Derzeit prägen mehrere disruptive Trends die IT: Durch die Corona-Krise verursacht, verlagern sich die Aktivitäten der meisten Mitarbeiter ins Home Office und damit in großem Umfang ans Edge der jeweiligen Infrastrukturen. Edge, Cloud und Mobile führen zu hybriden Infrastrukturen. Die Ansprüche an deren Verfügbarkeit jederzeit und überall steigen – schließlich sind die Home-Office-Worker und die Unternehmen, die sie beschäftigen, auf funktionierende, sichere Endgeräte, VPNs und Applikationen angewiesen. Fallen sie aus, sind teure Geschäftsunterbrechungen vorprogrammiert.
Dabei steht die Infrastruktur unter einer permanenten Sicherheitsbedrohung. Immer neue Angriffsvarianten treffen auf häufig nicht ausreichend gesicherte Unternehmensinfrastrukturen. Raffiniert maßgeschneiderte Angriffe (APTs, Advanced Persistent Threats) zielen auf das Kernwissen und die Kernprozesse von Firmen, mit Ransomware soll Geld erpresst werden. Fehlendes Sicherheitsbewusstsein der Mitarbeiter sorgt oft dafür, dass Betrüger und Datendiebe zu leichtes Spiel haben.
Gigamon hat innovative Werkzeuge entwickelt, um die richtigen Daten an das jeweils passende Analysetool zu liefern. Dadurch lassen sich Engpässe, Schadsoftware und Probleme aller Art in schnell wachsenden, heterogenen Infrastrukturen für vielfältige Applikationen sofort erkennen, gegebenenfalls unschädlich machen und beheben.
Security-Investitionsdruck belegt die IT Cybersecurity Spending Survey 2020 des Marktforschungsunternehmens SANS. An dieser Untersuchung nahmen mehr als 450 Befragte aus IT- und IT-Security-Management von Unternehmen unterschiedlicher Größenordnungen weltweit teil. Der Schwerpunkt lag dabei auf kleinen und mittelgroßen Unternehmen mit bis zu 5000 Mitarbeitern. Ein lokaler Schwerpunkt waren die USA, aber auch Firmen aus Westeuropa waren überdurchschnittlich vertreten. Die wichtigsten vertretenen Wirtschaftsbereiche sind der gesamte Finanzsektor und der öffentliche Bereich mit ihren traditionell hohen Sicherheitsanforderungen.
Vier disruptive Faktoren machen Investitionen in IT-Security notwendig: die wachsende Nutzung von Services aus der Public Cloud, was zur Entstehung hybrider Infrastrukturen führt. Dazu kommen neue Bedrohungen, strengere Datenschutzgesetze wie die Europäische Datenschutzgrundverordnung (DSGVO) oder entsprechende Bestimmungen in Kalifornien und Personalmangel.
Wichtigste Motivation für Cybersecurity-Ausgaben sind dabei 2020 Regulierungskonformität (69,4 Prozent), die Reduktion von Sicherheitszwischenfällen (59,1 Prozent) und das Mithalten mit den immer neuen Cyber-Bedrohungen (56,9 Prozent).
Jeder der oben genannten disruptiven Trends führt zu charakteristischen Investitionsentscheidungen. So induziert die Nutzung von Public-Cloud-Infrastruktur nach Angaben von 70,9 Prozent der Befragten Investitionen in Cloud Security Monitoring, 52,6 Prozent priorisieren die Beschaffung von cloud-spezifischen CASB (Cloud Access Security Broker). Neue Bedrohungen führen zur Beschaffung von Netzwerk-Detektions- und -Reaktionstools (50,5 Prozent) oder Werkzeugen zur Entdeckung von und Reaktion auf neue Endpunkte (EDR).
Die Reaktion auf strengere gesetzliche Vorgaben besteht vor allem aus dem Training des Personals (53,7 Prozent), was aber auch beim Thema „neue Bedrohungen“ (50,2 Prozent, Platz 2) und Public Cloud Infrastructure (52,2 Prozent, Platz 3) eine wichtige Rolle spielt. Dies wiegt umso schwerer, als Personal eine immer noch und zunehmend schwer erhältliche Ressource ist.
Gleichzeitig ist weniger Geld da, oder für das gleiche IT-Budget werden größere Leistungen erwartet. Doch am Personal zu sparen ist, so SANS, trotzdem keine gute Strategie. Neues Geld würden 32,7 Prozent der Teilnehmer der Umfrage in weiteres Personal investieren, nur 17,8 Prozent in neue Technologien, und nur 14,6 Prozent in Training für bestehendes Personal.
Dieser Fokus auf Neueinstellungen könnte sich allerdings als fatal erweisen. Denn gut trainiertes Personal, das regelmäßig weitergebildet wird, bleibt länger und ist motivierter, so SANS weiter. Zudem erfordern komplexere Aufgaben auch komplexeres Wissen und entsprechende Tools, für deren sinnvollen Einsatz man etwas lernen muss. Schließlich nutzt das beste Analysewerkzeug nichts, wenn das Personal die herausgefundenen Resultate mangels entsprechenden Trainings und dessen Anwendung auf die individuelle Unternehmensumgebung nicht zweckmäßig interpretieren und darauf reagieren kann.
Erweiterte Spielräume eröffnet es hier, so SANS, die Fachabteilungen für die eigenständige Finanzierung der für sie nötigen Sicherheitsaufwendungen zu motivieren. Erst 30 Prozent der befragten Unternehmen tun dies. Doch es bringt unbestreitbare Vorteile, wenn Sicherheitsaufwendungen für IT-Infrastruktur nicht nur von der IT-Abteilung aufgebracht werden müssen. Dieses Verfahren ist allemal transparenter als IT-Security-Kosten nachträglich mit Hilfe schwer nachvollziehbarer Schlüssel auf einzelne Abteilungen umzulegen.
Zudem stärkt ein solches Vorgehen die Kommunikation zwischen oberster Führungsebene, Fachbereichen und IT. Und schließlich folgt es der Logik der Sache. Denn letzten Endes hängt das Geschäft der Fachabteilungen zunehmend von der Funktionsfähigkeit von Applikationen ab. Zu ihrer optimalen Sicherung beizutragen, liegt also im elementaren Interesse der Fachbereiche.
Dies gilt besonders für neuartige digitale Applikationen inklusive der Daten, die sie nutzen. Denn diese Applikationen bilden zukünftig den Kern der geschäftlichen Aktivitäten. Sie stellen ganze Wirtschaftszweige auf den Kopf, verändern alte Wertschöpfungsketten und ermöglichen völlig andersartige digitale, die auf Branchengrenzen keine Rücksicht mehr nehmen.
Beispiele für solche Applikationen sind die Apps von Sharing-Diensten wie Uber oder Airbnb, um nur die bekanntesten zu nennen, Crowdfunding-Apps, industrielle Steuerungs- und Überwachungssysteme auf IoT-Basis, Robo-Advisors für die Finanzanlage oder andere Felder und viele mehr.
Dabei verändern sich nicht nur die Geschäftsfelder, sondern auch die Applikationen selbst: In diesem “New Tomorrow” der IT bestehen Anwendungen aus bis zu 15 Tiers und vielen, manchmal hunderten containerisierten Mikroservices aus unterschiedlichen Quellen und mit unterschiedlichen Aufgaben. Diese Mikroservices werden von vielen Apps parallel verwendet. Ihre Kommunikationsstrukturen sind hochkomplex. In vielen Unternehmen laufen heute mehrere hundert kundenspezifische Applikationen, von denen viele aus Mikroservices bestehen. 80 Prozent des Netzverkehrs machen inzwischen Interaktionen zwischen Mikroservices aus.
Das wiederum erschwert es, die Applikationen als Ganzes zu überwachen und zu steuern. Denn praktisch muss jeder an einer Applikation beteiligte Mikroservice für sich und in seinem Zusammenwirken mit anderen Mikroservices kontrolliert werden. Doch Mikroservices, die Drittparteien beisteuern, beispielsweise Public Cloud Provider, lassen sich kaum vom Anwender mit Zugriffsmöglichkeiten ausrüsten.
Dazu kommt, dass schon kleine Veränderungen in einem Mikroservice viele andere Bestandteile einer App beeinflussen können – bis hin zu gravierenden Leistungsverlusten, Sicherheitslöchern oder Abstürzen. Es ist aber kaum zu schaffen, das gesamte Mikroservice-Netz einer Applikation permanent auf dem neuesten Stand zu halten.
Schnell herauszufinden, wo sich die Engpässe einer Gesamtapplikation tatsächlich befinden, ist unter diesen Umständen schwierig bis unmöglich. Und das gilt auch für die möglichen Sicherheitslücken der beteiligten Mikroservices, erst recht, wenn sie von Drittparteien beigesteuert werden.
Was also tun? Das alte Paradigma der Perimeter-Sicherheit wird durch „Zero Trust“ ersetzt. Danach gelten Daten als zentrales Asset. Unberechtigte Zugriffe, Manipulationen, Standortveränderung der Daten gilt es in jedem Fall zu verhindern. Deshalb gilt jeder Infrastrukturbestandteil so lange als nicht vertrauenswürdig, bis das Gegenteil erwiesen ist.
Dazu verwendet man drei Konzepte: Rollenbasierte Identitäten für den Zugriff, sichere Authentisierungsmechanismen mit Passworten, Schlüsseln und anderen Authentisierungsmerkmalen und ein sorgfältiges Zugriffsmanagement. Hier werden also feingranulare Zugriffsberechtigungen definiert.
Alle Datenquellen und Computing-Services gelten als Ressourcen. Alle Kommunikationswege (auch die mobilen oder die zum Home Office) werden gesichert. Zugriffsrechte werden nur sitzungsweise erteilt, wobei sich die Regeln der jeweiligen Situation anpassen müssen. Genutzte Geräte werden stetig aktualisiert. Und schließlich sammelt das Unternehmen ständig umfassend Informationen zum Status der Infrastruktur und der in ihr ablaufenden Kommunikationsvorgänge.
Das Zero-Trust-Konzept muss in der gesamten Infrastruktur permanent durch Werkzeuge und Prozesse aufrechterhalten werden, vom Rechenzentrum über interne oder externe Hosting-Umgebungen bis hin zum verbindenden LAN/WAN. Weil sich das Zero-Trust-Konzept selbst noch entwickelt, ist ständige Aufmerksamkeit auch für die aktuellen technologischen Trends erforderlich.
Im Detail werden Netze so mikrosegmentiert, dass “Lateral Movement” in der Infrastruktur möglichst verhindert wird. So lassen sich die Auswirkungen erfolgreicher Angriffe minimieren, indem man die jeweilige Angriffsfläche verringert.
Die Umsetzung von Zero-Trust-Konzepten erfolgt meist schrittweise. Sie beginnt mit der Detektion, der Katalogisierung und der Klassifikation von Daten und anderen Assets. Dann folgt die Mikrosegmentierung der Architektur, anschließend werden der Netz- und Applikationsverkehr analysiert und schließlich Regelsysteme und automatisierte Prozesse angewendet. Das kann insgesamt durchaus mehrere Jahre dauern.
Besonders wichtig ist es im Kontext von Zero-Trust-Konzepten und verbesserten Sicherheitsarchitekturen, das Normalverhalten jeder Applikation genau zu kennen, um anhand dessen einen Regelsatz und Schwellen für Anomalien festzulegen. Doch das ist nur mit modernsten Werkzeugen möglich.
Gerade in diesem Bereich weisen die derzeitigen Konzepte von Zero-Trust-Umgebungen nach Analysen des Marktforschungsunternehmens SANS eine erstaunliche Lücke auf: Sie konzipieren derzeit nur eine Daten- und eine Kontrollebene.
Die Datenebene enthält innerhalb einer mikrosegmentierten Infrastruktur alle wichtigen Datenstandorte sowie Systeme, Anwendungen und Nutzer, die über sichere Gateways darauf zugreifen. Wichtige Komponenten der Datenebene sind Identitäts- und Zugriffsmanagementsysteme (IAMS), Authentisierungsmechanismen und Firewalls sowie andere Zugangsbegrenzungen.
Auf der Kontrollebene werden Geschäftsregeln erstellt und gewartet sowie die Regelsysteme verwaltet. Sie interagiert mit den schützenden Gateways und unterstützt schnelle Reaktionen auf potentielle Angriffe.
Doch woher bekommen diese beiden Ebenen die Daten, auf die sie ihr Verhalten und ihre Regeln stützen? Nötig ist als Basis eine dritte, am nächsten zur Infrastruktur gelegene Schicht, die Monitoring-Ebene. Hier werden Daten akquiriert, identifiziert, klassifiziert und konsolidiert. Damit kann die gesamte Infrastruktur ständig auf bösartige Aktivitäten hin überwacht und Bedrohungen identifiziert sowie Angriffsfolgen abgemildert werden.
Dazu braucht man Elemente wie Paketbroker, Systeme zur Netzwerkpaketanalyse, die intelligente Analyse und Filterung des Applikationsgeschehens ermöglichen. Die Paketbroker sammeln dabei den gesamten Netzverkehr, entschlüsseln ihn gegebenenfalls, filtern für Analysen unnütze Daten aus und senden die benötigten Daten an die jeweiligen Spezialtools (z. B. Threat Detection Systeme, SIEM) weiter.
Dieser Filtervorgang ist immens wichtig. Denn die meisten Tools sind überfordert, wenn sie den gesamten Netzwerkverkehr auf bestimmte Merkmale hin untersuchen sollen. Zudem können sie dies oft auch nicht, weil der Verkehr mit SSL oder TLS verschlüsselt ist. Erst ein Drittel des SSL/TLS-Verkehrs wird derzeit zu Analysezwecken entschlüsselt oder wegen asymmetrischen Routings nur ein Teil der Kommunikation analysiert. Das machen sich Angreifer zunehmend zunutze.
Moderne, leistungsfähige Network Packet Broker verhindern eine Überflutung der Spezialtools mit irrelevantem Traffic. Gleichzeitig entschlüsseln sie die sonst unlesbaren SSL/TLS-Verbindungen und machen sie damit analysefähig. Damit können Spezialwerkzeuge für beispielsweise die forensische, Metadaten- oder Verkehrsanalyse in stark genutzten hybriden Netzwerken mit hohem Remote-Anteil überhaupt erst wieder ihre Aufgabe erfüllen. So lassen sich Fehler schneller analysieren und auch schwer auffindbare Angriffe, beispielsweise von Insidern, schneller entdecken und abblocken.
Der Erfolg einer Drei-Ebenen-Architektur aus Monitoring-, Daten- und Überwachungs-/Steuerungsebene sollte sich messbar niederschlagen: in der Zahl der erkannten Anwendungen und ihrer Kommunikationsströme, der Zahl der identifizierten und bezeichneten Einheiten oder sensitiven Datenströme im Netz, in der Reduktion von Netzzugriffsalarmen, kompromittierten Systemen und Applikationen oder in einer geringeren Zeit für Detektion, Analyse und Reaktion auf Angriffe.
Eine besonders wichtige Rolle spielt auf der Monitoring-Ebene solcher Architekturen die intelligente Analyse des Verkehrsverhaltens der Anwendungen (Application Intelligence), die erst das Ausfiltern und Kategorisieren der Applikations-Datenströme ermöglicht. Noch besser ist es, wenn solche Mechanismen in ein Gesamtkonzept eingebettet sind.
Ein Beispiel dafür ist Gigamon Application Intelligence, ein Kernbestandteil von Gigamons Visibility and Analytics Platform. Gigamon App Intelligence visualisiert die App-Landschaft, filtert Applikations-Datenströme und liefert Metadaten zu allen Applikationen. Mehr als 3000 Anwendungen werden identifiziert und kategorisiert, der Verkehr entsprechend gefiltert. Hierbei wird nicht nur nach Protokollen entschieden, sondern viele weitere Merkmale für die Identifikation der Anwendung herangezogen. Beispielsweise kann im Bereich des Social Media (Facebook) danach unterschieden werden von welcher Plattform der Anwender kommt, was der Anwender macht (Informationen teilen, Informationen erhalten, Spielen, etc.).
So erreichen nur relevante Streams nachgelagerte Tools von Drittanbietern, während für die Fragestellung irrelevante Daten an ihnen vorbeifließen. Gigamon Application Intelligence liefert bis zu 7000 Metadaten-Attribute auf den Netzebenen 4 bis 7. Spezialtools bis hin zum SIEM lassen sich über bereits vorhandene Konnektoren anbinden.
Das Konzept der Visibility and Analytics Fabric, skaliert mit dem Netzwerk und den zum Einsatz kommenden Analyse-, Monitoring- und Security-Lösungen. Sie filtern den gesamten übers Netz fließenden Datenverkehr. An die Visibility and Analytics Fabric können flexibel und unkompliziert neue Tools für spezifische Analyseaufgaben angeschlossen werden. Sie müssen sich dank der Visibility and Analytics Plattform nur mit den Daten beschäftigen, die wirklich zu ihren Aufgabenstellen notwendig sind. Das steigert die Analysegeschwindigkeit und die Treffsicherheit der Untersuchungen.
Die Anwendungsmöglichkeiten der Gigamon-Lösungen rund um die Visibility and Analytics Platform und Application Intelligence sind vielfältig: Die vorhandene Shadow-IT kann entdeckt und neutralisiert werden. Das gilt auch für böswillige Applikationen oder Endgeräte, beispielsweise am IoT-Edge. Riskante Konfigurationen lassen sich detektieren und automatisiert ändern. Die Leistung der Security-Toolchain steigt. Bedrohungen werden schneller erkannt und neutralisiert, da Spezialtools nur noch diejenigen Daten analysieren, für die sie geschrieben wurden.
Im Zeitalter des New Tomorrow dominieren hybride Cloud-Infrastrukturen, Remote-Work, Mobilität und aus Mikroservices kombinierte neuartige digitale Applikationen. Das beschwört neue Herausforderungen bei Monitoring und Security herauf. Denn die Unsicherheit nimmt zu, die Budgets und das Personal sind weiter knapp und ständig müssen neue Bedrohungen abgewehrt werden. Gleichzeitig bilden die neuartigen digitalen Anwendungen zukünftig die Basis des Geschäfts und müssen deshalb optimal arbeiten.
Um in dieser Landschaft zu bestehen, ist der Aufbau dreistufiger Zero-Trust-Infrastrukturen mit einer Monitoring-, einer Daten- und einer Kontrollebene nötig. Denn nur eine leistungsfähige und differenzierte Monitoring-Ebene ermöglicht den anderen Ebenen, ihre Aufgaben optimal zu erfüllen.
Die Monitoring-Ebene sollte dabei über ausreichende Intelligenz verfügen, um vielfältige Applikationen und deren Normalverhalten zu identifizieren, Auffälligkeiten in Datenströmen zu erkennen und zielgerichtet herauszufiltern, dass die nachgelagerten Security-Spezialtools sie analysieren können.
Gleichzeitig sorgen solche Werkzeuge dafür, dass die gesamte Infrastruktur und die auf ihr laufenden Applikationen ihre optimale Leistung bringen, indem Fehler und Engpässe schnellstmöglich erkannt, analysiert und behoben werden. Das bedeutet für Unternehmen im Digitalzeitalter einen wichtigen Wettbewerbsvorteil.
Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.
Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.
Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.