Synchronized IT-Security über alle Ebenen Ziel: Topschutz für jedes Unternehmen
3. März 2017Um neue und bekannte Bedrohungen abzuwehren, verwenden die am besten geschützten Unternehmen heutzutage mehrere Schichten von Sicherheitsprodukten sowie Schutzeinrichtungen auf Netzwerk- und Endpoint-Ebene. Host- und netzwerkbasierte Firewalls, Einrichtungen zur Überprüfung von Inhalten, Malware-Detektoren und Ereignismanager erzielen bei der Abwehr respektable Ergebnisse, haben jedoch eine fundamentale Schwäche, die in ihrer Implementierung begründet ist: Sie arbeiten nicht zusammen und können demzufolge nicht gegenseitig voneinander profitieren. Eine synchronisierte IT-Security schafft Abhilfe und deutlich höhere Sicherheit.
Alte Schule
Bislang bestand die Reaktion auf die Schwächen getrennter Sicherheitsinstanzen darin, mehr Technologien und Personal einzusetzen, die den Kommunikationsmangel zwischen Endpoint- und Netzwerkabwehr ausgleichen sollten. IT-Sicherheitsteams experimentieren mit SIEM-Tools, die versuchen, Informationen, Alarmmeldungen und Ereignisse aus zwei Welten (Netzwerk- und Endpoint-Ebene) an einem Ort zusammenzutragen.
Dieser Ansatz hat jedoch drei grundlegende Schwächen. Erstens verwenden solche Tools enorm viel Energie darauf, die Ereignisdaten aus verschiedenen Quellen zu normalisieren und zu strukturieren und tun sich schwer, nützliche Informationen aus der resultierenden Datenflut zu extrahieren. Zweitens sind und bleiben sie lediglich Analysetools. Drittens erhöhen sie den Personalbedarf, weil die anfälligen und komplexen Korrelationsregeln erstellt und kontrolliert werden müssen. Und selbst wenn es einem Mitarbeiter (falls einer zur Verfügung steht) gelingt, sich durch die Ereignisse zu kämpfen, haben sich die Cyber-Kriminellen längst mit den gestohlenen Daten abgesetzt.
Vernetzte Sicherheit
Ein neuer Ansatz ist notwendig, der auf einer Synchronisierung aller Sicherheitsebenen basiert, eine Kommunikation zwischen Netzwerk- und Endpoint-Produkten aufbaut und eine automatische und koordinierte Kommunikation beziehungsweise Reaktion ohne komplexe Strukturen oder zusätzliche Kosten ermöglicht.
Echte vernetzte Security bringt entscheidende Vorteile. Durch eine Security Heartbeat-Funktion werden die unterschiedlichen Sicherheitsinstanzen in Echtzeit intelligent miteinander vernetzt. Damit können Unternehmen hochentwickelte Bedrohungen schneller finden, kompromittierte Systeme automatisch identifizieren, die Reaktion auf Vorfälle automatisieren und den Sicherheitsstatus von Endpoints jederzeit sofort einsehen.
Ein Synchronized-Security-Framework wie beispielswese von Sophos zentralisiert die Verwaltung und verknüpft Endpoint- und Netzwerklösungen direkt, damit diese in Echtzeit miteinander kommunizieren können. Zudem werden deutlich weniger personelle Ressourcen gebunden. Auch Unternehmen, die nicht über einen ganzen Pool an hochspezialisierten Security-Fachleuten verfügen, haben so die Möglichkeit, ihr Sicherheitslevel heute und in Zukunft deutlich zu verbessern, ganz ohne komplizierte und teure SIEM-Lösungen.
Besondere Vorkehrungen
Innerhalb der Synchronized Security-Lösung empfiehlt es sich, ein Unternehmen mit zusätzlichen Tools zu schützen, die sich nahtlos in die vernetzte Security-Infrastruktur einbinden. Security-Mechanismen der neuesten Generation für Endpoint Protection beispielsweise erhöhen den Schutz gegen Zero-Day-Exploits, unbekannte Exploit-Varianten und Stealth-Attacken.
Spezielle Anti-Ransomware Features sind außerdem in der Lage, Angriffe von Krypto-Trojanern quasi sofort zu entdecken. Mithilfe von Big Data Analytics und einer umfangreichen Wissensdatenbank über Bedrohungsmuster, Angriffsvektoren und kriminellen Motivationen können schädliche Verhaltensweisen schnell identifiziert und mögliche Angriffe deutlich früher gestoppt werden, ohne dabei auf Updates oder Signaturen angewiesen zu sein.
Eine Synchronized IT-Security funktioniert ohne manuelles Eingreifen, ohne Analyse und ohne manuelle Prozesse. Gleichzeitig sorgt sie für vollständige Transparenz und liefert ein Audit-Trail aller Aktivitäten. Die Bedrohungen, mit denen Unternehmen heutzutage konfrontiert werden, können beängstigend erscheinen. Klassische, verteilte Abwehrmaßnahmen erfordern Fachpersonal, das in den meisten Unternehmen schlichtweg nicht verfügbar ist. Eine vernetzte Security ändert die Dynamik dieser Gesetzmäßigkeiten durch eine einfache, leistungsstarke Kommunikation und Verwaltung zwischen ehemaligen Silo-Lösungen – ohne zusätzliches Personal oder erhöhte Komplexität. (rhh)
Michael Veit
ist Sicherheitsexperte bei Sophos