20.02.2007 | Autor / Redakteur: René Reutter / Ulrike Ostler
Wer Schaden von seiner Informations- und Kommunikationstechnologie (ICT) abwenden möchte, muss wie ein Angreifer denken und handeln. Nichts offenbart Systemschwachstellen schneller und zuverlässiger als ein regelmäßiger Wechsel der Perspektive.
„Wenn du den Feind und dich selbst kennst, brauchst du den Ausgang von hundert Schlachten nicht zu fürchten“ – für CIOs und Netzwerkadministratoren gibt es kaum einen besseren Arbeitsgrundsatz als die Aufzeichnungen des chinesischen Generals Sunzi.
Um 500 vor Christus hat er in seinem Werk „Die Kunst des Krieges“ die entscheidende Basis jeder erfolgreichen Sicherheitsstrategie beschrieben: Wissen.
Zwei Hauptgründe machen Security-Attacken erfolgreich:
Dabei ist die Bedrohungslage längst kein Science Fiction mehr. Die Häufigkeit der Angriffe auf Applikationsebene steigt exponentiell und Hacker nutzen Schwachstellen in so genannten „zero day attacks“ immer schneller aus. Ihr Handeln ist vielfach von wirtschaftlichen Interessen getrieben, was der Zuwachs von Phishing, eine moderne Form des Trickbetrugs, deutlich erkennbar macht.
Schadsoftware geht verstärkt dazu über, Hintertüren in ICT-Systeme einzubauen (Angriffsintialisierung) – durch kriminelle Sekundäraktivitäten entstehen in der eigentlichen Angriffsphase meist hohe finanzielle Schäden. Und vermehrt sind Bot-Netze die Erfüllungsgehilfen bei Attacken und der Verbreitung von Malware, sie dienen den Angreifern dazu, ihre Herkunft zu verschleiern.
Die wenigsten Firmen verfügen über das notwendige technische Know-how, geschweige denn über die personellen Ressourcen, um ihre Netzwerke und ICT-Ressourcen Tag und Nacht von Grund auf zu durchleuchten – gleichermaßen von innen wie von außen. Vielfach bemerken sie Angriffe und Datendiebstähle gar nicht. Und falls doch, fehlen effiziente Notfallpläne und ausreichend geschulte Sicherheitsexperten.
Viele Unternehmen konzentrieren sich stark auf Perimeter-Sicherheit und haben (zu) wenig Kontrolle innerhalb ihrer IT. Dieses latent gefühlte Sicherheitsdefizit erklärt die anhaltend kräftigen Investitionen in Firewalls, Virenscanner, Intrusion-Prevention-Systeme und neuerdings immer häufiger „Unified Threat Management“-Appliances. In der Hoffnung, dass starkes Außengrenzen schützt, entstehen immer dickere Komponentenwälle.
Richtig konfiguriert, leistet jede Technologie punktuell einen guten Job. Bedarfsgerechter Schutz entsteht aber nur, wenn die einzelnen Bausteine optimal verteilt sind, intelligent zusammenarbeiten und die wirklich sicherheitsrelevanten Vorfälle automatisch aus dem „Information Overload“ herauskristallisieren. Dann wird aus Informationen Wissen – und Wissen ist und bleibt die beste Verteidigungsgrundlage.
Frühwarnung ist also nicht nur bei der Klimaforschung wichtig. Damit ein Security Officer rechtzeitig geeignete Maßnahmen ergreifen kann, muss er einen detaillierten Überblick über die aktuelle Bedrohungslage haben. Leistungsstarke Security Information & Event Management Systeme (SIEM) helfen dabei, der immensen Datenflut Herr zu werden.
Sie verarbeiten eine Vielzahl von Events, die verschiedene Security-Komponenten melden und führen alle Sicherheits-Informationen aus dem IT-Betrieb zusammen. Echtzeitforensik, künstliche Intelligenz und modernste Data-Mining-Techniken strukturieren und korrelieren die Daten und machen kausale Zusammenhänge sichtbar. Wie in einem Puzzle fügt SIEM automatisiert und ohne menschliches Eingreifen Teilstück für Teilstück zu einem Gesamtbild zusammen und liefert aussagekräftige Reports – die Grundlage für vorbeugende Maßnahmen und wirksame Gegenschritte.
Priorisierte Sicherheitsmeldungen unter Ausschluss von „false positives“ ermöglichen ein gezieltes Handeln am Brandherd. SIEM ist somit ein wichtiger Service für jedes größere Firmennetzwerk, insbesondere vor dem Hintergrund, dass Informations- und Kommunikationsservices zunehmend zu integrierten Lösungen verschmelzen (Real ICT).
Security Operation Center (SOC), marktführender ICT-Dienstleister, überwacht auf Basis dieser Technologie sämtliche Systeme und Netzwerkkomponenten, die in einer unternehmensweiten Infrastruktur zum Einsatz kommen. Rund um die Uhr suchen sie nach auffälligen Abweichungen. Das können beispielsweise digitale Spuren sein, die bei Identitätsdiebstählen und bei Industriespionage zurück bleiben. Genauso aber Langzeitattacken, mit denen Angreifer oftmals versuchen, an Unternehmensinformationen zu gelangen, die ihnen eigentlich verschlossen bleiben sollen.
Entwicklung, Produktion, Vertrieb und Administration im Backoffice sind heute zwingend auf kontinuierlich funktionierende ICT-Systeme angewiesen. SIEM fügt den sicherheitsrelevanten Meldungen aus allen Bereichen Verwundbarkeitsinformationen hinzu und bewertet sie direkt in Hinblick auf die möglicherweise tangierten Abläufe im Unternehmen.
Die Datenkorrelation ist sozusagen dreidimensional und vermittelt ein Gespür für den Grad der Bedrohung. Diese Verschränkung zwischen Security-Architektur und Geschäftsprozessen ist nicht nur vor dem Hintergrund international verschärfter Compliance-Anforderungen immer notwendiger, sondern dient dazu, das Gefahrenpotenzial realer Bedrohungen realistisch einzuschätzen.
Der Bedarf an Threat Monitoring und Incident Response wird in Zukunft stark zunehmen. Soll Gefahr erkannt auch Gefahr gebannt heißen, müssen Sicherheitsadministratoren nachweislich betroffene ICT-Systeme so isolieren, dass keine SLA-Verletzungen auftreten und keine Kollateralschäden entstehen. Je größer der Verbund, desto anspruchsvoller diese Aufgabe – vor allem, wenn die normale Kommunikation weiterlaufen, die schadhafte aber unterbunden werden soll.
Technisch bewährt haben sich modulare Intelligent Property Protection Services. Bei ihrem Design ist ein Cross Device & Cross Vendor-Ansatz empfehlenswert. Er verhindert, dass das Quarantänemanagement nur die aktiven Netzwerkkomponenten eines einzigen Herstellers berücksichtigt.
Wichtig ist auch die Sensorik zum Status quo aller technischen Assets, um nach eingehender SIEM-Analyse entsprechende Response-Services aktivieren zu können. Ein Beispiel dazu: Rechner, die zu einem bereits bestehenden Exploit nicht die erforderlichen Patches aufweisen, wandern in Quarantäne. Bei Netzwerkkomponenten kann dies durch Modifikation der Zugangskontrollisten (Access Control Lists) passieren, ergänzend aber auch durch Shielding-Mechanismen im Rahmen des Inbound- und Outbound-Traffics während des Zeitfensters der Verwundbarkeit.
Wichtige Grundlage in diesem Gesamtkontext ist eine aktuelle Configuration Management Data Base (CMDB) – es macht schon einen Unterschied aus, nur ein einzelnes Arbeitsplatzsystem temporär in Quarantäne zu nehmen oder einen DNS-Server (DNS = Domain Name System). Auch der verstärkte Einsatz von Standards wie IEEE 802.1x zur Authentifizierung und Autorisierung in Rechnernetzen ist ein wichtiger Sicherheitsbaustein, als Stand-alone-Lösung aber eben nicht ausreichend.
In einer global ausgerichteten Wirtschaft bildet die ICT-Infrastruktur eines Unternehmens ein Netz innerhalb anderer Netze. Es fällt oft schwer, klare Trennlinien zu ziehen und die Wireless-Technologie hebt vollends alle physischen Grenzen auf. In solch offenen Umgebungen kommt kein Sicherheitsverantwortlicher mehr umhin, alle Verbindungen zu überwachen. Vor allem und gerade dann, wenn neue Kommunikationsprotokolle wie XML im Einsatz sind.
Innerhalb serviceorientierter Architekturen und auf Lieferantenportalen beispielsweise ist es nicht mehr ausreichend, nur einzelne IP-Adressen zu legitimieren. Die Zugriffsrechte müssen bis auf Protokollebene eindeutig geklärt sein. Auch hier leistet ein Security Information & Event Management gute Dienste – vor allem in Kombination mit Deep-Inspection-Technologien bei der Sensorik.
In allen modernen „All IP“-Kommunikationsinfrastrukturen, in denen eine erhöhte Abhängigkeit von komplexen Netzwerken und Systemen besteht und zunehmend Virtualisierungsaspekte eine wichtige Rolle spielen, ist eine integrierte End-to-End-Security essentiell. Mehrere Verteidigungslinien, netztechnische Schalenmodelle, Sandboxing-Technologien auf Endpoint-Ressourcen, ein flexibles Outbreak-Management mit Quarantäne und Remediation-Diensten sind im koordinierten Zusammenspiel von Netzwerk-, System-Management- und Security-Komponenten die Meilensteine auf dem Weg zur gewünschten Sicherheit.
Wer bei der Prävention morgen noch zur Avantgarde gehören will, muss an vorderster technologischer Front arbeiten – egal, wie aggressiv künftige Angriffsszenarien auch sein mögen. Intelligent Property Protection auf Basis der SIEM-Technologie ist eine wesentliche Grundlage, um Kundendaten und Firmen-Know-how effizient zu schützen, Sicherheitsattacken rasch zu erkennen und im Alarmfall sofort alle Schotten dicht zu machen.
René Reutter, Certified Information Systems Security Professional (CISSP), ist Leiter Security Architecture & Portfolio bei T-Systems. Aufgabe seines Teams ist es, im Kundenauftrag geeignete Abwehrstrategien gegen externe und interne Bedrohungen zu entwickeln. In diesem Kontext steht auch die kontinuierliche Weiterentwicklung der Managed Security Services zum Schutz von Netzwerken, Anwendungen und Prozessen.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2002610)
