Auf seiner Hausveranstaltung CPX 360 in Wien – mit rund 3.900 Teilnehmern das bislang größte Event dieser Reihe – erläuterte Security-Spezialist Check Point, wie er Unternehmensnetze, Clouds und das Internet of Things (IoT) vor der nächsten Angriffsgeneration schützen will: Der israelische Sicherheitsanbieter will sehr kompakte Agenten, „Nano-Agents“ genannt, auf GitHub verfügbar machen, damit Entwickler sie in IoT-Firmware integrieren können. Das Security-Management soll in der Cloud, die Agentenorchestrierung am Netzwerkrand erfolgen.

Security-Anbieter rücken heute gern aufwendige Gegenmaßnahmen auf erfolgte Angriffe in den Mittelpunkt, etwa Incident Response (gezielte Reaktion auf eine erfolgreiche Kompromittierung) oder Threat Hunting (Aufspüren von Eindringlingen im Unternehmensnetz). Da wirkt eines fast schon aus der Zeit gefallen: Auch der kommenden – in Check Points Zählung der sechsten – Malware-Generation begegnet man bei Check Point mit klarem Fokus auf die vorausschauende Angriffsabwehr. Wenn man auf Erkennung setze, habe man schon verloren, so Check-Point-Gründer und -Chef Gil Shwed in seiner Eröffnungsrede: „Bis man einen Angriff entdeckt, ist es bereits zu spät.“ Seine Forderung: „Wir brauchen eine Präventionsmentalität.“ Denn gegen künftige Angriffe helfe nur eines: „Prävention, Prävention!“

„Wir brauchen eine Präventionsmentalität“, betonte Gil Shwed, Gründer und CEO von Check Point, denn: „Bis man einen Angriff entdeckt, ist es bereits zu spät.“ Bild: Check Point

„Wir brauchen eine Präventionsmentalität“, betonte Gil Shwed, Gründer und CEO von Check Point, denn: „Bis man einen Angriff entdeckt, ist es bereits zu spät.“ Bild: Check Point

Eskalierende Bedrohungslage

Auch bei Check Point weiß man, dass die Durchsetzung flächendeckender Präventionsmaßnahmen angesichts einer eskalierenden Bedrohungslage immer schwieriger wird. So gab es laut Shweds Ausführungen 2007 nur ein paar Dutzend Bedrohungsakteure, 2018 schon über 1.000. Parallel dazu habe die Zahl der Angriffstypen von rund 50 auf über eine Million zugenommen; früher habe man weniger als 1.000 Alarmmeldungen pro Tag zu bewältigen gehabt, heute ebenfalls rund eine Million. Ein weiteres Problem: die hohe Komplexität der Angriffsabwehr. Diese komme ins Spiel, da sich eine Matrix aus 18 Angriffsvektoren und 26 Abwehrmechanismen ergebe – und diese Komplexität werde sich nicht zuletzt durch das IoT in den kommenden drei Jahren verdoppeln, so Shwed.

Erforderlich sei deshalb ein Umdenken, genauer: eine Cloud-basierte Security-Services-Architektur, die hoch genug skaliert, um Smart-City- oder Smart-Enterprise-Umgebungen mit über 50 Geräten pro Endanwender und eine Gesamtbestand von über einer Milliarde Devices abzudecken. Diese Architektur müsse künstliche Intelligenz (KI) nutzen, eine offene Architektur aufweisen und somit auch Werkzeuge von Drittanbietern unterstützen.

Will das IoT mittels Nano-Agenten sicherer machen: Oded Gonda, Check Points Vice President Technology and Innovation. Bild: Check Point

Will das IoT mittels Nano-Agenten sicherer machen: Oded Gonda, Check Points Vice President Technology and Innovation. Bild: Check Point

Wie genau eine solche Weiterentwicklung von Check Points Infinity-Architektur für das IoT- und DevOps-Zeitalter aussehen soll, erläuterten Oded Gonda, Vice President Technology and Innovation, und sein Kollege Itai Greenberg, Vice President Product Management: Die „Infinity-2.0-Architektur“, so Greenberg, werde Backend-seitig auf die Infinity Cloud Security Services bauen, endpunktseitig auf einen „Nano-Agent“, ein kaum 5 kByte großes Stückchen Software. Diese Nano-Agenten werde man für alle zu sichernden Endpunkte bereitstellen, darunter zunächst für IoT-Geräte. Die Sammlung von Bedrohungsinformationen (Threat Intelligence) sowie deren Auswertung mittels KI erfolgt in diesem Konzept in der Cloud, die direkte Steuerung und Orchestrierung der Nano-Agenten hingegen – unter anderem aus Latenzgründen – am Netzwerkrand aus einer Fog-Infrastruktur per „Fog Security Orchestrator“.

Community- und DevOps-freundliche Sicherheit

Nützlich: Bei Check Point hat man sich Gedanken gemacht, wie man Sicherheit in die IoT-Gerätschaft integriert bekommt – auch jenseits individueller Kooperationen mit großen Geräte- oder Plattformanbietern, wie sie derzeit zahlreiche Security-Anbieter vorantreiben. Dazu, so verkündete Innovationsleiter Gonda, werde man die Nano-Agenten als Open Source auf GitHub verfügbar machen, sodass Entwickler die Security-Agenten „ab Werk“ zum Beispiel in IoT-Softwarelösungen einbauen können.

Zur Verwaltung werde Infinity 2.0 ein benutzerfreundliches Web-Interface ebenso umfassen wie REST-APIs zur Integration in Drittlösungen. Check Points Cloud-Infrastruktur soll es dabei künftig ermöglichen, 100 Millionen Assets pro Mandant zu verwalten. Insgesamt umfasse dieser Ansatz Best Practices für die Zugangskontrolle bis hin zu Zero-Trust-Szenarien, Bedrohungsprävention, Daten-, Web-App- und API-Sicherheit sowie für die Compliance. Konkrete Angaben zur Verfügbarkeit des Infinity-2.0-Portfolios nannte Check Point nicht – noch ist das also Zukunftsmusik, die Ankündigung verfügbarer Produkte dürfte somit einer CPX im Jahr 2020 vorbehalten bleiben.

Check Point hatte auch noch einige aktuelle Produktneuerungen im Gepäck – auch wenn diese angesichts des mit kräftigen Pinselstrichen gemalten Panoramagemäldes künftiger IoT-Sicherheit schon fast zur Nebensache gerieten: Die beiden Security Gateways 6500 und 6800 verdoppeln laut Hersteller die Abwehr- und SSL-Performance: Das 6500er-Gateway biete 20 GBit/s Firewall-Bandbreite und 3,4 GBit/s Durchsatz bei der Bedrohungsabwehr; der große Bruder 6800 komme hier sogar auf 42 GBit/s beziehungsweise 9 GBit/s. Die Ende Januar angekündigte Lösung namens Maestro soll es erlauben, bis zu 52 dieser 6800er-Gateways innerhalb von Minuten zu einer Hyperscale-Umgebung mit einem Durchsatz im Terabit-Bereich zu aggregieren.

Ebenfalls eine wichtige Ergänzung des Portfolios: CloudGuard Dome9 – basierend auf der Akquisition des Cloud-Security-Spezialisten Dome9 letztes Jahr – ermöglicht es laut Check Point, die Sicherheitslage („Security Posture“) einer Cloud-Umgebung mit Compliance-Regularien wie etwa der DSGVO abzugleichen. Bei Entdecken von Abweichungen setze Dome9 eine Cloud-Instanz automatisch auf den Sollwert zurück, so Yariv Fishman, Head of Product Management for Cloud Security & IoT, gegenüber LANline. Dies schaffe die Grundlage für ein automatisiertes Security- und Compliance-Management von Public-, Private- und somit auch von Hybrid-Cloud-Umgebungen.

Eine Besonderheit von Dome9 ist laut Fishman der umfangreiche Bestand vorbereiteter Regeln. Der Anwender könne damit über 1.000 Abfragen sofort starten und über 30 Regularien „ab Werk“ abdecken. Ein Unternehmen könne zudem eigene Regeln für objektbasierte Abfragen per Drag and Drop erstellen, also ohne dafür Programmierer zu benötigen. Dieses Jahr wolle Check Point sein Cloud-Security-Angebot um die Absicherung AWS-S3-Buckets sowie – mit einem Tool namens Magellan – um eine KI-basierte Threat Intelligence Engine für Kubernetes-Cluster erweitern. Über Nano-Agents werde man künftig auch Container absichern.

Vermittlung von Brisanz als Problem

„Die Herausforderung besteht darin, Wege zu finden, um auf einfache Weise zu vermitteln, worum es bei der IT-Security geht“, so Maya Horowitz, Director Threat Intelligence and Research. Bild: Check Point

„Die Herausforderung besteht darin, Wege zu finden, um auf einfache Weise zu vermitteln, worum es bei der IT-Security geht“, so Maya Horowitz, Director Threat Intelligence and Research. Bild: Check Point

Maya Horowitz, Leiterin der Abteilung Threat Intelligence and Research, präsentierte Ergebnisse aus Check Points aktuellen Bedrohungsreport. Nach der Ransomware-Welle von 2017 stand das Jahr 2018 laut Check Points Auswertung ganz im Zeichen des illegalen Cryptominings. Eine Kernaussage der Sicherheitsforscher: Cloud und Mobilgeräte sind die schwächsten Glieder der Sicherheitskette. Die bevorzugte Verbreitungsmethode verschob sich im Laufe des Jahres von HTTP zu SMTP – die gute alte E-Mail erlebte damit als Angriffsvektor ein Comeback. Ebenfalls spannend: Bedrohungsakteure nutzen neuerdings offenbar verstärkt verschlüsselte Messaging-Dienste wie Telegram zur Kommunikation statt herkömmlicher Bestellungen per „Dark Web“.

Als ihr größtes Problem nannte Horowitz die Vermittlung der Brisanz von Sicherheitsmängeln: „Wir sprechen mitunter eine sehr technische Sprache, das ist für Außenstehende schnell langweilig oder frustrierend“, so die Ex-Geheimdienstlerin und Psychologin im LANline-Interview. „Die Herausforderung besteht darin, Wege zu finden, um auf einfache Weise zu vermitteln, worum es bei der IT-Security geht.“ Ebenfalls schwierig sei häufig die Attribution (also die Zuordnung) von Angriffen. Im oben genannten Fall des Angriffs auf Russland sei man sich zu „über 90 Prozent“ sicher, dass Nordkoreas Lazarus-Gruppe dahintersteckt; über Sinn und Zweck dieses Angriffs stochere man aber im Trüben. Einerseits, so Maya Horowitz weiter, erleichtere es die Arbeit ihres Teams, dass Angreifer häufig die immer gleichen Code-Bausteine verwenden; andererseits wiederum erschwere es die Arbeit eines Sicherheitsanbieters, dass viele Unternehmen jahrealte Sicherheitslücken nicht patchen und Anwender trotz Awareness-Trainings immer wieder auf Phishing hereinfallen.

Threat Hunting und Incident Response

Cloud und Mobile Computing als Sollbruchstellen der Sicherheitskette, ungepatchte Schwachstellen im RZ, Phishing-anfällige Endanwender: Es scheint, als ob der reinen Prävention doch enge Grenzen gesetzt sind. Und in der Tat unterhält Check Point ergänzend auch ein Incident-Response-Team, um IT-Organsationen im Ernstfall bei der Reaktion auf Sicherheitsvorfälle zu unterstützen. Laut Teamleiter Dan Wiley besteht seine Truppe aus zwölf Mitarbeitern; diese seien über den Globus verteilt, sodass man per „Follow the Sun“-Prinzip eine 24×7-Rufbereitschaft sicherstellen könne. Der Notfall-Support lässt sich laut Wiley an Wartungsverträge der Check-Point-Software koppeln, aber auch separat auf Stundenbasis buchen. Angesichts eines Stundensatzes von 400 Dollar sei dieser Service für das betroffene Unternehmen deutlich günstiger, als die Dienste teurer Spezialisten – gemeint sind Beratungshäuser wie etwa Mandiant – einzuholen. Das Incident-Response-Geschäft sei gegenüber dem Vorjahr um 20 Prozent gewachsen, letztes Jahr habe man 1.200 Fälle bearbeitet.

Für die Erkennung des Status quo im Netzwerk und die schnelle Ermittlung des Angriffswegs setzt Check Point auf die Threat-Hunting-Plattform Hunt von InfoCyte. „Wir nutzen einen Credential-basierten Ansatz, installieren Agenten auf den Hosts, erstellen einen Snapshot der Umgebung und können dadurch einen Angriff innerhalb von 15 Minuten isolieren“, so Curtis Hutcheson, CEO von InfoCyte, gegenüber LANline. Die Analyse erfolge so schnell, weil Hunt rein Memory-basiert arbeite.

Bei einem Sicherheitsvorfall besteht laut Hutcheson das Problem für das betroffene Unternehmen darin, dass zwar alle zur Aufklärung benötigten Informationen irgendwo im Netz vorliegen, man aber im Notfallstress geschulte Spezialisten brauche, die diese Daten möglichst schnell aufspüren können. Hier komme das Incident-Response-Team von Check Point zum Zuge, InfoCyte betreibe lediglich die Software für den Kunden. „Wir konzentrieren uns rein auf Detektion“, so Hutcheson. „Wer auf Prävention fokussiert ist, dem fehlt der Blick für die Feinheiten der Detektion.“ Hunt lasse sich für eine Zusammenführung von Bedrohungsprävention und Angriffserkennung aber auch in Check Points ThreatCloud integrieren, so der InfoCyte-Chef.

Die persönliche Note

Was auf der CPX in Wien auffiel: Die Vortragenden wurden alle mit Kurzlebenslauf und Hobby angekündigt, die Vorträge enthielten stets eine persönliche Note. Der eine illustrierte seine Präsentation mit den Covers seiner Lieblingsschallplatten, der andere mit Fotos aus dem Film „Matrix“. Chef Gil Shwed zeigte sogar Bilder seiner sechs Kinder, wie sie mit Smartphone, Drohnenfernsteuerung und VR-Brille spielen. Ziel war es offenbar, eine familiäre Stimmung zu schaffen – Shwed nannte Check Point seine „erste“, Frau und Kinder seine „zweite Familie“. Auch wenn mancher im Publikum dies wohl eher als „Opsec Fail“ des israelischen Security-Konzerns bezeichnen würde, als Lücke in der Geheimhaltungskette: Gerade die Fotos der Kinder mit IoT-Equipment verdeutlichten, welch drastische Folgen mangelhafte IoT-Sicherheit künftig haben könnte.

Man kann Check Point somit nur die Daumen drücken für das Vorhaben, IoT-Sicherheit schon „ab Werk“ in IoT-Produkte einzubetten. Das Vermarktungsmodell für den Open-Source-Code steht offenbar noch nicht fest. Wünschenswert wäre, wenn die Software nach dem Freemium-Modell vermarktet wird: Alle IoT-Anwender erhalten gratis eine Basisabsicherung ihrer Geräte, selbst wenn sie keine Check-Point-Kunden sind, während Organisationen, die derlei Gerätschaft in großem Stil verwalten wollen, für die Services Lizenzgebühren zahlen. Dann könnte GitHub-Code wie der von Check Point geplante wohl tatsächlich helfen, die Sicherheitslücken im Internet der Dinge zu verkleinern.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.