Interview mit Stefan Strobel, Cirosec
Kompass im Heu
Aufgrund allerorts lauernder Gefahren wie Ransomware und Datendiebstahl raten Security-Anbieter den Unternehmen dringlich, ihre Abwehrmechanismen zu aktualisieren und neu zu strukturieren. Doch wie trennt man angesichts nach wie vor kaum überschaubarer Angebotsfülle die Hype-Spreu vom Security-Weizen? Auf der Suche nach der Kompassnadel im Heuhaufen der Schlagwörter und Akronyme sprach LANline mit Stefan Strobel, Geschäftsführer und Security-Experte beim Sicherheitsdienstleister Cirosec aus Heilbronn.
LANline: Herr Strobel, ist das derzeit oft beschworene Konzept Zero Trust nur ein Hype oder ein echter Fortschritt in Sachen Datensicherheit?
Stefan Strobel: Zero Trust liegt im Trend. Der Ritterschlag für Zero Trust war es, dass das NIST im August 2020 ein Paper zum Thema veröffentlicht hat. Heute werben praktisch alle einschlägigen Anbieter mit Zero Trust. Wichtig zu wissen ist: Zero Trust ist eine Sammlung von Ideen und Paradigmen. Eine IT-Organisation kann es als Ziel definieren, aber nicht einfach als Produkt einkaufen.
LANline: Was muss man über Zero Trust wissen, um den Ansatz sinnvoll nutzen zu können?
Stefan Strobel: Zero Trust bedeutet nicht, dass es gar kein Vertrauen mehr gibt, sondern dass es kein implizites Vertrauen mehr in ein sicheres Netzwerk, ein sicheres Endgerät oder einen Account gibt. Man geht stattdessen davon aus, dass Netzwerke, Systeme oder Accounts bereits kompromittiert sein könnten. Zu Zero Trust gehört deshalb unter anderem meist eine dynamische risikobasierte Authentisierung. Microsoft zum Beispiel hat das mit dem „Azure AD Premium P2“-Paket umgesetzt, aber praktisch jeder Authentifizierungsanbieter von Cisco und Okta bis hin zu Ping Identity bietet Vergleichbares an. Ein typischer Zero Trust-Baustein ist Mikrosegmentierung. Hier findet man Anbieter wie Illumio oder Guardicore, der gerade von Akamai akquiriert wurde.
LANline: Welche Rolle spielt dabei Zero Trust Network Access, kurz ZTNA?
Stefan Strobel: ZTNA dient schlicht dazu, den Zugriff auf Ressourcen per Gateway zu steuern. Beim näheren Blick ist man oft sehr enttäuscht – da ist noch viel Unbrauchbares am Markt. Einige Analysten sehen ZTNA auch als Lösung für den administrativen Zugriff auf Server, quasi als Alternative zu PAM-Lösungen (Privileged-Access-Management, d.Red.). Hier bieten aber etablierte Spezialisten wie CyberArk längst viel mehr, etwa Session Recording.
LANline: Einige Anbieter positionieren ZTNA als Nachfolger des VPNs. Ist dem denn so?
Stefan Strobel: Beim Vergleich von SSL-VPNs mit ZTNA stellt man fest: Die SSL-VPN-Lösungen, die es vor über 15 Jahren schon gab, konnten damals schon Dinge, die bei ZTNA oft noch nicht funktionieren. Bei ZTNA werden oft nur Floskeln geritten. Das so oft betonte Least-Privilege-Konzept zum Beispiel gibt es schon lange, Anbieter wie Citrix machen das seit Jahren.
LANline: Abgesehen von Zero Trust, welche Security-Aspekte sollten bei Unternehmen noch im Vordergrund stehen?
Stefan Strobel: Unternehmen sollten sich mit zwei Themen stärker auseinandersetzen: erstens mit EDR oder sogar XDR, zweitens mit der Cloud und SASE (Secure Access Service Edge, d.Red.) Bei SASE läuft das Web-Gateway als Service in der Cloud, ergänzt um Zusatz-Features wie CASB (Cloud Access Service Broker, d.Red.), Remote Browser Isolation, ZTNA oder SD-WAN (Software-Defined WAN, d.Red.). Zscaler bietet schon lange ein Web-Gateway in der Cloud, ebenso Netskope, Cisco geht mit Umbrella in die Richtung, Microsoft mit MCAS. Getrieben wurde diese Entwicklung auch durch die Pandemie, weil die Belegschaft mehr im Home-Office war und deshalb die Skalierung des klassischen VPNs oft ein Herausforderung darstellte. Das klassische VPN hat noch lange nicht ausgedient, aber man muss nicht alles über das VPN zwingen. Man kann für das Web-Surfen über die SASE-Lösung gehen, und E-Mail kann direkt per Cloud erfolgen, dann steht das VPN für interne Anwendungen wie SAP zur Verfügung. SASE ist so gesehen nur ein neues Buzzword für die natürliche Weiterentwicklung von Cloud-basierten Sicherheitslösungen.
LANline: Neben SASE war letzthin auch sehr viel von EDR und XDR (Endpoint/Extended Detection and Response) die Rede. Wo liegt EDR/XDR auf der Hype-Skala?
Stefan Strobel: Da muss man unterscheiden zwischen EDR und XDR. EDR ist sehr sinnvoll, ich empfehle, dort zu investieren. Nur durch eine Überwachung des Prozessverhaltens auf dem Endgerät erzielt man eine deutlich bessere Angriffserkennung. Denn auf dem Endgerät finden die ganzen Vorfälle statt – dort wird Malware heruntergeladen, dort verschlüsselt sie Dateien. EDR ist deshalb eine notwendige Entwicklung. Es gibt Spezialanbieter dafür, etwa SentinelOne, Cybereason oder CrowdStrike, aber auch alle etablierten Endpoint-Security-Anbieter offerieren inzwischen EDR.
LANline: Und XDR?
Stefan Strobel: XDR ist noch eher ein Hype. In einigen Bereichen wird dadurch der klassische SIEM-Ansatz in Frage gestellt. Beim klassischen SIEM musste man über eine sehr dünne Log-Schnittstelle gehen: Alle Security-Komponenten haben Logs geschickt und das SIEM musste diese begrenzten Informationen korrelieren und dabei den Kontext erraten – ich sage bewusst „erraten“. Das Schöne an XDR ist, dass sich hier das Management der einzelnen Sicherheitskomponenten integriert. Auf Basis der vollständigen Rohdaten hat eine XDR-Lösung so den vollen Kontext, kann Angriffe besser erkennen und erzeugt weniger Fehlalarme. Diese Grundidee ist bestechend. Allerdings ist das bislang meist eine proprietäre Geschichte: Jeder Anbieter hat sein eigenes XDR, in das er seine Lösungen integriert. Dabei ist aber vieles noch ein Hype und einiges noch nicht ausgereift. Aber für einen Mittelständler, der sich fragt, wie er die nötige Sichtbarkeit erzeugen kann, ist es bestechend, sich auf einen XDR-Hersteller einzulassen. Ein SIEM braucht man dann allenfalls noch aus Compliance-Gründen oder für das Log-Management, etwa für die Untersuchung von Vorfällen. Die Intelligenz aber steckt dann nur noch in der Integration der Management-Lösung, also im XDR und nicht mehr in den vielen Korrelationsregeln des SIEM.
LANline: Gibt es jenseits der oft zitierten Schlagwörter einen weiteren Security-Bereich, in dem Unternehmen unbedingt investieren sollten?
Stefan Strobel: Die meisten Unternehmen sollten die AD-Security verbessern. Denn das Active Directory ist ein bevorzugter Dreh- und Angelpunkt der Angreifer geworden. Früher haben sie nach dem Eindringen Schwachstellenscans durchgeführt. Das hat sich stark gewandelt, weil das Scanning Alarme auslöst. Angreifer analysieren deshalb lieber mit Tools wie BloodHound das AD, um sich dann gezielt höhere Rechte als Server- oder gar Domain-Admin zu verschaffen.
LANline: Herr Strobel, vielen Dank für das wie immer aufschlussreiche Gespräch.
Lesen Sie mehr zum Thema
