Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Strategien gegen neue Gefahren

Strategien gegen neue Gefahren

10. September 2007, 16:38 Uhr |

Threat-Control und Containment – Neue Risiken und Gefahren im Netz erfordern neue Maßnahmen zum Schutz der Unternehmens-IT.

Bedrohungen der Netzwerksicherheit, kurz Threats genannt, haben das Potential, die Unternehmens- und Mitarbeiterproduktivität signifikant einzuschränken, indem sie den IT-Betrieb unterbrechen und damit die reibungslose Ausführung der Geschäftsprozesse verhindern. Als unmittelbare Folge können sich Informationsverluste einstellen, als mittelbare Folgen drohen finanzielle Verluste und Kosten infolge einer damit verbundenen Verletzung gesetzlicher Vorschriften. Hacker entwickeln ständig neue Methoden und Techniken, um an elektronisch verfügbare Informationen heranzukommen – zu ihrem eigenen finanziellen Vorteil.

Die rasante Entwicklung und zunehmende Komplexität der Threats erfordert gesamtheitliche und vorausschauende Sicherheitsstrategien, die dazu beitragen, die unterbrechungsfreie Fortsetzung der Geschäftsprozesse sicherzustellen, das Netzwerk-Management zu vereinfachen sowie infrastrukturübergreifenden Schutz vor und netzwerkweite Sichtbarkeit von Threats sicherzustellen. Die gesamte Sicherheits-Infrastruktur, also Netzwerk, Systeme und IT-Management, müssen im Einklang arbeiten, um die IT-Landschaft gegen eine vielfältige Reihe von Threats zu schützen und die Reaktionszeiten zur Wiederherstellung im Falle eines Angriffs zu verringern. Bestandteile einer solchen Sicherheitsarchitektur sind Elemente zur vorausschauenden Verteidigung des Netzwerks sowie durchgehendes Richtlinien- und Systemmanagement.

Das veränderte Gefahrenumfeld
Die Intention von Hackern, die Verwundbarkeiten unvollständiger und fehlerbehafteter Netzwerk- und Systemelemente zu ihrem Vorteil auszunutzen, hat sich über die letzten Jahre stark verändert. War es ursprünglich die Möglichkeit, über einen erfolgreichen »Hack« Publicity zu erlangen, ist heutzutage das Erlangen eines finanziellen Vorteils als wichtiger Beweggrund für das Ausnutzen von Sicherheitslücken in IT-Systemen zu beobachten. Diese Veränderung spiegelt sich auch in den für die Angriffe angewandten Methoden wieder, Exploits – das Ausnutzen von Verwundbarkeiten – sind immer schwieriger aufzudecken und zu bekämpfen.

Hacker scheinen sich immer ein Stück schneller an die Umgebungsbedingungen anpassen zu können als Hersteller von Anwendungs-Software- und Betriebssystemen ihre Security-Patches und Work-Arounds bereitstellen können. Exploits werden oft so ausgestaltet, dass sie nicht durch eine Signatur entdeckt werden können. Zusätzlich zu epidemisch auftretenden Wurm- und Viren-Attacken müssen sich IT-Organisationen auch netzwerkbasierten Threats stellen, die speziell dafür designed wurden, nicht entdeckt zu werden – und damit herkömmliche Schutzmechanismen umgehen können.

Mittel gegen neue Gefahren
Neue Threats – sogenannte Day-Zero-Threats – sind in der Regel schwierig zu entdecken und einzudämmen, da zumeist keine passenden Signaturen oder Methoden existieren, die Ausnutzung derselben zu verhindern. Hinzu kommt, dass viele IT-Abteilungen kaum Werkzeuge und Prozesse zur Verfügung haben, die automatisch eingesetzt werden können, um Attacken auf Systeme und Applikationen sowie Eindringlinge abwehren können, bevor sie Schaden anrichten. Zusätzlich bleibt oft infolge der alltäglichen Aufgaben zu wenig Zeit, um sich auch noch auf Threats zu konzentrieren, die schwer aufzudecken sind.

IT-Administratoren benötigen daher Werkzeuge, die sie dabei unterstützen, Verletzungen von Sicherheitsrichtlinien sowie Exploits abzufangen und den gesamten Datenverkehr auf Anomalien hin zu untersuchen, um richtlinienkonformen Datenverkehr von verdächtigem und gefährlichem Datenverkehr zu unterscheiden.

Die meisten Unternehmen und Organisationen haben bereits Werkzeuge im Einsatz, die als Ausgangspunkt für die Entwicklung einer Abwehr-Architektur dienen können, darunter Firewalls und Anti-Viren-Lösungen, die als Elemente der vordersten und der letzten Verteidigungslinie Schutzfunktionen und wichtige Informationen über den Status des Netzwerks zu jeder beliebigen Zeit liefern können. Weitere Bausteine sind existierende Router und Switches, die um effektive Sicherheitsfunktionen, beispielsweise IPS/IDS, Firewall und Verschlüsselung – erweitert werden können, eine mögliche Vorgehensweise kann folgendermaßen aussehen.

  • Implementierung eines zentralen Threat-Korrelations- und Alarm-Management-Systems, um die Informationen aus Alarmen, Regelverletzungen und Logs optimal auswerten zu können. Informationen aus SNMP-Traps, Syslog, Netflow/Sflow sowie zentral gesammelte Daten aus anderen Infrastrukturen, zum Beispiel Heuristiken aus globalen Service-Provider-Netzen, kommen beispielsweise dafür in Frage.
  • Untersuchung der existierenden Technologie und Richtlinien für Perimeter-Schutz daraufhin, dass die oben beschriebenen, neuen Angriffsvektoren wie Protokoll-Anomalien, Attacken auf Anwendungsebene und Intrusion adressiert werden und an zukünftige Entwicklungen rasch angepasst werden können.
  • Nutzung von spezialisierten externen Informationsquellen, die Informationen von Gruppen wie CERT, SANS oder anderen kondensieren und auf die jeweiligen Belange des Nutzers anpassen. So kann sich ein einzelnes Unternehmen auf die Abwehr der Threats konzentrieren, die für dieses relevant sind – in Abhängigkeit von der existierenden Applikations- und Netzwerk-Landschaft.

Sicherung verteilter Unternehmensstandorte
Regional-Niederlassungen, kleine Zweigstellen, Agenturbüros und mobile Mitarbeiter erhöhen die Wahrscheinlichkeit dafür, dass Threats in die verteilte IT-Infrastruktur eingeschleppt und wirksam werden können. Drahtlose Netzwerke, Zugangskontrolle zum Netzwerk und zu den Niederlassungen sowie ungemanagte Geräte können Komplikationen verursachen, sobald es um den Schutz kritischer Informationen und von IT-Endgeräten geht. Folgende Vorgehensweise empfiehlt sich:

  • Implementierung von Authentifizierungsmechanismen für WLAN-Benutzer und Mechanismen zum Aufspüren unzulässiger drahtloser Systeme, um sicherzustellen, dass unbefugte Nutzer keinen Zugriff auf das Netzwerk bekommen.
  • Hilfreich ist auch die Durchführung eines Penetrationstests der drahtlosen Infrastruktur. In diesem Zusammenhang kann festgestellt werden, welchen Risiken die existierende drahtlose Infrastruktur ausgesetzt ist und welche Gegenmaßnahmen getroffen werden können.
  • Sicherstellen, dass Client-Systeme und andere Endgeräte ausreichend gesichert sind, beispielsweise dass ein Virenscanner installiert und auf dem aktuellsten Stand ist, so dass diese nicht Initiator eines Angriffs werden oder bösartigen Code wie Würmer oder Viren ins Netzwerk einschleppen.
  • Anwendung von Intrusion-Prevention-Systemen (IPS) auch im Bereich der Niederlassungen. Diese IPS können einen Zugriff von Hackern auf das zentrale Netz via Außenstellennetz wirksam verhindern und zugleich die Endbenutzer- und Server-Systeme im Zweigstellenbereich vor Angriffen schützen.
  • Einrichtung von Gateway-Security-Systemen für Anti-Virus, Anti-Spam und Anti-Spyware auch in den Außenstellen für den zusätzlichen Schutz der Endgeräte und Infrastrukturelemente im Netz. Eine so sichergestellte »Reinigung« der übertragenen Daten kann die Systemsicherheit und die Netzwerk-Performance drastisch erhöhen.

Schutz vor Day-Zero-Attacken
Die Schutzmaßnahmen für Server, System- und Applikations-Infrastruktur sollten in jedem Fall auch Maßnahmen gegen Day-Zero-Attacken enthalten, um auch den eventuell existierenden Richtlinien und Gesetzen gerecht zu werden. Derartige Schutzmaßnahmen können stufenweise in die existierende IT-Landschaft integriert werden und so für eine erhebliche Verbesserung der Sicherheit und für zusätzliche Transparenz hinsichtlich verwendeter Angriffsmethoden sorgen und so die Arbeit der System- und Netzwerkadministratoren vereinfachen. Elemente einer möglichen Vorgehensweise sind:

  • Überprüfung und Aktualisierung der existierenden Maßnahmen für Intrusion- und Attack-Prevention hinsichtlich der automatisierten Aktualisierung der Angriffssignaturen sowie die Erweiterung dieser Systeme um die Möglichkeit, Anomalien in den Verkehrs- und Kommunikationsmustern – beispielsweise über statistische Modelle und Heuristiken – aufzudecken und die damit verbundenen Attacken wirksam abzuwehren.
  • Einrichtung von Schutzsystemen für Endsysteme. Diese sogenannten Host-Intrusion-Prevention-Systeme (HIDS) schützen Server und Workstations gegen Threats, können unter anderem die Installation von unerwünschter Software verhindern, USB-Ports kontrollieren, ortsabhängige Richtlinien umsetzen und umfassende Reports über Anomalien auf diesen Systemen liefern.
  • Anwendung von erweiterten Techniken zum Richtlinien-Management und zur Threat-Korrelation, um die Antwortzeiten und Wiederherstellungszeiten im Falle einer Attacke zu verringern.

Netzwerk-Zugriff und Richtlinienkonformität sichern
Der Zugriff auf interne Systeme, Netzwerksegmente und Applikationen sollte unbedingt auf vertrauenswürdige Anwender beschränkt sein. Bevor diesem Anwenderkreis Zugriff gewährt wird, sollte überprüft werden, ob die Systeme dieser Anwender mit den unternehmenseigenen Richtlinien konform sind oder nicht.

  • Einrichtung von Network-Admission- beziehungsweise Access-Control-Mechanismen, auch in öffentlichen Bereichen – ob drahtlos oder drahtgebunden. Eine NAC-Lösung sollte grundsätzlich folgende Grundfunktionen abdecken: sichere Authenfizierung von Geräten und Benutzern, konsistente Durchsetzung der Sicherheitsrichtlinien in der gesamten IT-Infrastruktur über alle Endgeräte und Zugangstechnologien hinweg, Quarantäne nicht-richtlinienkonformer Geräte und Wiederherstellung des geforderten Sicherheitsniveaus durch Software-Updates und Remediation-Maßnahmen, ein umfassendes und einfach zu handhabendes Policy-Management und einen angemessenen Automatisierungsgrad der zugehörigen Prozesse.
  • Erweiterung der Perimeter-Firewall-Infrastruktur um IPS-Funktionalität hinsichtlich neuer Typen von Attacken, Überarbeitung der Firewall-Richtlinien diesbezüglich, auch unter Berücksichtigung von Angriffen auf Protokoll- und Applikationsebene.

Fazit
Das Gefahrenumfeld in der IT hat sich über die Jahre verändert – die IT- und Sicherheitsadministratoren müssen einen weiten Bereich an Gefahrenmomenten für die IT-Landschaft kennen und abwehren können und zugleich den Netzwerkzugriff für alle legitimierten Benutzer sowie die Verfügbarkeit der IT-Ressourcen sicherstellen. Nur ein systematischer und umfassender Ansatz über die vorab angesprochenen Bereiche mit den zugehörigen Elementen kann zu einem wirksamen und zukunftssicheren »Treat Control & Containment«-Prozess führen.

Thomas Boele
Marketing Manager Field Market Development, Cisco Systems

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
AixpertSoft GmbH

AixpertSoft GmbH
estos GmbH

estos GmbH

GoTo Technologies Germany GmbH

GoTo Technologies Germany GmbH
GN Audio Germany GmbH / Jabra

GN Audio Germany GmbH / Jabra

WatchGuard Technologies

WatchGuard Technologies
AvePoint Deutschland GmbH

AvePoint Deutschland GmbH