Bedrohungen erkennen und abwehren

Die wichtigsten Thesen zur Zukunft von Cloud Security

07.04.2015 von Paul Lipman
Technologien wie Industrie 4.0 und Internet of Things (IoT) nutzen Cloud-Dienste. Zusätzlich wandern immer mehr Services in die Cloud, die dadurch ein idealer Angriffspunkt von Cyber-Kriminellen ist. Wir erläutern, wie sich Cloud Security entwickeln muss, um künftigen Bedrohungen zu widerstehen.

Die Cloud ist eine der treibenden Kräfte, die unser Business heute grundlegend verändern. Die Art und Weise, wie wir mit Daten und Anwendungen umgehen und auf diese zugreifen, ist bereits heute eine völlig andere als noch vor wenigen Jahren - und diese Entwicklung wird nochmal durch Technologien wie Industrie 4.0 oder Internet of Things (IoT) rasant an Geschwindigkeit aufnehmen. Deshalb ist Sicherheit im Netz auch angesichts der steigenden Bedrohung durch Cyber-Attacken eine der großen Herausforderungen der nächsten Jahre.

Was wir momentan erleben, wird unseren Standpunkt hinsichtlich Enterprise Security nicht nur in Frage stellen, sondern gängige Sichtweisen vollkommen aushebeln. Fünf Trends kristallisieren sich besonders heraus:

• IT-Prozesse verlagern sich immer stärker in die Cloud

• Unternehmen werden immer mehr auf integrierte Cloud-Lösungen statt auf lokal installierte Software setzen

• Lokale und webbasierte Sicherheitslösungen sind künftig untrennbar verwoben

• Wir bewegen uns weg von "alarmgetriebenen", hin zu intelligenten und damit vorausschauenden Sicherheitslösungen

• Cloud Security ist die Basis für das Internet der Dinge

IT-Sicherheit in 6 Schritten
Cyber-Bedrohungen betreffen jedes Unternehmen
Noch vor einigen Jahren konnten Unternehmen tatsächlich davon ausgehen, dass es unwahrscheinlich ist, zum Ziel eines Cyberangriffs zu werden. Angesichts der aktuellen komplexen Bedrohungslandschaft wäre diese Annahme heute jedoch risikoreich und gefährlich. Bedrohungen können überall entstehen, auch intern im Unternehmen. Die Chance ist groß, dass viele Unternehmen in Deutschland schon angegriffen wurden und nichts davon wissen. Deshalb ist ein Umdenken so wichtig: Man sollte auch hierzulande davon ausgehen, dass man in jedem Fall angegriffen wird und die notwendigen Vorkehrungen treffen, um Bedrohungen so schnell wie möglich zu entdecken und beseitigen. Dass es zu Angriffen kommt, steht außer Frage, lediglich der Zeitpunkt ist ungewiss. Mit diesem Bewusstsein – das in anderen Industrienationen häufig schon besser ausgeprägt ist – kann die deutsche Industrie sicherstellen, dass sich der Schaden in Grenzen hält und die Angriffe schnell und mit großer Genauigkeit analysiert werden können.
Umfassendes Monitoring als Schlüssel für mehr Sicherheit
Der Schlüssel zu maximaler Datensicherheit ist eine 360-Grad-Sicht auf alle Netzwerkereignisse. Ohne einen detaillierten Einblick in die Netzwerkstruktur entstehen sogenannte „blinde Flecken“, die Hackern ideale Möglichkeiten bieten, in das Netzwerk einzudringen. Obwohl Perimeter-Lösungen lange Zeit ausreichend gewesen sein mögen, um ein Unternehmen zu schützen, bieten diese allein bei der heutigen Bedrohungslage nicht mehr genügend Schutz. Um einen tieferen Einblick in das Netzwerk zu erhalten, ist ein zentrales Monitoring-System erforderlich, das umfassenden Schutz bietet und die Daten aus verschiedensten Quellen im Netzwerk verarbeiten und auswerten kann. Dies umfasst sowohl Systemereignisse wie auch die Daten aus Anwendungen und Datenbanken.<br /><br /> Die gesammelten Daten müssen intelligent miteinander verknüpft und analysiert werden. Ein einzelnes Ereignis wie beispielsweise ein Anwender, der sich in Düsseldorf in einem Café einloggt, mag für sich allein stehend vollkommen harmlos wirken. Wenn sich dieser Anwender jedoch zehn Minuten zuvor im Münchner Büro ebenfalls im System angemeldet hat, sollten alle Alarmglocken läuten. Können Unternehmen alle verfügbaren Informationen in Bezug zueinander setzen und alle Ereignisse in einem Kontext analysieren, können sie auch Angriffe und Bedrohungen besser erkennen.
Atypische Netzwerkereignisse erkennen
Wie wollen Sie wissen, ob etwas Ungewöhnliches in Ihrem Netzwerk passiert, wenn Sie nicht wissen, was der Normalzustand ist? Wahrscheinlich finden zu jedem Zeitpunkt zahlreiche Netzwerkereignisse statt – seien es Anwender, die sich an ihren Desktops anmelden, oder Datenpakete, die an einen Cloud-Provider übermittelt werden. Ohne zu wissen, wie sich Anwender, Systeme und Anwendungen im Normalfall verhalten, ist es nahezu unmöglich festzustellen, wann Abweichungen auftreten. Unternehmen sollten deshalb eine Basis für die normalen Aktivitäten definieren und alles andere eingehend prüfen. Dabei muss sichergestellt sein, dass alle atypischen Ereignisse als solche gekennzeichnet sind.
Lassen Sie interne Bedrohungen nicht außer Acht
Wenn es um Datendiebstahl geht, sind die Mitarbeiter eines Unternehmens leider eine ebenso große Bedrohung wie Angreifer von außen. LogRhythm hat im Jahr 2013 in einer Marktuntersuchung herausgefunden, dass 23 Prozent der Angestellten auf vertrauliche Daten zugegriffen oder sich diese angeeignet haben. 94 Prozent dieser Datendiebe konnten nicht gefasst werden. Dieselbe Untersuchung hat auch ergeben, dass 75 Prozent der Unternehmen kein System im Einsatz haben, das den unbefugten Zugriff von Mitarbeitern auf sensible Geschäftsdaten verhindert. Deshalb sollten sich Unternehmen nicht ausschließlich auf die Überwachung und den Schutz vor unerlaubtem Zugriff von außerhalb konzentrieren, sondern auch ein Auge darauf haben, was innerhalb ihrer eigenen Wände passiert – ohne dabei die Privatsphäre ihrer Mitarbeiter einzuschränken. Es ist ein schmaler Grat zwischen Kontrolle und kompletter Überwachung und Unternehmen tun - insbesondere in Deutschland - gut daran, nicht auf der falschen Seite zu landen.
Betrachten Sie Fehler als Chance
Fehler sind dazu da, um aus ihnen zu lernen. Ist ein Unternehmen Opfer eines Angriffs geworden und konnte diesen entdecken und eingrenzen, sollten weitere Untersuchungen folgen. Einerseits um zu verstehen, wie das passieren konnte und andererseits, was getan werden muss, um ein derartiges Sicherheitsrisiko in Zukunft zu umgehen. Mit dem passenden Monitoring-Tool im Einsatz kann jede Aktivität und jedes Ereignis im Netzwerk erfasst, dokumentiert und als Basis für die Analyse genutzt werden. Wenn sich Unternehmen eingehend mit diesen Informationen befassen, können sie feststellen, warum sie diese Bedrohung nicht erkannt haben, welche Schwachstellen ihr Sicherheitssystem hat und möglicherweise auch, wer der Eindringling war.<br /><br /> Es ist von großer Bedeutung zu verstehen, ob eine Bedrohung lediglich eine interne Angelegenheit ist und die Daten nicht kompromittiert werden, oder ob ein sicherheitsrelevantes Ereignis auch Kunden oder andere Interessensgruppen betrifft und – vielleicht auch von Rechts wegen – die Benachrichtigung einer dritten Partei erfordert. Damit steht dann fest, wie dieses Ereignis einzustufen ist, welche Maßnahmen aufgesetzt und welche Schritte eingeleitet werden müssen.
Kommunizieren Sie auch Misserfolge
Zu verstehen, was passiert ist, ist das Eine. Es kann jedoch auch nützlich sein, diese Informationen mit anderen zu teilen. Das ist vor allem für Unternehmen mit einer großen Anzahl an Standorten wichtig, denn diese Standorte könnten demselben Sicherheitsrisiko ausgesetzt sein. Wenn Unternehmen die Information, welche Bedrohung aufgetreten ist und wie diese entdeckt und beseitigt wurde, weitergeben, kann dies den Unterschied machen zwischen einem weit verbreiteten und verheerendem Angriff oder einer bloßen Unannehmlichkeit. <br /><br /> Außerdem können dadurch Kunden und Partner gegebenenfalls bei sich selbst noch zusätzliche Sicherheitsmaßnahmen ergreifen, wie zum Beispiel die Änderung ihre Passwörter oder die Verfolgung verdächtiger Vorgänge auf ihrem Online-Banking-Account. <a href="http://www.johnsonking.com/library_de/LogRhythm_GER%20Q4%20survey.pdf" target="_blank">In einer weiteren Studie</a> stimmten sogar fast Zweidrittel der Befragten in Deutschland dafür, dass Unternehmen bedingungslos jeden Datenverlust sofort melden muss. Unternehmen müssen erkennen, dass sie sich dadurch weniger an den Pranger stellen – hauptsächlich hilft die Kommunikation von Datenlecks sich und anderen und schafft zusätzliches Vertrauen. Denn dass jedes Unternehmen heute – häufig auch erfolgreich – angegriffen wird, ist Fakt; ein Unternehmen, das die Betroffenen auch sofort darüber in Kenntnis setzt ist hingegen schon eine Besonderheit.<br /><br /><br /><em>(zusammengestellt von Roland Messmer, Director für Zentral- und Osteuropa bei LogRhythm)</em>

Die Cloud wird der zentrale Ort für Unternehmensnetzwerke

Vor ein paar Jahren hat sich die Arbeit des Chief Information Security Officers (CISO) fast ausschließlich darauf konzentriert, Angriffe auf eigene Server abzuwehren. Dabei hat er auf ein breites Portfolio verschiedener lokaler Lösungen gesetzt - und das hat auch meist recht gut funktioniert, denn alle Anwendungen liefen hinter der eigenen Firewall. Genau das aber ist heute völlig anders. Müssen die hohen Investitionen in standortgebundene oder maximal unternehmensweite Sicherheitslösungen nun als wertlos abgeschrieben werden?

Im Gegensatz zu herkömmlichen Endpoint Security Lösungen scannt iSheriff den Web- und E-Mail-Verkehr in der Cloud, lange bevor er auf das Netzwerk des Kunden trifft. Dies ist entscheidend, da mehr als 90 Prozent aller Malware-Infektionen allein durch den Web-Traffic verursacht werden.
Foto: iSheriff

Vermutlich ja, denn inzwischen sorgen sich CISOs in erster Linie um die Aktivitäten von Usern auf deren mobilen Endgeräten. Über öffentliche Netzwerke greifen sie auf mitunter sensibelste, in der Cloud lagernde Unternehmensdaten zu. Bereits die Sicherung eigener Server war nicht einfach - heute aber haben sich Angriffe in die schier grenzenlose und nicht zu kontrollierende Umgebung privater Devices, öffentlicher Netzwerkinfrastrukturen sowie Anwendungen in der Cloud verlagert.

Folgerichtig werden inzwischen verstärkt umfassende Sicherheitslösungen aus der Cloud angeboten, die Usern unabdingbare Sicherheit garantieren - unabhängig davon, wo diese sich gerade befinden und auf welche Webservices und Anwendungen sie zugreifen. Aus drei Gründen ist das ein Indikator für einen tiefgreifenden Wandel:

Sicherheit aus der Cloud sorgt dafür, dass gerade große Unternehmen ihren Traffic wie gewohnt weiterfahren können. Müssten sie diesen reduzieren, würde das die Einsatzmöglichkeiten vorhandener Lösungen merklich einschränken und damit teure Invesitionen ad absurdum führen.

Sicherheit auf Cloud-Ebene garantiert eine durchgängige Anwendbarkeit von Security Policies - für alle denkbaren Applikationen, unabhängig vom Gerät, dem Standort oder Provider. Damit ist der CISO wieder am Ruder, wenn es um die Kontrolle von Daten oder Anwendungen geht.

• Nur eine Cloud-Security-Lösung garantiert eine so einzigartige Übersicht, wie sie nötig ist, um Bedrohungen in Echtzeit zu identifizieren und zu eliminieren.

Herkömmliche Vor-Ort-Lösungen ermöglichen nur eine sehr eingeschränkte Sicht auf Prozesse jenseits der eigenen Infrastruktur. Cloud-basierte Lösungen dagegen können Abweichungen und Angriffe sofort erkennen. Sie sind in der Lage, korrelierende Schadensereignisse über Tausende Kunden- und Millionen Userkonten hinweg aufzudecken und sie eliminieren, noch bevor sie Schaden anrichten könnten. Sowohl Vermögenswerte als auch wichtige Daten geraten damit gar nicht erst in Gefahr.

Unternehmen werden auf Cloud-Services statt auf lokale Lösungen setzen

CISOs sehen sich heute mit einer Unmenge an im Grunde völlig überladenen Produkten zahlloser Anbietern konfrontiert, die ausschließlich ortsgebundene Lösungen im Portfolio haben. Es ist beinahe unmöglich, diese heterogenen Produkte zusammenzuführen - was in der Folge zu einer stark eingeschränkten Sicht auf Kernprozesse führt, die in Bezug auf IT Security geschäftskritisch sind. Wenn es gut läuft, bekommt der CISO vielleicht noch einzelne Fragmente zu Gesicht - das ist in etwa so, als würde jemand im Hubschrauber mit geschlossenen Augen durch gefährliches Kriegsgebiet fliegen.

Es gibt jedoch auch eine gute Nachricht - nämlich die, dass der Trend sich umkehrt, eindeutig in Richtung Cloud-basierter Security Services geht und damit echte Integration möglich macht. Diese Entwicklung hat fundamentale Bedeutung für die Sichtbarkeit sicherheitsrelevanter Prozesse im Unternehmen, denn mit dem heute vorherrschenden unsystematischen Ansatz ist schlichtweg kein Land zu gewinnen. Künftig wird der CISO jedoch endlich die Kontrolle zurückgewinnen können - dann nämlich, wenn er auf eine innovative Best-of-Breed-Lösung setzt. Offene APIs und einbettbare Frameworks sorgen dafür, dass dies ohne die heute noch üblichen, häufig geschäftskritischen Einschnitte bei der Sichtbarkeit erreicht wird.

Endpoint und Network Security werden gekoppelt

Viele Anbieter von Sicherheitslösungen haben Endpoint und Network Security über lange Zeit wie zwei vollkommen getrennte Gebiete behandelt, für die im Unternehmen ganz unterschiedliche Ansprechpartner verantwortlich waren. Angesichts heute immer schneller auftauchender Bedrohungen ist es jedoch unabdingbar, zu erkennen, dass diese beiden Bereiche der Sicherheitslandschaft viel enger verbunden sind als viele Experten bislang wahrhaben wollten. Netzwerkverantwortliche müssen sich sowohl darüber im Klaren sein und damit umgehen, was im Netzwerk selbst aber auch auf einem Device passiert.

Ein großer Vorteil einer Security-Lösung aus der Cloud ist die Fähigkeit, neue Malware sofort zu erkennen und zu blockieren, indem Informationen bezüglich möglicher Bedrohungen über verschiedene Sicherheitsservices hinweg miteinander korreliert werden.
Foto: iSheriff

Wenn etwa Laptops in einer Niederlassung auf einmal Traffic an eine zweifelhafte IP-Adresse irgendwo in China senden, muss das Netzwerk sofort reagieren - etwa, indem die Verbindung automatisch unterbrochen wird, bis eine genauere Prüfung erfolgt ist. Der eigentliche Knackpunkt dabei ist, dass aktuelle Technologien nicht länger nebeneinander her existieren dürfen. Ein Cloud-basierter Security-Ansatz schafft Abhilfe, denn auf diese Weise ist sichergestellt, dass nicht nur übergreifende Policies gelten, sondern alle Vorgänge einheitlich erfasst und abgewickelt werden.

Stark sind Lösungen immer dann, wenn sie eine holistische Sicht auf alle Prozesse bieten. Antivirus-Software im eigentlichen Sinne ist daher auf dem absteigenden Ast. Stattdessen bewegt sich die gesamte Branche weg von klassischen Ansätzen, hin zu einer frühen Erkennung von Malware. Künftige Lösungen bringen Technologien, die etwa die Aufdeckung selbst kleinster Anomalien oder Angriffe vollkommen unbekannter Akteure und Sandboxing ermöglichen.

Alarmgetriebene Lösungen sind out, intelligente Sicherheit in

Ein unerwünschtes Nebenprodukt singulärer Produkte: Ständig poppen unnötige Alerts auf. Dabei ist doch längst bekannt, dass diese Form der Security nicht mehr State-of-the-Art ist. Der Vergleich mit einem Autofahrer liegt nahe, der bei Nacht und Nebel über eine stark befahrene Autobahn rast - und das mit vereister Windschutzscheibe. Die Folgen einer solch waghalsigen Aktivität liegen auf der Hand.

Mit neuen Produktlinien und Lösungen passiert so etwas nicht mehr - sie bringen Ordnung ins bislang herrschende Chaos. Security Information and Event Management (SIEM) heißt das entsprechende Stichwort. Die Zukunft gehört smarten, integrierten, Cloud-basierten Security-Lösungen, die dem CISO substanziell bei einer Neuaufstellung helfen und für Stabilität sorgen. Hier beginnt die grundlegende Abgrenzung intelligenter Lösungen von herkömmlichen Ansätzen - wenn nämlich der Zusammenhang und das Zusammenwirken aller Vorgänge im eigenen Netzwerk, auf Endgeräten der Mitarbeiter und in allen Cloud-basierten Anwendungen erkannt wird.

So viel Sichtbarkeit war nie zuvor möglich - auf diese Weise werden alle relevanten Informationen in Echtzeit transparent. Das Sicherheitskonzept wird auf die gesamte IT-Infrastruktur eines Unternehmens ausgeweitet. Hinzu kommen "Big Data"-Services, die weitere Datenquellen integrieren. Auch werden moderne Technologien eingesetzt, die verfügbare Daten visualisieren und damit mögliche Störungen noch früher erkennbar machen.

Cloud Security als Grundlage für das Internet der Dinge

Das Internet der Dinge ist mit Siebenmeilenstiefeln auf dem Vormarsch - und mit ihm der automatisierte Informationsaustausch zwischen Devices wie Haushaltsgeräten, Maschinen, Automaten und Fahrzeugen (M2M-Kommunikation). Smarter Datenaustausch zwischen diesen Komponenten ermöglicht künftig ganz neue Funktionalitäten, die unseren beruflichen und privaten Alltag grundlegend verändern werden.

iSheriff vertritt einen 360-Grad Sicherheitsansatz, der Unternehmen erlaubt, umfassende Sicherheits-und Unternehmens-Policies zu definieren und durchzusetzen, ein- und ausgehenden Web-Traffic in Echtzeit zu analysieren und mögliche Policy-Verstöße sofort zu entdecken.
Foto: iSheriff

Wenn Milliarden unterschiedlicher Geräte über das Netz miteinander verbunden sind, leben wir in der Zukunft - und das wird schon bald der Fall sein. Sicherheitslösungen von gestern können wir uns spätestens dann nicht mehr erlauben. Auch Aufwand und Kosten wären viel zu hoch, wenn auf jedem Gerät mit Anbindung zum Internet der Dinge eine eigene Virensoftware installiert werden müsste.

Sicherheit gibt es dann nur noch aus der Cloud, jedes Gerät wird auf entsprechende Software zugreifen. So ist die Kontrolle über Prozesse immer zentral gewährleistet, geltende Richtlinien werden automatisch umgesetzt und stetig aktualisiert.

Diese bereits in Gang gesetzte Entwicklung stellt nun allein durch das riesige Datenvolumen im Netz äußerst hohe Anforderungen an Sicherheitslösungen. Neue, höchst innovative Technologien sind gefragt - das wird dazu führen, dass nicht wenige der bisherigen Anbieter abgelöst werden durch solche, die sich schneller und flexibler auf die neue Realität einstellen.

Ein Blick in die Zukunft

Wir befinden uns an einem Wendepunkt, an dem sich (fast) alles verändern wird, was wir bisher über IT Security wissen. Beim Einsatz von Daten, Anwendungen und Geräten bleibt kein Stein auf dem anderen - logisch, dass sich Sicherheitskonzepte dem nicht entziehen können. Endgeräte werden immer unwichtiger, stattdessen kommt künftig jegliche von uns genutzte Software aus der Cloud.

Vollständig integrierte Security aus der Datenwolke wird schon bald selbstverständlich sein. Für Unternehmen ist das eine besonders gute Botschaft, denn sie können endlich aufhören, sich über unüberschaubare Risiken auf zahllosen Baustellen sorgen zu müssen. Stattdessen profitieren sie von zentral gemanagter, integrierter und höchst wirkungsvoller Security aus einer Hand.