bluebay2014 - Fotolia
Gezielte Cyberangriffe mit Netzwerk-Segmentierung abwehren
Trotz aller Sicherheitsmaßnahmen gelangen Angreifer immer wieder in Unternehmensnetze. Segmentierung und kontinuierliche Überwachung helfen bei der Schadensbegrenzung.
Um einen gezielten Cyberangriff zu verhindern oder abzumildern, reicht es nicht mehr aus, das eigene Netzwerk durch Patches und Updates abzusichern. Die kontinuierliche Überwachung sowie die Segmentierung des Netzwerks sind gleichfalls von großer Bedeutung für die Netzwerksicherheit.
Längst bestehen Unternehmensnetzwerke nicht mehr nur aus einigen lokalen Servern und einem Schwung Desktop-Rechner. Mitarbeiter verbinden ihre Notebooks, Smartphones und Tablets mit dem Firmennetzwerk. Hinzu kommen Mail- wie Datenserver sowie Überwachungs- und Datenerfassungssysteme. Und natürlich reichen die Netzwerke bis in die Cloud und in virtuelle Umgebungen, sind mit Netzwerken von Dritten verbunden und erstrecken sich auf das Internet der Dinge.
Und wie die immer wieder auftretenden Datenverstöße demonstrieren, können IT-Abteilungen nicht alle Endpunkte richtig absichern. Die Verteidigung konzentriert sich meist auf externe, zielgerichtete Angriffe, weniger auf interne Netzwerke und Benutzer. Die am meisten genutzten Sicherheitstechnologien sind nach wie vor Antiviren-Software, Firewalls, VPNs und E-Mail-Filter. Hacker legen es jedoch häufig darauf an, Endpunkte zu kompromittieren, die in den geschützten Netzwerken sitzen. Und Cyberkriminelle sind häufig schneller im Entwickeln neuer Malware und Angriffstechniken, als das die Updates der Sicherheitslösungen auf den Endpunkten eingespielt werden.
Patches und Updates reichen nicht aus
Keine Frage, sicherzustellen, dass alle Geräte den aktuellen Patch-Status aufweisen und mit aktueller AV-Software versorgt sind, ist immer noch ein wichtiger Baustein in der IT-Sicherheit. Angesichts der Vielzahl von Geräten, Anwendungen und Nutzern, die ein Unternehmen inzwischen berücksichtigen muss, ist dies eben aber nur ein Baustein von vielen. Dieser vorbeugenden Technologien sind oft nicht in der Lage gezielten Angriffen zu begegnen oder laufende Exploits zu identifizieren. Der benötige Sicherheitsverantwortliche eine Strategie, die es ermöglicht wichtige Daten und Ressourcen zu schützen, auch wenn ein Eindringling es ins Firmennetz geschafft hat.
In den heute offeneren Netzwerken kann die Segmentierung derselben, die Reichweite eines gezielten Cyberangriffs einschränken und den Schutz der Daten verbessern. Durch die Segmentierung der internen Netzwerke kann der Zugriff auf kritische Informationen auf Personen oder Anwendungen beschränkt werden, die über eine entsprechende gültige Zugangsvoraussetzung verfügen. Zusätzliche Sicherheitskontrollen können so auch nur in den Segmenten eingesetzt werden, wo sie wirklich erforderlich sind, um entsprechende Informationen zu schützen. Hierdurch kann man die dadurch entstehenden Kosten im Griff behalten.
Die Segmentierung von Netzwerken erschwert es Angreifern sich darin zu bewegen. Aber ohne die Möglichkeit einen gezielten Angriff zu entdecken, werden viele Unternehmen erst dann von einem entsprechenden Vorfall erfahren, wenn wertvolle Daten erkennbar abhandenkommen. Gelangen Angreifer erst einmal erfolgreich ins Netzwerk, sind sie meist in der Lage die Spuren ihre Aktivitäten zu verwischen, um der Erkennung zu entgehen.
Netzwerke kontinuierlich überwachen
Damit Unternehmen einen zielgerichteten, technisch gut gelösten Cyberangriff erkennen können, müssen sie die Netzwerkaktivitäten kontinuierlich überwachen und aktiv nach ungewöhnlichem Verhalten suchen. Hat es ein Angreifer darauf abgesehen, Daten abzuziehen, muss er sich irgendwann anders verhalten, als ein echter und vertrauenswürdiger Benutzer. Überwachungslösungen, die die Verhaltensmuster von Benutzer, Geräten und Diensten kennen, sind so in der Lage untypisches Verhalten zu erkennen und können auf mögliche Angriffe hinweisen.
Entsprechende Sicherheitslösungen müssen natürlich lernen und wissen, welches Verhalten normal ist, und zwar gilt dies für Aktivitäten, die sich über mehrere Umgebungen erstrecken. Es existiert eine Reihe von Lösungen, die eine einheitliche Sicht auf lokale und Cloud-Umgebungen liefern können. Exemplarisch seien hier IBMs InfoSphere Guardium oder Splunk Cloud genannt. Entsprechende Lösungen können Warnmeldungen ausgeben, wenn Aktivitäten außerhalb eines bestimmten Korridors liegen.
Automatisierung ist wichtiger Bestandteil der Sicherheit
Die Angriffsfläche heutiger Unternehmen ist zu groß, als dass präventive Technologien hier im gewünschten Maße effektiv sein könnten. Dennoch gehen viele Unternehmen davon aus und konzentrieren ihre Sicherheitsbudgets auf diesen Bereich. Ohne Frage, sind diese Präventionstechnologien sehr wichtig. Dennoch sollten Unternehmen auch Lösungen einsetzen, die in der Lage sind einen gezielten Cyberangriff zu erkennen und so entsprechende Reaktionen erlauben.
Mit diesem proaktiven Ansatz lässt sich das Zeitfenster zwischen einem entsprechenden Vorfall und seiner Erkennung und Behebung verkleinern. Und damit das Ausmaß des möglichen Schadens verringern.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
