Netzwerksicherheit: Das Ende des Perimeters?
Netzwerksicherheit Security Sicherheitskonzept Bytes+Business TechOnly Perimeter IT-Infrastruktur
Neue Anwendungen, Arbeitsweisen und Geräte stellen die Netzwerksicherheit vor neue Herausforderungen. Das klassische Perimeter-Sicherheitskonzept muss deshalb erweitert werden. Das Netzwerk- und Security-Team der first frame networkers ag weiss wie.
Im Kontext der Netzwerksicherheit bezeichnet ein Perimeter jene Komponenten und Funktionen, die einen gewissen Bereich des Netzwerks und die sich darin befindlichen Geräte abgrenzen und schützen. Dabei unterteilt der Perimeter die IT-Infrastruktur in einen Inside- und Outside-Bereich. Der zugrundeliegende Sicherheitsansatz vertraut darauf, dass alles, was sich inside befindet, sicher ist, und betrachtet gleichzeitig alles, was sich outside befindet, als potenziell gefährlich. Der gesamte Verkehr muss verschiedene Sicherheitskontrollen passieren. Die dabei geltenden Regeln erlauben «normalen» und blockieren «abnormalen» Netzwerkverkehr. Dabei wissen diese, für welche Applikation der Netzwerkverkehr sowie von wem oder für wen dieser bestimmt ist. Zudem sind am Übergang tiefer gehende Sicherheitsanalysen implementiert. Die Sicherheitskontrollen beschränken sich jedoch auf den Zeitpunkt, zu dem der Netzwerkverkehr den Perimeter durchfliesst. Das Sicherheitskonzept geht also davon aus, dass der gesamte Verkehr in beide Richtungen über den Perimeter fliesst und dadurch als vertrauenswürdig oder als schädlich deklariert werden kann.
Neue Risiken durch neue Anwendungen und Geräte
Die sich verändernde Nutzung der IT-Infrastruktur stellt diesen Ansatz zunehmend vor neue Herausforderungen. Immer mehr Firmen arbeiten in hybriden Umgebungen. Sie nutzen Cloudservices und verschieben ihre Daten komplett oder teilweise in die Cloud. Ausserdem hat sich die Arbeitsweise verändert. Home- und Remoteoffice sind heute in vielen Firmen die Normalität. Damit verwischen sich die Grenzen zwischen Privatem und Geschäftlichem. Private Endgeräte werden für geschäftliche Anwendungen genutzt und umgekehrt. Viele Anwendungen werden heute über das mobile Gerät erledigt. Die Zuweisung von Geräten und Usern in bestimmte Bereiche ist nicht mehr immer möglich. In vielen Firmennetzwerken kommen IoT-Geräte als Netzwerkteilnehmer hinzu. Diese IoT-Geräte bieten mehr Funktionalitäten und werden somit auch angreifbarer. Die Arbeitsweise, die Arbeitsgeräte und somit die Datenhaltung und die Datenflüsse haben sich also verändert und verändern sich stetig weiter.
Verschlüsselung schränkt Sicherheitsanalysen ein
Die zunehmende Verschlüsselung des Netzwerkverkehrs schränkt die Anwendung von tiefer gehenden Sicherheitsanalysen massiv ein. Aktuell geht man davon aus, dass etwa 60 Prozent des Netzwerkverkehrs im Internet verschlüsselt sind und dadurch Sicherheitskontrollen nur teilweise wirken. Die eingesetzten Netzwerk-Protokolle haben wenig oder gar keine Built-in-Security. Angriffsvektoren auf Protokollebene sind somit möglich. Wenn sich also jemand einmal im Netz befindet, kann er sich lateral darin fortbewegen.
Die Dynamik und Skalierbarkeit neuer Multi-Cloud- und -Device-Umgebungen, aber vor allem die Geschwindigkeit der Veränderungen überfordern die herkömmlichen Sicherheitskonzepte. Regelsets werden häufig nicht rechtzeitig angepasst. Diese Entwicklungen führen dazu, dass eine angemessene Sicherheit nicht mehr nur auf der Basis des klassischen Perimeter-Sicherheitskonzepts gewährleistet werden kann.
Neue Sicherheitsansätze
Um die neuen Herausforderungen zu meistern, wurden in den letzten Jahren verschiedene neue Sicherheitsansätze entwickelt, die grundsätzlich auf den folgenden Annahmen basieren:
- Jedes Netzwerk ist potenziell gefährlich.
- Cyberkriminelle sind bereits innerhalb des Perimeters.
- Die Information zur Position im Netzwerk (inside/outside) ist nicht ausreichend, um den Vertrauensgrad festzulegen.
- Jedes Gerät, jeder User und jeder Verkehr muss laufend authentifiziert und autorisiert werden (auch innerhalb des Perimeters).
- Sicherheitsregeln müssen auch bei einem sich stetig verändernden Umfeld konsistent bleiben.
Aktives Vertrauensmanagement wird zentral
Gemäss den neuen Ansätzen werden die bedrohungsorientierten Sicherheitsmechanismen mit vertrauensprüfenden Mechanismen ergänzt. Dabei rückt das aktive Vertrauensmanagement ins Zentrum. Benutzer, Systeme, Geräte, Volumen, Timing und Kommunikationen werden laufend auf deren Verhalten geprüft. Es ist entscheidend zu wissen, wem und was vertraut wird, dies kann sich laufend verändern. Die Vertrauensverhältnisse werden laufend angepasst; Basis für diese Informationen bilden nicht mehr nur der über den Perimeter fliessende Netzwerkverkehr, sondern alle an den Businessprozessen beteiligten Objekte (Benutzer, Systeme, Daten etc.). Vertrauensverhältnisse werden dabei nur für die an einem Prozess beteiligten Benutzer, nötigen Ressourcen und nur für eine minimale Zeit aufgebaut. Dabei werden nur die für den Prozess minimal nötigen Rechte gewährt. Veränderungen müssen in Echtzeit und automatisiert in den bedrohungsorientierten Sicherheitsmechanismen, zum Beispiel im Firewallregelwerk, abgebildet werden können. Dies ermöglicht es, die dynamischen Vertrauensverhältnisse in der Sicherheitsinfrastruktur abzubilden. Aufgrund der sich laufend verändernden Umgebung wird das Verhalten von Usern, Applikationen, Geräten und so weiter zum wichtigsten Faktor bei der Festlegung von Vertrauensverhältnissen. So können beispielsweise Geräte, die keine saubere Gerätehygiene aufweisen, isoliert werden. Mittels neuer Technologien wie Machine Learning und Big-Data-Analysen wird der Prozess der fortlaufenden Verifikation unterstützt und automatisiert.
Identifikation, Absicherung, Erkennung, Reaktion
Kurz zusammengefasst können die Sicherheitsansätze auf den folgenden Aktivitätenkreislauf reduziert werden:
- Identifikation der kritischen Assets, Applikationen, Workloads, User und Geräte; Voraussage der wahrscheinlichsten Angriffe
- technische und organisatorische Absicherung der identifizierten Assets, Applikationen und Workloads und Etablierung von Vertrauensverhältnissen
- kontinuierliche Überwachung von Zuständen, Kommunikationen und Verhalten, Erkennung von Abnormalitäten
- automatische Reaktion und dynamische Anpassung der Absicherung
Die kontinuierliche Überwachung sowie die automatisierte Reaktion und Anpassung sind die Kernstücke dieser Sicherheitsansätze. Einige Beispiele zeigen deren konkrete Umsetzung:
- kontinuierliche Überwachung
- laufende Überprüfung der kritischen Systeme, Komponenten, Identitäten, Zugriffsrechte, Directory Services, Endpunkte, Netzwerkkomponenten usw.
- Überprüfung auf Logins bei abnormalen Orten/Zeiten
- Überprüfung auf abnormale Nutzungsprofile, Prozesse und File-Access-Aktivitäten
Erkennung von Hochrisiko-Zugriffe:
- Automatisierte Reaktion und Anpassung
- dynamischer Entzug von Zugriffsrechten
- Isolation von Systemen
- dynamische Anpassung von Regelwerken
Schutz durch zusätzliche Sicherheitsmechanismen
Die neuen Herausforderungen an die Sicherheit können durch die Implementation zusätzlicher Funktionalitäten, die konsequente Vernetzung aller Komponenten und die Anpassung einiger bestehender Sicherheitsparadigmen durchaus gemeistert werden. Die neuen Sicherheitsansätze bedeuten also noch nicht zwingend das Ende der Perimeter. Diese werden vielmehr um weitere Sicherheitsmechanismen ergänzt. Das hoch spezialisierte Netzwerk- und Security-Team der first frame networkers ag begleitet interessierte Unternehmen gerne auf diesem Weg.
Lukas Studer
Nach einer Lehre als Chemielaborant, der Arbeit im Lehrberuf und dem fliessenden Wechsel in die Informatik absolvierte Lukas Studer die Technikerschule Informatik und Netzwerktechnik. Er war als Informatiker bei verschiedenen Outsourcing-Anbietern für Industriebetriebe, Banken und Versicherungen sowie betriebsintern tätig. Mit dem MAS Information Security wechselte er in die interne Revision als IT-Prüfer und erlangte die Zertifizierung zum Certified Information Systems Auditor und das Zertifikat CAS Datenanalyse. Zudem ist er Certified SCADA Security Engineer (CSSE) und als CISO für die ISO-Zertifizierungen der first frame networkers ag zuständig.