All Content Bekämpfung der Bedrohung von innen neue Ansätze bei der Bereitstellung von Netzwerksicherheit
Bekämpfung der Bedrohung von innen neue Ansätze bei der Bereitstellung von Netzwerksicherheit Whitepaper: Bekämpfung der Bedrohung von innen Neue Ansätze bei der Bereitstellung von Netzwerksicherheit Im Rahmen einer kürzlich veröffentlichten Studie1, in der 1200 Unternehmen in 63 Ländern einer Analyse unterzogen wurden, stellte man fest, dass 97 % der an der Studie teilnehmenden Organisationen während des Studienzeitraums einer Sicherheitsverletzung zum Opfer fielen. Von diesen Organisationen verfügten 75 % über aktive Befehls- und Kontrollaktivitäten. Im Rahmen einer weiteren Studie2 wurde festgestellt, dass die durchschnittliche Dauer vom ursprünglichen Eindringen bis zu dessen Feststellung 134 Tage betrug. Das beweist, dass viele Organisationen monatelang unbemerkt infiziert sein können. All dies zeigt, dass wir unsere Sicherheitsmodelle überdenken müssen. Unternehmen können nicht länger auf der Annahme basierend agieren, dass sie Bedrohungen aussperren können. Stattdessen sollten sich Organisationen darauf konzentrieren, kompromittierte Systeme zu erkennen und Malware einzudämmen. Die Identifikation betroffener Systeme ist aufgrund aktueller Trends in der IT zunehmend schwieriger geworden. IT-Trends mit Auswirkungen auf die Sicherheit Wandel in der Belegschaft und BYOD Es gibt verschiedene Trends im IT-Bereich, die sich auf die innere Sicherheit auswirken. Wie bereits oben erwähnt, hat sich die Belegschaft selbst gewandelt: Sowohl Mitarbeiter als auch Berater und Vertragsnehmer werden als Teil des Unternehmens betrachtet. Somit ist es für die IT schwieriger geworden, rollenbasierte Kontrollen einzusetzen. BYOD und Konsumerisierung von IT haben die strengen Prüfungen der IT zur Sicherheit von Computern, Laptops, Mobiltelefonen und anderen von der Belegschaft für geschäftliche Produktivität eingesetzten Geräten deutlich gelockert. Zunahme des Ost-West-Traffic Ein weiterer deutlicher Umschwung geschah in Rechenzentren, wo Traffic-Muster sich in Ost-West-Richtung verschieben, da Server und virtuelle Maschinen (VM) miteinander und mit Datenbanksystemen, Datenspeichern und anderen Anwendungen innerhalb des Rechenzentrums kommunizieren. Ost-West-Traffic trifft nie auf den Netzwerkkern, wo er von Sicherheitsprüfungen wie IPS/IDS zur Erkennung von Malware oder Bedrohungen innerhalb des Traffics profitieren würde. Zudem steigt der Ost-West-Traffic prozentual im Vergleich zum Nord-Süd-Traffic (Traffic an das und aus dem Internet) deutlich an. Somit kann sich Malware, die in einen alten, nicht gepatchten Server eingedrungen ist, lateral und von allen Sicherheitsvorkehrungen, die den Nord-Süd-Traffic überwachen, unbemerkt im Rechenzentrum ausbreiten (siehe Abbildung 2). Ein Beispiel: Facebook führt täglich 1 Million Map-Reducing-Vorgänge durch.3 Das führt zu umfangreichem Netzwerk-Traffic innerhalb des Rechenzentrums. Obwohl die meisten Unternehmen diesen Aufgabenumfang nicht ansatzweise erreichen, verursacht doch die wachsende Zuwendung zu Big-Data-Anwendungen in großen und mittelständischen Unternehmen einen ähnlichen Umbruch der Traffic-Muster innerhalb von Rechenzentren. Ein weiteres Beispiel: Die Umstellung auf VDI (Virtual-Desktop-Infrastruktur) in mehreren Unternehmen hat den Desktop in das Rechenzentrum verschoben. Somit wurde aus dem Client-Server-Traffic, der traditionell in Nord-SüdRichtung und durch den Netzwerkkern und wohldefinierte Engpässe verlief, Ost-West-Traffic zwischen den virtuellen Desktop-Instanzen und den Anwendungen, die alle im Rechenzentrum gehostet werden. Sämtlicher Traffic läuft unter dem Radar der Sicherheitsanwendungen ab, die diesen nicht überwachen können. Internet Firewall DMZ IPS IDS Core Switch VM VM Keine Transparenz bei der Querverbreitung von Bedrohungen! Spine VM Leaf Server Farm Abbildung 2: Ost-West-Traffic in Rechenzentren FireEye. 2015. Maginot revisited: More Real-World Results from Real-World Tests. https://www2.fireeye.com/WEB-2015RPTMaginotRevisited.html Trustwave. 2014. Global Security Report. https://www2.trustwave.com/rs/trustwave/images/2014_Trustwave_Global_Security_Report.pdf 3 Wiener, Janet and Bronson, Nathan. “Facebook’s Top Open Data Problems.” Web blog post. research.facebook.com, Sept. 2014. https://research.facebook.com/ blog/1522692927972019/facebook-s-top-open-data-problems/ 1 2 © 2015-2016 Gigamon. Alle Rechte vorbehalten. 3 Whitepaper: Bekämpfung der Bedrohung von innen Neue Ansätze bei der Bereitstellung von Netzwerksicherheit Mobilität Auch Mobilität trägt zusätzlich zur Herausforderung der modernen Netzwerksicherheit bei. Benutzer, Geräte und Anwendungen sind heute alle flexibel. Beispielsweise können als virtuelle Maschine verpackte Anwendungen mit einem Mausklick oder möglicherweise sogar automatisch zwischen Racks, Reihen, Pods oder sogar Rechenzentren verschoben werden. Und das alles, ohne dass das Sicherheitsteam davon erfährt. Sicherheitsanwendungen wie IDS oder IPS, die direkt mit einem Punkt im Rechenzentrum verknüpft und auf die Prüfung von Anwendungs-Traffic spezialisiert sind, können wirkungslos sein, wenn die Anwendung selbst an einen anderen Ort verschoben wird, ohne dass das Sicherheitsteam davon erfährt. Mit anderen Worten verliert der Speicherort an Relevanz, wenn es um die Bereitstellung von Sicherheitslösungen geht. Das gilt sogar für die Randbereiche des Standorts, wo Benutzer und Geräte mobil sind. Zunehmender Einsatz von Verschlüsselung Und schließlich verwenden immer mehr Unternehmen intern Verschlüsselungsmethoden wie SSL. Auch wenn die Verschlüsselung von Daten für deren Versand Schutz vor Spionen im sicheren Kommunikationskanal gibt, kann sie von Malware zur Tarnung als geschützte Daten verwendet werden. Viele Sicherheitsanwendungen sind für verschlüsselten Traffic blind, sodass der Einsatz verschlüsselter Malware zunehmend an Beliebtheit gewinnt. Wo Sicherheitsanwendungen mit SSL verschlüsselten Traffic überwachen können, wirkt sich das jedoch negativ auf deren Leistung aus, da SSL-Entschlüsselung umfangreiche Rechenkapazitäten in Anspruch nimmt. In einem Bericht von Gartner4 geht man davon aus, dass bis 2017 über 50 % aller Netzwerkangriffe mittels verschlüsselter Malware durchgeführt werden, um vorhandene Kontrollen zu umgehen. Das Zusammenspiel dieser Faktoren – d. h. die fortschrittlichen und komplizierten Eigenschaften der Bedrohungen, die Änderungen der Traffic-Muster, der zunehmende Einsatz von SSL-Verschlüsselung und Verschlüsselungstechnologien von Malware und die Verwendung eines veralteten Vertrauensmodells für die Erstellung von Sicherheitsarchitekturen - führt zu Umgebungen, die zu mutwilligen Sicherheitsverletzungen geradezu auffordern. Angehen der Herausforderung Damit dieser wachsenden Herausforderung besser gegenübergetreten werden kann, müssen die fundamentalen Vertrauensannahmen in der Cyber-Sicherheit überdacht werden. Moderne Sicherheitsstrategien müssen auf der Annahme beruhen, dass Angriffe unvermeidbar sind. Mit anderen Worten mus Please complete the form to gain access to this content Access Now Related Resources Closing the Cloud Visibility Gap Helping Service Providers on their Network Journey Understanding the Value of Application-Aware Network Operations When Networks Meet The New Tomorrow Resilience During Unprecedented Change How to get high performing, secure networks while staying within budget 2019 Cyberthreat Report - Executive Brief DE 2019 Cyberthreat Report - Infographic DE Nutzung der Metadaten für Security Gigamon und die allgemeine Datenschutzverordnung der Europäischen Union The Surprising Ways that Inline Bypass Helps Protect Network Operations How to Gain Control of Complex Applications in the Time of Digital Transformation Definitive Guide to Next-Generation Network Packet Brokers Network Architecture with Security in Mind Next-Generation Network Packet Brokers What Do You Mean TLS 1.3 Might Degrade My Security? Security at the Speed of Your Network Inline Bypass: Scaling Inline Threat Prevention Tools to Keep Pace with High-Speed Networks How to Strengthen Security While Optimizing NETWORK PERFORMANCE Scaling Network Security
Whitepaper: Bekämpfung der Bedrohung von innen Neue Ansätze bei der Bereitstellung von Netzwerksicherheit Im Rahmen einer kürzlich veröffentlichten Studie1, in der 1200 Unternehmen in 63 Ländern einer Analyse unterzogen wurden, stellte man fest, dass 97 % der an der Studie teilnehmenden Organisationen während des Studienzeitraums einer Sicherheitsverletzung zum Opfer fielen. Von diesen Organisationen verfügten 75 % über aktive Befehls- und Kontrollaktivitäten. Im Rahmen einer weiteren Studie2 wurde festgestellt, dass die durchschnittliche Dauer vom ursprünglichen Eindringen bis zu dessen Feststellung 134 Tage betrug. Das beweist, dass viele Organisationen monatelang unbemerkt infiziert sein können. All dies zeigt, dass wir unsere Sicherheitsmodelle überdenken müssen. Unternehmen können nicht länger auf der Annahme basierend agieren, dass sie Bedrohungen aussperren können. Stattdessen sollten sich Organisationen darauf konzentrieren, kompromittierte Systeme zu erkennen und Malware einzudämmen. Die Identifikation betroffener Systeme ist aufgrund aktueller Trends in der IT zunehmend schwieriger geworden. IT-Trends mit Auswirkungen auf die Sicherheit Wandel in der Belegschaft und BYOD Es gibt verschiedene Trends im IT-Bereich, die sich auf die innere Sicherheit auswirken. Wie bereits oben erwähnt, hat sich die Belegschaft selbst gewandelt: Sowohl Mitarbeiter als auch Berater und Vertragsnehmer werden als Teil des Unternehmens betrachtet. Somit ist es für die IT schwieriger geworden, rollenbasierte Kontrollen einzusetzen. BYOD und Konsumerisierung von IT haben die strengen Prüfungen der IT zur Sicherheit von Computern, Laptops, Mobiltelefonen und anderen von der Belegschaft für geschäftliche Produktivität eingesetzten Geräten deutlich gelockert. Zunahme des Ost-West-Traffic Ein weiterer deutlicher Umschwung geschah in Rechenzentren, wo Traffic-Muster sich in Ost-West-Richtung verschieben, da Server und virtuelle Maschinen (VM) miteinander und mit Datenbanksystemen, Datenspeichern und anderen Anwendungen innerhalb des Rechenzentrums kommunizieren. Ost-West-Traffic trifft nie auf den Netzwerkkern, wo er von Sicherheitsprüfungen wie IPS/IDS zur Erkennung von Malware oder Bedrohungen innerhalb des Traffics profitieren würde. Zudem steigt der Ost-West-Traffic prozentual im Vergleich zum Nord-Süd-Traffic (Traffic an das und aus dem Internet) deutlich an. Somit kann sich Malware, die in einen alten, nicht gepatchten Server eingedrungen ist, lateral und von allen Sicherheitsvorkehrungen, die den Nord-Süd-Traffic überwachen, unbemerkt im Rechenzentrum ausbreiten (siehe Abbildung 2). Ein Beispiel: Facebook führt täglich 1 Million Map-Reducing-Vorgänge durch.3 Das führt zu umfangreichem Netzwerk-Traffic innerhalb des Rechenzentrums. Obwohl die meisten Unternehmen diesen Aufgabenumfang nicht ansatzweise erreichen, verursacht doch die wachsende Zuwendung zu Big-Data-Anwendungen in großen und mittelständischen Unternehmen einen ähnlichen Umbruch der Traffic-Muster innerhalb von Rechenzentren. Ein weiteres Beispiel: Die Umstellung auf VDI (Virtual-Desktop-Infrastruktur) in mehreren Unternehmen hat den Desktop in das Rechenzentrum verschoben. Somit wurde aus dem Client-Server-Traffic, der traditionell in Nord-SüdRichtung und durch den Netzwerkkern und wohldefinierte Engpässe verlief, Ost-West-Traffic zwischen den virtuellen Desktop-Instanzen und den Anwendungen, die alle im Rechenzentrum gehostet werden. Sämtlicher Traffic läuft unter dem Radar der Sicherheitsanwendungen ab, die diesen nicht überwachen können. Internet Firewall DMZ IPS IDS Core Switch VM VM Keine Transparenz bei der Querverbreitung von Bedrohungen! Spine VM Leaf Server Farm Abbildung 2: Ost-West-Traffic in Rechenzentren FireEye. 2015. Maginot revisited: More Real-World Results from Real-World Tests. https://www2.fireeye.com/WEB-2015RPTMaginotRevisited.html Trustwave. 2014. Global Security Report. https://www2.trustwave.com/rs/trustwave/images/2014_Trustwave_Global_Security_Report.pdf 3 Wiener, Janet and Bronson, Nathan. “Facebook’s Top Open Data Problems.” Web blog post. research.facebook.com, Sept. 2014. https://research.facebook.com/ blog/1522692927972019/facebook-s-top-open-data-problems/ 1 2 © 2015-2016 Gigamon. Alle Rechte vorbehalten. 3 Whitepaper: Bekämpfung der Bedrohung von innen Neue Ansätze bei der Bereitstellung von Netzwerksicherheit Mobilität Auch Mobilität trägt zusätzlich zur Herausforderung der modernen Netzwerksicherheit bei. Benutzer, Geräte und Anwendungen sind heute alle flexibel. Beispielsweise können als virtuelle Maschine verpackte Anwendungen mit einem Mausklick oder möglicherweise sogar automatisch zwischen Racks, Reihen, Pods oder sogar Rechenzentren verschoben werden. Und das alles, ohne dass das Sicherheitsteam davon erfährt. Sicherheitsanwendungen wie IDS oder IPS, die direkt mit einem Punkt im Rechenzentrum verknüpft und auf die Prüfung von Anwendungs-Traffic spezialisiert sind, können wirkungslos sein, wenn die Anwendung selbst an einen anderen Ort verschoben wird, ohne dass das Sicherheitsteam davon erfährt. Mit anderen Worten verliert der Speicherort an Relevanz, wenn es um die Bereitstellung von Sicherheitslösungen geht. Das gilt sogar für die Randbereiche des Standorts, wo Benutzer und Geräte mobil sind. Zunehmender Einsatz von Verschlüsselung Und schließlich verwenden immer mehr Unternehmen intern Verschlüsselungsmethoden wie SSL. Auch wenn die Verschlüsselung von Daten für deren Versand Schutz vor Spionen im sicheren Kommunikationskanal gibt, kann sie von Malware zur Tarnung als geschützte Daten verwendet werden. Viele Sicherheitsanwendungen sind für verschlüsselten Traffic blind, sodass der Einsatz verschlüsselter Malware zunehmend an Beliebtheit gewinnt. Wo Sicherheitsanwendungen mit SSL verschlüsselten Traffic überwachen können, wirkt sich das jedoch negativ auf deren Leistung aus, da SSL-Entschlüsselung umfangreiche Rechenkapazitäten in Anspruch nimmt. In einem Bericht von Gartner4 geht man davon aus, dass bis 2017 über 50 % aller Netzwerkangriffe mittels verschlüsselter Malware durchgeführt werden, um vorhandene Kontrollen zu umgehen. Das Zusammenspiel dieser Faktoren – d. h. die fortschrittlichen und komplizierten Eigenschaften der Bedrohungen, die Änderungen der Traffic-Muster, der zunehmende Einsatz von SSL-Verschlüsselung und Verschlüsselungstechnologien von Malware und die Verwendung eines veralteten Vertrauensmodells für die Erstellung von Sicherheitsarchitekturen - führt zu Umgebungen, die zu mutwilligen Sicherheitsverletzungen geradezu auffordern. Angehen der Herausforderung Damit dieser wachsenden Herausforderung besser gegenübergetreten werden kann, müssen die fundamentalen Vertrauensannahmen in der Cyber-Sicherheit überdacht werden. Moderne Sicherheitsstrategien müssen auf der Annahme beruhen, dass Angriffe unvermeidbar sind. Mit anderen Worten mus
