Effektiver Schutz durch Mikrosegmentierung und IP-Verhaltensanalyse
18. April 2019Neuartige Herausforderungen kommen die IT-Security zu: Schutzvorkehrungen am Netzwerk-Perimeter allein reicht nicht mehr aus, um die Sicherheit angesichts komplexer Gefahren von innen und außen zu gewährleisten. Denn Bedrohungen innerhalb des geschützten Perimeters sind in der Lage, ihre Form zu verändern und gegen vertrauenswürdige, also ungeschützte Ressourcen vorzugehen. Hier empfiehlt EfficientIP ein Zero Trust-Konzept: Der Anspruch, alle Ressourcen zu überprüfen und zu sichern, bezieht ausdrücklich auch das DNS als kritische Netzwerkbasis ein und verknüpft die Zero Trust-Architektur mit der IP-Adressverwaltung.
Der Ansatz des Zero Trust-Konzepts besteht darin, den Fokus auf den Nutzer anstelle der Netzwerke zu legen. Hintergrund dieses Vorgehens ist die Einsicht, dass eine Vielzahl von Angriffen ihren Ursprung im vermeintlich vertrauenswürdigen Bereich innerhalb der internen Netzwerkperimeter hat. Daher implementieren Unternehmen derzeit verstärkt eine Netzwerkarchitektur, die auf dem Benutzer und den jeweiligen Zugriffsanforderungen basiert.
Diese Erkenntnis erfolgt vor dem Hintergrund, dass Makrosegmentierung beispielsweise via DMZ nicht vor internen Bedrohungen schützt und deshalb ergänzend Mikrosegmentierung und eine wirksame IP-Verhaltensanalyse erforderlich sind. Hinzu kommt die enorme Komplexität der Segmentierung eines hierarchischen Netzwerks. Für echtes Vertrauen in eine Sicherheitstechnologie ist es notwendig, Informationen zu verifizieren und zu analysieren und die Metrologie und Telemetrie auf den Schwerpunkt des internen Netzwerks und der internen Ressourcen abzustimmen – beispielsweise das DNS.
Gefährdungen antizipieren
Ein SDN-Ansatz bietet eine Option für den Schutz von Rechenzentren und Zugangsnetzen; einige Firewalls könnten Intersegmentfilterung unterstützen, erfordern aber Investitionen in die Orchestrierung, um die benötigte Infrastruktur schnell bereitstellen zu können. Derweil hilft der Zero Trust-Ansatz bei der Compliance-Analyse.
Das DNS hat zwar keine genauen Kenntnisse darüber, welcher Benutzer Zugriff auf welche Ressource erhält, es erkennt jedoch die Absichten der Nutzer – wertvolle Informationen im Kontext der Netzwerksicherheit. Zu den vorteilhaften Eigenschaften einer solchen Lösung gehört, dass sie zuverlässig zukünftigen Traffic prognostizieren kann, der einfach durch ein SIEM und sogar einen Menschen zu analysieren ist, für die Trendanalyse lange Zeit aufbewahrt werden kann und gute Informationen bietet, um eine nicht überwachte Machine Learning Engine mit relevanten Daten zu füttern.
Das DNS bietet sich als kritische Netzwerkbasis, die ein Routing zu jeder App und jedem Service ermöglicht, geradezu dafür an, in die Sicherheitsstrategie eingebunden zu werden. In Zeiten von Demand Generation Algorithmen, Threat Intelligence und Zero Day-Attacken wird eine Lösung benötigt, mit der sich schnelle und gute Entscheidungen treffen lassen und die nicht nur reaktiv ist. Das entscheidende Moment, die Erfolgsaussichten eines Gegners zu verringern, besteht darin, sein Handeln zu antizipieren.
Investition in DNS-Sicherheit zahlt sich aus
Hochwertige Informationsquellen sind eine Basis, um gute Entscheidungen zu treffen. Da das DNS eine wichtige Rolle im Angriffsschema der meisten Malware-, Ransomware- und C2-Kommunikation spielt, eignet sich eine fortschrittliche DNS-Analyselösung als Teil der Security-Infrastruktur ideal, um einen guten internen Informationsfluss aufzubauen. Während neue Netzwerke von Grund auf neu aufgebaut werden, ist das DNS für bestehende Netzwerke ein zentraler Faktor, um Wissen hinsichtlich der Benutzer- und Anwendungskommunikation verfügbar zu machen.
Der Übergang zur Mikrosegmentierung im Sinne tiefer Kenntnisse über Datenflüsse und den Benutzerzugriff auf Anwendungen stellt für die meisten Unternehmen eine echte Herausforderung dar. Unternehmen können eine zusätzliche Sicherheitsebene implementieren, indem sie auf die passende DNS-Sicherheitslösung setzen, die ihnen hilft, den Datenverkehr gründlich zu analysieren, und die Einbindung vertrauenswürdiger Netzwerke innerhalb der Architektur erleichtert. Da der Großteil des planmäßigen Traffics über das interne DNS abgewickelt wird, empfehlen sich genau hier strategische Investitionen, um die Sicherheit und die Transparenz der Nutzung zu verbessern. (rhh)
Hier geht es zu EfficientIP