Der digitale Arbeitsplatz braucht eine neue Sicherheitsarchitektur


Mobile Geräte, Cloud Computing und das Internet der Dinge haben die starren Außengrenzen von Firmennetzwerken verwischt oder komplett aufgehoben. In einem Gastbeitrag erklärt Partha Narasimhan von HPE Aruba, wie eine Sicherheitsarchitektur aussehen muss, die diese Entwicklung mitträgt und effektiv vor den neuen Gefahren schützen kann. 

Zusammenarbeit ist das wesentliche Merkmal des heutigen digitalen Arbeitsplatzes. Die so genannten Collaborative Digital Workplaces erfordern jedoch ein Sicherheitsniveau, das von vielen Unternehmen derzeit noch nicht umgesetzt wird. Simultaner Datenzugriff in Echtzeit, Remote-Zugriff auf Desktops, Voice-over-IP, Instant-Messaging und Cloud-basierte Zusammenarbeit exponieren allerdings viele wertvolle Firmendaten und öffnen Cyber-Angreifern Tür und Tor. Der Schutz von Identitäten, Daten, Quellcode und anderem geistigen Eigentum ist durch Mobile und Cloud Computing sowie durch das Internet der Dinge (IoT) viel schwieriger geworden, weil letztere die sicherheitsrelevanten Außengrenzen radikal verändert haben.

Darüber hinaus werden immer mehr Unternehmensanwendungen direkt aus der Cloud verwendet.  Die direkten Wege zum Internet führen aber oft nicht über die traditionellen Schutzmechanismen für Unternehmensnetze und schaffen so neue Risiken, die mit alten Tools nicht bewältigt werden können. Die meisten der heute eingesetzten Sicherheitstechnologien sind Perimeter-basiert, orientieren sich also an fest definierte Außengrenzen.

Wenn die physische Außengrenze eines Gebäudes nicht mehr den Sicherheitsperimeter definiert und Bedrohungen von innen eindringen können, gelten die alten Sicherheitsregeln nicht mehr. Der Silo-artige Schutz reicht heute nicht mehr aus und die traditionellen Tools sind deswegen nicht für Cloud-basierte Bedrohungen ausgelegt.

HPE Aruba 360 Secure Fabric ist ein Sicherheitsframework für Unternehmen, das den Sicherheits- und Netzwerkteams eine integrierte, umfassendere Methode zum Erreichen vollständiger Transparenz und Kontrolle über ihre Netzwerke bietet. (Quelle: HPE Aruba)

Ein neuer Ansatz für die Security-Architektur

In einer modernen Netzwerkinfrastruktur muss Sicherheit als inhärenter Bestandteil eingebaut sein und sich wie ein Gewebe verhalten, welches das Netzwerk, die darin aktiven Geräte und die Nutzer schützt. HPE Aruba verfolgt mit dem 360 Secure Fabric genau diesen Architekturansatz. Ausgehend von der Infrastrukturebene wurde der Aruba Secure Core in das Netzwerk eingebettet.

Secure Core ist in jedem Aruba Access Point, Mobility Controller und Switch integriert und nutzt Sicherheitstechnologien wie Secure Boot, Verschlüsselung, Deep Packet Inspection (DPI), VPN und Firewall-Technologien. Diese stellen sicher, dass Netzwerkgeräte und der Datenverkehr, der sie durchläuft, vertrauenswürdig sind. Dank DPI ist das Netzwerk in der Lage, als Sensor zu agieren, der sicherheitsrelevante Daten über jeden Benutzer, jedes angeschlossene Gerät und den damit verbundenen Datenverkehr sammelt. Damit bildet es eine fundierte Basis für aussagekräftige Analysen.

Arubas Sicherheitssoftware kann jedes Netzwerk überlagern und nutzt die Netzwerkdaten, um sicherheitsrelevante Einblicke zu liefern und richtlinienbasierte Maßnahmen zu ermöglichen. Bei der Einrichtung der passenden Richtlinien müssen sich Administratoren nicht auf eine einfache Netzwerksegmentierung verlassen, sondern können wie in einem VLAN auch die Geräte selbst segmentieren. Auf diese Weise lässt sich die Verbreitung von Malware verhindern, die sonst zu höherwertigen Assets gelangen könnte.

Erweiterte Analyse

Da sich die Netzwerkperipherie erweitert hat und diffuser geworden ist, müssen neue Kategorien von Endgeräten und andere vernetzte „Dinge“ wie Sicherheitskameras beachtet werden. Die dabei anfallenden Datenmengen stellen jedoch traditionelle Sicherheits-Tools schnell vor Probleme. Bei so vielen Informationen würden sie so viele Falschmeldungen produzieren, dass Administratoren schnell überlastet sind.

Introspect ist eine Behavioral Analytics-Plattform, die maschinelles Lernen einsetzt, um verdächtiges Verhalten im Netzwerk aufzuspüren. (Quelle: HPE Aruba)

Benötigt wird deshalb eine Datenanalyse-Plattform, die auf Basis von Künstlicher Intelligenz Anomalien erkennt, etwaige Falschmeldungen herausfiltert und Hinweise auf das echte Problem liefert. Genau das macht IntroSpect. Das UEBA-Tool (User and Entity Behavior Analytics) setzt maschinelles Lernen ein, um Änderungen im Benutzerverhalten zu erkennen, die oftmals auf interne Angriffe hindeuten.

Doch es sind noch weitere Maßnahmen nötig. Sobald ein potenzielles Problem gefunden wurde, muss es sofort isoliert werden, damit das Netzwerk geschützt ist. Anschließend muss die Gefahr analysiert werden, um Rückschlüsse zu ziehen, wie ernst sie wirklich ist. Genau hier setzt die IntroSpect-Integration mit ClearPass an. Über ClearPass lassen sich verdächtige Geräte unter Quarantäne stellen um zu verhindern, dass sich die Malware auf anderen Netzwerkteilnehmern verbreitet. Zudem bietet ClearPass die Möglichkeit, zur weiteren Analyse mehr Daten aus dem Gerät zu extrahieren.

Die Antwort auf WannaCry & Co.

Der jüngste WannaCry-Ausbruch hat IT-Verantwortliche aufhorchen lassen. Die Antwort von IntroSpect und ClearPass auf solche Gefahren sieht wie folgt aus: Nachdem ein Computer kompromittiert wurde, versucht er über den Befehls- und Kontrollkanal (C&C) mit dem Angreifer zu kommunizieren. Im Fall von WannaCry passierte dies über den Domain Generation-Algorithmus (DGA). IntroSpect kann jedoch diese Art von Aktivität erkennen, da es mit über 1 Million bekannter DGA-Domänen aus 30 verschiedenen Malware-Familien wie Zeus, Cryptolocker und Conficker trainiert wurde.

Jedes von WannaCry kompromittierte System fungiert auch als Bot und scannt über das Unternehmensnetzwerk, um andere anfällige Systeme zu finden. IntroSpect profiliert das normale Verhalten jeder Maschine im Netzwerk und erkennt deswegen abnorme Verhaltensweisen wie das Scannen. Sobald eine solche Anomalie erkannt wird, löst ClearPass automatisch einen Alarm aus, sodass verdächtige Systeme aus dem Netzwerk entfernt, isoliert und untersucht werden können, ohne andere Systeme zu infizieren.

Es gibt kein Zurück mehr zum Sicherheitsperimeter von gestern. Wir werden nie wieder unsere Arbeit in geschlossenen, sicheren Gebäuden verrichten. Doch ohne diese Art vereinfachter und durchgängiger Sicherheit würde sich das kollaborative Unternehmen schnell auflösen. Neue Horizonte der digitalen Arbeit lassen sich nur unter dem Schirm von Tools wie Aruba 360 Secure Fabric erkunden.

Den Blogbeitrag von Partha Narasimhan, CTO Aruba, im Original können Sie hier lesen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.