Software-Defined-Protection
Echtzeit-Prävention durch Big-Data-Analyse
Die Cyberkriminellen machen letztlich die Vorgaben, wenn es um eine moderne Sicherheitsarchitektur für die Unternehmens-IT geht. Diese muss sich durch umfassende und intelligente Analysemöglichkeiten und reaktionsschnelle Präventionsmaßnahmen auszeichnen. Doch welche Details sind zu beachten?
Die geschäftlichen Potenziale, die das Internet und darauf basierende Technologien bieten, sind immens, aber sie haben einen Preis. Die Angriffspotenziale auf die digitalen Plattformen durch alle möglichen Arten von Schadsoftware sind mindestens genau so umfangreich. Mehr noch: das Zerstörungspotenzial wird täglich größer, nicht zuletzt dadurch, dass die herkömmlichen Netzwerkgrenzen durch Techniken wie Cloud-Computing oder Mobility zunehmend verschwimmen und innovative Geschäftsmodelle den traditionellen standorttreuen Arbeitsplatz ebenso obsolet machen, wie die klare Separierung der Unternehmensmitarbeiter gegenüber Partnern und Kunden. Die Teamarbeit geht längst über die klassischen Unternehmensgrenzen hinaus. Das erzeugt viele Schwachstellen, die Cyberkriminelle für Wirtschaftsspionage, Attacken zur Ausschaltung von Konkurrenten sowie großangelegte Erpressungsversuche mit digitalen Mitteln ausnutzen.
Die IT in den Unternehmen ist an vielen Punkten angreifbar, in den Netzwerken, an den zahlreichen Endpunkten und in den hunderten und aberhunderten von Anwendungen. Die Angriffsarten und Angriffsvektoren sind dabei ganz unterschiedlich. „In der IT-Security haben wir es mit „known Knowns“, mit „known Unknowns“ und mit „unknown Unknowns“ zu tun, bringt es Amnon Bar-Lev, Präsident des israelischen Sicherheitsspezialisten Check Point Software Technologies auf den Punkt. Bei diesen drei Gruppen handelt es sich etwas technischer ausgedrückt um Angriffsformate mit Signatur (known Knowns), Zero-Day-Attacken, die auf bekannte Schwachstellen abzielen (known Unknowns) sowie punktgenaue Angriffe mit camouflierten Angriffstechniken, die meist gegen ein ganz bestimmtes Unternehmen oder eine bestimmte Person richten.
Segmentierung ist die Basis jeder Sicherheitsarchitektur
Die Basistechniken zur Abwehr der verschiedenen Angriffsarten stehen bereit: Die „known Knowns“ lassen sich mit stets aktuell gehaltenen Signatur-Datenbanken und Reputationslisten gut bekämpfen, für die Entdeckung der „known Unknowns“ sind in der Regel verhaltensbasierte Analysen gut geeignet und die „unknown Unknowns“ werden gewöhnlich durch Sandbox-Techniken, von denen mittlerweile eine große Zahl existiert, aus ihrer Unbekanntheit herausgeholt, sodass sie unschädlich gemacht werden können.
Diese Basistechniken entfalten indes nur dann ihre Wirkung, wenn sie in eine umfassende Sicherheitsarchitektur integriert werden. Amnon Bar-Lev skizziert eine solche Architektur anhand der Begriffe Segmentierung, Prävention und Intelligenz.
Das Konzept der Segmentierung folgt ähnlichen Prinzipien, wie sie beim Schiffsbau angewandt werden. Durch Abschottungen innerhalb des Gesamtaufbaus sind die einzelnen Teilaufbauten sicherheitstechnisch voneinander unabhängig. Die Schotten sind dicht, eindringendes Wasser in eines der Teilaufbauten verteilt sich nicht im ganzen Schiff, das Schiff bleibt schwimm- und manövrierfähig. Dasselbe Prinzip greift auch bei IT-Architekturen: Die Sicherheitsspezialisten identifizieren Architektur-Teile, für die gleiche Richtlinien und Schutzcharakteristika gelten, definieren geeignete Abwehrmechanismen an den Segmentgrenzen und stellen sicher, dass der Datenfluss aus dem jeweiligen Segment und in das jeweilige Segment streng kontrolliert wird. Ein derartiges Basis-Segment kann je nach Art der IT-Architektur und deren Schutzbedarf verschiedene Größen und Ausprägungen haben. Das Spektrum reicht von einem einzelnen EXEC-Objekt auf einem Hostrechner über Netzwerkabschnitte wie beispielsweise die Mobilgeräte-Flotte bis hin zu dem Gesamtnetz eines Unternehmens.
Ein zentrales Hilfsmittel für die Netzwerksegmentierung sind unter anderem die virtuellen LANs (VLANs). Im Prinzip lassen sich hunderte solcher virtuellen lokalen Netze durch ein einziges Sicherheits-Gateway kontrollieren. Das heißt: einzelne Segmente können bezüglich bestimmter Abwehrmaßnahmen wieder zusammengefasst werden. Ein konkretes Beispiel wären die mobilen Endgeräte und die stationären Endgeräte mit einem gemeinsamen Network Access Control-Gateway. „Viele spektakuläre Angriffe auf IT-Infrastrukturen, die in der Vergangenheit bekannt geworden sind, wie beispielsweise Stuxnet oder der Angriff auf die SecurID-Token-Daten des Sicherheitsanbieters RSA wären mit intelligenten Segmentierungs- und Präventionsmaßnahmen, wie ich sie skizziert habe, ins Leere gelaufen“, ist sich Amnon Bar-Lev sicher.
- Echtzeit-Prävention durch Big-Data-Analyse
- Big-Data-Analyse: Prävention und Intelligenz
Lesen Sie mehr zum Thema
