Forescout Technologies bietet unter dem Namen eyeSegment eine cloudbasierte Lösung für die unternehmensweite Netzwerksegmentierung. Die Software soll es erleichtern, kritische Anwendungen abzusichern, die Anfälligkeit gemischter IT/OT-Umgebungen (OT: Operational Technology) zu verringern und die Auswirkungen von Angriffen auf das Netzwerk zu begrenzen.
Mit eyeSegment kann ein Unternehmen laut Forescout eine ganzheitliche Netzwerksegmentierung definieren und umsetzen. Dies gelte selbst für komplexe Unternehmensnetzwerke, die Campus-Netze, Rechenzentren, Clouds und OT umfassen.
Immer mehr IT-Organisationen sehen sich der Herausforderung gegenüber, neben der IT-Umgebung auch die industrielle Betriebstechnik (OT) abzusichern. "Der CISO wird künftig für die IT- und die OT-Security zuständig sein", so Stephan von Gündell-Krohne, Sales Director DACH bei Forescout, im LANline-Interview. "DAX-Unternehmen haben mit diesem Brückenschlag bereits begonnen."
Dieser Trend stelle auch die Konzeption und Durchsetzung der Netzwerksicherheit vor neue Probleme: "Bei der Netzwerksegmentierung stellt sich immer die Frage, wie stark man segmentieren sollte", so Gündell-Krohne. Mit der neuen Lösung eyeSegment will Forescout deshalb die grundlegenden Daten für diese Entscheidung bereitstellen: "eyeSegment visualisiert die Kommunikationsbeziehungen einschließlich des OT-Bereichs und liefert damit die nötigen Anhaltspunkte für wirkungsvolle Segmentierungsrichtlinien", so der Forescout-Manager. Eine weitere Hürde, so Gündell-Krohne, seien hier die häufig wechselnden Anforderungen aufgrund einer On-Demand-Provisionierung von Infrastrukturressourcen.
eyeSegment baut auf der Fähigkeit von Forescouts Lösung eyeSight auf, Endpunkte mit IP-Adresse automatisch nach Benutzern, Geräten, Anwendungen und Diensten zu klassifizieren. Dabei, so der Anbieter, könne man Kontextinformationen aus Drittanbieter-Systemen, etwa Schwachstellen- und Compliance-Angaben, für die Klassifikation mit heranziehen. So könne eine IT-Organisation die Richtlinien an den Geschäftsanforderungen ausrichten.
Im IoT-Bereich (Internet of Things) kann es laut Gündell-Krohne zur Segmentierung zum Beispiel sinnvoll sein, zwischen Überwachungskameras, Feuermeldern, Sprinkleranlage, Beleuchtung etc. zu unterscheiden. So könne ein Angreifer, der erfolgreich eine Schwachstelle einer IoT-Komponente ausgenutzt hat, sich nicht ungehindert seitwärts - also zu den wertvollen Assets im Netzwerk - weiterbewegen.
Zur Visualisierung bilde die Lösung die Datenströme aus Business-Sicht über Campus-, RZ-, Cloud- und OT-Netzwerke hinweg ab. Per Baselining erstelle das IT-Team dann die Segmentierungsrichtlinien. Vorab könne es die Auswirkungen der Richtlinien auf das Netzwerk simulieren.
eyeSegment überwache den Datenfluss zwischen den Segmentierungszonen zentral und überprüfe den Datenverkehr ihm Sinne einer Zero-Trust-Sicherheit (Zero Trust: kontinuierliche Überwachung von Endpunkten und Nutzern auf rollenkonformes Verhalten hin). Bei Richtlinienverletzungen sei die Software in der Lage, automatisch mit Restriktionen, Warnungen oder auch einfach nur durch Protokollierung zu reagieren.
Im Zusammenspiel mit eyeControl, so Forescout, orchestriere eyeSegment richtlinienbasierte Maßnahmen über Firewalls, kabelgebundene und Funknetzwerke, SDN- (Software-Defined Network) und Cloud-Infrastrukturen hinweg. In puncto SDN unterhält Forescout laut Gündell-Krohne Kooperationen mit Cisco wie auch VMware, eine Zusammenarbeit mit Arista sei geplant.
Weitere Informationen finden sich unter www.forescout.com.