Embed Size (px)
Citation preview
www.datakontext.com
Cloud Security • Mobility: Organisationsleitfaden • Strategie: Eine Frage der Skalierung • Datenschutz: Mythos und Wirklichkeit
Identity und Access Management • IAM reloaded: Partner, Kunden, IoT/4.0 • Security Management: Rollenspiele • Beziehungsmanagement: Digitale Identitäten
Events, Trends und Technik • DDoS: Internet-Dienste „härten“ • BYOD: Sichere Mobile Gateways • Im Test: Trend Micro Safe Mobile Workforce 1.5
49187
2/2015 Februar April Juni August Oktober DezemberEinzelheftpreis € 15,-
„Erst der Endpunkt, dann das Netzwerk!”Im Interview: Jan-Frank Müller, Solution Director Secure Information bei Computacenter
16 IT-SICHERHEIT [2/2015]
TITEL-INTERVIEW
ITS: Herr Müller, die wachsende Vernetzung im Internet of Things und die zunehmende Digitalisierung stellen die IT-Security von Un-ternehmen vor neue Herausforderungen. Welche sind das?Jan-Frank Müller: Neben den technologischen Herausforderun-gen stehen Unternehmen aktuell immer stärker vor Erbringungs- herausforderungen. Vor allem die demografische Entwicklung und der damit zusammenhängende Fachkräftemangel führen dazu, dass derzeit branchenübergreifend ganz unterschiedliche Sourcing-Mo-delle intensiv diskutiert werden. Immer mehr Unternehmen werden der bedrohlichen Sicherheitslage selbst nicht mehr Herr, weil ihnen beispielsweise das Know-how zu Themen wie Advanced Malware Protection fehlt. Daher reicht das Spektrum der Outsourcing-Model-le von der klassischen Auslagerung einzelner Security-Projekte bis hin zum Outsourcing der kompletten Sicherheitsinfrastruktur, in Form von Managed Security Services und sogar Cloud-basierten Services.
ITS: Outsourcing von Security-Themen ist ein hochkritisches Thema. Dennoch ist diese Entwicklung nicht völlig neu. Warum erlebt diese Möglichkeit derzeit eine solche Renaissance?Jan-Frank Müller: Tatsächlich hätte vor 15 Jahren kein Unter-nehmen den Betrieb der Firewall ausgelagert. Heute ist dies gang und gäbe. Die gleiche Entwicklung sehen wir jetzt bei Cloud Securi-ty Services, die bis vor einem Jahr unter Security-Gesichtspunkten fast als „giftig“ angesehen wurden. Derzeit öffnet sich der Markt und zieht die Auslagerung von Security-Infrastrukturservices in die
Cloud immer stärker in Betracht. Die eigentliche Revolution ist aller-dings, dass bislang lediglich Betriebsthemen im Bereich IT-Sicher-heit, nicht die eigentlichen Security-Themen ausgelagert wurden. Im Kern ging es bislang immer um den Betrieb einer IT-Lösung, die zu-fällig eine Security-Komponente wie eine Firewall war.
ITS: Das heißt, der Begriff Managed Security Services ist eigentlich irreführend.Jan-Frank Müller: Exakt – aber genau hier findet gerade ein tiefgreifendes Umdenken statt. Unternehmen werden immer stärker dazu bereit, tatsächlich Security-Intelligenz – also auch Entschei-dungs- und Analyse-Kompetenzen oder sogar Security-Verantwor-tung – außer Haus zu geben. Der Grund hierfür ist ebenfalls wieder der Mangel an entsprechenden Experten sowohl innerhalb der Un-ternehmen als auch auf dem Arbeitsmarkt.
ITS: Welche neuen Skills sind hier gefragt?Jan-Frank Müller: Security-Strategien entwickeln sich weiter, weg von der reinen Prävention, hin zu Detektion und Reaktion. Hier-für sind sehr rar gesäte Skills gefragt. Daher haben Unternehmen meist gar keine andere Wahl mehr, als ihre Security auszulagern. Dennoch verfolgen die meisten Unternehmen das Ziel, in diesen Be-reichen Know-how aufzubauen, um die Themen Schritt für Schritt wieder inhouse abbilden zu können – was allerdings nur in gewis-sem Maß möglich sein wird. Es wäre schwierig, einen Firewall-Ad-
Der IT-Sicherheitsmarkt wandelt sich aktuell in mehrfacher Hinsicht: Zunehmend zwingt der Fachkräftemangel Unternehmen zu einer 180-Grad-Kehrtwende in Bezug auf das Sour-cing von Security-Themen. War es bis vor weni-gen Monaten noch undenkbar, Sicherheitsin-telligenz überhaupt auszulagern – und dann auch noch in die Cloud – sehen sich mittlerwei-le immer mehr Unternehmen dazu gezwungen, solche alternativen Sourcing-Modelle in Be-tracht zu ziehen. Denn sie müssen ihre Sicher-heitsstrategien weiterentwickeln: Neben den rein präventiven Maßnahmen sind nun zusätz-lich noch kontinuierliche Detektion und Reak-tion erforderlich. Und weg vom alleinigen Fo-kus auf die Netzwerk-Infrastruktur, hin zum Endgerät, mit dem der Anwender arbeitet. Jan-Frank Müller, Solution Director Secure Informa-tion bei Computacenter, über die neuesten Ent-wicklungen und Strategien im Bereich Information Security.
Interview mit Jan-Frank Müller, Solution Director Secure Information bei Computacenter
„Erst der Endpunkt, dann das Netzwerk!“
17IT-SICHERHEIT [2/2015]
TITEL-INTERVIEW
ministrator innerhalb weniger Monate zu einem Security-Analysten ausbilden zu wollen. Das erforderliche Mindset ist ein ganz anderes. Computacenter stellt hier neben den klassischen Managed Services ausgebildete Security-Analysten zur Verfügung, die im Betrieb und im Know-how-Aufbau unterstützen.
ITS: Abgesehen von den fehlenden Experten: Mit welcher Motivati-on lagern Unternehmen ihre Security in die Cloud aus?Jan-Frank Müller: Aus anderen Gründen als bisher. Bislang stan-den Skaleneffekte und der dadurch wesentlich günstigere Betrieb im Fokus des Outsourcings. Solche Kostenüberlegungen sind derzeit zweitrangig, denn die primäre und dringende Notwendigkeit ist, die Unternehmens-IT abzusichern. Kurz: Unternehmen wissen, dass sie etwas tun müssen, können es selbst aber nicht abbilden.
ITS: Gibt es Outsourcing-Grenzen – Aufgaben, die Unternehmen keinesfalls auslagern sollten?Jan-Frank Müller: Das Erkennen eines Sicherheitsvorfalls und weitere vorgelagerte Stufen sind Aufgaben, die guten Gewissens an Security Service Provider vergeben werden können. Aber die weite-re Verarbeitung und Analyse sollte nach wie vor intern verantwortet und gegebenenfalls von außen unterstützt werden.
ITS: Was hat sich zudem strategisch verändert?Jan-Frank Müller: Angriffe werden intelligenter. Das zeichnet sich bereits seit etwa drei Jahren ab. Daher müssen Unternehmen die Bereiche Detektion und Reaktion ausbauen. Darüber hinaus gibt es zahlreiche Compliance-Themen, die Unternehmen dazu zwingen, ihre Security-Strategien benutzerzentrischer auszurichten. Je mobi-ler und dezentraler Mitarbeiter mit Unternehmensdaten arbeiten, desto enger muss der Schutzwall um diese sensiblen Informationen gezogen werden. Bislang stand der Perimeterschutz im Vorder-grund, jetzt muss der Schutz in die Fläche gehen.
ITS: Welche Themen sind hierbei besonders wichtig?Jan-Frank Müller: In der Fläche sind erstens die Benutzer mit ihren Identitäten wichtig, zweitens die Endgeräte, mit denen die Nutzer arbeiten, und drittens die Daten, die auf den Endgeräten ver-arbeitet werden. Die Herausforderung ist: Momentan treten über Smartphones, Tablets und Notebooks hinaus völlig neue Endgeräte-Typen auf den Plan, für die es noch keine etablierten Security-Kon-zepte gibt. Zum Beispiel Produktionsanlagen oder Sensoren in In-dustrie-4.0-Szenarien – diese Endgeräte unterliegen ganz anderen Parametern. Hierfür müssen Unternehmen möglicherweise einen völlig anderen Mix aus Prävention, Detektion und Reaktion wählen.
ITS: Könnte man diesen Trend als Renaissance des Endpunkts be-zeichnen?Jan-Frank Müller: In der Tat, die Endpoint Security tritt aktuell aus ihrem Nischendasein heraus. Angesichts der neuen Qualität der Angriffe sind traditionelle Schutzmaßnahmen wie Firewall und Anti-viren-Schutzprogramme nicht mehr ausreichend. Auf den Endgerä-ten arbeiten die Nutzer mit den Unternehmensdaten. Daher ist der
Endpunkt wesentliches Glied in der Security-Kette, der mittels einer Advanced Endpoint Protection geschützt werden muss. Im Vergleich dazu ist die Absicherung des Netzwerks wesentlich einfacher. Aber nur die Netzwerk-Sicherheit zu optimieren, ist der falsche Weg. Denn irgendein Angriff wird immer erfolgreich sein: Alle prominen-ten, bekannt gewordenen Sicherheitsvorfälle sind über Endpunkte und deren Benutzer erfolgreich gewesen, über eine Phishing-Mail mit einem PDF-Anhang oder Ähnliches. Daher gilt die Priorisierung: erst der Endpunkt, dann das Netzwerk. Diesen Wandel bildet Com-putacenter in einem starken Fokus auf den Anwender ab: Wir er-möglichen Nutzern nicht nur, mit innovativen IT-Lösungen zu arbei-ten, sondern sichern sie dabei auch ab.
ITS: Ist dadurch ein hundertprozentiger Schutz möglich?Jan-Frank Müller: Nein, das nicht. Aber neue Technologien sind in der Lage, alle Inhalte so zu analysieren, dass selbst äußerst ge-schickte Angriffe auffallen. Mithilfe der Advanced Endpoint Protec-tion können diese Vorfälle aber zumindest eingedämmt werden. Au-ßerdem lassen sich Angriffssignaturen erstellen, die automatisiert auf allen Endgeräten überprüfen, ob hier ein ähnlicher Angriff statt-gefunden hat. Dadurch können Unternehmen schnell Gegenmaß-nahmen ergreifen. Auch die sogenannte Mikro-Virtualisierung von einzelnen Applikationen – wie einem Browser – erhöht den Schutz deutlich.
ITS: Wie bauen Unternehmen solche Strategien organisatorisch am besten auf?Jan-Frank Müller: Die genannten Sourcing-Strategien und Tech-nologien führen unweigerlich zu einer Organisation in Form eines Security Operation Centers (SOC), das als Security-Cockpit eines Un-ternehmens fungiert. Hier laufen alle sicherheitsrelevanten Informa-tionen zusammen und können in Bezug zueinander gesetzt werden. Hierbei spielen nach wie vor auch klassische Sicherheitsthemen wie Compliance oder Identity and Access Management (IAM) eine wich-tige Rolle. Denn der Schutz der digitalen Identität wird immer wich-tiger. Viele Nutzer gehen zwar irrtümlich davon aus, dass sie nichts zu verbergen haben. Kritisch wird es aber, wenn ganze Identitäten geklaut, E-Mail- und E-Commerce-Accounts gekapert oder sämtli-che Daten vernichtet werden.
ITS: Es gilt also, den richtigen Mix aus Prävention, Detektion und Reaktion zu finden?Jan-Frank Müller: Richtig. Klassische Security-Lösungen müssen mit neuen Methoden verknüpft werden. Außerdem sollte die Frage nach dem Sourcing ein wichtiger Punkt auf der Agenda von Securi-ty-Verantwortlichen sein. Die Security komplett auszulagern, kann ich keinem Unternehmen empfehlen. Solange aber das Know-how intern fehlt, ist ein sinnvoller Mix aus eigenen und extern erbrach-ten Leistungen ratsam – und bei der aktuellen Bedrohungslage auch zwingend erforderlich. Unternehmen sollten dabei darauf ach-ten, ihr Know-how mitwachsen zu lassen und sich nicht vollständig auf das der Security Provider zu verlassen.
ITS: Vielen Dank für das Gespräch!
18 IT-SICHERHEIT [2/2015]
Cyber Defense in einer universell vernetzten Welt
Strategiespiele mit SIEM 2.0Wachsende Mobilität, das Internet der Dinge, Industrie 4.0 und die Cloud – all das birgt immense wirtschaftliche Chan-cen. Auf der anderen Seite sind damit aber auch völlig neue Wege beim Schutz der IT-Infrastruktur erforderlich. Das Lösungsangebot ist beachtlich, kam in den vergangenen Jahren doch eine Vielzahl neuer Lösungen für Advanced Mal-ware Protection, Live-Forensik und zur Absicherung von Endgeräten auf den Markt. Jedoch werden Unternehmen den wachsenden Sicherheitsanforderungen auch mit diesen neuen Tools nur dann gerecht, wenn sie diese in eine durch-dachte Cyber-Defense-Strategie einbetten.
TITEL-STORY
versuche auf anderen Systemen, kommt man unter Umständen zu einer anderen Bewertung der Kritikalität. Denn erst die Zusatzinfor-mationen geben einen Hinweis darauf, dass die Anmeldeversuche nicht von menschlichen Benutzern ausgingen, sondern von einem automatisierten Cyberangriff.
Herkömmliche SIEM-Systeme stoßen heutzutage allerdings an Gren-zen – und dies in zweierlei Hinsicht: zum einen, weil immer mehr Quellsysteme angeschlossen werden und somit die Menge der zu korrelierenden Informationen exponentiell wächst. Zum anderen ba-sieren konventionelle SIEM-Systeme meist auf vordefinierten Ablauf-modellen. Es steht somit von vornherein fest, welche Ereigniskons-tellationen einen Alarm auslösen. Abweichende Verhaltensmuster, die keinem vordefinierten Modell entsprechen, werden nicht alar-
miert – bestenfalls können einem Anaysten verdächtige Muster auffallen. Eine tiefergreifende Analyse
allerdings wird durch die wachsenden Datenmengen immer schwieriger.
Auf dem Weg zu SIEM 2.0Für künftige SIEM-Sys-
teme ergeben sich dar-aus zwei wesentliche
Schlussfolgerungen: Sie müssen erstens mehr Quellen be-rücksichtigen – beispielsweise IAM-Systeme, externe Feeds, Netzwerk-Traf-fic oder den Business-Kon-text. Zweitens sollte ein moder-
nes SIEM schnel-le Ad-hoc-Analy-
sen über große Datenmengen zulas-
sen und dabei insbe-sondere auch mit un-
strukturierten Informa- tionen zurechtkommen, zum
Beispiel mit vollständigem Netz-werk-Traffic (Full Packet Capture).
Gleichzeitig sollten SIEM-Systeme flexible
Inzwischen hat sich längst erwiesen, dass präventive Maßnahmen allein – und seien sie technisch noch so ausgefeilt – erfolgreiche Angriffe niemals zu hundert Prozent ausschließen können. Umso wichtiger ist es, vor allem auch die Detektions- und Reaktionsfähig-keiten auf allen Ebenen der Infrastruktur weiter auszubauen – ohne dabei die Prävention zu vernachlässigen. Nicht zuletzt auch des-halb, weil kritische Daten und Applikationen heute diesseits und jenseits der Unternehmensgrenzen weiträumig verteilt sind. Gleich-zeitig wächst die Diversifikation von Endgeräten und damit auch der Zugriffswege.
SIEM als Kern von Cyber Defense Reaktionsfähigkeit setzt dabei zunächst einmal umfassende Zu-standsinformationen über sämtliche IT-Systeme voraus. Kein Wunder also, dass herkömmliche Log- und Ereignismanagement-systeme vielerorts nicht nur zentralisiert, sondern auch und im Rahmen eines übergreifenden Security Information and Event Management (SIEM) konsolidiert wurden. SIEM bündelt Log-In-formationen aus unter-schiedlichen Systemen wie Routern, Switches, Ser-vern, Firewalls, Intrusi-on-Prevention-Syste-men (IPS) sowie Proxies und korre-liert diese Daten, um ein möglichst vollständiges Ge-samtbild zu erstel-len. Für sich allein wären beispiels-weise zehn ge-scheiterte Anmel-deversuche auf einem System noch nicht als kritisch ein-zustufen. Es könnte sich einfach um ein ver-gessenes Passwort han-deln. Sobald jedoch weitere Informationen hinzukommen, zum Beispiel über erfolgreiche An-meldungen im gleichen Kontext oder über zeitgleich viele gescheiterte Anmelde-
Mit dem Internet der Dinge und Industrie 4.0 werden immer mehr Quellsysteme an das SIEM angeschlossen. Die Menge der zu
korrelierenden Informationen wächst dadurch ex-ponentiell. Quelle: Computacenter
19IT-SICHERHEIT [2/2015]
TITEL-STORY
ligen Quelle und Ziele aussagen. Hinzu kommen noch Kritikali-tätseinstufungen für Systeme, die sich unter anderem aus ihrem Standort ergeben und natürlich auch von der Kritikalität der Appli-kationen auf den jeweiligen Systemen abhängen. Erweiterbar ist SIEM 2.0 aber auch um zusätzliche Technologieansätze, zum Bei-spiel aus dem Open-Source-Umfeld.
Live-Forensik inklusiveIm Zuge dieser Entwicklung hat auch das Thema IT-Forensik seine frühere Exotik verloren. Während forensische Analysen in der Ver-gangenheit eine seltene Ausnahme waren und fast ausschließlich der gerichtlich verwertbaren Beweismittelerhebung dienten, halten diese heute Einzug in die Security Operation Center (SOC) von Un-ternehmen. Dabei ändert sich auch die Art der Forensik: Im Vorder-grund stehen nicht mehr Spezialgeräte etwa für forensische Fest-platten-Abbilder, sondern Live-Forensik-Werkzeuge, die auch aus der Ferne Speicherabbilder ziehen, um die Genealogie eines be-stimmte Problems am lebenden System zu rekonstruieren. Ver-knüpft mit anderen Abwehrinstrumenten können forensische Beob-achtungen die Reaktionsfähigkeit im Angriffsfall signifi kant verbessern. Allerdings kommt es hierbei darauf an, solche Werkzeu-ge sinnvoll in die Prozesse einer übergeordneten Cyber-Defense-Strategie zu integrieren. �
Technologisch ist die unternehmensweite Richtlinien-umsetzung im IAM weitgehend gelöst. Anders sieht es bei der Risikobewertung aus. Die Frage, wie die Risikobe-wertung für bestimmte Account-Klassen im Einzelfall aussehen soll, ist ungeklärt: Per Laptop etwa soll sich ein Nutzer via Active Directory gegenüber kritischen Applika-tionen authentifi zieren können, aber nicht mit einem un-gemanagten iPad. Es kommt also immer auf den jeweili-gen Nutzungskontext an. Hinzu kommen weitere accountbezogene Risikokriterien. So ist eine Anmeldung aus Australien mit einem Account, dessen Nutzer vor fünf Minuten noch in München war, ein klares Indiz für einen Cyberangriff.
Sollte beispielsweise bei einem Brute-Force-Angriff tat-sächlich ein Account kompromittiert worden sein, ist der Schaden umso geringer, je weniger Zugriffsprivilegien zu-geordnet waren. Deshalb gilt bei Berechtigungen das Prinzip: so wenig wie möglich und so viel wie nötig.
Da weder das Minimalitätsprinzip bei der Rechtevergabe noch die Rezertifi zierung von einmal vergebenen Berech-tigungen in der Praxis gang und gäbe sind – was sicher-lich auch an der Komplexität des Themas liegt –, müssen Berechtigungen gut im Auge behalten werden. Und so ist die Verknüpfung von IAM mit dem SIEM-System durch-aus sinnvoll und hilfreich bei der Bewertung von ungewöhnlichen Akti-vitäten. Greift beispielsweise ein HR-Mitarbeiter auf Projektdokumen-te zu, ist der Verdachtsmoment für einen verdeckten Angreifer höher als wenn das ein Mitarbeiter aus der entsprechenden Abteilung macht.
Wichtig dabei ist es, die Nutzer über solche Vorkommnisse zu informie-ren. Denn damit wird deren Bewusstsein für Identity Governance ge-schärft – ein weiterer wesentlicher Faktor für effektives IAM. Und das betrifft nicht nur den sorgsamen Umgang mit persönlichen Passwör-tern und Zugangscodes, sondern ebenso die Zugriffsrechte. Viel ist bei-spielsweise erreicht, wenn Mitarbeiter selbstständig Berechtigungen deregistrieren lassen, die ihnen irgendwann einmal anlassbezogen für ein inzwischen aber abgeschlossenes Projekt erteilt wurden. Die Kö-nigsdisziplin dabei ist die Automation: Berechtigungen werden bei Projektende automatisch entzogen.
Erfolgsfaktor Identity and Access Management (IAM)
Suchstrategien anbieten, die ein gleichsam tastendes, ausprobieren-des Vorgehen gestatten. Denn es soll im Gegensatz zu früheren Kon-zepten nicht mehr von vornherein feststehen, nach welchem Muster gesucht wird. Für ein solches „Ausprobieren“ werden möglichst schnelle Zwischenergebnisse benötigt, auf deren Basis sich die Su-che verfeinern lässt. Dafür kommen Big-Data-Technologien infrage, speziell In-Memory-Datenbanken mit adaptiven Search Engines. Tra-ditionelle SIEM-Lösungen brauchen für vergleichbare Vorfeldanaly-sen je nach Unternehmensgröße Stunden oder Tage – defi nitiv zu lange für eine schnelle Reaktion in einem Angriffsfall.
Während ein herkömmliches SIEM im Wesentlichen auf aggregier-ten Log-Informationen aufbaut, zieht SIEM 2.0 alle verfügbaren Da-ten heran, auch unstrukturierte Dokumente und E-Mails, um sie mit Big-Data-Technologien auszuwerten. Sobald ein derart weiterent-wickeltes SIEM 2.0 als integraler Bestandteil von Cyber Defense im-plementiert ist, lassen sich weitere Datenquellen integrieren – ne-ben klassischen Log-Informationen zum Beispiel auch sogenannte Security Intelligence Feeds, die etwas über die Reputation der jewei-
DROR-JOHN RÖCHER, Lead Consultant Secure Information bei Computacenter
DROR-JOHN RÖCHER, Lead Consultant Secure Information bei Computacenter
Werkzeuge und Technologien
− SIEM (Security Information and Event Management), Security Monitoring
− GRC (Governance Risk Monitorin) − AMP (Advanced Malware Protection) − SAT (Security Analytics Tools) − Security Intelligence Feeds
Prozesse
− Information Security Management − Incident Management − Event Management − IT Operations Management − Kundenspezifi sche Prozesse
Menschen und Rollen
− Security Engineers − Security 1st Level Analyst − Security 2st Level Analyst − Security-Forensic-Experte (3rd Line) − Security-Intelligence-Operator − Security-Reporting-Experte
Security
Operation
Center
�
� �
�
Was leistet ein SOC?
− Technischer Betrieb bestimmter präventiver und reaktiver Sicherheits-technologien
− Security Monitoring − Security Incident Management
− Security Reports und Metriken
− Fortgeschrittener Malware-Schutz
− Aktives Schwachstellen-management
− Risk Management Control und Compliance Checking Security
− Intelligence Services − Security-Forensik
Während forensische Analysen in der Vergangenheit eine seltene Ausnahme waren und fast ausschließlich der gerichtlich verwertbaren Beweismittelerhebung dienten, halten diese heute Einzug in die Security Operation Center (SOC) von Unternehmen. Quelle: Computacenter
