Überwachung und Security-Intelligenz
Resilienz von IT-Systemen
Mutierte Advanced Persistent Threats (APTs) finden immer schneller einen Weg bis zu ihrem Ziel. Die Zahl von Social-Media-Anwendungen, die schädliche Malware transportieren, steigt rasant, während durch den weitverbreiteten BYOD-Trend gleichzeitig immer mehr Organisationen betroffen sind. Konvergenter Netzwerkverkehr flutet die IT-Infrastruktur in einem stetig zunehmenden Ausmaß mit Daten, Sprache und Video.
Die drei Beispiele zeigen nur einige der Faktoren auf, die derzeit eine große Herausforderung für die bestehenden Sicherheitssysteme darstellen – es gilt jedenfalls, diese an neue IT-Rahmenbedingungen anzupassen, die denen der Vergangenheit kaum noch ähneln. Hinzu kommt, dass sich Unternehmen selbst mit ausgefeilten IT-Verteidigungsmaßnahmen nicht mehr vor schleichenden Angriffen, Datenlecks oder interner Sabotage schützen können. Fortlaufende Sicherheitsprüfsysteme sind längst unumgänglich. Vor diesem Hintergrund der genannten Sicherheitsbedrohungen hat sich die so genannte Actionable Security Intelligence (ASI) eine Schlüsselrolle bei der Unterstützung von Unternehmen erarbeiten können. ASI steht für eine Vielzahl an strategisch bedeutsamen Verhaltensweisen rund um das Thema IT-Sicherheit im Unternehmen. Dazu zählen etwa die Überwachung globaler Bedrohungen und Anwendungstrends sowie deren Auswirkung auf die Infrastruktur, die Bewertung der Effizienz von Netzwerk, Rechenzentrums- und Sicherheitstechnik unter realen Bedingungen sowie via Internet und die Verwaltung von Abweichungen von einer definierten Konfiguration durch eine erste Basismessung und fortlaufende Tests und Validierungen. Wichtig ist zudem die Transparenz in Bezug auf die Frage, welche Änderungen die Sicherheitslage eines Unternehmens beeinträchtigen, außerdem die Reduktion des Zeitaufwands, der für informierte und zeitkritische Sicherheitsentscheidungen erforderlich ist. Hinzu kommen noch die fortlaufende Modifikation der Prozesse, die Identifikation und Pflege einer robusten Sicherheitsstruktur sowie das Schritthalten der Tests mit den von außen vorgegebenen Veränderungen. Zwar ist das Thema IT-Sicherheit in der Business-Welt längst auf jeder Unternehmensagenda zu finden, Sicherheit ist jedoch gewissermaßen ein bewegliches Ziel und lässt sich nicht in Form punktueller Einzelmaßnahmen behandeln. Nur so lässt sich erklären, warum so viele Unternehmen ihre Verteidigungsmaßnahmen wider besseres Wissen nur als Reaktion und auf Grundlage von Trial-and-Error anwenden. Aufgrund der Schwere, der steigenden Häufigkeit sowie der damit verbundenen „Reparaturkosten“, die sich durch Cyber-Angriffe ergeben, sind die Unternehmen jedoch zunehmend dazu gezwungen, neue Lösungen für die Verbesserung der IT-Infrastrukturen und Sicherheitsverteidigungsmaßnahmen zu finden. Die Hoffnung, Angriffe könnten durch entsprechende Gegenmaßnahmen vollständig vermieden werden, suggerieren aber eine falsche Sicherheit, und es entstehen gefährliche tote Winkel. Dabei verliert auch die Evaluierung der IT-Investitionen an Zuverlässigkeit, da vorgespeicherte Performance-Benchmarks täuschende Angaben darüber machen können, wie Sicherheitssysteme – Firewalls, UTMs, IPS/IDS etc. – tatsächlich im Rahmen der sich verändernden realen Netzwerke agieren. Zusätzlich zu diesen Belastungen für die IT- und Sicherheitsorganisationen sind auch noch Gesetzgebungsinitiativen und Richtlinien im Gespräch, die Sicherheitsvorschriften und Rechenschaftspflichten weiter verschärfen sollen. Wenn Compliance-Anforderungen nicht erfüllt sind, drohen harte Strafen. Actionable Security Intelligence bietet einen globalen Einblick in mögliche Bedrohungen und Anwendungen sowie Informationen zur „Resilienz“ der IT-Infrastruktur eines Unternehmens unter realen betrieblichen Bedingungen und bei bösartigen Angriffen. ASI ist so konzipiert, dass globale Anwendungs- und Bedrohungsinformationen mit einer schnellen Simulations- und Testplattform kombiniert arbeiten können und gemeinsam implementiert sind. Auf diese Weise lassen sich IT-Infrastrukturen echten Belastungstests aussetzen und anschließend verbessern oder optimieren. Mithilfe von ASI können Unternehmen die Auswirkungen von Angriffen besser vorhersagen, die während Konfigurations- und Netzwerkanpassungen erfolgen, und diese vermeiden oder zumindest verringern. ASI ermöglicht einen Überblick über die bestehende IT-Sicherheitsmaßnahmen sowie die Netzwerk- und Rechenzentrumsinfrastrukturen als Ganzes, auch wenn diese sich wandeln. Mittlerweilet bietet der Markt anspruchsvolle Was-wenn-Tests in einer risikofreien und doch komplett realen Umgebung. Diese helfen bei der Vorhersage darüber, welche Auswirkungen ein Cyber-Angriff haben würde – und sie unterstützen die Unternehmens-IT dabei, die Schutzsysteme bereits vor dem möglichen Angriff ausreichend sicher zu gestalten. Durch die Instrumentalisierung dieses Prozesses können Unternehmen kritische Risiken – von ungepatchten Sicherheitsschwachstellen bis hin zu unbehandelten Lücken in der Sicherheitsstruktur – auf Grundlage des Aufbaus ihrer Netze, Betriebsbedingungen, der Sicherheitsprozesse und regulierenden Vorschriften identifizieren.
Auswahl und Einführung der richtigen Geräte und Systeme
Organisationen benötigen eine mehrschichtige Sicherheitsstrategie, um ihre sensiblen Daten vor Cyber-Kriminellen und Hacker-Angriffen zu schützen. Zu den Bereichen, auf die sich Unternehmen, die um ihre Sicherheit besorgt sind, zunehmend konzentrieren, gehören etwa der Schutz vor Datenlecks, DDoS-Abwehrsysteme, intelligente Switches zur Verhinderung von ARP-Spoofing und MAC-Flooding, Web-Anwendungs-Firewalls, DNS Sinkholes und vieles mehr. Nicht getestete Netzwerksicherheitsgeräte können aber den irreführenden Eindruck erwecken, dass ein Unternehmen vollständig vor allen aktuellen Bedrohungen geschützt ist, schwächen damit unter gewissen Umständen jedoch sogar unternehmenskritische Server und andere Netzwerkschlüsselgeräte Die Gartner Group hat von Fällen einer einzigen schlecht geschriebenen Signatur berichtet, die die Leistung eines gesamten IPS beeinträchtigt hat. Tatsächlich sollten jedoch Tests der Netzwerksicherheitsgeräte stattfinden – und zwar nicht nur einmalig vor ihrer Implementierung. Die Tests müssen vielmehr zu einem integralen Bestandteil der fortlaufenden Wartungsvorkehrungen werden. Insgesamt ist der ASI-Ansatz für die Systemauswahl, Kapazitätsplanung und Konfigurationssteuerung nützlich, um die Risiken bei der Einführung und Verwaltung aller Bestandteile in der IT-Infrastruktur abzuschwächen. Im Einzelnen bedeutet dies: Sobald die Tool-Auswahl und die erste Einführung abgeschlossen sind, sollte ein vollständiger Benchmark-Test erfolgen, um eine Basis festzulegen. Organisationen im öffentlichen und privaten Sektor können davon profitieren, dass ihre IT-Mitarbeiter eine angemessene Schulung erhalten und über die notwendige Erfahrung verfügen, die mit einem umfassenden Verständnis für die Gefahren des Alltags einhergeht. Wenn dieselbe Cybersicherheit zu implementieren ist, die auch das Militär einsetzt, und Mitarbeiter ebenso professionell zu schulen sind, spricht dies für eine Lösung, bei der Angriffe im Rahmen des genauen Abbilds des Netzwerk- und Rechenzentrumsumfelds des Unternehmens simuliert werden. Militär- und Geheimdienstorganisationen nennen dies einen „Cyber-Bereich“. Dort helfen simulierte Ereignisse bei der Ausbildung von Cyber-„Kriegern“ und erlauben Sicherheitsmitarbeitern, die Wirkung der Simulation in Echtzeit zu beobachten. Indem globale Anwendungs- und Bedrohungsinformationen, Simulationen und Tests und neueste Sicherheitsanalysen in die Hände der „normalen“ IT-Mitarbeiter gelangen, ermöglicht dies die Untersuchung kritischer Zwischenfälle und macht so die Verwandlung von allgemeinen IT-Mitarbeitern in eben diese Cyber-Krieger möglich. Fazit ASI-Lösungen bieten Organisationen die Möglichkeit, die IT-Security angesichts des ständigen Wandels zu sichern. Vom Schrumpfen der Problemlösungsprozesse von Wochen auf wenige Stunden bis zur Einführung der am besten geeigneten Geräte kann ASI dazu dienen, die Sicherheitssysteme zu pflegen und zu verbessern. Durch die Fähigkeit, authentischen Anwendungsdatenverkehr, bösartige Angriffe und Nutzerverhalten zu generieren, bieten passende Lösungen einen enormen Mehrwert für das Sicherheitsökosystem eines Unternehmens.
Lesen Sie mehr zum Thema
