Cybersicherheit mit KI-Unterstützung

Rückblick und Ausblick von Vectra AI

[datensicherheit.de, 30.12.2020] Bereits im Januar 2004 wurde ein loser Zusammenschluss von CISOs namens Jericho Forum offiziell gegründet, um das Konzept der De-Perimeterization zu definieren und zu fördern. Das Forum vertrat die Position, dass der traditionelle Netzwerkperimeter erodiert und Unternehmen die Sicherheitsauswirkungen eines solchen Abdriftens nicht verinnerlicht hatten. Seither ist in Sachen Cybersicherheit viel passiert.

Foto: Vectra

Andreas Müller, Regional Sales Director für die Region Zentraleuropa bei Vectra AI blickt auf 2020 zurück und wagt eine Prognose für das kommende Jahr:

„Zu Beginn des Jahres 2020 waren viele der Konzepte, die in den vom Forum veröffentlichten Dokumenten zum Ausdruck kamen, weitgehend akzeptiert. Dennoch hielten viele Unternehmen an einem losen Konzept eines sicheren Netzwerkperimeters fest, während sie langsam eine Architektur namens Zero Trust einführten, um besser mit der zunehmenden Verbreitung von SaaS-Anwendungen umgehen zu können.

Dann schlug die Pandemie zu. Dies beschleunigte mehrere Trends, die bereits im Gange waren:

(a) den Wechsel zu Software-as-a-Service (SaaS)-Anwendungen anstelle ihrer On-Premises-Gegenstücke,

(b) den Wechsel zu Cloudserviceprovidern anstelle des Hinzufügens weiterer Racks in eigenen oder gemieteten Rechenzentren und

(c) die Möglichkeit für Remote-Benutzer, sich direkt mit cloudbasierten Anwendungen zu verbinden, ohne ein VPN zu verwenden, oft als Mobile-to-Cloud bezeichnet.

Die Trends (a) und (b) wurden durch den Wunsch angetrieben, keine Geräte in Racks und Stacks unterzubringen (was während einer Pandemie schwer zu bewerkstelligen ist). Trend (c) resultierte aus der Notwendigkeit, alle Mitarbeiter nach Hause zu schicken und gleichzeitig festzustellen, dass die vorhandene VPN-Kapazität nicht ausreichte, um allen eine sichere und performante Verbindung zu bieten.

Die Beschleunigung dieser Trends kam in Form von bestimmten Plänen für die nächsten zwölf Monate, die in den ersten Wochen der Work-from-Home-Phase ausgeführt wurden. 5-Jahres-Pläne für den Wechsel zu SaaS und die Migration in die Cloud wurden plötzlich zu 24-Monats-Plänen.

Die Sicherheitsimplikationen solcher Umstellungen sind tiefgreifend. Unternehmen haben in letzter Zeit die Bedrohungslage für ihre Netzwerke nicht gerade entschärft. So haben sie den Zugriff auf das nicht ganz so vertrauenswürdige Internet der Dinge (IoT) innerhalb des Perimeters zugelassen. Sie haben ihre Architekturen auf den Kopf gestellt, indem sie die meisten Endanwender aus dem Unternehmensnetzwerk herausgeholt und die meisten Anwendungen in die Cloud verlagert haben. Dies erfolgte entweder in Form von SaaS oder durch Nutzung von Infrastructure as a Service (IaaS) und Platform as a Service (PaaS), bereitgestellt von Anbietern wie Amazon, Microsoft und Google.

Ausblick auf das Jahr 2021

Mit Blick auf das Jahr 2021 ist klar, dass die Pandemie die Arbeitsorte der Beschäftigten weiter einschränken wird und wie schwierig es sein wird, auf die eigenen physischen Rechenzentren zuzugreifen. Selbst wenn diese Beschränkungen – hoffentlich – in der zweiten Hälfte des Jahres 2021 aufgehoben werden, dürften die durch die Pandemie verursachten Veränderungen bestehen bleiben: Nur, weil Mitarbeiter ins Büro zurückkehren können, heißt das nicht, dass sie jeden Arbeitstag dorthin gehen wollen. Fernarbeit, wenn auch nur in hybrider Form, wird also bleiben.

Daraus folgt, dass die Sicherheitsarchitektur mit Mitarbeitern umgehen muss, die von unbekannten Standorten aus arbeiten, mit zweifelhafter Netzwerksicherheit, da dies ein primärer Anwendungsfall ist. Es gilt also sicherzustellen, dass die Laptops der Mitarbeiter soweit gehärtet sind, dass sich Unternehmen einigermaßen sicher sein können, dass sie sich selbst schützen können. Tatsächlich ist es Geldverschwendung, in eine Sicherheitslösung zu investieren, die Endbenutzer nur dann schützt, wenn sie sich im Büro aufhalten. Dies bedeutet im Allgemeinen, dass Unternehmen in eine moderne Endpoint-Detection-and-Response (EDR)-Lösung investieren sollten. Wenn sie eine Web-Proxy, von Gartner offiziell als Secure Web Gateway bezeichnet, zwischen den Rechnern der Endbenutzer und dem Internet zwischenschalten wollen, sollten sie in eine Lösung investieren, die in SaaS-Form bereitgestellt wird.

Viele Unternehmen bieten ihren Endbenutzern Zugang zu SaaS-Anwendungen (Office 365, G Suite, Salesforce usw.) und zu internen Anwendungen bieten, die über ihre Cloud-Präsenz auf AWS, Azure, GCP etc. bereitgestellt werden. Sie sollten daher in Betracht ziehen, ihre Identitätsinfrastruktur in die Cloud zu verlagern. Anstatt also das Active Directory (AD) vor Ort als Zentrum ihres Identitätsuniversums zu haben und einige der Inhalte mit Azure AD oder Okta oder einem anderen Cloud-Identitätsanbieter (IdP) zu synchronisieren, sollten sie einen anderen Ansatz in Erwägung ziehen: den Schwerpunkt in die Cloud zu verlagern und ihre Anwendungsfälle vor Ort so umzugestalten, dass sie in diese Architektur passen. Es empfiehlt sich außerdem der Wechsel von älteren VPNs, die Zugriff auf das gesamte Netzwerk bieten, zu Zero Trust Network Access (ZTNA), um nur Zugriff auf die Anwendungen zu gewähren, auf die der Endbenutzer zugreifen soll.

Schließlich müssen Unternehmen, nachdem sie alle Anwendungen aus dem Netzwerk geworfen haben, wieder den Überblick darüber gewinnen, wer was mit ihren kritischen Daten macht. Würden sie es merken, wenn ein hartnäckiger Fuchs in ihren SaaS-basierten Hühnerstall eingedrungen wäre? Network Detection and Response (NDR) ist eine kürzlich standardisierte Kategorie einer Lösung, die Angriffe erkennt und auf sie reagiert, ohne Agenten, die auf den Endpunkten laufen (EDR). Während sich frühe Versionen von NDR auf traditionelle Netzwerke konzentrierten und nur Pakete verarbeiteten, bietet moderne NDR die Erkennung und Reaktion auf Bedrohungen in diesem neuen hybriden Netzwerk, das IaaS, PaaS und SaaS umfasst, und vereinheitlicht die Sichtbarkeit des Angriffsverlaufs in, über und durch dieses neue Netzwerk.

Die guten Nachrichten

Die Änderungen, die Sicherheitsteams als Ergebnis dieser Trends implementieren, werden Unternehmen widerstandsfähiger gegen Angriffe machen und agiler, um mit den unvermeidlichen Veränderungen umzugehen. Dies wird nicht der letzte Ausnahmezustand sein, mit dem wir in unserem Leben konfrontiert werden, auch wenn andere hoffentlich von viel geringerem Ausmaß sein werden. Wir werden viel besser darauf vorbereitet sein, beim nächsten Mal mit einer solchen Situation umzugehen.“

Weitere Informationen zum Thema:

datensicherheit.de, 19.12.2020
Sailpoint: Drei IT-Trends für 2021