10 Aspekte zur Bewertung von NextGen Firewalls

Bei Cyber Security gibt es keinen Königsweg. Jedes Unternehmen hat seine eigenen Bedürfnisse und die Sicherheitsarchitektur sollte dies widerspiegeln. Security Tools, Services und Funktionen müssen also flexibel genug sein, um den individuellen Anforderungen gerecht zu werden. Palo Alto Networks hat dazu einen kleinen Leifaden zusammengestellt, der aus 10 Punkten besteht. Diese sollen IT-Entscheidern eine Hilfe an die Hand geben, um die entscheidenden Fragen bei der Ealuierung einer zukünftigen Next-Generation-Firewall (NGFW) stellen zu können.

Verhinderung des Diebstahls von Zugangsdaten

Benutzer und ihre Zugangsdaten gehören zu den schwächsten Verbindungen in der Sicherheitsinfrastruktur eines Unternehmens. Die meisten Verstöße betreffen daher die Zugangsdaten zu einem bestimmten Zeitpunkt des Angriffslebenszyklus. Mit dem Missbrauch von Zugangsdaten steigen die Chancen für einen erfolgreichen Angriff, und das Risiko, erwischt zu werden, sinkt. Die Verhinderung des Diebstahls von Zugangsdaten, etwa durch Phishing-Attacken, verringert die Exposition gegenüber einer der häufigsten Formen gezielter Cyberangriffe auf Unternehmen.

• Kann die NGFW die Verwendung von Zugangsdaten auf unbekannten Websites verhindern?
• Kann die NGFW Benutzer davon abhalten, Zugangsdaten zu übermitteln, ohne eine Kopie des Hashs in der Firewall zu speichern?
• Wie schnell analysiert die NGFW bisher ungesehene Phishing-Seiten und aktualisiert ihre Schutzmechanismen?
• Protokolliert die NGFW Versuche von Benutzern, Zugangsdaten im HTTP-Post zu senden?

Verhinderung der Nutzung gestohlener Zugangsdaten

Angreifer können auf vielerlei Arten an gestohlene Anmeldedaten gelangen: Phishing, Malware, Social Engineering, Brute-Force-Angriffe oder durch Erwerb auf dem Schwarzmarkt. Sobald Angreifer Zugangsdaten gestohlen haben, können sie sie missbrauchen, um in ein Unternehmensnetz zu gelangen, sich darin seitlich zu bewegen und Rechte für nicht autorisierte Anwendungen und Daten zu eskalieren. Durch die Implementierung einer Multi-Faktor-Authentifizierung (MFA) auf der Firewall wird verhindert, dass sich Angreifer mit gestohlenen Zugangsdaten seitlich bewegen können. Die MFA ermöglicht Unternehmen den Schutz aller Arten von Anwendungen, einschließlich Legacy-Anwendungen und Client-Servern. Darüber hinaus verschiebt die Authentifizierung an der Firewall auftritt, bevor Benutzer eine Verbindung zu Anwendungen herstellen, die Expositionslinie weiter weg.

• Unterstützt die NGFW MFA als Teil der Zugriffssteuerungsrichtlinie basierend auf der Sensibilität der Ressource, auf die zugegriffen wird?
• Bietet die NGFW eine Auswahl an MFA-Partnertechnologien?
• Kann die NGFW RADIUS- und API-Integrationen mit MFA-Partnertechnologien unterstützen?
• Unterstützt die NGFW die MFA-Richtlinie für jede Art von Anwendung, einschließlich Web-, Client-Server- und Terminalanwendungen?
• Ist die MFA-Fähigkeit der NGFW auf bestimmte Protokolle beschränkt?

Bereitstellung von dynamischen Sicherheitsrichtlinien für virtuelle Workloads

Wenn Sicherheitsrichtlinien für Rechenzentrumsumgebungen zuerst erstellt und in Firewalls implementiert werden, wird davon ausgegangen, dass die zugewiesene IP-Adresse während der gesamten Laufzeit der Richtlinie gleichbleibt. Diese Richtlinien sind statisch und werden in generischer Weise angewendet. Wenn Rechenzentren zu virtualisierten Umgebungen übergehen, sind Workloads nicht mehr an einen bestimmten Standort oder ein Netzwerkschema gebunden.

• Wie erstellt die NGFW Sicherheitsrichtlinien basierend auf VM-Attributen von Workloads?
• Kann die NGFW Sicherheitsrichtlinien für dynamische Workloads in privaten und öffentlichen Clouds erstellen?
• Kann die NGFW konsistente Sicherheitsrichtlinien für Workloads gewährleisten, selbst wenn sich ihre IP-Adressen oder Standorte im Rechenzentrum ändern?

Verwaltung der NGFW mittels einfacher und effektiver Tools

Um auf geschäftliche Anforderungen reagieren zu können, benötigen Sicherheitsteams die Flexibilität, Firewall-Änderungen sowohl mit einem zentralisierten Tool als auch vor Ort in Echtzeit vorzunehmen. Wenn ein Firewall-Manager lokalen Administratoren erlaubt, Änderungen nur an einer begrenzten Anzahl von Funktionen vorzunehmen, muss sich das lokale Team stark auf globale Teams verlassen, die potenziell in einer anderen Region angesiedelt sind, um Änderungen vorzunehmen. Dies führt zu Verzögerungen, Lücken und eingeschränkter Sichtbarkeit.

• Können lokale Administratoren direkt auf der Appliance arbeiten und Konfigurationsänderungen nach Bedarf vornehmen, ohne sich bei einem zentralen Manager anmelden zu müssen?
• Können zentrale Administratoren die von lokalen Administratoren vorgenommenen Änderungen überwachen und anzeigen?
• Können sie auswählen, welche Konfigurationsänderungen des Firewall-Administrators auf den Firewalls implementiert werden sollen? Wenn bei der Bereitstellung Fehler auftreten, können sie Änderungen von bestimmten Benutzern schnell rückgängig machen und die Arbeitskonfiguration wiederherstellen.
• Kann der zentrale Firewall-Manager die Protokollverwaltung von der Kernkonfigurationsverwaltung trennen und dennoch als einheitliches Fenster für einheitliche Sichtbarkeit dienen?
• Können Protokollmanager Protokolle mit hohem Durchsatz (z.B. 50.000 LPS) aufnehmen?
• Verfügt die Firewall über APIs für jedes Feature, sodass sich Konfigurationsänderungen automatisieren lassen?

Einsatz von Automatisierung für schwierig zu identifizierenden und schnell wechselnde Bedrohungen

Da Angreifer immer mehr Automatisierung einsetzen, verfolgen Sicherheitsteams in jeder Minute mehr Sicherheitsereignisse in ihren Unternehmen. Der Vorgang der Analyse und Korrelation einer großen Anzahl von Sicherheitsereignissen ist manuell schwierig, wodurch kritische Ereignisse leicht übersehen werden können. Um sich schnell genug einen Angriff zu vereiteln, bevor er erfolgreich ist, sollten Sicherheitstools und -dienste in der Lage sein, den Angriff zu identifizieren, Schutzmechanismen automatisch zu generieren und zu verteilen sowie mit anderen Tools zu integrieren, um die nächste Aktion im Workflow anzustoßen.

• Unterstützt der Sicherheitsanbieter die automatische Generierung von Präventionssignaturen über den gesamten Angriffszyklus hinweg für alle relevanten Daten?
• Kann die Firewall infizierte Hosts im Netzwerk korrelieren, identifizieren und sie in Quarantäne stellen, um ihren Zugriff im Netzwerk zu begrenzen?
• Kann die Firewall eine Multifaktor-Authentifizierung auslösen, um den Missbrauch von Zugangsdaten zu verhindern und kritische Anwendungen zu schützen?
• Kann die Protokolliert die NGFW Versuche von Benutzern, Zugangsdaten im HTTP-Post zu senden? Protokolliert die NGFW Versuche von Benutzern, Zugangsdaten im HTTP-Post zu senden? Firewall die Bedrohungen im Netzwerk mit Informationen aus globalen Bedrohungsdaten korrelieren?

Integration einer Next-Generation-Firewall in die Sicherheitsumgebung

Sicherheitsteams verwenden zunehmend Anwendungsprogrammierschnittstellen (APIs), um Sicherheitsgeräte in ihre Sicherheitsumgebung zu integrieren und den Betrieb zu rationalisieren, was den zusätzlichen Vorteil hat, vermeidbare menschliche Fehler zu reduzieren. Die Nutzung von APIs ermöglicht die Automatisierung von Sicherheitsarbeitsabläufen, die mehrere Sicherheitsgeräte verschiedener Hersteller benötigen, um zusammenzuarbeiten. Sicherheitsteams sparen sich dadurch umständliche, fehleranfällige Prozesse des manuellen Betriebs dieser Arbeitsabläufe und erhöhen die Geschwindigkeit der effektiven Durchsetzung.

• Kann die Firewall auf einem Änderungsmanagementsystem ein Ticket erstellen basierend auf einem böswilligen Ereignis, das in der Firewall zu sehen ist?
• Kann die Firewall eine Quarantäneaktion für einen infizierten Host im drahtlosen Netzwerk auslösen?
• Kann die Firewall komplett über eine API programmiert werden?
• Kann die Firewall Benutzer-ID-Informationen über APIs von Wireless-Controllern zu Hosts sammeln, die mit verkabelten Netzwerken verbunden sind?

Schutz vor Ausweichtechniken und nie zuvor gesehenen Angriffen

Evasive Bedrohungen sind in der heutigen Bedrohungslandschaft alltäglich geworden. Malware-Entwickler verwenden verschiedene Ausweichtechniken, z.B. das Einbringen schädlicher Nutzdaten in legitime Dateien, das Packen von Paketen, um eine Erkennung zu verhindern, oder das Erweitern von Ruheaufrufen, um auf potenzielle Sandbox-Umgebungen zu warten. Die Angreifer umgehen diese, indem sie Techniken einsetzen, die nach einer gültigen Benutzeraktivität, Systemkonfigurationen oder Indikatoren spezifischer Virtualisierungs-/Emulationstechnologien suchen. Die Fähigkeit, sich vor ausweichender Malware zu schützen, ist wichtiger denn je.

• Unterstützt das Cloud-basierte Malware-Analyse-System mehrere Analysetechniken, einschließlich Bare-Metal-Analysen zur Erkennung von ausweichender, Sandbox-erkennender Malware?
• Verwendet das Cloud-basierte Malware-Analyse-System einen benutzerdefinierten Hypervisor, der gegen Sandbox-erkennende Malware wirksam ist?
• Entwickelt das Malware-Analyse-System Bedrohungsschutzsignaturen wie Content-basierte AV-Signaturen, um bekannte und unbekannte Varianten von Malware und musterbasierte Anti-Spyware-Signaturen zu erkennen, um die Kommunikation mit bekannten und unbekannten C2-Infrastrukturen zu erkennen?
• Unterstützt das Cloud-basierte Malware-Analyse-System die Malware-Analyse für alle Arten von Windows®-, Android®- und macOS®-Betriebssystemen?

Integration von externen Bedrohungsanalysedaten in die NGFW

Moderne Firewalls sind in der Lage, Listen mit vorgegebenen Regeln und Richtlinien zu importieren, die es der Firewall ermöglichen, gegen die in der Liste aufgeführten Objekte zu agieren. Firewall-Administratoren sind verantwortlich für die Aktualisierung der Firewall, um neu entdeckte Bedrohungen, Schutzmaßnahmen und Richtlinien zu reflektieren. Die Integration von Automatisierung und dynamischen Listen in der NGFW ist der effektivste und effizienteste Weg, um die Sicherheit des Unternehmens zu verbessern. Dynamische Listen werden häufig vom NGFW-Anbieter bereitgestellt und können manuell oder durch die Integration von Bedrohungsanalyse von Drittanbietern aktualisiert werden. Daher müssen nur Regeln und Richtlinien in der Liste geändert werden, und alle Firewalls, die den dynamischen Listen zugewiesen sind, importieren regelmäßig und automatisch die aktuellsten Schutzmechanismen.

• Kann die NGFW dynamisch Threads von Drittanbietern oder benutzerdefinierte Threat-Intelligence-Feeds in die Firewall integrieren, ohne dass Richtlinien festgelegt sind?
• Unterstützt die Sicherheitsarchitektur die Aggregation, Konsolidierung und Deduplizierung von Threat-Feeds, bevor die Indikatoren an die Firewall weitergegeben werden?
• Ist die Sicherheitsarchitektur mit der NGFW integriert, um die Verwendung veralteter Bedrohungsdaten zu vermeiden?
• Erlaubt es die Sicherheitsarchitektur, auf Bedrohungsindikatoren aus aktuellen APT-Kampagnen zu zielen und Bedrohungsfeeds proaktiv auf der NGFW zu integrieren?
• Erlaubt es die Sicherheitsarchitektur, die Bedrohungsanalyse basierend auf einer vertraulichen Kommunikation zu erweitern, um den operativen Aufwand durch den Umgang mit „False Positives“ zu reduzieren?

Vermeidung erfolgreicher Ransomware-Angriffe

Ransomware ist heutzutage für Unternehmen eine große Bedrohung, die den Geschäftsbetrieb zum Erliegen bringen kann. Dies ist keine neue Entwicklung, und um das Ransomware-Problem zu lösen, haben Sicherheitsanbieter ihre Produkte mit Funktionen zur Ransomware-Prävention ergänzt. Kein einzelnes Sicherheitsprodukt kann jedoch Ransomware erfolgreich selbst verhindern. Da es im Angriffszyklus mehrere Phasen gibt, sollten mehrere Verteidigungsebenen vorhanden sein, um Ransomware-Angriffe zu verhindern. Die Fähigkeit eines Unternehmens, sich wirksam gegen Ransomware zu schützen, liegt in der nativen Automatisierung und Integration der Sicherheitsprodukte, um Ransomware proaktiv zu erkennen und zu verhindern. Eine mehrschichtige Verteidigung ist der effektivste Weg, um mögliche Ransomware-Angriffe zu stoppen. Entsprechende Ergänzungen der Sicherheitsarchitektur sollten den Schutz im gesamten Netzwerk gewährleisten.

• Kann die NGFW ausführbare Dateien und andere riskante Dateitypen von unbekannten Anwendungen und URLs blockieren, um Ransomware-Angriffe zu verhindern?
• Kann die NGFW alle bekannten Kompromittierungsindikatoren (d.h. IPs, Domains und URLs) automatisch und dynamisch in die Blacklist importieren, um gegen alle bekannten Ransomware-Familien vorzugehen?
• Unterstützt die Threat Intelligence-Cloud-Integration mit der NGFW dynamische Updates für bösartige URLs in Verbindung mit Ransomware in der Malware-Kategorie der URL-Streaming-Datenbank?
• Unterstützt die Threat-Intelligence-Cloud-Integration mit der NGFW dynamische Updates für bösartige Domains, die mit Ransomware in Zusammenhang stehen, damit DNS-Signaturen automatisch auf die Blacklist gesetzt werden?
• Kann die NGFW Informationen über Bedrohungen oder Ransomware-Verhalten von der Endpunktschutz-Software erhalten und umgekehrt?

Konsistenter Schutz unabhängig vom Standort der Benutzer und Anwendungen

Benutzer werden mobiler und benötigen Zugriff auf Anwendungen von Remote-Standorten rund um den Globus. Mit der Zunahme der Cloud-Nutzung befinden sich die Anwendungen möglicherweise nicht immer im Rechenzentrum. Viele Unternehmen haben jedoch keinen Einblick in den Verkehr, wenn Benutzer auf das Internet und Cloud-Anwendungen zugreifen und somit die Sicherheit gefährdet ist. Unternehmen sollten in der Lage sein, alle Benutzer auf die gleiche Weise zu schützen, ohne dass je nach Standort der Benutzer unterschiedliche Sicherheitsprofile erforderlich sind. Da Sicherheitsrichtlinien effektiver sind, wenn sie konsistent verwaltet werden können, bieten ein einziges Tool-Set und ein gemeinsamer Richtlinienrahmen den Sicherheitsteams mehr Kontrolle.

• Kann die NGFW konsistente Sicherheitsrichtlinien für mobile Benutzer bereitstellen?
• Lassen sich Benutzer schützen, die sich nicht hinter einer NGFW befinden?
• Kann die NGFW mehrere physische/virtuelle Firewalls verwenden, um eine ständige VPN-Verbindung zu unterstützen?
• Kann die NGFW die Cloud nutzen, um Schutz näher am Benutzer zu bieten?

Fazit

Angreifer und ihre Techniken sind ausgefeilter denn je und ermöglichen erweiterte Angriffe, die zielgerichtet, automatisiert, ausweichend sind und mehrere Umgebungen umfassen. Eine Firewall, die künftig zum Einsatz kommen soll, und die verschiedenen Sicherheitsprodukte, aus denen eine Sicherheitsinfrastruktur besteht, sollten umfassend sein und Folgendes beinhalten:

• Die beste Technologie mit der Fähigkeit, Angriffe durch bekannte und unbekannte Bedrohungen bei jedem Schritt des Angriffszyklus schnell und automatisch zu verhindern. Diese Produkte sollten einen konsistenten, risikoadäquaten Schutz für Daten und Benutzer unabhängig vom Standort bieten. Die Sicherheitsumgebung sollte flexible Updates bieten, die es ermöglichen, sich an veränderte Risiken und Arbeitslasten anzupassen.
• Durch Automatisierung und API-Integration wird die Zeit für fehleranfällige manuelle Aufgaben reduziert. Sicherheit sollte über verschiedene Umgebungen hinweg operationalisiert werden, ohne Ressourcen oder Budget zu beanspruchen, und ohne zusätzliche Komplexität hinzuzufügen. So können sich Sicherheitsteams auf strategische Maßnahmen konzentrieren, die für das Unternehmen besonders kritisch sind.
• Erfahrene, reaktionsschnelle Service- und Support-Teams können den Sicherheitsstatus lange nach der erstmaligen Migrationsphase verbessern. Der Nutzwert der Investition sollte über die Zeit hinweg maximiert werden, um ein höheres Maß an Sicherheit zu erreichen.

Bei der Planung der nächsten Anschaffung oder der Bewertung der aktuell eingesetzten Lösung ist es wichtig, die Funktionen der Firewall mit dem Sicherheitsteam im gesamten Unternehmen zu testen. Die beschriebenen zehn Punkte samt Fragestellungen helfen dabei, zu ermitteln, ob die aktuelle Firewall oder nächste Anschaffung den Anforderungen des Unternehmens gerecht wird.