Threat-Control und Containment – Neue Risiken und Gefahren im Netz erfordern neue Maßnahmen zum Schutz der Unternehmens-IT.
Bedrohungen der Netzwerksicherheit, kurz Threats genannt, haben das Potential, die Unternehmens- und Mitarbeiterproduktivität signifikant einzuschränken, indem sie den IT-Betrieb unterbrechen und damit die reibungslose Ausführung der Geschäftsprozesse verhindern. Als unmittelbare Folge können sich Informationsverluste einstellen, als mittelbare Folgen drohen finanzielle Verluste und Kosten infolge einer damit verbundenen Verletzung gesetzlicher Vorschriften. Hacker entwickeln ständig neue Methoden und Techniken, um an elektronisch verfügbare Informationen heranzukommen – zu ihrem eigenen finanziellen Vorteil.
Die rasante Entwicklung und zunehmende Komplexität der Threats erfordert gesamtheitliche und vorausschauende Sicherheitsstrategien, die dazu beitragen, die unterbrechungsfreie Fortsetzung der Geschäftsprozesse sicherzustellen, das Netzwerk-Management zu vereinfachen sowie infrastrukturübergreifenden Schutz vor und netzwerkweite Sichtbarkeit von Threats sicherzustellen. Die gesamte Sicherheits-Infrastruktur, also Netzwerk, Systeme und IT-Management, müssen im Einklang arbeiten, um die IT-Landschaft gegen eine vielfältige Reihe von Threats zu schützen und die Reaktionszeiten zur Wiederherstellung im Falle eines Angriffs zu verringern. Bestandteile einer solchen Sicherheitsarchitektur sind Elemente zur vorausschauenden Verteidigung des Netzwerks sowie durchgehendes Richtlinien- und Systemmanagement.
Das veränderte Gefahrenumfeld
Die Intention von Hackern, die Verwundbarkeiten unvollständiger und fehlerbehafteter Netzwerk- und Systemelemente zu ihrem Vorteil auszunutzen, hat sich über die letzten Jahre stark verändert. War es ursprünglich die Möglichkeit, über einen erfolgreichen »Hack« Publicity zu erlangen, ist heutzutage das Erlangen eines finanziellen Vorteils als wichtiger Beweggrund für das Ausnutzen von Sicherheitslücken in IT-Systemen zu beobachten. Diese Veränderung spiegelt sich auch in den für die Angriffe angewandten Methoden wieder, Exploits – das Ausnutzen von Verwundbarkeiten – sind immer schwieriger aufzudecken und zu bekämpfen.
Hacker scheinen sich immer ein Stück schneller an die Umgebungsbedingungen anpassen zu können als Hersteller von Anwendungs-Software- und Betriebssystemen ihre Security-Patches und Work-Arounds bereitstellen können. Exploits werden oft so ausgestaltet, dass sie nicht durch eine Signatur entdeckt werden können. Zusätzlich zu epidemisch auftretenden Wurm- und Viren-Attacken müssen sich IT-Organisationen auch netzwerkbasierten Threats stellen, die speziell dafür designed wurden, nicht entdeckt zu werden – und damit herkömmliche Schutzmechanismen umgehen können.
Mittel gegen neue Gefahren
Neue Threats – sogenannte Day-Zero-Threats – sind in der Regel schwierig zu entdecken und einzudämmen, da zumeist keine passenden Signaturen oder Methoden existieren, die Ausnutzung derselben zu verhindern. Hinzu kommt, dass viele IT-Abteilungen kaum Werkzeuge und Prozesse zur Verfügung haben, die automatisch eingesetzt werden können, um Attacken auf Systeme und Applikationen sowie Eindringlinge abwehren können, bevor sie Schaden anrichten. Zusätzlich bleibt oft infolge der alltäglichen Aufgaben zu wenig Zeit, um sich auch noch auf Threats zu konzentrieren, die schwer aufzudecken sind.
IT-Administratoren benötigen daher Werkzeuge, die sie dabei unterstützen, Verletzungen von Sicherheitsrichtlinien sowie Exploits abzufangen und den gesamten Datenverkehr auf Anomalien hin zu untersuchen, um richtlinienkonformen Datenverkehr von verdächtigem und gefährlichem Datenverkehr zu unterscheiden.
Die meisten Unternehmen und Organisationen haben bereits Werkzeuge im Einsatz, die als Ausgangspunkt für die Entwicklung einer Abwehr-Architektur dienen können, darunter Firewalls und Anti-Viren-Lösungen, die als Elemente der vordersten und der letzten Verteidigungslinie Schutzfunktionen und wichtige Informationen über den Status des Netzwerks zu jeder beliebigen Zeit liefern können. Weitere Bausteine sind existierende Router und Switches, die um effektive Sicherheitsfunktionen, beispielsweise IPS/IDS, Firewall und Verschlüsselung – erweitert werden können, eine mögliche Vorgehensweise kann folgendermaßen aussehen.
Sicherung verteilter Unternehmensstandorte
Regional-Niederlassungen, kleine Zweigstellen, Agenturbüros und mobile Mitarbeiter erhöhen die Wahrscheinlichkeit dafür, dass Threats in die verteilte IT-Infrastruktur eingeschleppt und wirksam werden können. Drahtlose Netzwerke, Zugangskontrolle zum Netzwerk und zu den Niederlassungen sowie ungemanagte Geräte können Komplikationen verursachen, sobald es um den Schutz kritischer Informationen und von IT-Endgeräten geht. Folgende Vorgehensweise empfiehlt sich:
Schutz vor Day-Zero-Attacken
Die Schutzmaßnahmen für Server, System- und Applikations-Infrastruktur sollten in jedem Fall auch Maßnahmen gegen Day-Zero-Attacken enthalten, um auch den eventuell existierenden Richtlinien und Gesetzen gerecht zu werden. Derartige Schutzmaßnahmen können stufenweise in die existierende IT-Landschaft integriert werden und so für eine erhebliche Verbesserung der Sicherheit und für zusätzliche Transparenz hinsichtlich verwendeter Angriffsmethoden sorgen und so die Arbeit der System- und Netzwerkadministratoren vereinfachen. Elemente einer möglichen Vorgehensweise sind:
Netzwerk-Zugriff und Richtlinienkonformität sichern
Der Zugriff auf interne Systeme, Netzwerksegmente und Applikationen sollte unbedingt auf vertrauenswürdige Anwender beschränkt sein. Bevor diesem Anwenderkreis Zugriff gewährt wird, sollte überprüft werden, ob die Systeme dieser Anwender mit den unternehmenseigenen Richtlinien konform sind oder nicht.
Fazit
Das Gefahrenumfeld in der IT hat sich über die Jahre verändert – die IT- und Sicherheitsadministratoren müssen einen weiten Bereich an Gefahrenmomenten für die IT-Landschaft kennen und abwehren können und zugleich den Netzwerkzugriff für alle legitimierten Benutzer sowie die Verfügbarkeit der IT-Ressourcen sicherstellen. Nur ein systematischer und umfassender Ansatz über die vorab angesprochenen Bereiche mit den zugehörigen Elementen kann zu einem wirksamen und zukunftssicheren »Treat Control & Containment«-Prozess führen.
Thomas Boele
Marketing Manager Field Market Development, Cisco Systems