Experten Blog

Auf dem Weg zum Zero-Trust Cybersecurity Framework

So beugen Sie als CISO Bedrohungen in der modernen Welt vor

Viele Unternehmen erleben die zunehmende Auflösung der Grenzen ihrer Netzwerke. Speicherung und Übertragung von Daten können an vielen verschiedenen Orten von den eigenen Rechenzentren bis hin zu den Mobilgeräten der Nutzer stattfinden. Für Unternehmen wird es deshalb immer schwieriger, ihre geschäftskritischen Daten wirksam zu schützen.

Cyber-Angriffe werden raffinierter. Erkennung und Eindämmung werden immer schwieriger. Und für Unternehmen reicht es nicht mehr aus, isolierte Attacken abzuwehren, denn sie sind immer öfter gut organisierten und hartnäckigen Angriffsstrategien ausgesetzt.

Attack-as-a-Service kombiniert mit Post-Sales-Support, Erfolgsgarantien und Geld-Zurück-Optionen stellenUnternehmen vor gewaltige Aufgaben bei der Aktualisierung ihrer Abwehrmaßnahmen.

Das Aufgabenfeld eines CISO war noch nie so anspruchsvoll wie heute.

Sind erstklassige Next-Generation Security-Lösungen die Antwort auf diese Herausforderung?

Gartner schätzt, dass bis 2020 Firewallversagen in 99 % aller Fälle durch Fehlkonfigurationen und nicht durch Firewallfehler verursacht werden wird.

Deshalb besteht ein dringender Bedarf nicht nur für Rahmenbedingungen zur Implementierung erstklassiger Security-Lösungen, die Angriffe schneller erkennen und eindämmen, darüber hinaus wird geeignete Expertise benötigt, um derartige Lösungen regelmäßig neu zu planen, bereitzustellen, zu testen und auf Wirksamkeit zu überprüfen. 

Welche Wahl würden Sie treffen? Umsetzung von Änderungen, nachdem Sicherheitsverletzungen stattgefunden haben? Oder kontinuierliche Inspektionen, um die Widerstandsfähigkeit der Cyberabwehr Ihres Unternehmens zu prüfen?

Lassen Sie uns die relevanten Facetten des Themas näher betrachten.

Auf dem Weg zum Zero-Trust Framework

Das Prinzip „Zero Digital Trust“ ist ein besonders ganzheitliches Sicherheits-Framework aus der neueren Zeit. Segen und gleichzeitig Fluch dieses Konzepts ist seine Einfachheit – alle Datenübertragungen werden standardmäßig blockiert und es gilt das Prinzip des minimalen Zugriffs.

Um „Zero Digital Trust“ innerhalb Ihrer IT-Landschaft effektiv zu implementieren, müssen die folgenden Voraussetzungen erfüllt sein:

Figure: Vollständige Transparenz, Reduzierung der Angriffsfläche, Abwehr bekannter Attacken, Abwehr unbekannter Attacken

Vollständige Transparenz – in der Umgebung aus PERIMETER, NETZWERK, ENDGERÄTEN, RECHENZENTREN, CLOUD und SAAS

Der Datenverkehr in Unternehmen aller Größen ist zu mehr als 60 % webbasiert und verschlüsselt. Mit übertragen werden dabei Anomalien verschiedenster Art – Malware, Ransomware, Trojaner, Spyware usw.

Der Schlüssel zur vollständigen Kontrolle des Anwendungsdatenverkehrs ist SSL-Inspektion: für ausgehenden Internetdatenverkehr (d. h. von den Benutzern in das Internet) sowie für eingehenden Datenverkehr zu Servern, auf denen kritische Anwendungsservices gehostet sind. Voraussetzung dafür ist Einblick in den Anwendungsverkehr innerhalb der verschlüsselten Schicht.

Reduzierte Angriffsfläche – Weitreichendste Maßnahme für strenge Security-Disziplin

Basis für die Reduzierung der Angriffsfläche ist ein zustimmendes Security-Modell: „Wer braucht Zugang zu welcher Ressource? Wie und mit welchen Werkzeugen?“ Alle bösartigen Aktivitäten müssen blockiert werden. Das Deaktivieren von IPS-Signaturen zur Verbesserung der Firewall-Performance könnte sich früher oder später als kostspielige Maßnahme erweisen. Vermeiden Sie implizites Vertrauen zwischen allen Hosts innerhalb von TRUST- und DMZ-Zonen.

Nur weil der Name der logischen Zone „TRUST“ lautet, sind nicht alle Hosts innerhalb der Zone vertrauenswürdig.

Ein einziger betroffener Host innerhalb eines Netzwerks kann in kürzester Zeit alle anderen infizieren. 

Interne Segmentierung ist wichtig. Ohne Netzwerksegmentierung haben es Anomalien denkbar einfach. Sowohl Angreifer mit Fernzugriff auf Ihr Netzwerk als auch automatisierte Angriffe wie NotPetya und BadRabbit können sich ungehindert und unerkannt austoben.

Kombinieren Sie Firewall-Richtliniensteuerung mit identitätsbasierten Firewall-Regeln, Multifaktor-Authentifizierung, Datei-Blockierung und URL-Kategorisierung mit einer Cloud-basierten Engine – alle diese Einzelmaßnahmen tragen dazu bei, die Angriffsfläche effektiv zu reduzieren. Automatisierung ist der einzige praktikable Weg, um mit dem Umfang und der Komplexität moderner Angriffe Schritt zu halten und den Fachkräftemangel auszugleichen.

Umfassendes Logging, nicht nur Blockierung. Alle Logs müssen gespeichert werden. Dies ist eine entscheidende Voraussetzung für die Reaktion auf Vorfälle, Bedrohungssuche, Bedrohungsaufklärung, maschinelles Lernen und andere Aktivitäten.

Daten gelten weithin als wertvollstes Gut. Für die Erstellung der benötigten Modelle zur Erkennung bösartiger Aktivitäten unter Verwendung von Verfahren des maschinellen Lernens und der künstlichen Intelligenz werden große Datenmengen benötigt. Die Speicherung und Analyse von Daten im eigenen Haus ist dafür nicht ausreichend. Mit großen Mengen qualitativ hochwertiger Daten und maschinellem Lernen im Bereich der Verhaltensanalyse können wir mit unseren Gegnern Schritt halten.

Vereitelung bekannter Angriffe

Fast alle Next-Generation-Security-Anbieter tragen zu einem riesigen gemeinsamen Pool mit Bedrohungsdaten bei. Dieser enthält Hashes und Samples von Angriffen, die in freier Wildbahn erkannt und von anderen Kunden gemeldet wurden. Auf dieser Grundlage können die Security-Anbieter ihre Verteidigungsmaßnahmen konsolidieren und rechtzeitig Signaturen zur Erkennung und Blockierung solcher Anomalien erstellen, und zwar schon kurz nachdem der „erste Patient“ gemeldet wurde.

Der Schlüssel zur Erkennung und Reaktion auf diese bekannten Anomalien ist die nahtlose Konnektivität aller Sensoren in Ihrem Ökosystem – Netzwerk-Firewall, Endpoint Protection-Clients, SaaS- und Cloud-Security-Sensoren – zu den Signaturverteilungspunkten.

Angreifer zielen oft auf bekannte Schwachstellen von Endgeräten. Die Security-Posture der Nutzer-Endgeräte detailliert zu kennen, ist deshalb absolut unerlässlich. Sie ist die entscheidende Voraussetzung, um nur solchen Benutzern den Zugriff auf kritische Daten zu ermöglichen, deren Endgeräte mit den Security-Richtlinien des Unternehmens übereinstimmen.

Natürlich müssen dafür zunächst ein striktes IT Security Regelwerk und Cyber Security-Bewusstsein vorhanden sein!

Vereitelung unbekannter Angriffe

Hierbei geht es um Erkennung und Eindämmung völlig neuer Anomalien – Malware und andere Bedrohungsformen – um auf diesem Wege Zero Day Protection zu erreichen.

Ein Lösungsansatz für das anspruchsvolle Problem der Bekämpfung von Zero Day Exploits sind Sandbox-Umgebungen in verschiedenen Formfaktoren – On-Premise, Cloud-basiert oder als SaaS-Service gehostet.

Moderne persistente Bedrohungen machen verhaltensorientierte Erkennungsverfahren notwendig. Malwareprogramme werden beim Einsatz dieser Verfahren nicht anhand ihrer Beschaffenheit erkannt (signaturbasiert), sondern anhand ihrer Aktivitäten. Die verdächtigen Programme werden in den Sandboxen ausgeführt. Ihr Verhalten wird überwacht und automatisiert analysiert.

Sandboxen und Modelle auf Basis von Verfahren zum maschinellen Lernen

Sandboxen blockieren bösartige Untersuchungsproben (Samples) anhand ihrer Aktivitäten, so dass diese gar nicht erst zu den Endgeräten weitergeleitet werden. Die meisten modernen Sandboxen haben virtuelle Ausführungsumgebungen für die detaillierte Inspektion laufender Samples, in denen Erkennungsmethoden eingesetzt werden, darunter verhaltensbasierte Erkennung, In-Memory Introspection und Extrapolationsmodelle mit Unterstützung durch maschinelles Lernen.

Dieser Ansatz ist konkreter und effizienter als ein Abgleich mit Signaturendatenbanken. Beim Sandboxing wird genau untersucht, was eine Datei tut. Deshalb lässt sich weitaus schlüssiger feststellen, ob eine Datei bösartig ist. Ausgefeilte Malware-Programme versuchen oft, ihre Funktion zu verschleiern, wenn sie in einer virtuellen Sandbox-Umgebung ausgeführt werden.

Deshalb sind Sandboxing-Umgebungen erforderlich, die auch dynamische Verhaltensanalysen und dynamisches Entpacken verwenden, um verdächtige Dateien in unterschiedlichen Software- und Bare-Metal-Umgebungen zu untersuchen.

Sobald eine Malware erkannt wurde, wird eine Signatur erstellt und an alle registrierten Punkte im Ökosystem des Kunden verteilt – an Firewalls und Endgerätesysteme.

Entscheidungskriterien für die Auswahl von Next-Generation Cyber-Security-Produkten

Ein Standalone-Sicherheitsprodukt von der Stange zu beschaffen, kann sich selbst bei erstklassigen Produkten als kontraproduktiv erweisen. Es ist wahrscheinlich, dass sich viele Anforderungen damit nicht erfüllen lassen.

Der Fokus sollte auf einem lösungsbasierten Ansatz liegen, bei dem mehrere Security-Sensoren in Netzwerk verknüpft werden – Endgeräte, Cloud- und SaaS-Umgebungen sowie SIEM und maschinelles Lernen –, um eine lückenlose Security Posture für Ihr Unternehmen zu schaffen.

Kunal Biswas - 25 April 2019

Diese Seite teilen: