Cybersicherheit: Prävention durch Automatisierung

Gastbeitrag von Christian Hentschel, Theater Vice President, EMEA, Palo Alto Networks zum Thema Effektive Cybersicherheit. Er erläutert, wie mittels Automatisierung der Netzwerksicherheit der Schutzlevel spürbar erhöht wird.

Die Bedrohungslandschaft in der Cyberwelt wächst und wird immer komplexer. Viele Unternehmen setzen aber immer noch auf das herkömmliche Sicherheitsprinzip, basierend auf der Erkennung eines sicherheitskritischen Vorfalls und der Beseitigung möglicher Schäden. Sind mehrere punktuelle Lösungen für verschiedene Sicherheitsaufgaben im Einsatz, kommen immer wieder Alarmmeldungen und Warnungen aus verschiedenen Quellen. IT-Sicherheitsverantwortliche müssen diese Ergebnisse analysieren, Berichte erstellen, Regeln aktualisieren und die Schutzmaßnahmen erweitern. Nebenbei sollen sie die unterschiedlichen Sicherheitslösungen verwalten und noch dazu versteckte Bedrohungen finden. Die hier anfallenden manuellen Prozesse sind zeitaufwändig, fehleranfällig und es fehlt oft der Überblick, um Zusammenhänge zu erkennen.

 

Automatisieren oder nicht?

 

Automatisierung scheint die perfekte Antwort darauf zu sein. Die meisten Sicherheitsfachleute sind aber hin- und hergerissen zwischen einerseits der Automatisierung und Optimierung von Prozessen und andererseits der Beibehaltung der manuellen Steuerung, die menschliche Entscheidungsfindung zulässt. Viele Sicherheitsexperten zögern, der Automatisierung zu vertrauen. Sie bevorzugen es, die manuelle Steuerung beizubehalten. Dies geschieht jedoch auf Kosten der Effizienz und einer besser kontrollierten, vorhersehbaren sowie beherrschbaren Arbeitsumgebung. Trotzdem herrscht nach wie vor eine gewisse Skepsis vor, Entscheidungen beim Sicherheits- oder Netzwerkmanagement einfach einer Software zu überlassen.

 

Amsterdam 06-10-15 Palo Alto Networks ©Marco Hofste

„Prävention ist heute mit der richtigen Technologie nicht nur möglich, sondern auch notwendig,“ so Christian Hentschel, Theater Vice President, EMEA,Palo Alto Networks

Herkömmliche punktuelle Sicherheitslösungen oder unzureichend integrierte Plattformlösungen bieten jedoch weniger Unterstützung hinsichtlich Analyse – und speziell Prävention. Um maximale Sicherheit für das Unternehmen zu gewährleisten, kommt es aber genau darauf an: Bedrohungen schnell zu erkennen und diese in einem frühen Stadium des Angriffszyklus zu verhindern. Daher empfiehlt es sich, einen genaueren Blick auf die Automatisierung in Sicherheitsumgebungen zu werfen.

 

Auf den zweiten Blick wird schnell klar: Die Skepsis gegenüber automatisierten Lösungen ist eher einer subjektiven Wahrnehmung als Fakten geschuldet. So haben viele IT-Profis das Gefühl, einen besseren Job für ihr Unternehmen machen zu können als es Technologie alleine kann. Analyse lässt sich realistisch aber nicht in jedem beliebigen Umfang auf manuelle Weise durchführen. Viele Sicherheitsexperten fühlen sich zudem überlastet mit der gängigen Vorgehensweise, haben diese Situation aber als ein typisches Merkmal ihrer Arbeit akzeptiert. Eine Reduzierung dieser Belastung könnte sich gar anfühlen, als ob sie sich nicht genügend einbringen für die Sicherheit ihres Unternehmens. Genau das Gegenteil ist jedoch der Fall. Die Sicherheit würde sogar profitieren, wenn die Ressourcen mehr in Richtung Prävention verlagert werden. Dafür ist aber eines erforderlich: Automatisierung.

 

Eine Reihe weiterer Argumente spricht für den entscheidenden Schritt zu zeitgemäßer Sicherheit. Viele Prozesse in Sicherheitsarchitekturen sind komplex und oft wird wissentlich oder unwissentlich doppelte Arbeit verrichtet. Identische Regelsätze werden möglicherweise doppelt verwaltet im Netzwerk. Durch Automatisierung können solche doppelten Prozesse vermieden werden. Die meisten herkömmlichen Sicherheitsarchitekturen sind über die Jahre mit dem Unternehmen gewachsen und umfassen mittlerweile mehrere verschiedene Technologien. Diese weisen darüber hinaus eigene Benutzeroberflächen, Reporting-Funktionalitäten und Regelbasen auf. Eine einheitliche, nahtlos integrierte Sicherheitsplattform sorgt hier für mehr Kohärenz und Konsistenz und damit weniger Komplexität. Genau dies ist entscheidend, denn Komplexität kann ab einem gewissen Punkt kontraproduktiv sein, wenn Menschen am Werk sind. Fehler gehen dann auf Kosten der Sicherheit des Unternehmens. Automatisierung hingegen kann menschliches Versagen an den entscheidenden Stellen verhindern oder zumindest deutlich reduzieren. Der Austausch sowie die Verwertung vorhandener Informationen werden dabei verbessert.

 

Automatisierung – in welchem Umfang?

 

Ob, wann, wie und in welchem ​​Umfang automatisierte Sicherheit eingeführt werden sollte, ist eine Entscheidung, die letztlich dem leitenden Netzwerkadministrator oder Sicherheitsverantwortlichen überlassen werden sollte. Generell betrifft Automatisierung vier wichtige Bereiche der Netzwerksicherheit.

 

Erstens: Bei der Netzwerkeinrichtung unterstützt Automatisierung die Konfiguration von Firewalls und Regeln. Doppelte Prozesse werden verhindert und Prozesse werden gestrafft mittels Templates, Template-Stacks und Anlegen von Gerätegruppen. Zweitens: Automatisiertes Netzwerkmanagement gewährleistet, dass Netzwerk und Regeln immer auf dem neuesten Stand sind. Dies erfolgt mittels Funktionen wie SIEM-Integration (Security Information and Event Management) oder Security Policy Orchestration. Drittens:  Bedrohungserkennung (Threat Intelligence) sorgt für den automatischen Schutz vor bekannten und unbekannten Bedrohungen mittels eingehender Analyse. Dadurch ist effektive Prävention möglich, um erfolgreiche Angriffe zu verhindern. Zu einem hohen Sicherheitsniveau trägt auch bei, dass verschiedene Sicherheitskomponenten voneinander „lernen“ können. Informationen zu Bedrohungen können über verschiedene Datenquellen hinweg korreliert werden, woraus eine schnellere Erkennung von Bedrohungen als mit manueller Analyse resultiert. Viertens: Die Verwaltung der Bedrohungserkennung (Threat Intelligence Management) konzentriert sich auf den kontinuierlichen Schutz mit automatischen, häufigen Updates für Software, Signaturen und andere Sicherheitskomponenten. Diese werden basierend auf den neuesten Informationen zur aktuellen Bedrohungssituation veranlasst.

 

Zeitgemäße Sicherheit durch integrierte Plattform

 

Nur ein plattformbasierter integrierter Ansatz ohne „Brüche“ zwischen den Komponenten kann wirkliche Prävention liefern. Diese Anforderung erfüllt eine moderne Sicherheitsplattform „der nächsten Generation“, die drei entscheidende Komponenten vereint: eine Next-Generation-Firewall, die auch neueste hochentwickelte Cyberbedrohungen abwehren kann, eine Threat Intelligence Cloud, in der durch Erkennung und Analyse von Bedrohungen, die gerade im Umlauf sind, wertvolle neue Erkenntnisse gewonnen werden, und eine Endpunkt-Sicherheitslösung. Alle Komponenten sollten nativ integriert sein und die Plattform sollte weitgehend automatisiert und problemlos erweiterbar sein. Eine moderne Sicherheitsplattform dieser Art macht die vielen manuellen Prozesse überflüssig, die der Betrieb mehrerer separater Sicherheitsprodukte erfordert. Das Sicherheitsteam wird nicht mehr ausgebremst durch eine Flut an Warnungen. Viele Routineprozesse können bequem „nebenher“ laufen, während sich die Benutzer den erweiterten Präventionsfunktionen widmen können. Prävention ist heute mit der richtigen Technologie nicht nur möglich, sondern auch notwendig.

Weitere Informationen: Palo Alto Networks

Aufmacherbild/Lizenz: Purple Slog / Creative Commons

Bild Beitrag / Palo Alto @Marco Hofste