Anbieter von IT-Sicherheitslösungen müssen offene, integrierte Sicherheits- und Netzwerktechnik entwickeln, mit denen Unternehmen neue Angriffe erkennen und schnell darauf reagieren, ihre Proaktivität verbessern und ihr Sicherheitssystem parallel zu ihrem Wachstum skalieren können. Um mit dieser Breite an Anforderungen fertig zu werden – und das manchmal in sehr kurzer Zeit – müssen die Anbieter traditionelle Grenzen niederreißen können, um das gesamte Ökosystem zu erneuern.

Cyberbedrohungen werden zu einer immer größeren Herausforderung. Deshalb folgt hier ein Überblick über fünf Bereiche, in denen die Anbieter intensive Forschung und Entwicklung betreiben.

Deep Learning für die Angriffsanalyse

Mit den Jahren sind unterschiedliche Arten an Erkennungstechniken entstanden. Alles begann mit Signaturen, einer Technik, bei der unbekannter Code mit bekannter Malware verglichen wird. Dann wurde die Heuristik entwickelt, um Malware über Verhaltensweisen im Code zu identifizieren. Gefolgt wurde dieser Ansatz von Sandboxes, also virtuellen Umgebungen, in denen ein unbekannter Code ausgeführt wird, um festzustellen, ob er sich bösartig verhält. Und heute können Maschinen lernen, indem komplizierte Algorithmen das Verhalten einer Datei als bös- oder gutartig einstufen, bevor ein Mensch die endgültige Entscheidung trifft.

Und jetzt ist die neueste Technik – Deep Learning – ins Spiel gekommen. Es handelt sich dabei um eine fortschrittliche Form der künstlichen Intelligenz, die auf Lernprozessen beruht, die denen des menschlichen Gehirns ähneln. Diese Technik hat das Potenzial, Cybersicherheit völlig neu zu definieren, insbesondere, was die Erkennung von Zero-Day-Malware, neuer Malware und ausgeklügelten gezielten Angriffsformen (Advanced Persistent Threats, APTs) angeht.

Sobald eine Maschine gelernt hat, wie ein bösartiges Programm aussieht, kann sie unbekannten Code mit sehr hoher Präzision als bös- oder gutartig einstufen, und das beinahe in Echtzeit. Dann kann automatisch eine Richtlinie zur Anwendung kommen, um die Datei unter Quarantäne zu stellen, zu löschen oder auch eine ganz andere Aktion auszuführen. Schließlich werden diese neuen Erkenntnisse automatisch im gesamten Sicherheitsökosystem verteilt. Erforderlich sind Techniken, mit denen Security Appliances intelligenter lernen und mehr unbekannte Malware präziser erkennen können.

Big Data für die Korrelation von Logdaten

Die IT ist mittlerweile fest in der Geschäftswelt und im privaten Bereich verankert. Dadurch werden auf der ganzen Welt immer mehr Daten generiert, gesammelt und gespeichert. Je mehr Informationen einem Anbieter von Sicherheitslösungen zur Verfügung stehen, desto mehr Chancen hat er, Verbindungen herzustellen, die Bedrohungen zu verstehen und daher das Netzwerk effektiv zu schützen. Daher wird die Nutzung von Big Data zur Interpretation exponentiell wachsender Ereignisprotokolle ein wichtiger Forschungsbereich für 2017 und darüber hinaus sein. Die Anbieter entwickeln parallel dazu SIEM-Funktionen (Security-Information- und Event-Management) weiter und dedizierte Forschungsteams verwenden Informationen über Bedrohungen noch besser und effektiver.

Bessere Containersicherheit

Die Ausführung von Anwendungen in Containern anstelle von virtuellen Maschinen (VMs) gewinnt immer mehr an Bedeutung. Das Herzstück dieser Ökosysteme sind Lösungen wie Docker, ein Open-Source-Projekt und eine Plattform, um Linux-Anwendungen innerhalb von Containern zu packen, zu verteilen und zu verwalten. Die Docker-Technik bietet einige Vorteile wie Einfachheit, schnellere Konfiguration und raschere Bereitstellung. Aber es gibt auch einige Sicherheitsrisiken: Kernel Exploits, Denial-of-Service-Angriffe (DoS), Container Breakouts, infizierte Images und die Kompromittierung vertraulicher Daten.

Kernel Exploits: Anders als bei VMs nutzen alle Container und das Host-System den Kernel gemeinsam. Dies kann jegliche Schwachstellen im Kernel entsprechend multiplizieren. Sollte ein Container eine Kernel Panic auslösen, führt das zum Absturz des gesamten Hosts und aller verbundenen Anwendungen.

DoS: Alle Container nutzen die Kernel-Ressourcen gemeinsam. Wenn ein Container den Zugriff auf eine bestimmte Ressource ganz an sich reißen kann, kann dies zum Denial of Service für alle anderen Container auf dem Host führen.

Container Breakouts: Erhält ein Angreifer Zugriff auf einen Container, sollte er eigentlich nicht auf die anderen Container oder den Host zugreifen können. Docker weist den Benutzern standardmäßig keinen Namensraum zu, sodass jeder Prozess, der aus einem Container ausbrechen kann, die gleichen Rechte auf dem Host wie im Container hat. Dies kann im schlimmsten Fall Angriffe durch Rechteausweitung ermöglichen.

Infizierte Images: Es ist so gut wie unmöglich, die Unversehrtheit der verwendeten Images zu garantieren. Bringt ein Angreifer ein Unternehmen dazu, sein Image auszuführen, stellt das ein Risiko für die Daten und Hosts dar.

Kompromittierung vertraulicher Daten: Damit ein Container auf eine Datenbank oder einen Service zugreifen kann, benötigt er sehr wahrscheinlich einen API-Schlüssel oder einen Benutzernamen mit Passwort. Erhält ein Angreifer Zugriff auf diese Daten, steht nichts mehr zwischen ihm und dem Service. Das stellt im Gegensatz zu Architekturen mit einer geringen Zahl an langlebigen VMs besonders für Micro-Service-Architekturen ein Problem dar, da diese Container kontinuierlich starten und anhalten.

Im Forschungs- und Entwicklungsbereich rücken diese Themen immer mehr in den Vordergrund. Diese Forschungsarbeit ist wichtig, da die Containertechnik in den nächsten Jahren sicherlich Verbreitung finden wird.

Schutz von VCPE

Virtuelle Geräte am Kundenstandort (Virtual Customer Premises Equipment, VCPE) sind im Bereich der Virtualisierung und Cloud ein weiteres Themengebiet, das weitere Forschung erfordert. Die Geschäftsanforderungen ändern sich heutzutage sehr schnell und die Unternehmen müssen ihre Zweigstellen flexibel, schnell und sicher an diese veränderlichen Anforderungen anpassen können. Man muss neue Services nach Bedarf von einer einzigen Plattform aus ohne die Kosten und Komplexität für die Bereitstellung und das Management zusätzlicher Geräte aktivieren können.

Eine Security Fabric führt weltweit ermittelte sicherheitsrelevante Informationen mit den vor Ort erhobenen Daten zusammen und gleicht sie ab. Bild: Fortinet

VCPE bietet Service-Providern die Möglichkeit, den Unternehmen Netzwerk-Services wie Firewalls und VPNs via Software statt mittels spezieller Hardwaregeräte bereitzustellen. Die Virtualisierung von CPE vereinfacht und beschleunigt die Service-Bereitstellung. Geräte lassen sich aus der Ferne konfigurieren und verwalten, die Anwender können neue Services bestellen oder bestehende nach Bedarf anpassen.

Die Virtualisierung von Netzwerkfunktionen (Network Functions Virtualization, NFV) ermöglicht erhebliche Fortschritte in der Konsolidierung von erweiterten Netzwerk- und Sicherheits-Services auf einem einzigen Gerät. Dies eliminiert die Notwendigkeit mehrerer CPEs und erlaubt gleichzeitig die Service-Bereitstellung nach Bedarf. Die Entwicklungsarbeit wird hier weitergehen, um die Anwendungsbereiche zu erweitern, die Leistung zu steigern und die Bedienbarkeit zu verbessern.

Bessere Nutzung von SD-WAN

Immer mehr Unternehmen fordern flexiblere, offene und Cloud-basierte WAN-Technik. Sie wollen ohne proprietäre oder spezialisierte WAN-Netzwerke auskommen, da diese häufig feste Schaltkreise oder teure proprietäre Hardware umfassen. Dieser Umstand bildet die Grundlage für den zukünftigen SD-WAN-Erfolg (Software-Defined Wide Area Network). Cloud-Anbindung und -Services werden teure Routing-Hardware überflüssig machen. Die SD-WAN-Technik ermöglicht zudem die flexible Kontrolle der Connectivity mit Cloud-Software.

SD-WAN hat das Potenzial, die Netzwerksicherheit auf verschiedene Arten zu verbessern, so zum Beispiel:

  • Mit SD-WAN lässt sich Datenverkehr einfach verschlüsseln.
  •  SD-WAN ermöglicht die Netzwerksegmentierung, um Angriffe auf einen kleinen, übersichtlichen Bereich einzugrenzen.
  • Die Verbreitung der Cloud hat den direkten Internetzugriff von den Zweigstellen aus zur Realität gemacht; ein SD-WAN lässt sich hier nicht nur für den Anschluss, sondern auch für den Schutz der Verbindung nutzen.
  • Durch die umfassende Sichtbarkeit der Art und des Volumens des Datenverkehrs im Netzwerk können SD-WANs dazu beitragen, Angriffe früher zu entdecken.

Es laufen vermehrt Forschungs- und Entwicklungsprojekte, die SD-WAN für Unternehmen zur Realität machen sollen.

Fazit

Angesichts all dieser Entwicklungen müssen Unternehmen unbedingt die Cybersicherheit weiterhin aufmerksam verfolgen. Eine umfassende, integrierte Security Fabric adressiert viele der oben erwähnten Sicherheitsprobleme und unterstützt Unternehmen auf ihrem digitalen Weg.

Christian Vogt ist Senior Regional Director Germany bei Fortinet ().