Nachdem CEO Kirill Tatarinov auf der Citrix-Hausmesse Synergy in Orlando, Florida, sein Unternehmen als Anbieter sicherer digitaler Arbeitsumgebungen positioniert hatte (LANline berichtete), folgten in einer zweiten Keynote die technischen Details. Vice President und Technology Fellow Abhishek Chauhan erläuterte in seinem ebenso informativen wie amüsanten Vortrag, wie Citrix die Lage im „digitalen Dschungel“ zugunsten der Verteidiger verändert.

Die klassischen Mittel zentralisierter Kontrolle auf verteilte hybride Umgebungen auszudehnen ist nicht die geeignete Lösung für heutige Security-Herausforderungen, so Abhishek Chauhan. Denn das Zusammenspiel der jeweiligen Lösungen mit ihren verschiedenen Verfahren der Richtlinienerstellung erhöhe die Komplexität, und Komplexität sei der größte Feind der Sicherheit. Chauhan verwies auf eine Umfrage unter Citrix-Kunden, von denen 68 Prozent beklagt hatten, das bestehende Sicherheitsmodell sei ineffektiv.

Citrix erlaube es dank seiner softwarebasierten Produkte immerhin, eine einheitliche Policy über alle Lösungen hinweg zu etablieren und so ein gewisses Maß an Kontrolle zu erzielen. Dabei habe es früher einige Lücken im Portfolio gegeben, die man inzwischen geschlossen habe, und zwar mit dem Secure Browser, tiefgreifender App-Kontrolle im SD-WAN (Software-Defined WAN) mit Abdeckung verschlüsselten Datenverkehrs und dem Secure Web Gateway. Das Netscaler Secure Web Gateway soll noch im zweiten Quartal 2017 auf den Markt kommen. Damit erziele man ein Maß an Kontrolle und Überblick über das Geschehen im Unternehmensnetzwerk, das kein anderer Anbieter liefern könne.

„Wir müssen uns auf den Benutzer fokussieren“, forderte Chauhan mit Blick auf die Policy-Erstellung und -Durchsetzung: Sicherheitsrichtlinien müssten an zentraler Stelle alle Angaben zum Benutzer und den von ihm verwendeten Apps, Geräten sowie Services bündeln und vor Ort – wo immer der Benutzer sich gerade befindet – durchgesetzt werden. Diese Kombination aus zentralisiertem Richtlinien-Management und dezentraler Durchsetzung über lokale und Cloud-Umgebungen hinweg nennt Citrix den „Software-Defined Perimeter“.

Citrix’ Security-Fachmann plädiert somit für nichts weniger als die Big-Data-Analyse des gesamten Benutzerverhaltens und dessen Kontext, um mittels maschinellen Lernens (Machine Learning, ML) Auffälligkeiten in diesem Verhalten aufzudecken. Mit seinen neuen Analytics Services will Citrix selbst Angriffe aufspüren, bei denen sich Angreifer die Credentials von Mitarbeitern beschaffen, etwa mittels Spear-Phishing.

Für diese Kontextanalyse stütze man sich auf Partner: einerseits auf Microsofts Intelligence Security Graph (ISG), andererseits auf Cisco als Lieferant von Sicherheitsmechanismen auf Netzwerkebene. Für den ML-Aspekt kommt laut Citrix-Angaben Microsofts Azure Machine Learning Framework zum Einsatz – naheliegend, schließlich ist Citrix ein enger Microsoft-Partner und entwickelt laut eigener Aussage inzwischen nach dem Motto „Cloud First“.

Durch diesen kontextbezogenen Sicherheitsansatz – bei Citrix „Data-Driven Intelligent Security“ genannt – mache die Security-Architektur den wichtigen Schritt „vom Vorhängeschloss zum Detektor“: Die Herausforderung für den Angreifer bestehe nun nicht mehr darin, von allen vorhandenen Schlössern lediglich ein einziges zu knacken, sondern vielmehr darin, dauerhaft sämtlichen vorhandenen Detektoren im Netzwerk zu entgehen. „Wir verändern das Spiel und machen es zu einem Spiel der Detektoren“, so Chauhan. Damit wende sich das Blatt endlich zu Ungunsten des Angreifers.

Citrix liegt hier voll im Trend: Auch Security-Größen wie RSA oder Spezialisten wie Lightcyber und Carbon Black haben den Fokus von der Bedrohungsabwehr auf die Bedrohungsentdeckung und die schnelle Reaktion darauf (Incident Response) verschoben.

Fehlalarme („False Positives“) kann Citrix laut Chauhan hierbei vermeiden, indem die Kontextanalyse „hunderte von Detektoren“ heranziehe und dafür auf Daten von 400.000 Kundenunternehmen zurückgreife. Ein Angreifer könne dieses Vorgehen nicht gegen den Verteidiger wenden: „Angreifer können AI (Artificial Intelligence, d.Red.) nicht nutzen, den sie haben die Daten nicht. So haben wir das Spiel zu einem gemacht, das nur wir gewinnen können“, betonte der verschmitzt lächelnde Redner.

Die hierfür genutzten Citrix Analytics Services sorgten nicht nur für Überblick und Kontrolle, sondern – dank Auswertung von Low-Level- und High-Level-Risikoindikatoren mittels Microsofts ML Framework – auch gleich für die autonome Abwehr von Bedrohungen. Erkenne das System zum Beispiel einen Missbrauch von Credentials, könne es selbsttätig aktiv werden, indem es die Zugriffsrechte widerruft und den Benutzer zu einer erneuten Mehr-Faktor-Authentifizierung auffordert. „Kein Administrator muss dazu um drei Uhr nachts geweckt werden“, betonte Chauhan.

Der Administrator erhalte einen anschaulichen Überblick über das Netzwerkgeschehen und könne in brisanten Fällen wie etwa einem professionellen Industriespion Maßnahmen wie eine Session-Aufzeichnung zur späteren Strafverfolgung anstoßen.

Weitere Informationen finden sich unter www.citrixsynergy.com.

Die Citrix Analytics Services nutzen Machine Learning für die Analyse des Benutzerverhaltens bis hin zur autonomen Reaktion auf illegale Aktionen. Der Administrator erhält farblich markierte Anzeigen von Risikofällen mit zugehörigen Details per Dashboard.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.