Telekom will auch mittelgroßen Unternehmen Schutz auf Enterprise-Niveau liefern
APT-Abwehr für den Mittelstand
Den Schutz vor gezielten Hacker-Angriffen will die Telekom auch für mittelständische Unternehmen erschwinglich machen. Dazu bedient sie sich der Abwehrlösungen des US-Anbieters Alien Vault.
Die Basis für die neuen Security-Mittelstandsangebote der Telekom bildet die Sicherheitsplattform USM (Unified Security Management) des amerikanischen Security-Spezialisten Alien Vault aus dem kalifornischen San Mateo. Dessen Lösung führt wichtige Sicherheitswerkzeuge zur Abwehr komplexer Angriffe (Advanced Persistent Threats, APTs) in einer Lösung zusammen: Bestandsaufnahme, Beurteilung von Schwachstellen, Erkennen von Bedrohungen und Korrelation auffälliger Verhaltensmuster, ergänzt um aktuelle Informationen über neue Schadsoftware.
Die Deutsche Telekom bietet diese Schutzmechanismen für den Mittelstand laut eigener Verlautbarung in zwei Varianten an: In der Basisvariante betreibt die Telekom die zentrale Abwehrplattform in einem der hauseigenen Rechenzentren oder beim Kunden vor Ort. Sensoren in der Umgebung der Kundensysteme sammeln die notwendigen Daten und senden diese an die Telekom. Um das Bereitstellen der Hardware, Lizenzen, Überwachungen, Wartung sowie Störungen kümmert sich die Telekom.
In der höheren Ausbaustufe übernehmen Experten der Telekom ergänzend zum Plattformbetrieb die Überwachung und Auswertung von Sicherheitsvorfällen in Echtzeit. Der Kunde erhalte dabei umgehend alle relevanten Informationen, verspricht der Service-Provider.
Die Einstiegslösung der Telekom nennt sich „Cyber Threat Detector“ und arbeitet nach dem Prinzip eines SOCs (Security Operation Center, bei der Telekom „Cyber-Abwehrzentrum“ genannt), wenn auch in kleinerem Maßstab: Der Detector sammle, aggregiere und visualisiere alle Logdaten, die eine angebundene Firewall generiert. Diese Daten vergleiche die Lösung mit Informationen über aktuelle und vergangene Angriffe und deren Kontrollstrukturen (also Kommunikation mit Command- und Control-Servern). Erkenne die Lösung solche Kommunikationsmuster, schlage sie Alarm und ermögliche dadurch ein schnelles Eingreifen.
Der Detector zeigt laut Telekom-Angaben die Verkehrsströme in und aus dem Unternehmen übersichtlich und in Echtzeit, zudem visualisiere er diese nach Zielländern, internen Netzwerksegmenten sowie verwendeten Protokollen. So lasse sich zum Beispiel echtzeitnah erkennen, ob Daten aus Netzwerksegmenten nach außen gehen, aus denen im Regelfall keine Ströme fließen dürfen.
Die Lösung erfasse und vergleiche Angriffsindikatoren des BSI (Bundesamt für Sicherheit in der Informationstechnik), der Telekom bekannte Angriffsmuster, Daten aus allgemeinen Angriffsanalysen sowie Daten aus den 180 Lockfallen, mit denen das Unternehmen Angriffe provoziert, um sie zu analysieren. Zudem ermögliche sie durch Filteroptionen in der grafischen Oberfläche eine Eingrenzung relevanter Daten zu Analysezwecken.
Die Sicherheitslage hat sich für Unternehmen in den letzten Jahren insofern verschärft, als herkömmliche Abwehrmechanismen inzwischen häufig zu kurz greifen. Denn klassische Werkzeuge wie Firewalls können Angriffe wie APTs nicht dauerhaft abwehren.
Traditionelle Schutzmechanismen sind nach dem Prinzip der relativen Sicherheit konzipiert: Ist mein Netzwerk relativ sicher, dann wird sich der Angreifer (hoffentlich) ein anderes Ziel suchen. Bei einem APT hingegen hat es der Angreifer auf ein bestimmtes Ziel abgesehen, zum Beispiel, um dort Firmengeheimnisse zu entwenden. Deshalb versucht er langanhaltend („persistent“) und mit einfachen wie auch ausgefeilten („advanced“) Methoden einschließlich Social Engineering (Übertölpelung der Endanwender), dieses Ziel zu erreichen. Bei einem derart zielgerichteten Vorgehen lässt es sich kaum vermeiden, dass der Angreifer früher oder später Erfolg haben wird
Gegen APTs, so auch Security-Experte Bruce Schneier jüngst auf der Sicherheitskonferenz IT-Defense von Cirosec, helfen deshalb nur aufmerksames Monitoring ungewöhnlichen Verhaltens im Netzwerk sowie die Schaffung schneller und effizienter Abwehrmaßnahmen, wie sie zum beispiel Schneiers neues Unternehmen Resilient Systems (vormals Co3 Systems), der US-Anbieter Fireeye oder eben der Telekom-Partner Alien Vault liefern.
Weitere Informationen finden sich unter www.telekom.com.
Interview mit Stefan Strobel, Cirosec: Incident Response rückt in den Fokus
Kaspersky Lab: „Carbanak“-Angriff – Hacker erbeuten bis zu eine Milliarde Dollar
Bruce Schneier auf der IT-Defense: Kein „Norton Anti-Nordkorea“ in Sicht
Lesen Sie mehr zum Thema
