Branche, Interviews - geschrieben von am Mittwoch, Juli 1, 2020 21:51 - noch keine Kommentare

IT-Sicherheit: Netzwerksegmentierung, Cloud Services und Compliance

Herausforderung Sichtbarkeit und Segmentierung von Netzwerken und Geräten

[datensicherheit.de, 01.07.2020] Forescout hat kürzlich mit der Version 8.2 ein Update seiner Lösung zur Sichtbarkeit und Segmentierung von Netzwerken und Geräten veröffentlicht. Im Interview unterhalten sich Kristian von Mejer von Forescout und Herausgeber Carsten J. Pinnow von datensicherheit.de (ds) über diverse Trendthemen in der IT-Sicherheit wie z.B. Netzwerksegmentierung, Cloud Services und Compliance-Herausforderungen.

Kristian von Mejer, Forescout Technologies Inc.

Kristian von Mejer, Forescout Technologies Inc., © Forescout Technologies Inc.

ds: Was für Produktupdates gibt es bei Forescout?

Kristian von Mejer: Bei uns hat sich produkttechnisch in letzter Zeit einiges getan. Einiges davon ist vor allem in der heutigen Zeit wichtig. Wir haben im Rahmen des Release unseres 8.2 Updates von Forescout drei große Neuigkeiten eingeführt:

Die erste – und ich bin überzeugt davon, dass das einen der großen Unterschiede zwischen Forescout und anderen Anbietern im Markt darstellt – ist die Device Cloud, die jüngst Teil unseres Produktes wurde. Die Device Cloud ist für uns deshalb so relevant, weil wir dort i n unserem eigenen Big Data Lake inzwischen über 11 Millionen Fingerprints von Devices gespeichert haben. Diesen analysieren wir mithilfe einer KI, die wir mit der Akquisition einer kleinen israelischen Firma namens „Dojo“ zum Teil unserer Lösung gemacht haben. Von dieser Firma haben wir einen Satz von Device-Fingerprints gekauft und ebenso Analysefähigkeiten, die Auskunft darüber geben wie sich die Geräte verhalten. Forescout hatte schon immer seine Stärken im Erkennen und Klassifizieren von Geräten – jetzt können wir durch die Device Cloud außerdem eine Korrelation dahingehend machen, wie individuelle Geräte und Gerätetypen üblicherweise im Netz agieren. Kameras, Drucker etc. sprechen über verschiedene Ports mit verschiedenen Servern. Vor allem sehr spezifische Geräte wie z.B. Dialysemaschinen verhalten sich sehr unterschiedlich. Wir ermöglichen also unseren Kunden das Betreiben von Behaviour-Analytics, um sie für eigene Policies zu nutzen. Die Device Cloud kann also klassifizieren – und jetzt auch Behaviour definieren und das für Policies anwenden. Wenn sich also beispielsweise ein Türpanel auf einmal ganz anders verhält als Tausende von anderen ähnlichen Geräten die Forescout beobachtet, dann sollte man mal einen genaueren Blick darauf werfen, da hier wahrscheinlich etwas nicht stimmt.

Das nächste ist: Wir interagieren ja gerne und viel mit anderen Lösungen. Kollaboration ist für uns ganz wichtig. Früher war in der IT-Security noch viel die Rede von „Zwiebelschichten“, die um sensible Daten gelegt werden müssen. Dieser Ausdruck ist inzwischen fehlleitend, man sollte eher von einem „Mesh“ sprechen, das aus verschiedensten ineinander verwobenen und miteinander interagierenden Lösungen besteht. Das gibt es eine große Anzahl. Forescout war schon immer bemüht, mit anderen Lösungen zu kommunizieren. Wir haben nun eyeExtend Connect eingeführt, was die Integration von Forescout mit Drittlösungen auf einer Art crowd-sourced App Store möglich macht. Kunden bauen sich z.B. in Slack eine Integration und können diese dann in den App-Store hochladen. Unsere Engineers schauen sich das an, nehmen gegebenenfalls Änderungen vor und geben es dann frei. Wir sehen also ständig neue Integrationen und beziehen die Community mit ein. Wir haben über 3.500 sehr aktive Kunden, die genau hier helfen. Dadurch werden Integrationen einfacher konsumierbar.

Das dritte was wir neueingeführt haben ist ein Produkt namens eyeSegment. Wie der Name schon sagt, kommen wir hier zur Segmentierung, einem brandheißen Thema zu Zeiten von Remote-Arbeit. EyeSegment ist eine cloudbasierte Lösung, bei der wir die Daten und das Kommunikationsverhalten der Geräte von Forescout-Kunden analysieren. Das geschieht in unserer leistungsstarken cloudbasierten Plattform. Die Analyse ist immer speziell auf den Kunden zugeschnitten, aber selbstverständlich DSGVO-konform und anonymisiert. Warum ist dieses Thema so wichtig? Segmentierung ist seit Jahren in aller Munde. Kunden wollen zurecht Gerätetypen unterschiedlich voneinander gruppieren und getrennt betrachten. Das müssen sie nämlich auch. Im IT-Sicherheitsgesetz stehen hierzu ganz konkrete Anforderungen, besonders für den Bereich KRITIS. Die Einhaltung dieser Richtlinien ist heutzutage nicht mehr nur ein „nice-to-have“, sondern Pflicht

ds: Wie handhaben Unternehmen Segmentierung? Was sind die Herausforderungen?

Kristian von Mejer: Eine große Herausforderung ist die Frage: Wie und wo kann ich Segmentierung betreiben, ohne meine Geschäftsprozesse zu stören? EyeSegment bietet genau diese Sichtbarkeit in die Kommunikationsströme. Bevor ich den Hebel umlege und beschließe zu segmentieren, kann ich vorher analysieren: Wie kommunizieren beispielsweise meine Sicherheitskameras miteinander und mit anderen Geräten? Wenn ich segmentiere, was würde nicht mehr funktionieren? Man möchte natürlich keine legitimen Prozesse stören. EyeSegment ist eine Erweiterung von eyeSight, unserem Produkt welches vor allem Sichtbarkeit ermöglicht. EyeSegment bietet darüber hinaus die Analyse von Kommunikationsverläufen mit dem Ziel darüber eine Kontrolle aufzuziehen – entweder über ACLS, VPN-Nodes, oder über die Integration mit Next-Gen Firewall-Anbietern. EyeSegment ist das Medium dazwischen, das die Kommunikationsströme visualisiert. Das hilft Kunden immens beim Umsetzen von Segmentierung.

Damit kommen wir zu dem Thema, das gerade fast alle Unternehmen weltweit betrifft. Firmen investieren in das Unterfangen Remotearbeit möglich zu machen. Viele Unternehmen – darunter auch große Industriekunden – mussten nun erstmal Sichtbarkeit schaffen. Die von vielen Unternehmen eingesetzten VPN-Tunnels sind dabei der richtige Weg, um einen abgesicherten Kommunikationskanal zwischen Netzwerk und Remotegerät zu schaffen. Das Problem ist: Wie kann ich auch in dieser Situation Gerätehygiene und Compliance weiterhin forcieren? Unheimlich viele Unternehmen haben lediglich einen Remotezugang ohne speziell dafür ausgelegte Geräte. BYOD-Geräte können da ein großes Problem darstellen. Das sind zumeist keine von der Firmen-IT gemanagte und abgesicherte Geräte. Fehlende Patches oder unzureichende Sicherheit auf dem Gerät stellen eine große Gefahr für Unternehmen dar, die erst seit kurzem Remotearbeit eingeführt haben.

Hier kommt Forescout ins Spiel. Auch diese Geräte müssen mit einer Cyberüberprüfung beobachtet werden. Sobald sich irgendein Gerät mit dem Firmennetzwerk verknüpft, muss das erkannt werden. Bei Inhouse-Geräten tun wir das schon lange mit unseren Kunden, das muss jetzt auch in den privaten Bereich überführt werden. Natürlich muss hier sensibler vorgegangen werden, wegen privaten Daten die im Spiel sind und BYOD, aber Grundlagen wie Patch-Kontrolle und der Einsatz von Antivirus-Lösungen sind Fragen, die Unternehmen vor und während dem Verbindungsversuch prüfen müssen, um dann letztendlich diese Geräte in unterschiedliche Bereiche zu segmentieren. Wenn also ein Gerät über VPN zugreift, muss unterschieden werden ob alles in Ordnung ist und das Gerät compliant mit den Sicherheitsvorgaben ist, oder ob im Zweifelsfall der Zugriff verwehrt beziehungsweise beschränkt werden muss, wenn etwas nicht stimmt.

Diese Gerätehygiene muss nun auf den Privatbereich erweitert werden. Das ist gerade in heutigen Zeiten ein Thema, auf das Unternehmen einen großen Fokus legen. Die Unternehmen, die das Thema höherer Dynamik bereits im Vorfeld durch Shared-Office-Bereiche oder Home Office angegangen sind, sind jetzt natürlich klar im Vorteil. Der Aufbau einer solchen Infrastruktur ist alles andere als trivial und benötigt viel Zeit und Aufwand.

ds: Und wie sieht es mit der Cloud aus?

Kristian von Mejer: Hier in Deutschland ist seit einiger Zeit ein starker Trend in Richtung Cloud zu verzeichnen. Man hört immer öfter von so genannten Intranet-losen Ansätzen. Diese Cloud-Services sind natürlich hoch interessant. Wäre es nicht toll, wenn man von jedem Endgerät aus überall nur noch webbasierte Services konsumieren würde? Ein spannender Ansatz, er führt aber immer wieder zu großen Herausforderungen. Das komplette Abnabeln vom Firmennetzwerk ist oft mit einer Reihe von Problemen verbunden. Selbst wenn man versucht komplett auf die Cloud zu wechseln gibt es bei großen Unternehmen dennoch einige Services, die innerhalb des Intranets genutzt werden müssen. Was aber durchaus möglich ist, ist die mobilen Mitarbeiter, z.B. Sales-Teams die viel unterwegs sind, mit ausschließlich Intranet-losem Zugang auszustatten. Diesem Gedanken kann ich einiges abgewinnen. Aber: Diese Geräte machen nur einen Bruchteil des Unternehmens aus. Gerade bei produzierenden Unternehmen sehen wir im OT-Bereich viele Geräte, die wohl niemals vollständig vom Intranet getrennt sein werden. Diese OT-Geräte werden immer eine Secure-Zone bleiben, eine Parzelle, die in sich tausende Geräte als geschlossenes System beinhaltet. Ich mag den Intranet-losen Ansatz, das klingt großartig, ist toll, aber kann für die nächsten Jahrzehnte nicht vollständig und problemlos umgesetzt werden.

ds: Was ist bei der Cloud in Sachen Compliance zu beachten?

Kristian von Mejer: Sobald es um den Konsum von Cloud Services geht sind Unternehmen natürlich für die Einhaltung von Compliance-Richtlinien zuständig. Immer wenn der Mitarbeiter mit dem IT-Gerät unterwegs ist und Services nutzt, haben Firmen die Verantwortung die Online-Kommunikation sicher zu machen. Wenn ein Gerät das Online kommuniziert – wenn auch nur temporär – korrumpiert ist und die Datensätze in irgendeiner Form parallel auf fremde Server hochlädt, hat trotzdem die Firma den Sicherheitsvorfall zu beklagen. Unabhängig davon ob der Vorfall von einem Privatgerät „Intranet-less“ ausgegangen ist. Auch da müssen Unternehmen sehr sensibel herangehen und sich ihrer Verantwortung bewusst sein und daran denken, dass eben auch diese Privatgeräte, die Firmeninformationen verarbeiten, in das Sicherheitskonzept der Firma inkludiert sein müssen.

Besonders im Bereich KRITIS ist das problematisch. Unternehmen wissen bei diesen Cloud-Services nicht Bescheid und es entsteht Verwirrung. Stichwort DSGVO und US-Cloud-Act. Natürlich sind diese Unternehmen dazu verpflichtet, sich an die Compliance-Vorgaben zu halten. Alle Organisationen, die ihren Hauptsitz in den USA haben, sind z.B. zur Herausgabe von Daten an US-Behörden verpflichtet. Daher wünsche ich mir, dass Unternehmen stärker auf heimische Anbieter und Daten – bzw. Cloud-Services setzen.

ds: Welche Entwicklungen sehen Sie bei der Cybersicherheit im Bereich OT?

Kristian von Mejer: Was wir ganz stark sehen, ist die Herausforderung der Konvergenz von IT und OT. Bei OT spreche ich von produzierendem Gewerbe und proprietären Protokollen. Die Herausforderung: Wie kann ich die klassische IT-Security auf meine Produktion erweitern, ohne Probleme für die Sicherheit und die Abläufe zu schaffen?

Das stellt eine große Herausforderung dar und es entstehen oft Probleme zwischen den IT- und Produktionsebenen. Produktionsausfälle sind extrem kostspielig. In den Produktionsstätten wird mitunter auch sehr alte Technologie eingesetzt, z.B. analoge Modems. Gibt es da eine Überwachung? Nicht wirklich. Man traut sich aber nicht die bestehende Infrastruktur abzureißen oder einzugreifen, aus der Angst etwas kaputt zu machen. Hier müssen IT und OT an einem Strang ziehen.

Es sind nach wie vor sehr große Unterschiede bei den Herangehensweisen von traditioneller IT und OT. Diese Brücke zu überwinden ist eine große Herausforderung. Die Notwendigkeit, die IT einer Fabrik nach außen hin zu öffnen aufgrund von Verträgen von Maschinenherstellern für Wartungsarbeiten etc. ist zwar wichtig, aber die Geräte hängen teilweise an einer Infrastruktur mit veralteten Windowsversionen und anderen unsicheren Systemen, was das ganze problematisch macht. Da wird der Zugang zu sensiblen Daten geöffnet, was gefährlich sein kann. Wir sehen dieses Thema gerade viel und wir empfehlen ähnliche Kontroll- und Sicherheitsmechanismen aus der IT auch auf OT ausweiten zu können. Die Skalierbarkeit spielt hier auch eine wichtige Rolle und man sollte das regeln können auch ohne Anbieter zu wechseln.

Weitere Informationen zum Thema:

Forescout
Unternehmenswebsite

datensicherheit.de, 08.06.2020
IT-Sicherheit: Fragen zur Anpassung an die heutige Remote-Arbeitsumgebung



Kommentieren

Kommentar

Kooperation

TeleTrusT - Bundesverband IT-Sicherheit e.V.

Kooperation

Initiative Digital

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cyber-Sicherheit

Partner

ZIM-BB

Gefragte Themen


Datenschutzerklärung