COMPAREX AG
Synchronized Security – Mode-Feature oder der Weg zu umfassender IT-Security im Unternehmen? (Header)

Synchronized Security – Mode-Feature oder der Weg zu umfassender IT-Security im Unternehmen?

Synchronized Security umfasst eine sichere Kommunikation zwischen Endpoint- und Netzwerk-Sicherheitslösungen. Warum dies so wichtig ist und Insellösungen in der IT-Security nicht mehr zeitgemäß, ja sogar gefährlich sein können, erklärt dieser Beitrag. Erfahren Sie zudem konkret, wie Synchronized Security funktioniert.

Ein Blogbeitrag von Marco Di Filippo, Experte für IT-Security

Warum „Netzwerk – ein Anbieter. Endpunkt – ein Anbieter“ nicht mehr zeitgemäß ist

In den letzten Jahren gab es in der IT-Security-Branche immer wieder „bahnbrechende“ Lösungen, die jedoch schnell wieder vom Markt verschwanden. Andere wurden durch die Technik überholt. Der Verantwortliche für die IT-Sicherheit im Unternehmen muss sich oft durch einen Dschungel von Lösungen quälen, unzählige Proof-of-Concepts über sich ergehen lassen oder konsequent auf seine eigenen Erfahrungen setzen.

Jahrelang galt in puncto IT-Sicherheit die Philosophie „Netzwerk ein Anbieter und Endpunkt ein Anbieter – das sorgt für optimalen Schutz“. Reicht das heutzutage noch aus? Technologien entwickeln sich ständig weiter. Das gilt sowohl für die Hersteller von IT-Security-Lösungen als auch für die Hackerszene. Das rasante Wachstum komplexer, koordinierter Bedrohungen überfordert zunehmend die Schutzmechanismen vieler Unternehmen. Es müssen neue Wege gefunden werden, sich gegen immer ausgefeiltere Cyberangriffe zu wappnen und sich den Herausforderungen der zunehmenden Mobilität zu stellen. Die Implementierung einer IT-Sicherheitsmaßnahme an vermeintlich neuralgischen Punkten ist schon lange nicht mehr zeitgemäß, denn diese „Insellösungen“ können nur einzelne Elemente eines Angriffs stoppen.

So ist es unerlässlich, die IT-Sicherheit zunehmend auch auf den Endpunkt zu verlagern. Dabei ist sicherzustellen, dass die Verantwortlichen jederzeit die Kontrolle über die Geschehnisse haben. So vielfältig die Herausforderungen an Ihre Cyber-Security-Strategie mittlerweile sind, so knapp sind die personellen Ressourcen. Überlastete IT-Abteilungen haben es zunehmend schwer, schnell genug auf diese Bedrohungen zu reagieren.

Was Synchronized Security konkret bedeutet?

Stellen wir uns einen klassischen Feuerwehreinsatz vor. Zunächst erfasst ein Rauchmelder nicht nur optisch etwaige Rauchkonzentrationen, sondern reagiert auch, wenn sich die Umgebungstemperatur rasch erhöht oder einen gewissen Maximalwert überschreitet. Sollte das der Fall sein, erfolgt die automatische Alarmierung. Ab dem Zeitpunkt der Alarmierung beginnt für die Feuerwehr der Einsatz. Der Einsatzleiter trägt die Verantwortung für die Erkundung und Abwicklung des Einsatzes. Er gibt Befehle an die Fahrzeug- bzw. Gruppenleiter weiter, die daraufhin ihre Teams einteilen. Besonders wichtig ist es dabei, nicht nur den augenscheinlichen Brandherd zu bekämpfen, sondern dem Feuer den Nährboden für die weitere Ausbreitung zu entziehen und anwesende Einsatzkräfte sowie Maschinen zu schützen. Sollte sich herausstellen, dass der Einsatz mit den vorhandenen Kräften nicht abgearbeitet werden kann, hat der Einsatzleiter die Möglichkeit, weitere Kräfte sowie Sonder- und Spezialkräfte anzufordern.

Trotz Übungen und trainierten Standardabläufen verhält sich jeder Einsatz anders. Es wird von den eingesetzten Kräften eine hohe Flexibilität verlangt. Ebenso wichtig wie die Flexibilität ist die Zusammenarbeit mit anderen Einsatz- bzw. Rettungsorganisationen zur effizienten Abwicklung der Einsätze. Dieses Vorgehen hat sich in vielen Situationen des Krisenmanagements bewährt. Warum also nicht auf Bewährtes setzen?

Projizieren wir dieses Vorgehen auf eine umfängliche Unternehmens-IT-Sicherheit, erhalten wir folgende Erkenntnis:

  1. Alarmierung: Komplexe Angriffe wie z. B. Ransomware, Exploits und Botnets müssen erkennbar sein.
  2. Umfassend: Eine Lösung muss alle Funktionen und Technologien beinhalten, die notwendig sind, um die Sicherheitsanforderungen gänzlich zu erfüllen – egal ob Netzwerk, Server, Endpunkt oder Nutzer.
  3. Teamplay: Wenn Technologiekomponenten kommunizieren und kooperieren, anstatt isoliert voneinander zu agieren, ergeben sich ganz neue Möglichkeiten. Sicherheitsinformationen werden über das gesamte System hinweg ausgetauscht und genutzt. Infizierte Endpoints werden isoliert, bevor die Bedrohung sich ausbreiten kann und die Reaktionszeit bei Sicherheitsvorfällen minimiert sich.
  4. Standardabläufe: Eine einfache Verwaltung darf sich nicht auf einzelne Bereiche beschränken, sondern muss sich auf alle Aspekte der Lösung erstrecken: u. a. auf die Bereitstellung, Verwaltung, den Support und die Bedienung.

Signaturbasierte und verhaltensanalytische Lösungen vs. lernfährige Algorithmen

Signaturbasierte Antivirenscanner

Die ausschließliche Nutzung von signaturbasierten Antivirenscannern bei der Erkennung von schädlichen Dateien hängt von den verwendeten Virensignaturen ab und ist somit schon lange nicht mehr zeitgemäß. Oftmals werden die ausführbaren Dateien vor ihrer Verbreitung so gepackt, dass sie sich später selbst entpacken können (Laufzeitkomprimierung). So kann ein eigentlich bekannter Virus der Erkennung durch den Scanner entgehen, weil dieser nicht in der Lage ist, den Inhalt des laufzeitkomprimierten Archivs zu untersuchen. Ein weiterer signifikanter Nachteil ist, dass diese Art von Scannern nur die Schädlinge erkennen, die in die Signaturdatenbanken aufgenommen wurden.

Verhaltensanalytische Lösugnen

Schon lange gibt es Überlegungen, Schadsoftware auf Basis einer Verhaltensanalyse ihres Codes zu überführen. Entsprechende „Heuristik“-Optionen in den Endpoint-Lösungen bieten jedoch nur sehr begrenzte Möglichkeiten mit mäßigem Erfolg. Hinzu kommt eine hohe Rate an Fehlalarmen in Form von sogenannten False-Positives. Professionelle Unternehmenslösungen schleusen jeglichen Code oftmals durch eine isolierte Ausführungsumgebung (Sandbox). Hier werden die Aktivitäten aller Stadien hinsichtlich verursachter Veränderungen in System, Speicher, Registry und Rechtevergabe sowie hinsichtlich Exploit-Versuchen, nachfolgender Downloads und Kommunikation mit externen Websites oder Servern aufgezeichnet und analysiert, um das Verhalten von unbekannten Dateien zu überprüfen.

Tatsächlich kann dieses Sandboxing die Erfolgsrate bei der Identifikation von Schadsoftware deutlich verbessern. Gegen ausgeklügelt fragmentierte Schadsoftware, deren einzelne Komponenten für sich genommen harmlos sind, ist jedoch auch dieses Verfahren weitestgehend machtlos. So kann eine für unschädlich befundene Software im Verbund mit einem oder mehreren schon früher als unbedenklich eingestuften Codes sehr wohl massiven Schaden anrichten.

Somit sind aktuellere Angriffswellen mit hohem technischen Aufwand, auf einen langen Zeitraum ausgelegte APTs (Advanced Persistant Threats) und hochentwickelte Malware wie Ransomware, Backdoors und Remote-Access-Trojaner erfolgreich und konventionelle Abwehrmethoden damit überfordert.

Lernfähige Algorithmen

Neue technologische Ansätze gehen auf Basis von Algorithmen und vorhersagenden, statistischen Methoden einen anderen Weg. Sie nutzen maschinelles Lernen und selbsttrainierende KI (künstliche Intelligenz) sowie über die Jahre gesammelte und extrahierte „Malware-DNA“, um das Schadrisiko ausführbaren Codes zu berechnen. Dann wird entschieden, ob eine Datei sicher ist und ausgeführt werden kann oder unter Quarantäne gestellt werden muss.

Die Algorithmen werden befähigt, Verhalten nicht nur auf Basis eines Status quo zu analysieren, sondern auch aus den Ergebnissen zu lernen. Die Verarbeitung dieser Merkmale geschieht nicht mehr über einen statischen 1:1-Vergleich mit den schon gesammelten, einschlägigen Signaturen, sondern über bestimmte, maschinenlernfähige Algorithmen, also mathematische Modelle, die eine Prozedur geeigneter Vorgehensweisen beschreiben. Der Lohn dafür ist eine im Vergleich zu signaturbasierten Lösungen erheblich höhere Erkennungsquote von Malware. Dies gilt insbesondere auch bei bisher noch nicht bekannten Angriffsformen. Zudem gibt es erheblich weniger Fehlalarme. Letztendlich bietet die Kombination aller Scan-Engines, traditioneller ebenso wie innovativer, den besten Schutz vor allen möglichen Bedrohungen.

Synchronized Security: Sichere Kommuniation zwischen Endpoint- und Netzwerk-Lösungen

Die Schlagzeilen über gehackte Behörden, Konzerne oder öffentliche Einrichtungen wie z. B. Krankenhäuser nehmen nicht ab. Dabei waren in diesen Organisationen State-of-the-Art-Lösungen im Einsatz. Die logische Schlussfolgerung daraus lautet: Selbst etablierte Systeme lassen Lücken zu, insbesondere wenn es sich um unbekannte Schwachstellen wie sogenannte Zero-Day-Exploits handelt. Hinzu kommt, dass immer mehr Mitarbeiter mobile Geräte und Cloud-Services nutzen und Unternehmen zunehmend virtuelle und Cloud-Infrastrukturen einsetzen. Die sogenannte „Angriffsfläche“ hat sich dadurch dramatisch vergrößert.

Aus diesem Grunde ist ein stetiger Austausch von Bedrohungs-, Integritäts- und Sicherheitsinformationen unerlässlich, um im Falle einer Kompromittierung diese erkennen und automatische Reaktionsmaßnahmen einleiten zu können.

Synchronisierte Sicherheit beinhaltet einen sicheren Kommunikationskanal zwischen Endpoint- und Netzwerk-Sicherheitslösungen. Erkennt die Firewall schädlichen Datenverkehr, benachrichtigt sie umgehend den Endpoint-Agenten. Dieser reagiert dynamisch und identifiziert und hinterfragt den verdächtigen Prozess. Das kann zum Ausschluss des betroffenen Systems aus dem Netzwerk bis hin zur Entziehung der Schlüssel zur Verhinderung von Datendiebstahl gehen. In einigen Fällen kann der Vorgang automatisch beendet und die restlichen, infizierten Komponenten können entfernt werden. Auf diese Weise werden IT-Abteilungen entlastet und können gleichzeitig einen besseren Schutz von Daten garantieren.

Der Lösungstipp: Synchronized Security von Sophos

Komplexe Malware-Angriffe benötigen Sicherheitslösungen, die Sie schützen sollen und nicht isoliert voneinander arbeiten. Synchronized Security ist ein Sicherheitssystem, bei dem integrierte Produkte automatisch Sicherheitsinformationen austauschen und automatisch auf Angriffe reagieren. Die Vorteile liegen auf der Hand:

  • Schnellerer, besserer Schutz vor komplexen Bedrohungen
  • 99,9 %ige Reduktion der Reaktionszeit bei Vorfällen
  • Synchronized Security tauscht in Echtzeit Bedrohungs-, Integritäts- und Sicherheitsinformationen zwischen einer Vielzahl von Sophos-Produkten aus
  • Abwehrmaßnahmen können besser koordinieren werden
  • Wachsende Angriffsflächen, z.B. durch die steigende Nutzung mobiler Geräte, lassen sich besser erkennen
  • Sicherheitspannen können vorgebeugt und deren Folgen abgemildert werden
  • Die IT-Verwaltung ist einfach und übersichtlich, so dass Ressourcen gespart werden können

Erfahren Sie mehr dazu im Whitepaper

Alle Fragen rund um Sophos Synchronized Security beantwortet Ihnen unser Experte Rene Schoppe. Treffen Sie uns und ihn sowie weitere Security Spezialisten von Sophos auf unserem IT-Security-Symposium am 04.09. in Hamburg. Wir diskutieren über neueste Sicherheitskonzepte und stellen Ihnen aktuelle und innovative Lösungen vor. Melden Sie sich gerne kostenfrei an.

Zur Anmeldung

Zusammenfassung

Immer mehr Unternehmen sind mit der wachsenden Flut komplexer und koordinierter Angriffe überfordert. Überlastete IT-Abteilungen tun sich schwer, schnell genug auf Bedrohungen zu reagieren, denen ihre stetig wachsende IT-Infrastruktur gegenübersteht.
Unternehmen, die weiterhin versuchen, diesem Problem mit verschiedenen Insellösungen zu begegnen, gehen ein extrem hohes Risiko ein. Sollte sich die Herangehensweise an die IT-Sicherheit nicht grundlegend verändern, wird sich diese Situation noch verschärfen.

Synchronized Security ist ein zeitgemäßes und den aktuellen Bedrohungen entsprechendes Sicherheitssystem, um schneller und vor allem besser vor komplexen Bedrohungen schützen zu können. Das Ergebnis ist ein ganzheitlicher Schutz und maximale Benutzerfreundlichkeit, sodass IT-Sicherheitsexperten ihre Arbeit einfacher erledigen können.

Diesen Artikel teilen

Artikel vom:
03.07.2019

geschrieben von:

TAGS:

Thema:

Kommentieren sie diesen Artikel...

© COMPAREX AG
Zurück nach oben