Automatisierung: Fünf Herausforderungen der IT-Sicherheit

Cloud-Sicherheit und Policies automatisieren

Mehr Betriebe verlegen ihre Prozesse in die Cloud, wovon sie sich Verbesserungen für die Sicherheit, Compliance und Business Continuity ihres Unternehmens versprechen. Neue Herausforderungen warten aber auch um die Ecke. Die Netzwerksicherheit ist bereits zeit- und kostenintensiv, aber eine Speicherung von Daten, Anwendungen und sogar nur Teilen von Anwendungen in einer Cloud, erschwert die Kontrolle weiter. Die IT-Sicherheitsabteilungen müssen daher ihre verzweigte Infrastruktur sorgfältig planen, um die zahlreichen, unterschiedlichen Sicherheitsmechanismen aufeinander abzustimmen.

Aufgrund der unterschiedlichen Programmiersprachen, Protokolle und Sicherheitsmechanismen aber, die jede Public Cloud, jede physische Firewall und jede virtuelle Umgebung mit sich bringt, nimmt die Anzahl der Änderungsanfragen zu. Der Druck auf die meist unterbesetzte Abteilung wird erhöht. Daher ist eine Automatisierung der meisten Vorgänge nun zur Pflicht geworden.

Außerdem verschwindet das traditionelle Rechenzentrum nicht so schnell. Stattdessen nimmt ein kombinierter Betrieb der Umgebungen zu, wodurch ein weitreichendes, hybrides Ökosystem aus Rechenzentrum, Public- und Private Cloud entsteht. Es wird also noch schwieriger, die Sicherheitsrichtlinien klar zu definieren und zu überwachen und um diese Aufgabe zu lösen, müssen Sicherheitslösungen:

• Zusätzlich intelligente und absichtsorientierte Optionen bereitstellen, die den gesamten Lebenszyklus der Sicherheitsrichtlinien eines Netzwerks abdecken, von der Erstellung über Änderungen bis zum Audit.
• Zudem eine geschäftsorientierte Analyse der Konnektivität und vorausschauende Risikoevaluation über die gesamte, vielfältige Infrastruktur ermöglichen. Hier reicht aber der manuelle Eingriff der Administratoren nicht mehr aus. Die Automatisierung der Vorgänge innerhalb der IT-Sicherheit muss daher alle Unternehmen beschäftigen.

Schwachstellen in Unternehmen schnell suchen, finden und schließen

Die bekannte, jährliche Studie des Ponemon Institutes über die Kosten eines Datenlecks aus dem Jahr 2018 (von IBM Security finanziert und daher nur dort zu beziehen) beziffert die durchschnittlichen Kosten eines Vorfalls auf 3,86 Millionen US-Dollar – über 6 Prozent höher als im Jahr 2017. Darunterfallen Kosten für forensische Untersuchungen, Gegenmaßnahmen, Benachrichtigungen der Aktionäre, rechtliche und regulatorische Aktivitäten, sowie die Kosten für Betriebsausfälle und verlorene Reputation.

Häufig bleiben bekannte Schwachstellen deshalb lange offen, weil die Unternehmen sich der wahren Gefahr nicht bewusst sind. Die meisten IT-Abteilungen verlassen sich alleine auf die Berichte ihrer Schwachstellenscanner. Diese liefern detaillierte technische Informationen, in der Regel geordnet nach der IP-Adresse oder dem DNS-Namen eines Servers. Zudem geben sie Ratschläge, wie Administratoren die Fehler durch ein Software-Upgrade oder einen Patch beheben können. Doch die schiere Menge an Warnungen und potentiellen Risiken kann überwältigend sein.

Um ein genaueres Bild zu erhalten, müssen Unternehmen die Daten der Schwachstellenscanner mit betroffenen Servern und spezifischen Geschäftsanwendungen verknüpfen. Nur dann können Gegenmaßnahmen priorisiert und gezielt verwaltet werden. IT-Administratoren könnten dank dieser Verknüpfung genau abwägen, in welchem Verhältnis die Gefahr zu den möglichen Auswirkungen auf das Unternehmen steht, wie Ausfallzeiten wegen der Fehlerbehebung.

„Häufig bleiben bekannte Schwachstellen deshalb lange offen, weil die Unternehmen sich der wahren Gefahr nicht bewusst sind.“

Robert Blank, AlgoSec

Die Verknüpfung kommt zustande durch ein Schwachstellen-Scanning, dass in eine automatisierte Security-Management-Lösung integriert wird. Für jede Anwendung wird dann eine Sicherheitsbewertung je Schwachstelle bereitgestellt. Diese Einstufungen werden auch bei jeder Netzwerkänderung automatisch berechnet, um einen aktuellen Überblick der Funde zu wahren.

Vorausschauende Wartung favorisieren

Wichtiger wird von Jahr zu Jahr die Predictive Maintenance (PdM), also die vorausschauende Wartung. Lösungen dieser Kategorie zeigen den Unternehmen rechtzeitig an, wann die Maschinen eine Wartung benötigen, um überraschende, sehr teure Ausfälle der Produktion zu reduzieren. Mehr Maschinen werden mit Sensoren ausgestattet, die mehr Daten sammeln als bisher. Diese Daten aber müssen an den richtigen Server und Standort gelangen, sie dürfen nicht durch Firewalls aufgehalten werden, ebenso die zugreifenden Anwendungen. Im gleichen Netzwerk gibt es keine Hindernisse, doch seit der Öffnung vieler Produktionsumgebungen für das Internet und der Vernetzung verschiedener Fabriken, gehen die Daten an ein außenstehendes Netzwerk. Hier kann eine Firewall ungewollt zum Hindernis werden.

So etwas manuell zu regeln, ist eine schier unmögliche Aufgabe. Es würde den Prozess stark verlangsamen und die Kosten in die Höhe treiben. Die Idee hinter der PdM, Wartungskosten zu verringern und Ausfälle zu reduzieren, liefe somit ad absurdum. Eine automatisierte Sicherheitslösung dagegen, die sich im Rahmen von Richtlinien um den Zugriff kümmert, ist schnell und genau genug, um einen zuverlässigen Datenfluss zu gewährleisten. So wird die IT-Sicherheit vom lästigen Hindernis zum Wegbereiter einer automatisierten und digitalisierten Unternehmensstruktur.

Das wahre Ausmaß der PdM auf die Geschäftszahlen belegt eine Studie der Unternehmensberatung Roland Berger aus dem Jahr 2017. Die Kosten für die Wartungsarbeiten werden bis ins Jahr 2022 auf 6,3 Milliarden US-Dollar steigen, im Vergleich zu 1,5 Milliarden US-Dollar im Jahr 2016. Vorrauschauende Wartung wird sich also von Jahr zu Jahr mehr lohnen, um diese Steigerung klein zu halten.

Mikrosegmentierung mit Verstand und Automatisierung

Die Netzwerksegmentierung wird seit vielen Jahren empfohlen, um die Angriffsfläche in Rechenzentren verringern. Fehlt eine effektive Segmentierung, gilt dies als entscheidend in Bezug auf die bislang größten Datenpannen, von denen auch der Händler Target und die Kreditauskunftei Equifax betroffen waren.

In diesem Zusammenhang hat eine Studie der ESG-Analysten offen gelegt, dass fast 70 Prozent der Unternehmen eine Form der Mikrosegmentierung anwenden, um Seitwärtsbewegungen von Hackern bei deren Erkundung von Netzwerken einzuschränken. Die Einführung einer effektiven Strategie zur Mikrosegmentierung jedoch stellt die IT-Sicherheitsleute vor zwei große Herausforderungen: Wo sollten in den Datenzentren die Grenzen zwischen den Segmenten gezogen werden? Sollen die Richtlinien für alle Segmente einzeln erarbeitet und verwaltet werden, um sicherzustellen, dass Netzwerkverkehr rechtmäßiger Geschäftsanwendungen nicht versehentlich geblockt wird?

Der Ausgangspunkt für ein erfolgreiches Mikrosegmentierungssystem ist das Ermitteln und Identifizieren aller Anwendungsströme im Datenzentrum. Dies lässt sich mithilfe einer Discovery Engine erreichen. Zudem müssen die Verantwortlichen wissen, was mit den Anwendungsströmen passiert, wenn ein physisches oder virtuelles Filtergerät platziert wird, um zwischen den Segmenten eine Grenze zu ziehen. Es gilt zu bedenken, dass einige Anwendungsdaten diese Grenze zwingend passieren müssen. Dafür aber müssen explizite Regeln erstellt werden.

Nach der Mikrosegmentierung muss das System fortwährend verwaltet und gepflegt werden, damit es in Einklang steht mit der Sicherheit des gesamten Unternehmensnetzwerks. Am effektivsten kann das eine Lösung zur Automatisierung der Netzwerksicherheit, die alle Sicherheitskontrollen und die vorhandenen Hardware-Firewalls in einer SDN-Umgebung überwacht. Dann ist gesichert, dass die Richtlinien der Segmentierung im gesamten Netzwerk konsequent angewandt, verwaltet und überwacht werden. Zudem sind sämtliche Änderungen zu Audit-Zwecken verfolgbar. Der umständliche, fehleranfällige Prozess von Hand bei Änderungen scheidet aus. Die Automatisierung übernimmt die schnelle Erkennung der Verbindungen, Mapping und die laufende Verwaltung.