Auf seiner Hausveranstaltung CPX 360 in Wien – mit rund 3.900 Teilnehmern das bislang größte Event dieser Reihe – erläuterte Security-Spezialist Check Point, wie er Unternehmensnetze, Clouds und das Internet of Things (IoT) vor der nächsten Angriffsgeneration schützen will: Der israelische Sicherheitsanbieter will sehr kompakte Agenten, „Nano-Agents“ genannt, auf GitHub verfügbar machen, damit Entwickler sie in IoT-Firmware integrieren können. Das Security-Management soll in der Cloud, die Agentenorchestrierung am Netzwerkrand erfolgen.

Security-Anbieter rücken heute gern aufwendige Gegenmaßnahmen auf erfolgte Angriffe in den Mittelpunkt, etwa Incident Response (gezielte Reaktion auf eine erfolgreiche Kompromittierung) oder Threat Hunting (Aufspüren von Eindringlingen im Unternehmensnetz). Da wirkt eines fast schon aus der Zeit gefallen: Auch der kommenden – in Check Points Zählung der sechsten – Malware-Generation begegnet man bei Check Point mit klarem Fokus auf die vorausschauende Angriffsabwehr. Wenn man auf Erkennung setze, habe man schon verloren, so Check-Point-Gründer und -Chef Gil Shwed in seiner Eröffnungsrede: „Bis man einen Angriff entdeckt, ist es bereits zu spät.“ Seine Forderung: „Wir brauchen eine Präventionsmentalität.“ Denn gegen künftige Angriffe helfe nur eines: „Prävention, Prävention!“

„Wir brauchen eine Präventionsmentalität“, betonte Gil Shwed, Gründer und CEO von Check Point, denn: „Bis man einen Angriff entdeckt, ist es bereits zu spät.“ Bild: Check Point

„Wir brauchen eine Präventionsmentalität“, betonte Gil Shwed, Gründer und CEO von Check Point, denn: „Bis man einen Angriff entdeckt, ist es bereits zu spät.“ Bild: Check Point

Eskalierende Bedrohungslage

Auch bei Check Point weiß man, dass die Durchsetzung flächendeckender Präventionsmaßnahmen angesichts einer eskalierenden Bedrohungslage immer schwieriger wird. So gab es laut Shweds Ausführungen 2007 nur ein paar Dutzend Bedrohungsakteure, 2018 schon über 1.000. Parallel dazu habe die Zahl der Angriffstypen von rund 50 auf über eine Million zugenommen; früher habe man weniger als 1.000 Alarmmeldungen pro Tag zu bewältigen gehabt, heute ebenfalls rund eine Million. Ein weiteres Problem: die hohe Komplexität der Angriffsabwehr. Diese komme ins Spiel, da sich eine Matrix aus 18 Angriffsvektoren und 26 Abwehrmechanismen ergebe – und diese Komplexität werde sich nicht zuletzt durch das IoT in den kommenden drei Jahren verdoppeln, so Shwed.

Erforderlich sei deshalb ein Umdenken, genauer: eine Cloud-basierte Security-Services-Architektur, die hoch genug skaliert, um Smart-City- oder Smart-Enterprise-Umgebungen mit über 50 Geräten pro Endanwender und eine Gesamtbestand von über einer Milliarde Devices abzudecken. Diese Architektur müsse künstliche Intelligenz (KI) nutzen, eine offene Architektur aufweisen und somit auch Werkzeuge von Drittanbietern unterstützen.

Wie genau eine solche Weiterentwicklung von Check Points Infinity-Architektur für das IoT- und DevOps-Zeitalter aussehen soll, erläuterten Oded Gonda, Vice President Technology and Innovation, und sein Kollege Itai Greenberg, Vice President Product Management: Die „Infinity-2.0-Architektur“, so Greenberg, werde Backend-seitig auf die Infinity Cloud Security Services bauen, endpunktseitig auf einen „Nano-Agent“, ein kaum 5 kByte großes Stückchen Software. Diese Nano-Agenten werde man für alle zu sichernden Endpunkte bereitstellen, darunter zunächst für IoT-Geräte. Die Sammlung von Bedrohungsinformationen (Threat Intelligence) sowie deren Auswertung mittels KI erfolgt in diesem Konzept in der Cloud, die direkte Steuerung und Orchestrierung der Nano-Agenten hingegen – unter anderem aus Latenzgründen – am Netzwerkrand aus einer Fog-Infrastruktur per „Fog Security Orchestrator“.

Community- und DevOps-freundliche Sicherheit

Nützlich: Bei Check Point hat man sich Gedanken gemacht, wie man Sicherheit in die IoT-Gerätschaft integriert bekommt – auch jenseits individueller Kooperationen mit großen Geräte- oder Plattformanbietern, wie sie derzeit zahlreiche Security-Anbieter vorantreiben. Dazu, so verkündete Innovationsleiter Gonda, werde man die Nano-Agenten als Open Source auf GitHub verfügbar machen, sodass Entwickler die Security-Agenten „ab Werk“ zum Beispiel in IoT-Softwarelösungen einbauen können.

Zur Verwaltung werde Infinity 2.0 ein benutzerfreundliches Web-Interface ebenso umfassen wie REST-APIs zur Integration in Drittlösungen. Check Points Cloud-Infrastruktur soll es dabei künftig ermöglichen, 100 Millionen Assets pro Mandant zu verwalten. Insgesamt umfasse dieser Ansatz Best Practices für die Zugangskontrolle bis hin zu Zero-Trust-Szenarien, Bedrohungsprävention, Daten-, Web-App- und API-Sicherheit sowie für die Compliance. Konkrete Angaben zur Verfügbarkeit des Infinity-2.0-Portfolios nannte Check Point nicht – noch ist das also Zukunftsmusik, die Ankündigung verfügbarer Produkte dürfte somit einer CPX im Jahr 2020 vorbehalten bleiben.

Check Point hatte auch noch einige aktuelle Produktneuerungen im Gepäck – auch wenn diese angesichts des mit kräftigen Pinselstrichen gemalten Panoramagemäldes künftiger IoT-Sicherheit schon fast zur Nebensache gerieten: Die beiden Security Gateways 6500 und 6800 verdoppeln laut Hersteller die Abwehr- und SSL-Performance: Das 6500er-Gateway biete 20 GBit/s Firewall-Bandbreite und 3,4 GBit/s Durchsatz bei der Bedrohungsabwehr; der große Bruder 6800 komme hier sogar auf 42 GBit/s beziehungsweise 9 GBit/s. Die Ende Januar angekündigte Lösung namens Maestro soll es erlauben, bis zu 52 dieser 6800er-Gateways innerhalb von Minuten zu einer Hyperscale-Umgebung mit einem Durchsatz im Terabit-Bereich zu aggregieren.

Ebenfalls eine wichtige Ergänzung des Portfolios: CloudGuard Dome9 – basierend auf der Akquisition des Cloud-Security-Spezialisten Dome9 letztes Jahr – ermöglicht es laut Check Point, die Sicherheitslage („Security Posture“) einer Cloud-Umgebung mit Compliance-Regularien wie etwa der DSGVO abzugleichen und sie bei Abweichungen automatisch auf den Sollwert zurückzusetzen. Dies schaffe die Grundlage für ein automatisiertes Security- und Compliance-Management von Public-, Private- und somit auch von Hybrid-Cloud-Umgebungen.

Die persönliche Note

Was auf der CPX in Wien auffiel: Die Vortragenden wurden alle mit Kurzlebenslauf und Hobby angekündigt, die Vorträge enthielten stets eine persönliche Note. Der eine illustrierte seine Präsentation mit den Covers seiner Lieblingsschallplatten, der andere mit Fotos aus dem Film „Matrix“. Chef Gil Shwed zeigte sogar Bilder seiner sechs Kinder, wie sie mit Smartphone, Drohnenfernsteuerung und VR-Brille spielen. Ziel war es offenbar, eine familiäre Stimmung zu schaffen – Shwed nannte Check Point seine „erste“, Frau und Kinder seine „zweite Familie“. Auch wenn mancher im Publikum dies wohl eher als „Opsec Fail“ des israelischen Security-Konzerns bezeichnen würde, als Lücke in der Geheimhaltungskette: Gerade die Fotos der Kinder mit IoT-Equipment verdeutlichten, welch drastische Folgen mangelhafte IoT-Sicherheit künftig haben könnte.

Man kann Check Point somit nur die Daumen drücken für das Vorhaben, IoT-Sicherheit schon „ab Werk“ in IoT-Produkte einzubetten. Das Vermarktungsmodell für den Open-Source-Code steht offenbar noch nicht fest. Wünschenswert wäre, wenn die Software nach dem Freemium-Modell vermarktet wird: Alle IoT-Anwender erhalten gratis eine Basisabsicherung ihrer Geräte, selbst wenn sie keine Check-Point-Kunden sind, während Organisationen, die derlei Gerätschaft in großem Stil verwalten wollen, für die Services Lizenzgebühren zahlen. Dann könnte GitHub-Code wie der von Check Point geplante wohl tatsächlich helfen, die Sicherheitslücken im Internet der Dinge zu verkleinern.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.