Intrusion Prevention im Cloud-Zeitalter
Durchgängige Sicherheitskette
Cloud-Szenarien, Industrie 4.0 und das Internet of Things bedingen ein spezielles Augenmerk auf die Informationssicherheit. Die bewährten Sicherheitslösungen IDS und IPS (Intrusion-Detection/Prevention-System) können dabei weiterhin eine wichtige Rolle spielen - aber nur unter bestimmten Umständen.
Ein Intrusion-Detection-System beobachtet mittels Sensoren den Datenverkehr des Netzwerks und wertet dessen Protokolle aus. Dadurch erhöht es die Sichtbarkeit des Traffics und gibt einen Überblick über die Sicherheitslage des Netzwerks. Ziel des IDS ist es, anormale und unbekannte Verhaltensmuster aufzuspüren. Diese entstehen nicht nur durch eingeschleuste Malware, sondern auch dann, wenn ein Mitarbeiter beispielsweise eine unerlaubte Anwendung ausführt. Damit verstößt er gegen die IT-Security-Richtlinien, die in Form von Verhaltensmustern im IDS hinterlegt sind. Ein IDS schlägt immer dann an, wenn Datenströme sich nicht so verhalten, wie sie es eigentlich sollten. Durch dieses Pattern Matching erkennt es unter anderem auch Konfigurationsfehler von Applikationen oder Systemen.
Um Bedrohungen nicht nur zu erkennen, sondern auch aktiv zu begegnen, entstanden die Intrusion-Prevention-Systeme (IPS). Im Gegensatz zum IDS nimmt ein IPS eine aktive Schutzfunktion ein. IPSs sind direkt in die Datenleitungen geschaltet und kontrollieren anhand von vorgegebenen Regeln den ein- und ausgehenden Datenverkehr. Die Regeln enthalten Muster bekannter Sicherheitsprobleme oder Signaturen von Malware. Das IPS gleicht jedes Datenpaket mit allen gespeicherten Regeln ab und lässt es bei keiner gefundenen Übereinstimmung passieren.
Dieses Vorgehen ist ambivalent: Von Vorteil ist das proaktive Einbinden von neuen Mustern. Wird beispielsweise ein neuer Trojaner bekannt, können Unternehmen das aufgedeckte Muster des Schadprogramms als Regel im IPS hinterlegen und sich so davor schützen. Der Nachteil: Ein IPS erkennt ausschließlich bereits bekannte Muster - neue, noch unentdeckte Malware berücksichtigt es nicht. Daher sind IPS und IDS als alleinige Sicherheitskomponenten nicht ausreichend. Sie sollten im Idealfall immer in Kombination mit weiteren Security Tools agieren.
End-to-End-Security-Modell
Wie ausgereift eine Abwehrlösung heute sein muss, zeigt die nähere Betrachtung eines End-to-End-Security-Modells. Mit unterschiedlichen Maßnahmen setzt das Modell an möglichst vielen Punkten der Infrastruktur an. Zunächst steht der Schutz des Backbones selbst im Fokus: DDoS Mitigation (Abwehr bzw. Abmilderung von "Distributed Denial of Service"-Angriffen) ist hier das Mittel der Wahl. Damit lassen sich Angriffe auf eine Internetplattform oder die Netzwerkinfrastruktur selbst bekämpfen und der ankommende Netzwerkverkehr bereinigen. Entdeckt ein solcher Abwehrdienst einen DDoS-Angriff, säubert ein Scrubbing-Center den gesamten eingehenden Internet-Traffic. Der Einsatz großer Router mit der Option, Datenströme auszuwerten, ist wichtig, um schon hier ungewöhnlichen Netzwerkverkehr zu erkennen.
Mehrstufige Firewalls sind die nächste Sicherheitshürde auf dem Weg zu den Servern. Sie schützen vor unerlaubten Zugriffen von außen und aus anderen Netzwerkzonen. Das IPS schließlich erkennt Angriffe beispielsweise anhand auffälliger Muster im Netzwerkverkehr und wehrt sie ab.
Positionierung des IDS/IPS
Wo ein IPS am besten verortet ist, daran scheiden sich die Geister. Traditionell gehört das IDS/IPS hinter die Firewall. Nachgelagert zum IPS stehen zusätzliche Services wie Reverse Proxies oder die Web Application Firewall (WAF). Ein Reverse Proxy ermöglicht den geschützten Zugriff von außen auf den unternehmensinternen Internet-Server, während die WAF Angriffe auf Anwendungsebene verhindert. Es gibt allerdings unterschiedliche Meinungen, ob beispielsweise ein IPS bei einer WAF überhaupt noch notwendig ist, gerade wenn nur wenige Protokolle - beispielsweise DNS und HTTP(S) - im Einsatz sind.
Im Sinne des Schutzes auf Layer 2 bis 4 des OSI-Modells ist ein IPS Teil der Sicherheitskette und in der Lage, bestimmte Angriffe frühzeitig zu stoppen. Hier gilt es, die Angriffe immer so weit vorne wie möglich abzufangen: Was das IPS herausfiltert, mit dem braucht sich die nachgeschaltete WAF nicht mehr zu beschäftigen. Die WAF agiert dann primär auf höheren Schichten. In größeren Umgebungen eignen sich zudem Honeypots, um neuartige Angriffsmuster zu erkennen.
Erst auf den höheren Layern erfolgt oft das Entschlüsseln verschlüsselter Datenpakte. Ein modernes IPS sollte daher die aktuellen Verschlüsselungsverfahren beherrschen, um verschlüsselte Datenpakete passieren zu lassen. Daraus ergibt sich die Notwendigkeit, das IPS hierzu ständig aktuell zu halten. Load Balancer und WAFs bilden in der Regel den Endpunkt der Verschlüsselung und haben daher die dafür notwendigen, neueren Protokolle integriert sowie oft mit höherer Performance und zum Teil in Hardware implementiert. Im Zuge von Perfect Forward Secrecy muss allerdings das IPS den Traffic zuerst entschlüsseln, wenn es in der Kette vor einem Load Balancer stehen soll. IPS sind auch hinter den Load Balancern in das Netzwerk zu integrieren. So entfällt die Verschlüsselungsproblematik, da der Datenverkehr an dieser Stelle bereits entschlüsselt vorliegt. Dies widerspricht allerdings dem Ansatz, Angriffe möglichst weit vorne in der Sicherheitskette abzuwehren.
Intrusion Prevention in der Cloud
Unternehmen, die Public-Cloud-Dienste nutzen und bestehende Sicherheitstechnik wie IDS/IPS einsetzen wollen, müssen beides unter einen Hut bekommen. In Absprache mit dem Cloud-Provider ist es beispielsweise möglich, IDS-Sensoren in der Cloud zu installieren. Dabei sollten Unternehmen allerdings auch die Ressourcen für ihren Betrieb im Auge behalten. In der Cloud-Umgebung treten die Sensoren ähnlich wie virtuelle Maschinen auf. Sie erhöhen unter Umständen den Bedarf an Rechenleistung sowie Arbeitsspeicher und erhöhen damit die Kosten.
Bei der Frage, wo die Sensoren in der Cloud-Architektur am besten zu platzieren sind, gibt es verschiedene Möglichkeiten: in der VM, dem Hypervisor oder dem virtuellen Netzwerk. Befinden sich die Sensoren in der Cloud, die Management-Einheit des IDS hingegen im physischen Unternehmensnetzwerk, müssen Unternehmen für die Verbindung zur Cloud einen verschlüsselten Kommunikationsweg einrichten. Diese Option ist häufig wiederum mit dem Zukauf weiterer Services wie eines VPNs verbunden. Ein gangbarer Weg wäre stattdessen eine verteilte Management-Architektur innerhalb der Cloud. Nutzen Unternehmen IDS/IPS im Rahmen eines Managed-Security-Services und planen den Einstieg in die Cloud, sollten sie dessen Tauglichkeit für die Cloud im Vorfeld überprüfen.
Zusammenspiel mit dem SIEM
Die verteilten Strukturen, die durch Cloud-Nutzung entstehen, machen es vielfach schwierig, komplexe Angriffe auf Unternehmensinformationen überhaupt zu erkennen. Um eine ganzheitliche Sicht auf potenzielle Angriffsmuster zu gewährleisten, sollten alle Log- und Event-Daten an zentraler Stelle auflaufen. Die gesammelten Daten sind ideal für ein Zusammenspiel mit einem SIEM-System (Security-Information- und Event-Management), das diese weiter konsolidiert und mit anderen Netzwerkdaten in Beziehung setzt.
Allerdings spielen auch SIEM-Systeme ihre Stärken erst dann voll aus, wenn Unternehmen ihren Netzwerkverkehr definiert und klassifiziert haben. IT-Sicherheitsexperten können sich dadurch auf den unbekannten Verkehr konzentrieren. Auch wenn die Datenweitergabe an nachgeschaltete Security-Services automatisiert abläuft, ist im Anschluss immer eine Analyse eines Security-Experten notwendig, um ein realistisches Lagebild zu erhalten. Aus diesem Ansatz heraus sind IPS/IDS also bestenfalls immer Teil einer mehrstufigen Sicherheitsstrategie. Ihr Mehrwert im Zusammenspiel mit SIEM liegt in der verbesserten Sichtbarkeit und Kontrolle.
Die Komplexität einer solchen IT-Security-Kette ist an sich schon beachtlich. In der Regel ist es gerade für mittelständische Unternehmen schwer, Derartiges in Eigenregie zu realisieren, ist es doch mit einem einzelnen IDS/IPS nicht mehr getan. Selbst wenn ein Unternehmen alle Komponenten beschaffen würde, fehlten immer noch das Monitoring und das Incident-Management.
Rolle der MSSPs
Hier kommen klassischerweise MSSPs (Managed-Security-Service-Provider) ins Spiel. Sie verfügen nicht nur über das entsprechende Equipment, sondern sind auch gezwungen, dieses immer auf dem neusten Stand der Technik zu halten. In der Regel haben sie einschlägige Erfahrung mit großen wie kleinen Betriebsumgebungen und den entsprechenden Ansatzpunkten für unterschiedliche Angriffsmuster. Aufgrund ihrer exponierten Stellung im Netz kennen sie nicht nur die tagesaktuelle Bedrohungslage, sondern können bei einem Sicherheitsvorfall eines Unternehmens die eingeleiteten Schutzmaßnahmen gegebenenfalls auf alle anderen Kunden übertragen.
Vor diesem Hintergrund liegt es nahe, entsprechende Managed-Security-Services zu nutzen, zumal einschlägige MSSPs rund um die Uhr besetzte SOCs (Security Operations Center) das für Monitoring und das Incident-Management bereitstellen.
Übergeordneter Ansatz
Aus IT-Security-Sicht verlangen die veränderten Anforderungen der Digitalisierung nicht zwangsläufig neuartige Technologien. Etablierte Systeme wie Firewalls oder Antivirus/Anti-Spam behalten ihre Funktion, ebenso Intrusion Detection und Intrusion Prevention. Entscheidend ist die übergeordnete Gesamtsicht aller sicherheitsrelevanten Vorgänge. Service-Provider befinden sich hier an einer zentralen Position in der Lieferkette: Als Schnittstelle zwischen Kunde, Internet und (Cloud-)Plattform haben sie in der Regel die Übersicht vom Internet-Backbone bis zur Applikation. Dies macht die zentrale Überwachung effizienter und wirksamer, als dies mittelständische IT-Abteilungen in Eigenregie leisten können.
Lesen Sie mehr zum Thema
