Geeignete Tools, um Hybrid Cloud Security umzusetzen„Bei virtuellen Umgebungen bleibt der Großteil der kabelgebundenen Sicherheitstechnik außen vor“
3. Dezember 2019
Unternehmen sollten ihre physischen, virtuellen, Cloud- und Container-Umgebungen mit einer einzigen Lösung sichern. Dabei geht es um die Aspekte Effektivität, Einfachheit und Automatisierung – und das bei verbesserter Transparenz und Kontrolle. Im Gespräch mit line-of.biz (LoB) skizziert Richard Werner, Business Consultant bei Trend Micro Deutschland, wie gemischte IT-Architekturen am besten abzusichern sind.
LoB: Die Anforderungen durch rechtliche Vorgaben gelten für jegliche Art von IT-Architektur – egal, ob im eigenen Rechenzentrum oder in der Cloud bzw. in hybriden Strukturen. Wie lässt sich ein beständiger Schutz von hybriden Umgebungen möglichst effizient umsetzen?
Werner: Techniken im Umfeld der IT Security wie IPS, Firewalls, Integritätsüberwachung etc. müssen aus dem Rechenzentrum ausgekoppelt und in neue Umgebungen übertragbar werden. Da vieles davon Hardware-basierend war, setzten Unternehmen in den neuen Umgebungen gerne auch mal neue, zusätzliche Lösungen ein, was zu einem höheren Betriebsaufwand sowie unterschiedlichen Sicherheitsniveaus im Gesamtkonzept führt. Wir setzen auf die Schaffung einer heterogenen Umgebung, die es erlaubt, Server-Workloads nach Bedarf zu verteilen und auch moderne Techniken wie Container oder Serverless mit einzubauen. Die Verwaltung über eine Managementkonsole – unabhängig vom gewählten Formfaktor – erlaubt es zudem, schnelle, bereichsübergreifende Reports zu erstellen, so dass alle relevanten Informationen für Audits vorliegen. Was die technische Funktionalität angeht, so bietet Gartners Cloud Workload Protection Platform Guide eine Übersicht über aktuell verfügbare Techniken. Trend Micro hat in einer Plattform, der Deep Security, einen Großteil dieser Techniken abgebildet.
LoB: Wie können die Security-Verantwortlichen in derart komplexen Strukturen auf dem aktuellsten Stand bleiben, was die Bedrohungspotenziale angeht?
Werner: Unsere Deep Security beinhaltet Techniken, die in einem quasi „Dauer-Assessment“ die Systeme nach Schwachstellen und Auffälligkeiten untersuchen. Erste-Hilfe-Maßnahmen wie beispielsweise das „virtuelle Patchen“ eines ungepatchten Systems verhindern, dass Hacker Probleme ausnutzen.
LoB: Eine Herausforderung ist aber auch die eigene Software Entwicklung mancher Unternehmen – Stichwort DevOps. Wie adressieren Sie diesen Bereich?
Werner: Im DevOps-Umfeld wird oft Software nach dem Grundsatz „schnell und effizient“ bzw. „quick and dirty“ zusammengestellt. Schwachstellen und Probleme werde dabei gerne übersehen. Trend Micro Deep Security – abgekürzt DS – und das neue „Cloud Conformity“ können diese Probleme lösen. DS erkennt dabei Schwachstellen und schützt vor deren Ausnutzung, Cloud Conformity erkennt Fehlkonfigurationen sowie „logische Fehler“ und schützt dagegen.
LoB: Was ist nötig, um eine möglichst schnelle und passende Reaktion auf Vorfälle in virtuellen Umgebungen sicherstellen zu können?
Werner: Zunächst sollten Unternehmen erkennen können, dass es diese Probleme gibt. Speziell bei virtuellen Umgebungen bleibt der Großteil der kabelgebundenen Sicherheitstechnik außen vor. Ein Angreifer muss also einfach „nur“ durchkommen, um andere Systeme auf dieser Ebene zu infiltrieren. Deshalb sind Techniken unerlässlich, die es erlauben, eine solche Infiltration zu bemerken.
LoB: Können Sie dafür Beispiele nennen?
Werner: Hierzu zählen Integritäts- und Log-Überwachungen; aber auch Applikationskontrolle bis hin zum kompletten Lockdown (Härten) des Systems ist empfehlenswert. Was die Reaktion angeht, so hängt das weitestgehend von der Art des Vorfalles und dem betroffenen System ab. Speziell die Relevanz von polizeilichen Ermittlungen oder forensische Analysen sollte geprüft werden. Dazu empfehlen sich Tools, die bei der Einschätzung sowie bei der Analyse unterstützen. Bei Trend Micro wird das unter dem Stichwort XDR – Detection & Response – geführt.
LoB: Wie können Unternehmen generell sicherstellen, dass sie immer dem „State of the Art“ entsprechen?
Werner: Sicherheitslösungen sind immer auf dem neuesten Stand zu halten. Zudem sollte man Analysten zu Überblick und Relevanz der verfügbaren Lösungen konsultieren. Neben Schutz gilt es auch, Erkennung und Reaktion von bzw. auf Vorfälle zu betrachten und dafür Techniken sowie Prozesse aufzubauen.
LoB: Welche Bedeutung fällt einer weitgehenden Automatisierung einer Sicherheitslösung zu, und wie lassen sich dabei Techniken auf der Basis der Künstlichen Intelligenz – KI – einbeziehen?
Werner: Manuell durchzuführende Arbeitsschritte erfordern zeitlichen Aufwand, bergen das Risiko von Fehlern und sind damit kostenintensiver. Automatisierungen können beides abmildern. KI-Techniken erlauben es vor allem, Anomalien zu entdecken und dagegen vorzugehen.
LoB: Für welche Unternehmen eignet sich ein Managed Detection and Response (MDR)-Service besonders?
Werner: Weil Techniken wie Detection & Response für Unternehmen überlebenswichtig sein können, ist es entscheidend, dass diese im Ernstfall von Profis bedient werden. Diese hochqualifizierten Sicherheitsspezialisten sind allerdings für viele Unternehmen nicht erschwinglich – sofern überhaupt Planstellen dafür existieren. Um nun dennoch diese Techniken optimal zu nutzen, bietet Trend Micro es seinen Kunden an, über Managed Detection und Response diese Fachkräfte als Dienstleistung einzusetzen, die im Ernstfall mit konkreten Handlungsanweisungen zur Seite stehen. Dazu haben wir den Begriff „Managed XDR“ geprägt – er soll die Nähe zu unserm XDR-Ansatz besser verdeutlichen. (rhh)
