Schutz vor APTs: Intelligent und integriert
Sicherheit unter einem Dach
Lösungen zum Schutz vor gezielten Angriffen müssen in der Lage sein, viele Daten aus unterschiedlichen Komponenten zu verstehen und zu korrelieren. Diese Anforderung lässt sich mit heterogenen Lösungen nicht meistern. "Möglichst alles aus einer Hand" lautet daher die Devise der neuen, ergänzten und aufeinander abgestimmten Produkte und Dienste.Noch vor wenigen Jahren setzten viele Unternehmen bei der Bekämpfung von Malware auf mehrere unterschiedliche Lösungen, denn was die eine nicht findet, könnte eine andere vielleicht erkennen. Doch Schätzungen zufolge sind heute weltweit über eine Milliarde Schadprogramme im Umlauf und die Angriffe werden raffinierter. Damit aber wuchs zwangsläufig auch die Komplexität der eingesetzten heterogenen Sicherheitskomponenten, die jedoch unterschiedliche Sprachen sprechen, sodass Informationen innerhalb des Unternehmens nicht mehr zusammenpassen. Diesem Trend versuchten die Sicherheitsanbieter durch Zukäufe und Partnerschaften entgegenzuwirken, um möglichst eine Verteidigungsstrategie aus einer Hand bieten zu können. Die Devise heute lautet: Konsolidierung, Integration und Automatisierung. Trend Micro etwa spricht von "Connected Threat Defense". Der Ansatz sieht die genauere Untersuchung von Systemen vor, die aufgrund verdächtiger Kommunikation auffällig geworden sind. Dafür werden alle Produkte des IT-Sicherheitsanbieters zu einer einzigen Lösung kombiniert, klassische Malware-Bekämpfung über eine lückenlose Überwachung des eigenen Netzwerks auf ungewöhnliche Vorfälle, Identifikation und Analyse verdächtiger Aktivitäten mit modernen Funktionen (wie beispielsweise "Sandboxing") bis zu den notwendigen Gegenmaßnahmen. Nach eigenem Bekunden läuft ein Großteil der Aktivitäten für den Schutz vor zielgerichteten Angriffen automatisch ab, weil die Komponenten eng miteinander verzahnt sind - wichtig für den Mittelstand, der mit weniger Ressourcen im Sicherheitsbereich auskommen muss. Nun hat der Sicherheitsanbieter HP Tippingpoint übernommen mit dessen Next-Generation-Intrusion-Prevention-System (NGIPS) und weiterer Sicherheitstechnik. Die Technik ist eine sinnvolle Erweiterung für Trend Micros Netzwerkangebot. Deep Discovery Inspector ist ein Breach-Detection-System, das zielgerichtete Angriffe, Malware und auch die so genannten lateralen Bewegungen der Angreifer innerhalb des Netzwerks erkennen, aber nicht blocken kann. "Tippingpoint arbeitet mit unserer Technik zusammen und ist als IPS in der Lage, aktiv in den Netzverkehr einzugreifen und erkannte Angriffe zu blocken", erläutert Raimung Genes, Chief Technology Officer bei Trend Micro. "Das NGIPS ist zudem breiter aufgestellt als die Deep-Discovery-Lösung, die stark auf Anti-Malware fokussiert ist, und stellt damit eine gute Ergänzung zu unserem System dar", so der CTO weiter. Auch sei der Datendurchsatz mit 20 GBit/s höher als der der eigenen Lösung (4 GBit/s). Bereits HP hatte das NGIPS zusammen mit Deep-Discovery-Komponenten erfolgreich als Advanced Threat Appliance vertrieben. Die strategische Partnerschaft mit HP sowie die OEM-Aktivitäten sollen auch künftig bestehen bleiben. Auch IBM beschreitet neuerdings den Weg eines holistischen Sicherheitsansatzes und hat laut eigenen Aussagen das Produktportfolio verzahnt und mit Beratungsexpertise kombiniert. Big Blue will mit der neuen SaaS-Lösung "Cloud Security Enforcer" seinen Kunden einen Dienst anbieten, mit dessen Hilfe Anwender sich vor den "Gefahren durch die Schatten-IT" schützen können. Der Service ist nur von IBM aus den Softlayer-Cloud-Rechenzentren zu erhalten. Noch in diesem Jahr soll ein RZ in Frankfurt hinzukommen. Im Unterschied zu Trend Micros Blacklist-Ansatz setzt der Enforcer auf Whitelisting. Die Software scannt das Netzwerk des Kunden, um herauszufinden, welche Applikationen im Netz vorhanden sind und von den Mitarbeitern genutzt werden, etwa Youtube, Salesforce oder Google Apps. Dafür bedarf es eines Proxys im Netz des Betreibers, über das alle Zugriffe ins Internet gehen. Dies schließt auch mobile Geräte ein, die über VPN zugreifen. Das Unternehmen erhält auf einer Oberfläche eine Auflistung dieser Apps mit Hersteller, Risikolevel und möglichen Schäden bei einem Angriff, und die Verantwortlichen können dann über Whitelists bestimmen, welche Apps erlaubt sind. Bei Zugriff auf eine App geht die Aktion nochmals im Backend über ein IPS. Der Enforcer hat sichere Konnektoren für populäre Third Party Apps, und der Katalog werde auch permanent erweitert - für die Effizienz des Whitelisting-Konzepts von großer Bedeutung. Die Lösung umfasst auch eine Federated-Identity-Management-Komponente mit Single-Sign-on-Funktionalität. Diese arbeitet hinsichtlich der Authentifzierung und Autorisierung von Anwendern mit vorhandenen Identity-Management-Programmen und LDAP-Verzeichnissen zusammen. Somit müssen die User Zugangsdaten wie Passwörter nicht mehr selbst managen. Schließlich sammelt im Backend das SIEM (Security-Information- und Event-Management) Qradar Logs, um Abweichungen von normalen Aktivitäten aufzuspüren, die dann die Experten des IBM-eigenen X-Force-Teams für Threat Intelligence auswerten. Kunden erhalten Alerts über verdächtige Aktivitäten. IBM nimmt für sich in Anspruch, den vollständigsten Service zu liefern, weil kein Mitbewerber eine Identity-as-a-Service-Komponente mitliefert und auch keine mobilen Geräte in den Schutz mit einbezieht, betont Peter Häufel, Senior Solution Sales Representative. Allerdings verzichtet die IBM-Lösung auf Sandbox-Funktionalität und Endpoint-Schutz. Auf Integration, Cloud und Ergänzungen des eigenen Produkts setzt auch Palo Alto Networks mit dem neuen Forensik-Service sowie einer Partnerschaft mit Tanium für mehr Endpoint-Sicherheit. Anfang Oktober hatte der Anbieter die Verfügbarkeit des Cloud-Dienstes Auto Focus angekündigt. Der Service liefert Unternehmen, die die Next-Generation Firewall von Palo Alto im Einsatz haben und den Sandboxing-Dienst Wildfire nutzen, Forensikfunktionalität mit Big-Data-Analysen. In den Dienst fließen die Daten des passiven DNS-Monitorings der Firewall im Netzwerk ein, zudem Informationen aus der Threat Intelligence Cloud des Anbieters, Daten aus Wildfire und auch die aller anderen Benutzer von Auto Focus. Der Service analysiert die Daten, korreliert und macht sie verwertbar, so Thorsten Henning, Senior Systems Engineering Manager Central and Eastern Europe bei Palo Alto. Das unternehmensinterne Bedrohungsforschungsteams Unit 42 arbeitet mit Auto Focus eng zusammen, holt sich dort Informationen und stellt die eigenen Erkenntnisse in Form von Tags und Templates wieder zur Verfügung. Die Sicherheitsteams in den Anwenderunternehmen sollen mithilfe des Dienstes die eigenen Daten anreichern und Zusammenhänge herstellen können. Den Web-Service bieten Managed-Service-Provider oder auch Systemhäuser an. Zudem hat Palo Alto eine Partnerschaft mit Tanium, Anbieter eines Endpoint-Security-Management-Systems, geschlossen. Das Angebot des Partners soll laut Anbieter nicht die eigene Endpoint-Lösung Traps ersetzen (ebenfalls im Abo erhältlich), sondern einen Zusatz in Form von zentralen Analysen der Daten von Traps bieten und schnell detaillierte Daten an die Endpoints zurückgeben. Für diese Analysen nutzt Tanium auch Informationen aus Wildfire und gibt die gefundenen Samples zurück. Der TÜV Rheinland schließlich wendet sich mit dem neuen APT Defense Service speziell an den Mittelstand, um nach eigenen Angaben die Ressourcen bereitzustellen, an denen es diesen Firmen oft mangelt, um Daten, Netzwerke und Systeme kontinuierlich zu schützen: Sensorsysteme, das Experten-Know-how des CSIRT (Computer Security Incident Response Team) im Bereich Incident Detection und Response sowie die Entwicklung und prozedurale Umsetzung einer wirksamen Abwehrstrategie im Falle eines gezielten Cyber-Angriffs. Der Service nutzt im Backend die Angriffserkennungstechnik der Breach-Detection-Plattform von Lastline. Der Grund dafür ist die Architektur der Plattform, die es erlaubt, viele kleine Sensorkomponenten sehr schnell in Kundennetzwerke zu integrieren, so Frank Melber, Leiter Business Development bei TÜV Rheinland. Die Sensoren im Netzwerk des Kunden überwachen den Netzwerkverkehr konstant auf Anomalien und filtern den Verkehr vor. Gibt es Anzeichen für einen Infektionsversuch oder einen gezielten Angriff, wird dieser Teil des Netzwerkverkehrs verschlüsselt in ein Rechenzentrum vom TÜV Rheinland in Deutschland ausgeleitet und hier von den APT-Experten des CSIRT in einer isolierten Umgebung in den Sandboxen mit Standard-Images auf seine Kritikalität analysiert. Stellt sich heraus, dass das Unternehmen Ziel eines Angriffs ist, begleitet der TÜV Rheinland die interne IT des Unternehmens bei der Qualifizierung und der Abwehr sowie der Entwicklung einer Sicherheitsstrategie. Der Vorteil des Managed-Security-Service sei, dass Investitionen in technische Lösungen kaum erforderlich sind. Der APT Defense Service ist modular abrufbar: vom Monitoring über Qualifizierung von Incidents bis hin zur Schadensanalyse und Schadensbekämpfung sowie dem forensischen Reporting. Kunden können als Ausbaustufe das Monitoring auch mithilfe eines Agents auf die Endpunkte ausweiten, der dann bei einem Angriff forensische Daten liefert.
Lesen Sie mehr zum Thema
