Netzwerksicherheit

Top-5-Netzwerksicherheitslösungen und -technologien

1 min. Lesezeit

Share

Netzwerksicherheit ist für Unternehmen im 21. Jahrhundert von entscheidender Bedeutung. Sie trägt wesentlich dazu bei, Geschäftserfolg zu definieren und zu schützen. Vielen Unternehmen fällt es jedoch schwer, zu definieren, welche Netzwerksicherheitslösungen aus dem breit gefächerten Angebot für den Schutz ihrer Netzwerke und Daten essenziell sind.

Wenn Unternehmen wachsen, geraten fast immer einzelne im Netzwerk vorhandene Systeme und Benutzer aus dem Blickfeld. Solche vergessenen Systeme oder Benutzer, die sich willkürlich mit dem Netzwerk verbinden können, sind gebrochene Glieder der Sicherheitskette.

Die ungenügende Durchsetzung von Passwortrichtlinien macht sie anfällig für Brute-Force-Angriffe zum Erbeuten von Anmeldedaten und für „stille Sicherheitsverletzungen“, bei denen Angreifer Zugriff auf ein Netzwerk erlangen, sich aber unauffällig verhalten.

Wir haben unsere Cybersicherheitsexperten gefragt, welche Netzwerksicherheitslösungen sie für unerlässlich halten, um Netzwerke vor modernen Cyberbedrohungen zu schützen.

IT-Hygiene (gepatchtes Betriebssystem, Whitelist-Anwendungen)

Zunächst ein Hinweis zur IT-Hygiene. Was nicht sichtbar ist, kann nicht geschützt werden. IT-Hygiene ist daher ein entscheidender Erfolgsfaktor für Netzwerksicherheit. Sie bearbeitet Sicherheitsrisiken, bevor diese zu Problemen werden, und trägt zu Transparenz bei:

  • Wer arbeitet in Ihrem Netzwerk, mit welchen Befugnissen?
  • Welche Anwendungen laufen, welche Sicherheitsrisiken bestehen dabei?
  • An welchen Positionen der Sicherheitskette befinden sich ungeschützte Systeme?

Mithilfe solcher Informationen können Sie veraltete Daten sortieren, analysieren und korrigieren. Sie gewinnen eine solide Basis für eine Bewertung Ihrer Netzwerksicherheit. Zu einer solchen Bewertung gehören auch Analysen der Patch-Levels von Betriebssystemen, der definierten Whitelist-Anwendungen und der veralteten Benutzer.

1. Next Generation Firewalls

Wenn sich IT-Landschaften von Unternehmen über mehrere Standorte, lokale Rechenzentren sowie private, hybride und Multi-Cloud-Umgebungen verteilen, so dass sich kaum noch klare Begrenzungen ausmachen lassen, legen Unternehmen meist Wert auf eine umfassende Firewall-Lösung, um potenzielle Angreifer aufzuhalten, die Zugriff auf Benutzerkonten, Inhalte und Anwendungen erlangen wollen.

Weil Unternehmen ständig mit raffinierten Cyber-Angriffen konfrontiert sind, die ihre Business Continuity bedrohen, werden Next Generation Firewalls (NGFWs) eingesetzt. Next Generation Firewall-Schutz hilft beim Schutz von Rechenzentren, Niederlassungen, Netzwerkperimetern und rauen Industrieumgebungen.

Wichtige NGFW-Anbieter

Next Generation Firewalls sind Teil der Firewalltechnologie der dritten Generation. Sie kombinieren die Fähigkeiten von Unternehmensfirewalls und Intrusion Prevention Systems (IPS) und unterstützen unter anderem Anwendungskontrolle, URL-Filterung, VPN und Sandboxing. Die besten NGFW-Anbieter liefern Firewalls, die Cyberangriffe sofort finden und stoppen. Die eingesetzten Produkte sind vollautomatisierte Plattformen, die in bestimmten Szenarien sogar zur Vereinfachung der Security-Maßnahmen beitragen.

Palo Alto Networks NGFW

Palo Alto Networks Next Generation Firewalls beruhen auf einer konsistenten Single-Pass-Architektur. Im Gartner Magic Quadrant 2018 für Enterprise Network Firewalls wurde Palo Alto Networks zum siebenten Mal in Folge als Spitzenanbieter eingestuft. Das Unternehmen erreichte Höchstwerte bei den operativen Fähigkeiten und bei der Vollständigkeit der Vision für Enterprise Network Firewalls.

FortiGate Next Generation Firewall (NGFW)

FortiGate Firewall wurde im Magic Quadrant 2018 von Gartner als Leader im Bereich Enterprise Network Firewalls eingestuft, und ist allein deshalb schon eine Überlegung wert. Die Firewall bietet einen hohen Schutz vor Bedrohungen und automatisierte Sichtbarkeit, um Angriffe zu stoppen. Die Intent-basierte Segmentierung ermöglicht es Netzbetreibern, Security-Domänen oder -Segmente anhand von Geschäftstypen zu definieren. Intent-basierte Segmentierung ist die Fähigkeit, Bedrohungsschutz überall dort einzusetzen, wo er benötigt wird, sowohl im eigenen Gebäude als auch in allen Cloud-Instanzen, um Risiken zu reduzieren, Compliance zu erreichen und geschäftskritische Anwendungen zu schützen.

2. Sicherer Zugriff

Network Access Control (NAC)

Als Network Access Control werden Maßnahmen bezeichnet, mit denen Ordnung geschaffen wird im Chaos der Verbindungen innerhalb des Unternehmens und mit Endpoints außerhalb desselben. Mitarbeiter, Kunden, Berater, Auftragnehmer und Gäste benötigen jeweils ein bestimmtes Maß an Zugriff. Manchmal erfolgt der Zugriff vom Campus aus, in anderen Fällen von außen. NAC ist im Laufe der Jahre komplexer geworden. Einige Gründe dafür sind die Einführung von Richtlinien für eigene Geräte (BYOD), die Verbreitung von vernetzten intelligenten Geräten und das Aufkommen des Internet der Dinge (IoT).

Die effektive Beschränkung und Überwachung der vielgestaltigen Zugriffe auf Ihr Netzwerk und auf Ihre Daten wird mit Network Access Control-Lösungen systematisch organisiert. Indem Sie festlegen, welche Benutzer und Geräte welche Berechtigungen erhalten, wird dem Netzwerk und seinen Daten eine weitere Security-Ebene hinzugefügt.

NAC fängt Verbindungsanfragen ab und authentifiziert diese dann anhand eines Identitäts- und Zugriffsmanagementsystems. Der Zugriff wird entweder gewährt oder verweigert, auf Basis eines vorgegebenen Satzes von Parametern und Richtlinien, die im System definiert sind. NAC unterstützt Unternehmen dabei, Richtlinien für eine effektive Kontrolle über Geräte und den Benutzerzugriff auf Netzwerke zu implementieren. Mit Network Access Control lassen sich Zugriffsrichtlinien für Geräte, Ressourcen, Rollen und sogar Standorte festlegen. NAC verschafft Ihnen auch die Möglichkeit, Security-Compliance mit Sicherheits- und Patch-Management-Richtlinien durchzusetzen, unter anderem durch erweiterte Kontrollen.

WLAN-Security

Weil drahtlose Verbindungen im Vergleich zur kabelgebundener Technologie viel anfälliger für Abhörmaßnahmen sind, stehen viele Unternehmen vor Herausforderungen, wenn es darum geht, Daten zu schützen, die drahtlos zwischen Geräten und Access Points übertragen werden. Abhörer können potenziell Anmeldenamen, Passwörter, unternehmensspezifische Daten, Intranet-Serveradressen sowie gültige Netzwerk- und Endpointadressen erfassen. „Drahtlose Eindringlinge“ versenden Spam, stehlen Internet-Bandbreite oder nutzen Unternehmensnetzwerke, um Dritte anzugreifen. In großen Unternehmen kann WLAN-Einbruchserkennung erforderlich sein, typischerweise in Form eines verteilten Monitorings mit zentraler Erfassung und Analyse.

Tipps zur sicheren Ausgestaltung von WLAN-Lösungen:

  • Definieren Sie Zugangsanforderungen im gesamten Policy Requirement Framework. (Wer benötigt Zugriff auf welche Ressourcen und wie?)
  • Definieren Sie Sicherheitsrichtlinien für den Zugang von Gästen zur IT-Landschaft Ihres Unternehmens. (Es können zum Beispiel protokollierte Gäste-Sessions über Access Points erlaubt werden. Für diese werden dann aber Beschränkungen hinsichtlich der erlaubten Ziele, Protokolle, Dauer und Bandbreite gelten. Die Nutzung von Peer-to-Peer-Netzwerken könnte zum Beispiel verboten sein.) Soll der Zugang für Gäste gesperrt werden, muss dies in Ihrer Richtlinie in einer Weise formuliert sein, dass konkrete Maßnahmen aktiviert werden können, die das Eindringen von Besuchern verhindern.
  • Identifizieren und inventarisieren Sie Ihre Netzwerk-Assets und quantifizieren Sie Risiken, um sicherzustellen, dass die Kosten mit den Risiken und den Sicherheitsmaßnahmen ins Verhältnis gesetzt werden können.
  • Führen Sie WLAN-Penetrationstests und Schwachstellenanalysen durch, um festzustellen, welche Access Points ungeschützt oder anfällig sind und von potenziellen Angreifern gefunden werden können.

Top-Anbieter von Network Access Control

Aruba

Aruba 360 Secure Fabric setzt auf eine analysierbare sichere Infrastruktur. Alle Aruba Wireless Access Points (APs), Switches, Gateways und Controller für den Innen- und Außenbereich werden mit umfassenden Schutzfunktionen ausgestattet, um die physische Netzwerkinfrastruktur und den Datenverkehr zu schützen.

Das Aruba-Sicherheitsportfolio umfasst:

  • Aruba Policy Enforcement Firewall
  • Aruba ClearPass Policy Manager (Network Access Control)
  • Aruba ClearPass Device Insight (verbesserte Sichtbarkeit aller mit dem Netzwerk verbundenen Geräte)
  • Aruba IntroSpect UEBA and NTA (integrierte Analyse des Benutzer- und Geräteverhaltens sowie des Netzwerkdatenverkehrs).

Forescout Network Access Control

Die ForeScout-Plattform bietet unter anderem umfassende NAC-Funktionen. Grundlage ist die Echtzeittransparenz von Geräten, sobald diese auf das Netzwerk zugreifen – unabhängig vom jeweiligen Ort des Netzwerks in der verteilten IT-Landschaft Ihres Unternehmens. Netzwerke werden kontinuierlich gescannt. Alle Aktivitäten bekannter firmeneigener Geräte sowie unbekannter Geräte wie privater und betrügerischer Endpoints werden überwacht.

Automatisierung und Durchsetzung richtlinienbasierter Netzwerkzugriffskontrolle und Endpoint-Compliance sowie von Security für mobile Geräte. Die überwiegende Mehrheit der IoT- und OT-Geräte in Ihrem Netzwerk hat keine Software-Agenten und kann auch keine unterstützen. Deshalb arbeitet die ForeScout-Plattform mit agentenlosen Discovery-Technologien und passiven Überwachungstechniken, um Disruptionen zu vermeiden.

Anwendungsfälle für Forescout NAC

  • Kontrolle des Zugriffs auf vertrauliche Daten basierend auf Geräte- und Benutzerprofilen
  • Verhinderung der Verbreitung von Malware durch infizierte oder nicht konforme Geräte
  • Automatische Durchsetzung von Maßnahmen für identifizierte Situationen ohne manuelle Eingriffe

3. Data Loss Prevention (DLP)

Wie wir bereits in unserem Experten-Blogbeitrag zu Schutz gegen Datenverlust diskutiert haben, sind Daten heute ein Grundpfeiler für den geschäftlichen Erfolg von Unternehmen. Daten werden von uns täglich gespeichert, genutzt, gesendet und erstellt. Deshalb ist es heute so wichtig, Daten zu schützen und zu pflegen.

In vielen Unternehmen kommen allerdings auch Datendiebstähle und Leaks vor. In der Öffentlichkeit bekannt geworden sind Diebstähle und Veröffentlichungen von Kreditkartendaten Hunderttausender Kunden, aber auch Fälle unzufriedener Mitarbeiter, die vor dem Abschied von ihren Unternehmen noch sensible Daten kopieren, um diese später zu veröffentlichen oder zu verkaufen. Solche Vorkommnisse richten riesige Schäden zu Lasten der Kunden und Unternehmen an.

Empfohlene Anbieter für Data Loss Prevention

Beim Leaking gibt es weder Grenzen für die veröffentlichten Datenmengen, noch für die verursachten Schäden. Deshalb ist es für Ihre Netzwerksicherheit von entscheidender Bedeutung, die besten Lösungen zur Verhinderung von Datenverlust einzusetzen, die Ihren Anforderungen gerecht werden.

Forcepoint Data Loss Prevention

Data Loss Prevention-Lösungen von Forcepoint ermöglichen die Verfolgung von Daten über Netzwerke und Geräte hinweg – sowohl während der Speicherung als auch bei Zugriffen. Erstellung und Durchsetzung von Richtlinien, die den Zugriff und die Übertragung von Daten kontrollieren, um Datenschutzverstöße zu verhindern und die Compliance mit Forcepoint Data Loss Prevention (DLP) sicherzustellen. Mit lückenloser DSGVO-Berichterstattung und 9-maliger Auszeichnung als Magic Quadrant Leader sollte Forcepoint DLP definitiv auf Ihrer Kandidatenliste potenzieller DLP-Anbieter stehen.

Forcepoint DLP bietet:

  • Erkennung und Schutz für unbekannte PII- und PHI-Elemente, Quellcode, technische Zeichnungen, M&A-Dokumente, Finanzberichte, Handelsalgorithmen und Geschäftsgeheimnisse.
  • Einblicke und Kontrolle über Daten, die gespeichert sind, und auf die mit gängigen Cloud-Anwendungen wie Office 365, Box, Salesforce und anderen Produkten zugegriffen wird.
  • Ertüchtigen Sie Ihr Unternehmen mit DLP-Software mit integrierter Expertise zu Vorschriften wie PII, PHI/HIPAA und DSGVO 2018.

McAfee Data Loss Prevention

McAfee Total Protection for Data Loss Prevention (DLP) bietet universelle Datensicherheit für Endpoints, Netzwerke und die Cloud. Weil es sich um eine offene Plattform handelt, ist es bei McAfee ePO-Software einfacher, Device-to-Cloud DLP zu aktivieren. McAfee DLP-Kunden können die geltenden DLP-Richtlinien ihrer Unternehmen problemlos auch in der Cloud durchsetzen und mit einheitlichen Richtlinien für eine konsistente Erkennung von Datenverlusten sorgen. Über eine zentrale Management-Konsole werden alle DLP-Verletzungen und Vorfalls-Workflows verwaltet, unabhängig davon, ob die DLP-Verletzungen von Unternehmensgeräten oder Cloud-Anwendungen stammen. Weil täglich mehr Daten in der Cloud erstellt und an die Cloud gesendet werden, ist es wichtiger denn je, über einheitliche DLP-Richtlinien zu verfügen, die Datenlecks verhindern – unabhängig davon, ob es sich um Unternehmens-Endpoints, Unmanaged Devices, Daten im Netzwerk oder sogar Daten in Cloud-Anwendungen handelt.

4. Anbieter von Cloud Access Security Brokern (CASB)

Das Wesen von Cloud Access Security Brokern (CASB) besteht darin, Daten auf den Systemen von Dritten zu schützen. Laut Gartner-Analyst Steve Riley werden sie für die Cloud die gleiche Bedeutung erlangen wie Firewalls für Rechenzentren.

CASB-Software wird vor Ort oder in einer Public Cloud bereitgestellt. CASB wird zwischen Cloud-Service-Anbietern und Cloud-Service-Nutzern platziert und setzt Sicherheits- und Governance-Richtlinien für Cloud-Anwendungen durch, so dass Unternehmen ihre lokalen Richtlinien auf die Cloud ausdehnen können. Mitarbeiter entscheiden sich immer für Komfort statt Sicherheit. CASBs passen sich an dieses Verhalten an, indem sie Mitarbeitern und Partnern nur die Nutzung genehmigter Cloud-Dienste erlauben und die Nutzung risikoreicher Services blockieren. Außerdem werden mit CASB Daten geschützt, die auf den Servern von Cloud Service Providern gespeichert sind.

Wichtige CASB-Anbieter

McAfee MVISION Cloud

McAfee MVISION Cloud wird im Gartner Magic Quadrant für Cloud Access Security Broker sowie in The Forrester Wave aufgeführt: Cloud Security Gateways Q1 2019. Die Lösung unterstützt Sie dabei, personenbezogene Daten in CRMs zu verschlüsseln. Dabei kommen Schlüssel zum Einsatz, die nur von Ihnen kontrolliert werden. Die Möglichkeit zur Nutzung von Such- und Sortierfunktionen bleibt dabei möglich. Außerdem wird die Durchsetzung von Sicherheitsrichtlinien mit Berechtigungsmanagement, Datenklassifizierung, Bedrohungsschutz und Verschlüsselung ermöglicht. Dazu wird eine zentrale Sicherheitsplattform bereitgestellt, die in der Cloud für die Cloud entwickelt wurde.

Forcepoint CASB

Die CASB-Lösungen von Forcepoint versprechen, keine einzige Cloud-App ungeschützt zu lassen. Von CRN als „Produkt des Jahres 2017“ ausgezeichnet, bietet Forcepoint CASB Sicherheit für alle Cloud-Anwendungen und zusätzlich Erkennung und Klassifizierung von Cloud-Anwendungen. Dank vollständiger Transparenz der Schatten-IT können Sie Cloud-Anwendungen identifizieren und kategorisieren, um Risiken einzuschätzen und festzustellen, welche Services Sie zulassen und mit Forcepoint Cloud Access Security Broker überwachen sollten. Sie können auch eindeutige Zugriffs- und Sicherheitsrichtlinien bezogen auf einzelne Geräte anwenden. Basis dafür ist eine einfache Unterscheidung zwischen verwalteten und unverwalteten Geräten (BYOD).

5. E-Mail Security

E-Mails gehören weiterhin zu den beliebtesten Kommunikationsmedien in Unternehmen. Deshalb sind sie auch weiterhin ein beliebter Angriffsvektor. Der Zugriff von Mitarbeitern auf E-Mails erfolgt über unterschiedliche Geräte von verschiedenen Orten aus – zuhause, im Büro, unterwegs. Für die E-Mail-Nutzung wird eine „konvergierte Gerätelandschaft“ genutzt. Mitarbeiter klicken in E-Mails manchmal versehentlich auf Links zu Websites, auf denen Malware gehostet ist. Oder sie installieren sogar bösartige Inhalte direkt auf dem eigenen Gerät, ohne es zu wissen. Diese Inhalte werden dann in Form von Anhängen an weitere Mitarbeiter gesendet.

Top-Anbieter für E-Mail Security

Wenn Sie mehr erfahren wollen über die kritischen Aspekte von E-Mail Security, alle wichtigen Funktionen, die E-Mail Security-Produkte unterstützen müssen, sowie die Integration in bestehende Infrastrukturen, lesen Sie unseren Experten-Blogbeitrag Cyber Kill Chain und die Geheimnisse der E-Mail Security.

Proofpoint Email Protection

Proofpoint ist seit vielen Jahren ein echter Pionier im Bereich E-Mail Security. Der E-Mail-Schutz von Proofpoint bietet erweiterte E-Mail-Filterung, Kontrolle und Transparenz, Schutz vor Betrug und interne Mail-Abwehr. Mit der Next Generation E-Mail Security von Proofpoint können Sie Ihre Mitarbeiter, Daten und Marken vor den heute gängigen Bedrohungen und verbreiteten Belastungen schützen, wie:

  • Betrügerische E-Mails
  • Phishing
  • Malware
  • Spam
  • Massenversand

FortiMail Email Security

Die Einstufung mit der höchsten Bewertung AAA im SE Labs-Gruppentest 2018 war eine eindrucksvolle Bestätigung für das branchenweit anerkannte Engagement von Fortinet bei der Entwicklung innovativer und effektiver E-Mail Security-Lösungen. FortiMail wird typischerweise von Unternehmen ausgewählt, um Benutzer und letztendlich Daten vor Cyberbedrohungen zu schützen: ständig wachsenden Mengen unerwünschter Spam-E-Mails, Phishing mit Social-Engineering-Techniken, kompromittierten geschäftlichen E-Mails, beschleunigten Ransomware-Varianten und anderen Malware-Produkte, steigenden Zahlen gezielter Angriffe von Angreifern unterschiedlichster Provenienz und so fort.

Registrieren Sie sich für unseren Newsletter

Erhalten Sie die neuesten Security-News, Einblicke und Markttrends direkt in Ihren Postfach.

Updates

Weitere Updates