Sicherheitshinweise

Enterprise- und Mobile-Edge-Bereich: Zwei Sicherheitshinweise für CSPs

, NETSCOUT

Enterprise- und Mobile-Edge-Bereich: Zwei Sicherheitshinweise für CSPs

Von Christian Syrbe, Chief Solutions Architect bei NETSCOUT

Für Anbieter digitaler Services und Inhalte präsentiert sich 5G als üppig gedeckte Tafel. So prognostiziert eine Studie von Ericsson ConsumerLab und Omdia für den weltweiten 5G-Netzwerkmarkt bis 2030 einen Wert von 31 Billionen US-Dollar. Kommunikationsdienstleister (Communication Service Providers, CSPs) könnten davon insgesamt 131 Milliarden US-Dollar an direkten Einnahmen aus 5G-fähigen Services erzielen.

Christian Syrbe, Chief Solutions Architect bei NETSCOUT

Die Vorteile der 5G-Kommunikation mit höherer Geschwindigkeit gehen mit einer entsprechenden Zunahme der Bedrohungen für Mobilfunknetze einher. Distributed-Denial-of-Service (DDoS)-Angriffe werden immer komplexer, stören wichtige Systeme und verursachen große Geschäftsverluste. Außerdem wurden vor kurzem die Eintrittsbarrieren für Angreifer beseitigt. Mit DDoS-for-Hire-Services können die Nutzer nun grundlegende DDoS-Angriffe testen, bevor sie sie kaufen. Die Palette von Leistungen, die von solchen Plattformen angeboten werden, zielt auf alles ab, von spezifischen Anwendungen und Games bis hin zur Umgehung von Standard-DDoS-Maßnahmen. Die Cybersicherheitsstandards für CSPs nehmen daher zu, und gerade jetzt müssen sie den Enterprise- und Mobile-Edge-Bereich ihres Netzwerks besondere Aufmerksamkeit widmen.

Den Enterprise-Bereich absichern

Unter Anwendung der Client-IP-zu-Server-IP-Kommunikation ermöglicht der Enterprise-Bereich des Mobilfunknetzes die Kommunikation mit internen Servern und Diensten oder externen Anwendungen über das Internet. Dabei werden CSP-Server mit einem bestimmten Angebot verbunden, und ihre Benutzer stellen eine Verbindung zum Internet her, um auf eine extern gehostete Anwendung zuzugreifen.

In diesem Teil des Netzes sind Erkennung und Schutz erforderlich, um sowohl die Server, auf denen die Anwendungen laufen, als auch die gesamte Infrastruktur vor DDoS-Angriffen zu schützen. Diese können von Teilnehmern, die mit dem Mobilfunknetz verbunden sind, oder aus dem Internet gestartet werden. Daher ist der Zugang zur Analyse und Untersuchung des zentralen Unternehmensnetzes von entscheidender Bedeutung für dessen Sicherheit. Die Sicherheit des Enterprise-Bereichs eines CSP-Netzes muss die gesamte Kommunikation abdecken, d. h. alle Anwendungen und Dienste, die innerhalb oder außerhalb des Netzes bereitgestellt werden. Darüber hinaus ist ein Schutz am Rand des Unternehmensnetzwerks erforderlich, um Bedrohungen oder volumetrische DDoS-Angriffe unabhängig von ihrem Ursprung zu erkennen.

Da der Netzverkehr ständig im Gange ist, müssen auch die Verteidigungsmaßnahmen jederzeit einsatzbereit sein. Sicherheitsplattformen müssen den von der Kontroll- und Benutzerebene ausgehenden Verkehr ständig überwachen, die genutzten Dienste identifizieren und nicht nur die Bereitstellung dieser Dienste, sondern auch deren Sicherheit gewährleisten. Dies kann durch die frühzeitige Erkennung von Bedrohungen ermöglicht werden, um Risiken schnell zu entschärfen.

Zu diesem Zweck muss die Lösung den Netzwerk- und Sicherheitsteams vollständige Transparenz bieten. Sicherheitslösungen, die eine gemeinsame Quelle für netzbezogene Daten nutzen, ermöglichen diesen Teams eine möglichst effiziente Zusammenarbeit. Zu beachten dabei ist, dass Sicherheits- und Assurance-Tools, die sich in ein bestehendes Sicherheitsökosystem integrieren lassen, den Return on Investment (ROI) steigern. Erstrebenswert ist es also, wenn sich die Netzwerkinformationen, die ein Tool sammelt, beispielsweise in bestehende SIEM- oder SOAR-Plattformen exportieren lassen, um die Risikovisualisierung zu optimieren.

Den mobilen Rand des Netzwerks absichern

Da die mobilen Zugangspunkte am Netzwerkrand immer weiterwachsen und mit dem Internet kommunizieren, sind sie Bedrohungen von außen ausgesetzt und müssen ständig überwacht werden. Die genaue Identifizierung von Bedrohungen und deren vollständige oder teilweise Entschärfung am Netzwerkrand ist eine flexiblere Strategie als das Sammeln großer Datenmengen aus dem gesamten Netzwerk und deren Weiterleitung an ein Scrubbing Center. Darüber hinaus kann die Last der Schadensbegrenzung auf viele Geräte verteilt werden.

Zu den Leistungen, die Randschutz-Tools bieten sollten, gehört ein stateless Inline-Sicherheitsgerät, das am Netzwerkrand eingesetzt wird. Dieses sollte als erste und letzte Verteidigungslinie für Unternehmen fungieren, indem es eingehende Bedrohungen und ausgehende Kommunikation von kompromittierten internen Hosts automatisch erkennt und stoppt. Solche Schutzlösungen können auch TCP-State-Exhaustion-Angriffe vereiteln, die auf Geräte wie Next Generation Firewalls (NGFW) abzielen und diese gefährden. Wenn das Gerät außerdem kontinuierlich Updates aus dem Threat Intelligence Feed erhält, kann es sofort auf neue Cyberrisiken reagieren. Diese Art des hybriden DDoS-Schutzes ist eine bewährte Branchenpraxis. Dennoch muss sichergestellt werden, dass jedes Tool, das am Netzwerkrand eingesetzt wird, in die bestehenden Sicherheitsgeräte und -prozesse integriert werden kann.

Wenn ein Netzwerk sehr groß und das für die Abschwächung von DDoS-Angriffen zuständige Team erfahren ist, kann ein Tool in Betracht gezogen werden, das ein Selbstverteidigungsnetzwerk aktiviert, sobald eine Bedrohung erkannt und analysiert wurde. Im Anschluss daran wird der Rest des Netzwerks angewiesen, wie mit dem Angriff umzugehen ist. Die Schadensbegrenzung erfolgt dann auf mehreren Ebenen im gesamten Netzwerk, wodurch eine umfassende Berichterstattung immer detaillierter und wichtiger wird. Das Unternehmen ist dann in der Lage zu bestimmen, welche Daten von teuren Transitverbindungen auf eine kostenlose Verkehrsmanagement-Infrastruktur übertragen werden können. Mithilfe dieser umfassenden Analysen kann das Unternehmen auch Umsatzquellen durch Verkehrsoptimierung identifizieren. Auf diese Weise lohnt sich die Investition für das Unternehmen umso mehr. Denn es kann nicht nur seine Ausgaben optimieren, sondern dank der vollständigen Transparenz seines Netzes und seiner Sicherheit auch neue Einnahmequellen erschließen.

Fazit

In dem Maße, in dem Unternehmen ihre Geschäfte über mobile Netzwerke abwickeln, ändert sich ihr Sicherheitsparadigma. Der Angriff beginnt jetzt am Netzwerkrand und betrifft nicht nur die Rechenzentren des Unternehmens, sondern eine Reihe von Endpunkten, Netzwerken und Anwendungen, sowohl in der Cloud als auch vor Ort. Gleichzeitig werden DDoS-Angriffe immer raffinierter und innovativer, so dass es sich Sicherheitsteams nicht leisten können, ihren Gegnern auf der Spur zu sein. Stattdessen müssen sie proaktiv handeln und alle möglichen Angriffe vorhersehen. Der Schutz der Netzwerkumgebung gibt ihnen mehr Flexibilität, um die Auswirkungen von Angriffen zu minimieren und die Geschäftskontinuität zu gewährleisten.