Startseite > Office & Kommunikation > Bedrohungslage 2013

Sicherheit

Bedrohungslage 2013

14. März 2013, 11:41 Uhr | David Ladner

Fortsetzung des Artikels von Teil 3

Schwachstellen-Scans

Intrusion-Prevention ist als Technologie schon seit über zehn Jahren auf dem Markt. Allerdings, so Kai Zobel, Director Dach bei Skybox Security, „blieb der durchschlagende kommerzielle Erfolg bislang aus und ist von der Marktdurchdringung der Next-Generation-Firewalls abhängig. Die dürften zwar in diesem Jahr deutlich an Beliebtheit gewinnen, das heißt aber nicht automatisch, dass damit auch das Sicherheitsniveau signifikant steigt. Der Teufel steckt wie immer im Detail“.

47 Prozent der gut hundert Unternehmen in Deutschland, Frankreich und Großbritannien, die Skybox Security in Zusammenarbeit mit Osterman Research vor kurzem zum Thema Next-Generation-Firewalls befragt hat, rechnen damit, dass sie in einem Jahr zu mehr als 50 Prozent Next-Generation-Firewalls einsetzen werden. Aktuell liegt dieser Wert bei nur 17 Prozent der befragten Unternehmen in Europa. Und nicht weniger als 82 Prozent der Anwender von Next-Generation-Firewalls werden dabei auch die eingebaute IPS-Funktionalität aktivieren. Dabei vertrauen etwas über 40 Prozent der europäischen Unternehmen den vom jeweiligen Hersteller vorgeschlagenen IPS-Einstellungen, während 44 Prozent die IPS-Konfigurationen lieber manuell vornehmen - und das zu Recht.

Denn die größte Schutzwirkung entfaltet IPS erst dann, wenn die IPS-Einstellungen durch die Administratoren an die spezielle Schwachstellen-Situation im Netzwerk angepasst werden. Der damit verbundene Aufwand ist allerdings enorm. Fast die Hälfte - gut 48 Prozent - der europäischen Unternehmen, die bereits über Next-Generation-Firewalls verfügen, ändern monatlich zwischen 100 und 1.000 IPS-Signaturen, um das Schutzniveau aufrecht zu erhalten oder zu verbessern. Entsprechend dieser hohen Anzahl an Änderungen rangieren bei den Administratoren in Europa die Kontrolle, ob die definierten Regeln in allen eingesetzten Next-Generation-Firewalls korrekt implementiert sind, die kontinuierliche Anpassung der Regeln an neue Exploits und Schädlinge sowie die Optimierung der Regelsätze und der Abgleich mit den Konfigurationsempfehlungen des jeweiligen Herstellers unter den fünf größten Herausforderungen. Um diese zu meistern, müssen drei Bedingungen erfüllt sein, die sich aber ebenfalls als Trends für 2013 abzeichnen:

Kontinuierliches Monitoring: Sicherheit ist nicht statisch. Ständig werden Veränderungen im Netzwerk vorgenommen, an IPS-Einstellungen aber auch an sonstigen Firewall-Konfigurationen, Netzwerk-Zugängen, Anwenderberechtigungen etc. Jede dieser Änderungen stellt unter Sicherheitsgesichtspunkten ein potenzielles Risiko dar und kann Lücken in das Sicherheitsnetz reißen. Wer also weiterhin darauf besteht, in regelmäßigen Abständen seinen Gefahrenzustand zu ermitteln, weiß gar nicht, ob und wie ungeschützt er zwischen den einzelnen Bestandsaufnahmen ist. Diese Wissenslücke kann nur eine kontinuierliche Überwachung der Risiken im Netzwerk füllen.

Big-Data: Immer mehr Geräte und Plattformen sowie immer mehr Kommunikation jenseits des eigenen Netzwerks erzeugen immer mehr sicherheitsrelevante Informationen. Dazu gehören Daten zu Netzwerktopologie, Firewall-Funktionalitäten, IPS-Signaturen, Sicherheitslücken, Netzwerkkomponenten, geschäftlichem Kontext und neuen Bedrohungen wie Exploits. Die Sicherheitsverantwortlichen können diese Informationsfülle jedoch erst dann sinnvoll verwenden, wenn die Daten nicht nur gesammelt und gelagert, sondern auch miteinander korreliert und ausgewertet werden, und zwar verzögerungsfrei. Eine solche kontextabhängige Analyse ermöglicht, die Angriffsszenarien mit hohem und sehr hohem Risikopotenzial in den Mittelpunkt der Überlegungen zu rücken, und zwar schneller und systematischer als bisher.

Zeitfenster durch passive Scans schließen: Die beiden gerade genannten Themen sind auch für das Ermitteln von Sicherheitslücken relevant, eine Voraussetzung wiederum für die Anpassung der IPS-Einstellungen an die spezifischen Bedingungen des jeweiligen Netzwerks. Bislang scannen Unternehmen zu selten und nur ausschnittsweise im Netzwerk nach Schwachstellen. Sie tun dies nicht aus Nachlässigkeit, sondern aus technischen und organisatorischen Gründen, die mit dem seit etwa fünfzehn Jahren verwendeten aktiven Scannen verbunden sind. Um täglich nach Sicherheitslücken im Netzwerk fahnden zu können, bedarf es einer passiven Scan-Technologie, die den laufenden Betrieb nicht stört und nicht nur eine viel zu lange Liste von Suchergebnissen liefert, sondern diese auch priorisiert und mit konkreten Handlungsempfehlungen versieht. Denn nur damit können die Administratoren und Sicherheitsverantwortlichen arbeiten.

Sind diese drei Bedingungen erfüllt, können die Administratoren ohne großen Aufwand und vor allem schnell und zielgerichtet ermitteln, welche IPS-Einstellungen sie ändern müssen, um das maximale Schutzniveau zu erreichen.