art von Traffic im Netzwerk für seine Aktivitäten erzeugen muss.

Unternehmen können damit ihr Netzwerk als eine Art Sensor für die Sicherheit nutzen, der Daten zu sämtlichen IP-Verkehrsströmen bietet. Auf Basis dieser Informationen lassen sich Systeme einsetzen, die den Netzwerkverkehr überwachen (Network Traffic Monitoring) und analysieren, um ungewöhnliches Verhalten, Ereignisse oder Trends zu erkennen. Anomalien weisen dann auf verdächtige Datenflüsse, mögliche Richtlinienverstöße oder gefährdete Endpunkte hin. Diese ungewöhnlichen Vorgänge sind dann von Sicherheitsexperten daraufhin zu prüfen, ob sie die Folge eines Angriffs von innen oder außen sind. Damit dieser Ansatz auch neuartige Bedrohungen entdeckt, ist die Kombination aus Traffic Monitoring, Verhaltensanalyse und Anomalie-Erkennung notwendig. Dies gewährleistet eine umfassende Netzwerksicherheit.

Die Konvergenz von Sicherheit und Netzwerk ermöglicht es also Unternehmen, die Intelligenz und Sichtbarkeit des Netzwerks zu nutzen, um fundiertere Entscheidungen über Richtlinien und Bedrohungen zu treffen. Sie können mit Hilfe des Netzwerks als Sensor automatisch feststellen, was neu, wichtig und ungewöhnlich ist, um die Herausforderungen der Cybersicherheit effektiv anzugehen.