CRN-Interview mit Sophos-CEO Kris Hagerman
»Komplexität ist der Feind einer effektiven IT-Sicherheit«
Fortsetzung des Artikels von Teil 1
»Security braucht Automatisierung«
CRN: Kommen wir noch einmal zu Ransomware. Was ist Ihre Empfehlung, wenn man doch zum Opfer einer solchen Verschlüsselungsmalware wird?
Hagerman: Das hängt immer von der spezifischen Situation ab. Unsere Empfehlung ist, fortgeschrittene Sicherheitslösungen zu nutzen, damit man gar nicht erst zum Opfer wird. Doch wenn man mal in der Situation ist: Arbeiten Sie mit den lokalen Behörden zusammen und suchen Sie sich einen Trusted Advisor, um alle Optionen abzuwägen. Vielleicht sind die Daten noch irgendwo gesichert, vielleicht können Spezialisten sie wiederherstellen. Es ist schwierig, bei so etwas eine pauschale Empfehlung abzugeben.
CRN: Sophos hat mittlerweile ein recht umfassendes Security-Portfolio. Wie wichtig ist die Zusammenarbeit der einzelnen Lösungen?
Hagerman: Durch die Zusammenarbeit der Lösungen wird Security einfach nutzbar, denn Komplexität ist der Feind einer effektiven IT-Sicherheit. In einem Unternehmen mit 1.000 Mitarbeitern gibt es nur fünf oder zehn, die sich um die IT kümmern – und einer oder zwei davon explizit um Security. Und dann gibt es da all diese verschiedenen Lösungen, die man aktuell halten muss und die verschiedene Management-Konsolen haben. Einige dieser Lösungen decken ähnliche Bereiche ab, andere stören sich gegenseitig. Hier entstehen schnell Lücken in der Absicherung der Infrastruktur. Deshalb ist für uns wichtig, dass alle Sophos-Lösungen zentral verwaltet werden und sich untereinander austauschen.
CRN: Inwieweit hilft das bei der Automatisierung von Sicherheitsaufgaben?
Hagerman: Das hilft sehr und macht unseren Synchronized Security-Ansatz erst so mächtig. Man muss Dinge automatisieren, damit die Systeme schnell reagieren und der Mensch Zeit gewinnt. Ein Beispiel: Bei Sophos arbeiten Endpoint und Network Security sowie Verschlüsselungslösungen zusammen. Zwischen ihnen findet ein Austausch statt, Heartbeat genannt. Das ist im Prinzip der Puls des Endpoints, welcher der Firewall mitteilt, dass alles okay ist. Wenn dieser Heartbeat plötzlich verstummt, kann das verschiedene Ursachen haben. Im einfachsten Fall hat nur jemand seinen Computer ausgeschaltet. Wenn aber der Heartbeat fehlt und die Firewall feststellt, dass das Gerät weiter Daten ins Netzwerk überträgt, sind das zwei Informationen, die auf einen Sicherheitsvorfall hindeuten. Um sicherzugehen, wird der Endpoint von der Network Security isoliert, also in Quarantäne gepackt, und der Administrator informiert.
Darüber hinaus werden aber auch die Keys für die Verschlüsselung von diesem Endpoint zurückgezogen. Nur um sicherzugehen, falls ein Angreifer das Gerät übernommen hat. Das gibt dem Administrator ausreichend Zeit, den Endpoint zu prüfen. Ist alles in Ordnung, kann er die Keys für die Verschlüsselung wieder ausgeben und die Maschine wieder ins Netzwerk lassen. Aber wenn es einen Sicherheitsvorfall gab, dann wurden der Abfluss von Daten verhindert und die Chancen des Security-Teams verbessert, auf den Vorfall zu reagieren.
CRN: Also geht es auch darum, den Mitarbeitern alltägliche Security-Aufgaben abzunehmen?
Hagerman: Genau. Denn das Problem mit Security-Produkten ist ja nicht, dass sie keine Alarme produzieren. Es sind viel zu viele. Die Unternehmen wissen nicht, welche sie ernst nehmen müssen und welche nicht. In dieser Informationsmenge mit wenigen Leuten den Überblick zu behalten, ist die eigentliche Herausforderung. Und deshalb ist es so wichtig, mithilfe neuer Technologien wie Machine Learning, der Analyse von Verhaltensweisen oder der Ermittlung der Reputation von Anwendungen und Diensten einige Dinge zu automatisieren und die Komplexität aus der Security zu nehmen.
- »Komplexität ist der Feind einer effektiven IT-Sicherheit«
- »Security braucht Automatisierung«
- »Wir sehen Partner als virtuellen Teil unseres Unternehmens«
- So geht es bei Sophos weiter
Lesen Sie mehr zum Thema
