Zero Trust, SDP, Mikrosegmentierung

Über den Aufstieg der Sicherheitsplattform

Über den Aufstieg der Sicherheitsplattform

Von Matthias Canisius, Regional Director CE & EE bei SentinelOne

Matthias Canisius, Regional Director CE & EE bei SentinelOne

Die Netzwerksicherheit ist heute komplexer denn je. Noch vor wenigen Jahren konnte sich ein Netzwerksicherheits-Ingenieur darauf verlassen, dass er beim Unternehmenswechsel mit relativ ähnlichen Herausforderungen konfrontiert wird. Netzwerke, egal wie vielschichtig oder vielfältig die Ausrüstung war, waren immer noch in erster Linie eine Ansammlung von vertrauenswürdigen Subnetzen. Sie waren durch Firewalls und DMZ-Server vom nicht vertrauenswürdigen breiteren Internet abgeschirmt. Heutzutage fällt immer wieder der Begriff einer „Welt nach dem Perimeter“, von Cloud-Architektur, Zero Trust-Networking, Mikrosegmentierung und natürlich vom Internet of Things. In diesem Artikel untersuchen wir diese Konzepte und betrachten die Herausforderungen und Lösungen für Organisationen, die versuchen, mit diesem massiven Wandel in der Unternehmensvernetzung fertig zu werden.

Warum eine Sicherung des Perimeters nicht mehr ausreicht

Der Niedergang des Perimeters war in den letzten Jahren ein prominentes Thema in der Cyber Security, und das aus gutem Grund. Traditionell bestand die IT-Architektur eines Unternehmens aus einem Datenzentrum, einem internen Netzwerk, Endpunkten und einem Internet-Gateway. Um diese „traditionelle“ Architektur zu sichern, benötigten Unternehmen eine Firewall zur Überwachung des eingehenden Datenverkehrs, eine Sandbox zur Überprüfung eingehender Dateien (in der Regel per E-Mail), Netzwerksicherheitslösungen zur Erfassung von Paketen und Analyse des Netzwerkverkehrs sowie Sicherheitslösungen für Endpunkte zum Schutz der Endpunkte selbst.

Diese Architektur war schon immer mit inhärenten Security-Problemen konfrontiert. Von Social Engineering und Phishing-Angriffen, die die naive Annahme missbrauchen, dass authentifizierter Datenverkehr vertrauenswürdig ist, bis hin zu Schwachstellen in Firewall-Hardware und -Software haben Bedrohungsakteure immer Wege gefunden, Zugang zu Unternehmensnetzwerken zu erhalten.

Mit der raschen Einführung mobiler Geräte und dann der Cloud-Technologien haben sich die traditionelle Unternehmensarchitektur und damit auch die für die Sicherheit erforderlichen Geräte verändert. Heute ist es wahrscheinlicher, dass ein Unternehmen über eine Mischung aus lokalen Netzwerken, Endpunkten, mobilen Geräten, Cloud-Anwendungen und vernetzten Geräten (sowohl legitime als auch potenziell bösartige) verfügt. Mitarbeiter benötigen von mobilen Geräten aus Zugriff auf Netzwerkressourcen, und lokale Rechenzentren wurden in den meisten Fällen teilweise oder vollständig durch externe Cloud-Anbieter ersetzt, die sensible Unternehmensdaten auf gemieteten Servern speichern, deren physischer Standort und Sicherheit intransparent ist. Diese neue Architektur vergrößert die Angriffsfläche der Organisation um ein Vielfaches, wodurch sich das alte Paradigma der Sicherung des Perimeters als überholt erweist.

Wie gehen Organisationen heute mit Netzwerksicherheit um?

Unternehmen haben diesen Wandel vor allem dadurch bewältigt, dass sie versucht haben, mehr vom Gleichen zu tun und teilweise neue Methoden zu integrieren. Wir sehen allerdings auch – wenn auch in geringerem Maße – die Integration neuer Sicherheitslösungen. Der Schwerpunkt liegt auf Lösungen für das Identitäts- und Zugangsmanagement und die Trennung von Netzwerken, wie sie in den Zero-Trust-, Mikrosegmentierungs- und SDP-Methoden verankert sind.

Zero Trust

Einer der bekanntesten Ansätze ist der von der Forschungsorganisation Forrester geprägte Begriff „Zero Trust", dessen wichtigstes Prinzip lautet: „Niemals vertrauen, immer überprüfen“. Er eignet sich besonders für Unternehmen, die Cloud-Anwendungen und -Infrastrukturen nutzen, da er davon ausgeht, dass selbst Einheiten innerhalb des Perimeters nicht automatisch vertrauenswürdig sind. Zero Trust ist nach wie vor ein modisches Schlagwort, das für den Verkauf von Authentifizierungsmechanismen für Cloud-Anwendungen verwendet wird und keineswegs Endpunkt- oder Netzwerksicherheitslösungen ersetzen kann.

Mikrosegmentierung

Die Mikrosegmentierung legt den Fokus auf die Schaffung von Sicherheitszonen, um es Organisationen zu ermöglichen, Arbeitslasten zu segmentieren oder zu isolieren, so dass sie individuell geschützt werden können. Dieser Ansatz wird vor allem in Umgebungen mit vielen Ressourcen wie Rechenzentren und Cloud-Umgebungen genutzt. Dies jedoch in einer großen Unternehmensumgebung mit mehreren Netzwerken, Cloud-Plattformen und Firewalls zu tun, ist sehr kompliziert und stellt die Netzwerktechniker vor die Herausforderung, diese auf sichere Weise bereitzustellen und zu konfigurieren. Eine effektive Mikrosegmentierung erfordert Sichtbarkeit, etwas, was vielen weitläufigen, disparaten Netzwerken fehlt. Ohne das Wissen, welche Geräte sich im Netzwerk befinden, ist es für Netzwerkingenieure schwierig eine Segmentierung durchzuführen.

Software-definierter Perimeter (SDP)

Software-definierter Perimeter (SDP) ist ein von der Cloud Security Alliance (CSA) entwickelter Sicherheitsrahmen, der den Zugriff auf Ressourcen auf der Grundlage der Identität kontrolliert. Das Ziel eines SDP ist, Benutzern eine sichere Verbindung zu Anwendungen, Diensten und Systemen im Netzwerk zu ermöglichen. Dafür wird die zugrunde liegende Infrastruktur, einschließlich solcher Dinge wie IP-Adressen, Port-Nummern und DNS-Informationen, verborgen. Dieses geschlossene Modell wird auch als „Dark Cloud“ bezeichnet. Hierbei verweigert ein Netzwerkgerät Verbindungen von allen Anwendungen und Geräten mit Ausnahme des aktuell relevanten. Das bedeutet, dass Angreifer daran gehindert werden, Techniken der lateralen Bewegung einzusetzen, verteilte Denial-of-Service-Angriffe auszuführen und andere gängige TTPs zum Eindringen in das Netzwerk auszunutzen. Wie Zero Trust und Mikrosegmentierung ist SDP in bestimmten Szenarien nützlich; diese Technologien zeigen jedoch ihre Schwächen bei der Integration mit einem SIEM, worüber die meisten Organisationen ihre Sicherheitsoperationen verwalten wollen.

Und wie sieht es mit dem Internet of Things (IoT) aus?

Das Problem der Sichtbarkeit ist noch akuter, wenn es um IoT-Geräte geht. Mit Komplexität umzugehen ist eine Sache, aber mit Dingen umzugehen, von denen man nicht einmal weiß, ob es sie gibt, ist noch schwieriger. Die oben erwähnten, neuen Sicherheitsansätze (SDP, Zero Trust, Mikrosegmentierung) und sogar die traditionellen (Netzwerk-, Perimeter- und Endpunktlösungen), sind anfällig für die Art von Bedrohungen, denen moderne Netzwerke ausgesetzt sind, z.B. Angriffe auf Smart- oder IoT-Geräte. Da Firmennetzwerke jetzt mit diversen Linux-Server von außerhalb (sprich: der Cloud) verbunden und angeschlossene Geräte dadurch offen zugreifbar sind, werden sowohl das Konzept des Perimeters, als auch die darauf basierenden traditionellen Sicherheitslösungen zunehmend irrelevant.

Umgang mit steigenden Anforderungen an Skalierbarkeit und Geschwindigkeit

Zusätzlich zu all den genannten Herausforderungen gilt es zu beachten, dass die zu berücksichtigenden Faktoren nicht nur komplexer und schwieriger zu inventarisieren sind, sondern auch stets zahlreicher werden. Es gibt mehr Endpunkte, Server, angeschlossene Geräte, Cloud-Anwendungen und Benutzer als je zuvor, und das führt zu einer Zunahme von Einstiegspunkten in das Netzwerk.

Abgesehen von der schieren Menge an Geräten – die oft in direkter Verbindung mit kritischen Unternehmensanlagen stehen – erhöht sich auch deren Geschwindigkeit im Betrieb. Sie kommunizieren und erzeugen Daten schneller als dies in der Vergangenheit möglich war. Dadurch hat das IT- und Sicherheitspersonal weniger Zeit, auf Bedrohungen und Fehlfunktionen zu reagieren. So manch ein Sicherheits-Beauftragter mag sich zwar wünschen, dass sich diese Trends wieder umkehren, es ist jedoch mittlerweile unmöglich dieses Schiff zu wenden. Hybrid- und Cloud-Netzwerke sowie angeschlossene Geräte sind integrale Bestandteile des modernen Unternehmens.

Erweiterung bestehender Lösungen durch eine Sicherheitsplattform

Unternehmen werden weiterhin bestehende Lösungen wie Firewalls, NTA und Endpunktsicherheit nutzen. Aber der Versuch, mehrere bestehende Lösungen in Verbindung mit neuen Methoden und Produkten verschiedener Anbieter zu kombinieren, führt in erster Linie dazu, dass sich Komplexität und Arbeitsaufwand erhöhen, während die Sichtbarkeit leidet. Die Integration neuer Produkte und Arbeitsabläufe kann eine echte Belastung darstellen. Wer denkt, dass die Nachrichtenmüdigkeit aufgrund exzessiver Alerts bereits heute ein Problem darstellt, der möge sich vorstellen wie schwer es in Zukunft sein wird, Tausende von Warnungen auf mehreren Systemen, verschiedenen Konsolen und diversen Dashboards parallel zu verwalten.

Fazit

Die Antwort auf dieses drohende Chaos besteht darin, die Komplexität zu reduzieren und diese Lösungen auf einer einzigen Plattform zu vereinheitlichen, die – von einer einzigen Konsole und einem einzigen Endpunkt-Agenten aus – Autonomie, Prävention, Erkennung und Reaktion ermöglicht. Eine Plattform, die unter Einbeziehung aller Assets sowohl On-Premise als auch in der Cloud für Sicherheit sorgt und dabei alle Geräte, insbesondere die mobilen überwacht. Sie sollte automatisiert und zukunftssicher sein, das heißt sie muss in der Lage sein, sich mit zusätzlichen Lösungen und Cloud-Plattformen über eine Vielzahl nativer APIs zu integrieren. Natürlich muss sie ebenfalls in der Lage sein, neuen Bedrohungen durch Machine Learning und Verhaltenserkennung zu begegnen. Eine solche Plattform sollte alle erforderlichen Sicherheitsfunktionen – externe Geräte- und Firewall-Kontrollen, Alarmbearbeitung, forensische Untersuchung und proaktives Threat Hunting – auf allen Endpunkten, IoT-Geräten und Cloud-Plattformen ermöglichen, und ihre Bedienung sollte keine umfangreiche Schulung oder Arbeitskräfte erfordern.

Es braucht eine einzige Sicherheitsplattform, die die Herausforderungen der modernen Unternehmensarchitektur lösen kann und nicht nur den heutigen Komplexitäten und Bedrohungen gerecht wird, sondern auch leicht mit dem organischen Wachstum des Unternehmens skalierbar ist, ist die einzige plausible Investition in die Zukunft Ihrer Unternehmenssicherheit.