Netzwerksicherheit: Automatisierung erhöht Schutzlevel spürbar

Palo Alto Networks nennt Kriterien für geeignete Lösungen

[datensicherheit.de, 16.10.2015] IT-Sicherheitsprofis sehen sich täglich mit einer endlos scheinenden To-do-Liste konfrontiert: Regeln aktualisieren, Berichte erstellen, Schutzmaßnahmen erweitern, Ergebnisse analysieren, versteckte Bedrohungen finden, mehrere Implementierungen verwalten etc. Automation scheint die perfekte Antwort darauf zu sein. Die meisten Sicherheitsexperten sind aber hin- und hergerissen zwischen der Automatisierung und Optimierung von Prozessen einerseits und andererseits der Beibehaltung der manuellen Steuerung, die menschliche Entscheidungsfindung zulässt. Palo Alto Networks empfiehlt, einen genaueren Blick auf die Vor- und Nachteile der Automatisierung in Sicherheitsumgebungen zu werfen.

„Viele Sicherheitsexperten zögern, der Automatisierung zu vertrauen. Sie wollen oftmals lieber die manuelle Steuerung beibehalten. Dies geschieht jedoch auf Kosten einer besser kontrollierten, vorhersehbaren und beherrschbaren Arbeitsumgebung“, berichtet Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. „Trotzdem besteht nach wie vor eine gewisse Furcht davor, Entscheidungen beim Sicherheits- oder Netzwerkmanagement in ihren Unternehmen einfach einer Software zu überlassen.“

Die meisten Sorgen seien jedoch eher einer subjektiven Wahrnehmung als Fakten geschuldet:

• Wahrgenommener Verlust der Kontrolle: Viele IT-Profis haben das Gefühl, einen besseren Job für ihr Unternehmen machen zu können als es Technologie alleine kann. Tatsache bleibt, dass es Einschränkungen gibt, wie viel Analyse sich realistisch auf manuelle Weise durchführen lässt.
• Misstrauen in die Technologie: Das Gefühl, dass automatisierte Technologie Bedrohungen oder Mitarbeiter im Unternehmen überwacht, ist ein weiteres durchaus starkes emotionales Argument gegen die Automatisierung.
• Angst vor Veränderung: Was wird die Automatisierung der Sicherheit im Unternehmen verändern? Welche Auswirkungen sind auf die eigene Arbeit zu erwarten? Die meisten Sicherheitsexperten fühlen sich überfordert, aber haben diese Situation als einen Teil ihrer Arbeit akzeptiert. Eine Reduzierung dieser Belastung könnte sich anfühlen, als ob sie ihr Unternehmen nicht effektiv genug schützen.

Zu dieser kritischen Einschätzung gibt es eine Reihe sehr starker, faktenbasierter Gegenargumente, die Palo Alto Networks im Folgenden aufführt:

• Einheitliche Prozesse und weniger doppelte Arbeit: Viele Prozesse in Sicherheitsarchitekturen sind komplex und oft ist doppelte Arbeit erforderlich. Wie viele Regeln werden doppelt verwaltet im Netzwerk? Müssen die Regeln alle manuell gepflegt und aktualisiert werden? Automatisierung sorgt langfristig für eine Verringerung doppelter Prozesse.
• Reduzierte Komplexität: Die meisten Sicherheitsarchitekturen sind unglaublich komplex und umfassen eine Vielzahl von unterschiedlichen Technologien, die alle eigene Benutzeroberflächen, Reporting-Funktionalitäten und Regelbasen aufweisen. Automatisierung sorgt für Kohärenz und Konsistenz und damit reduzierte Komplexität.
• Weniger menschliche Fehler: Komplexität und Vervielfältigung sind gefährlich, wenn Menschen am Werk sind. Stress, lange Arbeitszeiten und letztlich Verwirrung führen häufig zu menschlichen Fehlern, die katastrophal für die Arbeit der Sicherheitsabteilung sein können. Automatisierung kann menschliches Versagen deutlich reduzieren.
• Verbesserter Wissensaustausch und kurze Entscheidungswege: Automatisierung ermöglicht es, Informationen über verschiedene Datenquellen zu korrelieren, woraus eine schnellere Erkennung von Bedrohungen als mit manueller Analyse resultiert.

Die Entscheidung, wann, wie und in welchem ​​Umfang zu automatisieren, ist eine Entscheidung, die jedem einzelnen Netzwerkadministrator und Sicherheitsprofi überlassen werden sollte. Fällt die Entscheidung für Automatisierung, kann diese in jedem Unternehmen in vier wichtigen Bereichen der Netzwerksicherheit eingeführt oder erweitert werden:

1. Netzwerkeinrichtung – Automatisierung in diesem Bereich ermöglicht die Konfiguration von Firewalls und Regeln, indem Duplizierung verhindert wird und Prozesse gestrafft werden mittels Automatisierungstools wie Templates, Template-Stacks und Gerätegruppen.
2. Netzwerkmanagement – Automatisierung in diesem Bereich gewährleistet, dass Netzwerk und Regeln immer auf dem neuesten Stand sind mittels Funktionen wie SIEM-Integration oder Security Policy Orchestration.
3. Einrichtung der Bedrohungserkennung (Threat Intelligence) – Dieser Bereich konzentriert sich auf den automatischen Schutz vor bekannten und unbekannten Bedrohungen mittels eingehender Analyse sowie die Prävention, um erfolgreiche Angriffe zu verhindern. Dies ermöglicht es auch, dass unterschiedliche Sicherheitstechnologien voneinander lernen können. Automatisierte Bedrohungskorrelation, eine gemeinsame Sicherheitsregelbasis und ähnliche Funktionalitäten tragen dazu bei, Prozesse zu straffen.
4. Threat Intelligence Management – Diese Komponente konzentriert sich auf kontinuierlichen Schutz mittels neuester Informationen mit automatischen, häufigen Updates für Software, Signaturen und andere Sicherheitskomponenten.