Cybersicherheit durch Netzwerk-Automatisierung

Netzwerksicherheit ist eine dynamische Kunst, bei der die Gefahren so schnell auftauchen, wie Hacker (auch „Black Hats“ genannt) die Verwundbarkeit von Daten ausnutzen können. Auch wenn es grundlegende „goldene Regeln“ gibt, die den Ganoven das Leben durchaus schwer machen können, so ist es doch nach wie vor eine Herausforderung, die Sicherheit in Netzwerken aufrechtzuerhalten.

Von John Chambers, dem Vorstandsvorsitzenden von Cisco, stammt der berühmte Satz „Es gibt zwei Arten von Unternehmen: solche, die schon mal gehackt wurden, und solche, die noch gar nicht wissen, dass sie gehackt wurden“. Für die meisten Unternehmen ist die entscheidende Frage nicht, ob sie einmal gehackt werden, sondern, wie schnell sie die Bedrohung isolieren und abschwächen können.

In dem vorliegenden Whitepaper wollen wir „Best Practices“ untersuchen, um zu einer effektiven Cybersicherheit zu gelangen – und zwar aus einer proaktiven (durch Erschwerung des Zugriffs) und einer reaktiven (durch Isolierung und Abschwächung der Bedrohung) Perspektive. Wir beschäftigen uns damit, wie die Netzwerkautomatisierung dabei helfen kann, Cyberangriffe durch Schließen von Sicherheitslücken auf ein Minimum zu begrenzen, und wie sie bei einer Cyberbedrohung die Reaktionszeiten nach einem Vorfall verbessern kann. Und schließlich wagen wir noch einen Blick in die Zukunft durchgehender Netzwerksicherheit, um zu untersuchen, wie die Automatisierung von Maschine zu Maschine zu einem Netzwerk mit automatischer Sicherung und Selbstheilung führen kann.


Jetzt lesen:
Cybersicherheit durch Netzwerkautomatisierung

 

1. Die Szenerie der Cybersicherheit

Da Technologie heute für das Geschäft lebenswichtiger ist als je zuvor, sehen sich Unternehmen gezwungen, sich digital immer weiterzuentwickeln. Aber so, wie das Vertrauen in die Technologie steigt, muss sich auch das Sicherheitsbewußtsein eines Unternehmens verbessern. Geschieht das nicht, kann das zu solch teuren Datenpannen führen, wie wir sie schon so oft in den Nachrichten gesehen haben.

Die Bedeutung des Netzwerks für die Cybersicherheit

Der Schwerpunkt dieses Whitepapers liegt auf der Netzwerksicherheit. Damit soll aufgezeigt werden, wie Netzwerke strukturiert und konfiguriert sein müssen, um optimal für die Cybersicherheit sorgen zu können und mit welchen Maßnahmen Netzwerkteams effektiv auf Sicherheitsbedrohungen reagieren können. Lassen Sie uns aber zuerst einen Schritt zurückgehen und untersuchen, wie Netzwerksicherheit von Cybersicherheit und Informationssicherheit (auch Englisch als InfoSec bezeichnet) zu unterscheiden ist.

Netzwerksicherheit – Cybersicherheit – Informationssicherheit

Die Informationssicherheit soll gewährleisten, dass alle Daten, physisch oder digital, vor unbefugtem Zugriff geschützt werden. Die Cybersicherheit, ein Teilbereich von InfoSec, soll nur digitale Daten, z. B. Computer und Netzwerke, vor unbefugtem Zugriff schützen und vor Schaden bewahren. Die Netzwerksicherheit als Teilbereich der Cybersicherheit soll jede Art von Daten schützen, die durch Vorrichtungen im Netzwerk transportiert werden, um sicherzustellen, dass keine Daten unterwegs abgefangen oder verändert werden. Oder anders ausgedrückt: Während Cybersicherheit den Schutz von Daten umfasst, die ihren Standort nicht ändern, hat es die Netzwerksicherheit mit Daten zu tun, die sich in Bewegung befinden. Das betrifft unter anderem auch Verschlüsselungen, Aspekte des Remotezugriffs, 802.1x-Lösungen und Zertifikate. Die Netzwerksicherheit hat dabei die Aufgabe, die IT-Infrastruktur eines Unternehmens vor jeder Art von Cyberbedrohung zu schützen. Dazu gehören beispielsweise

  • Viren, Würmer und Trojaner – Schadsoftware, die es auf PCs und Endsysteme abgesehen haben und ihnen Schaden zufügen,
  • DoS-Angriffe (Denial of Service) – Methoden, die eine Maschinen oder Netzwerkressourcen dadurch, dass ihre Dienste gestört werden, für ihre eigentlichen Benutzer unerreichbar machen,
  • Zero-Day-Lücken – Lücken in der Software, die von Hackern ausgenutzt werden, bevor ein Anbieter die Lücke bemerken und unverzüglich schließen kann und
  • Spyware und Adware – Software, die darauf abzielt, ohne Wissen des Nutzers Daten zu sammeln oder die Kontrolle über ein Gerät zu übernehmen.

Netzwerksicherheitsteams müssen Hard und Softwarerichtlinien implementieren, um ihre Infrastruktur zu schützen und entstehende Bedrohungen zu erkennen, bevor diese das Netzwerk durchdringen oder die Unternehmensdaten gefährden. Es gibt bei der Netzwerksicherheit mehrere Komponenten, die sehr gut aufeinander abgestimmt sind. Davon gehören folgende zu den verbreitetsten:

  • Firewalls arbeiten üblicherweise mithilfe von Statustabellen auf Layer 3 oder 4, um unbefugten Datenverkehr zu blockieren, während zulässige Kommunikation durchgelassen wird.
  • Antivirus-Software schützt Computer und Endsysteme vor Viren.
  • Intrusion-Detection-Systeme (IDSs, „Angrifferkennungssysteme“) alarmieren die Administratoren, wenn jemand versucht, einem Informationssystem in böswilliger Absicht Schaden zuzufügen.
  • Intrusion-Prevention-Systeme (IPSs, „Angriffverhinderungssysteme“) erkennen Unregelmäßigkeiten, filtern Anwendungen und betreiben Deep-Packet-Inspection, um die Ausnutzung von Schwachstellen zu erkennen und zu verhindern. Im Gegensatz zu einem IDS wird ein IPS mit dem Netzwerk gekoppelt, um den Datenverkehr zu analysieren und automatisierte Schritte zu unternehmen, die den Schadverkehr blockieren.
  • Virtual Private Networks (VPNs, „virtuelle private Netzwerke“) stellen in einem Netzwerk mit eingeschränkter Sicherheit, wie dem Internet eine sichere, verschlüsselte Verbindung her.

Ist die Sicherheit Ihres Netzwerks in Gefahr, sollte es oberste Priorität sein, den Angreifer so schnell wie möglich zu isolieren und die Bedrohung zu beseitigen. Je länger sich der Angreifer in Ihrem Netzwerk aufhält, desto mehr Zeit hat er dafür, Ihre vertraulichen Daten zu stehlen. Laut der vom „Ponemon Institute“ im Jahr 2017 erstellten Studie betragen die Gesamtkosten für eine Datenpanne im Durchschnitt über 3,62 Mio. US-Dollar, wobei Verstöße gegen die Datensicherheit in riesigem oder gar katastrophalem Ausmaß noch nicht mitgerechnet sind. Die effektivste Methode zur Eindämmung des Schadens besteht in der schnellstmöglichen Entfernung der Angreifer aus Ihrem Netzwerk, in dem man die Sicherheitslücke schließt. Oder ganz bildlich gesprochen: die Blutung muss gestillt werden.

Trends, die Einfluss auf die Netzwerksicherheit nehmen

Die steigende Nutzung von Mobilgeräten sowie Software as a Service (SaaS) machen die Sicherung des Netzwerks mehr denn je zu einer Herausforderung. Immer schnellere Netzverbindungen und mehr Remote-User zwingen die Sicherheitsteams dazu, sich zu überlegen, wo und wie sie Schutz gewähren können. Zudem fließt der Datenverkehr aufgrund des Übergangs von einer monolithischen (eine einzelne Anwendung je Server) zu einer abgestuften Verarbeitung der Anwendungen mit verschiedenen Datenverkehrsmustern nun in jede mögliche Richtung.

Folgende Trends wirken sich auch künftig auf die Richtlinien und Strategien der Netzwerksicherheit aus:

  1. Die Verbreitung des IoT
    Das Internet der Dinge (IoT, Internet of things) wird zwar meist noch mit Geräten der Unterhaltungselektronik in Verbindung gebracht, aber immer mehr IoT-Geräte dringen nun auch in den Enterprisesektor vor. Heutzutage besitzen Dokumentenscanner, Alarmanlagen, medizinische Geräte, Laborgeräte, Thermostate und sogar Kaffeemaschinen und Kühlschränke eine IP-Adresse. Das bedeutet, dass die Netzwerkteams solche Geräte, die von Natur aus häufig nicht sicher sind, identifizieren, nachverfolgen und sichern müssen. Viele davon verwenden nur Port 80 oder unsichere (oder auch gar keine) Passwörter oder können hardwareseitig nur den Adressraum 192.168.0.0/24 ansprechen.
  2. Mobilnetze, VPNs, BYOD und Roaming-Nutzer
    Die heutigen Mitarbeiter nutzen Verbindungen von jedem Ort aus und greifen vom iPad, von Android-Telefonen, Tablets und Laptops auf die verschiedensten Dienste zu. Viele dieser Geräte sind Eigentum des Mitarbeiters, auch wenn die Unternehmen jetzt anfangen, gegen die BYOD-Praxis (Bring your own device) vorzugehen, um die Sicherheitskontrollen zu forcieren. Dennoch bleibt eine große Gruppe persönlicher Geräte übrig, über die auf Unternehmensressourcen zugegriffen wird. Und das richtet bei den Sicherheitsteams großes Chaos an. Bei Ihrer Netzwerkstrategie müssen Sie berücksichtigen, wie der Zugriff auf eine Vielzahl von Plattformen im Rahmen eines wachsenden Netzwerkumfangs gesichert werden kann.

  3. Der Umzug in die Cloud
    Immer mehr Unternehmen nutzen im steigendem Maße private, öffentliche und gemischte Cloud-Dienste. Dieser Trend stellt eine große Herausforderung für die Netzwerksicherheit dar, da der Datenverkehr dabei die herkömmlichen Kontrollstellen umgehen kann. Weitere Herausforderungen sind unter anderem die Möglichkeit, Ländergrenzen zu überschreiten, Compliance-Aspekte, verworrene Zustände in der Cloud-Infrastruktur (VMs ziehen um und ändern sich je nach Bedarf ), „Containerisierung“ und ein genereller Mangel an Transparenz. Cloud-Dienste entwickeln zwar ihre eigenen Sicherheitsmodelle, diese müssen jedoch auf Ihre Strategie abgestimmt werden.

  4. Gezielte Angriffe und anhaltende Bedrohungen
    Fortgeschrittene, anhaltende Bedrohungen (APTs, advanced persistent threats) sind zu einem Standardvorgehen in der Cyberkriminalität geworden. Die Möglichkeiten der Netzwerksicherheit wie Web-Filtering oder IPS haben jahrelang eine Schlüsselrolle bei der Identifizierung solcher Angriffe nach der anfänglichen Gefährdung gespielt. Da die Angreifer immer dreister werden und mehr Ausweichmethoden einsetzen, muss die Netzwerksicherheit in andere Sicherheitsdienste integriert werden, um Angriffe erkennen zu können.

Ein gängiges Cybersicherheits-Framework

Um die dynamischen Risiken der Cybersicherheit besser angehen zu können, erließ Präsident Obama am 12. Februar 2013 die Präsidentenverfügung 13636 „Improving Critical Infrastructure Security“ (Verbesserung kritischer Infrastruktursicherheit). Diese Richtlinie verlangte die Entwicklung eines Cybersicherheits-Frameworks, einer Reihe von Industriestandards und Best Practices, die den Unternehmen bei der Bewältigung der Cybersicherheitsrisiken helfen sollen. Die Unternehmen sehen sich zwar eindeutigen Risiken gegenüber, da es sich aber immer um ganz unterschiedliche Bedrohungen und Schwachstellen handelt, ist die Implementierung dieses Frameworks flexibel und individuell zu gestalten. Wir wollen hier den Kerns dieses Frameworks herausarbeiten, da die nachfolgend genannten Funktionen die Empfehlungen in unserem Whitepaper unterstreichen:

  1.  Identifizieren – Verstehen des betrieblichen Kontextes einschließlich der Ressourcen, die die kritischen Unternehmensfunktionen unterstützen, und der damit verbundenen Cybersicherheitsrisiken. Somit kann das Unternehmen, seine Bemühungen besser bündeln und mit der gebotenen Priorität angehen. Die notwendigen Schritte betreffen vor allem die Ressourcenverwaltung, die Risikobeurteilung und die Unternehmensstruktur.
  2. Schützen – Sicherstellen, dass kritische Infrastrukturdienste ausgeführt werden können. Diese Funktion unterstützt die Fähigkeit, die Auswirkungen eines potenziellen Cybersicherheitsereignisses zu begrenzen. Die notwendigen Schritte betreffen unter anderem die Zugangskontrolle, stetige Aufklärung und Schulung der Mitarbeiter, den Datenschutz und die Wartung.

  3. Erkennen – Entwicklung und Umsetzung von geeigneten Maßnahmen, um Cybersicherheitsereignisse schnellstmöglich erkennen und genau identifizieren zu können. Die notwendigen Schritte betreffen unter anderem die Erkennung von Unregelmäßigkeiten und Ereignissen, durchgehende Sicherheitsüberwachung und Erkennungsprozesse.

  4. Reagieren – Ergreifen von geeigneten Maßnahmen, sobald ein Cybersicherheitsereigniss erkannt wurde. Diese Funktion unterstützt die Fähigkeit, die Auswirkungen einer potenziellen Bedrohung unter Kontrolle zu bringen. Die notwendigen Schritte betreffen unter anderem vorherige Planung, Kommunikation, Analyse, Behebung und anschließende Optimierung des Reaktionsprozesses.

  5. Wiederherstellen – Rekonstruktion von Funktionalität oder Diensten, die durch ein Cybersicherheitsereignis beeinträchtigt wurden. Diese Funktion unterstützt die zeitnahe Wiederherstellung der normalen Arbeitsabläufe, um die Auswirkungen eines Angriffs zu reduzieren. Die notwendigen Schritte betreffen unter anderem Planung, Optimierung und Kommunikation der Wiederherstellung.

Abb. 1: Grundfunktionen des Cybersicherheits-Frameworks

 

Es muss angemerkt werden, dass die oben dargestellten Funktionen nicht zu einem festen Endzustand führen, sondern vielmehr gleichzeitig und ununterbrochen ausgeführt werden sollen, um eine Unternehmenskultur zu schaffen, die durchgehend das dynamische Cybersicherheitsrisiko bekämpft. Deshalb ist es auch wichtig, den Status der Cybersicherheit laufend mithilfe von Audits und Beurteilungen zu messen. Die folgenden Abschnitte nehmen den Teil dieser Funktionen unter die Lupe, der vor allem die Netzwerksicherheit betrifft.

2. Optimale Vorgehensweisen hinsichtlich der Netzwerksicherheit

Die richtigen Werkzeuge und Technologien spielen bei einem Sicherheitsplan eine entscheidende Rolle. Vielleicht noch wichtiger sind aber die Methoden und Prozesse, die die Art und Weise bestimmen, wie diese Technologien bereitgestellt und verwaltet werden. Netzwerke sind überaus komplexe Systeme und durch die Methoden, wie sie gesichert werden, wird deren erfolgreiche Betreuung noch deutlich komplexer. Wird eine Firewall nicht ordnungsgemäß konfiguriert oder ein IDS nicht sauber eingestellt, kann das bereits eine sicherheitsgefährdende Schwachstelle erzeugen.

Dadurch, dass ständig neue Szenarien entstehen und laufend neue Schwachstellen offenbar werden, müssen sich Netzwerk und Sicherheitsteams bei ihrer Arbeit gut miteinander abstimmen, um sicherzugehen, dass das Netzwerk optimal geschützt wird. Um verstehen zu können, wo das Netzwerk angreifbar ist, sind eine hohe Transparenz und umfassende Analysen erforderlich. Dieselben Anforderungen gelten natürlich besonders dann, wenn ein Angriff auf das Netzwerk erfolgt: Netzwerk und Sicherheitsteams müssen so schnell wie möglich „verlustfrei“ zusammenarbeiten, um den Angriff zu isolieren und zu beheben. Nur so kann die für manuelle Problemdiagnosen aufgewendete Zeit auf ein Minimum reduziert werden.

In der gesamten Netzwerkinfrastruktur Transparenz schaffen

Wir Menschen vertrauen auf Bilder und Diagramme, um komplexe Systeme besser zu verstehen. Die Fähigkeit, komplexe Zusammenhänge und Daten einfach zu visualisieren, ist daher für die Teams beim Umgang mit Informationen entscheidend. Die Transparenz im Netzwerk kann viele Aspekte betreffen. In diesem Whitepaper definieren wir „Netzwerktransparenz“ als die Fähigkeit, die Topologie (Verbindungen zu Firewalls, VPNs und anderen Sicherheitstechnologien usw.), das Design (Sicherheitsrichtlinien, die Konfiguration usw.) und die technischen Daten im laufenden Betrieb (die Funktionstüchtigkeit von Geräten und Schnittstellen) eines Netzwerks zu visualisieren und darzustellen. Zudem sind Teams, denen Einblick in die Historie ihrer Netzwerke (einschließlich eines Katalogs der im Laufe der Zeit vorgenommenen Änderungen) gewährt wird, besser gerüstet, um Probleme zu diagnostizieren, Attacken zu beheben und Bedrohungen abzuwenden, bevor sie entstehen.

Abb. 2: Einschränkungen der Netzwerktransparenz im Unternehmen

 

Aufgrund der Komplexität und des dynamischen Wesens einer Netzwerkinfrastruktur bleibt die Transparenz für viele Unternehmen eine Herausforderung. Um die Herausforderungen verstehen zu können, die eine eingeschränkte Transparenz mit sich bringt, ist es wichtig, zunächst die Werkzeuge und Methoden zu betrachten, mit denen Informationen dargestellt werden. In den meisten Fällen sind die Methoden zur Sammlung und Analyse von Daten noch manuell und sehr arbeitsintensiv. Bei der Visualisierung von Daten ergeben sich zwei grundsätzliche Herausforderungen:

  1. eine eingeschränkte Transparenz wegen mangelnder Informationstiefe und/oder breite oder
  2. eine Überflutung durch Daten aus zu vielen Systemen, was es schwer macht, aussagekräftige Einblicke zu gewinnen.

Für die herkömmliche Art der Datenvisualisierung kommen folgende Werkzeuge und Methoden infrage:

  • Netzwerkdiagramme:
    • Die Vorteile: Diagramme eröffnen den Teams die Möglichkeit, die Topologie ihrer Netzwerke zu visualisieren. Dadurch können sie kritische Geräte und Vernetzungen besser verstehen.

    • Die Herausforderungen: Um Netzwerkdiagramme zu erstellen, muss ein Techniker Schritt für Schritt „show“-Anweisungen eingeben, um so langsam eine Liste aufzubauen, die aufzeigt, welche Geräte beteiligt sind, wie diese verbunden sind und wie der Datenverkehr fließt. Das ist ein ungeheurer Zeitbedarf und dazu noch fehleranfällig. Selbst eine gute Netzwerkdokumentation liefert nur eingeschränkte Konfigurationsdaten wie z. B. die Namen der Hosts und die IP-Adressen. Noch frustrierender ist, dass Netzwerkdiagramme sehr schnell veralten, wenn sie nicht ständig auf den neusten Stand gebracht werden.

  • Die Kommandozeile (CLI, command line interface)

    • Die Vorteile: Die Kommandozeile als flexible, leistungsstarke Oberfläche für das Netzwerkmanagement ist ein bevorzugtes Werkzeug der Experten. Praktisch alle Topologie , Konfigurations oder Leistungsdaten lassen sich damit abrufen, wenn man die richtigen Befehle kennt. Für komplexe Aufgaben lässt sich über die Kommandozeile zwecks Automatisierung auch ein Skript erstellen.

    • Die Herausforderungen: Die Kommandozeile schränkt die Informationsbreite, die ein Benutzer analysieren kann, ein, da nur auf ein Gerät und einen Befehl gleichzeitig zugegriffen wird. Mit der Kommandozeile ist ein arbeitsintensiver Lernprozess verbunden, da jeder Anbieter und jedes Modell seine eigene Befehlsstruktur und syntax besitzt. Auch die Automatisierung mit komplexen Skripten erfordert einen zeitaufwendingen Lernprozess bzw. eine große Expertise.

  • IDS , IPS und Monitoring-Systeme

    • Die Vorteile: Der Hauptvorteil dieser Werkzeuge geht über die Datenanalyse hinaus, da die primäre Funktion eines IDS oder IPS darin besteht, die Administratoren vor verdächtigen Aktivitäten oder dem Verstoß gegen Richtlinien zu warnen. Diese Werkzeuge geben auch Kontextinformationen dazu, auf welchen Teil des Netzwerks sich eine bestimmte Bedrohung auswirken kann.

    • Die Herausforderungen: Viele Unternehmen sehen sich beim Umgang mit diesen Systemen einer Flut von Informationen gegenüber. Bei solchen Datenmengen ist es eine große Herausforderung, eine tatsächliche von einer nur gefühlten Bedrohung zu unterscheiden.

  • Das Wissen der Experten und langjährigen Mitarbeiter

    • Die Vorteile: Altgediente Routiniers im Team haben sehr große Erfahrung in der Verwaltung und Beaufsichtigung ihrer Netzwerke. Sie kennen die Ein und Ausgänge der grundlegenden Designarchitektur und sind schon oft genug „hier und da gewesen“ oder haben „dies und das gesehen“, um schnell auf Bedrohungen und Ausfälle reagieren zu können. Ihr Wissen ist unschätzbar wertvoll und im Allgemeinen brauchen sie auch keine Diagramme oder sonstige visuelle Hilfestellungen, denn sie kennen das Netzwerk ja längst in- und auswendig.

    • Die Herausforderungen: Wenn sich das spezifische Wissen jedoch im Gedächtnis einiger Weniger konzentriert, werden genau diese Mitarbeiter, wenn sie einmal krank oder anderweitig abwesend sind, zu einer kritischen Schwachstelle. Das individuelle Horten von Expertenwissen schränkt außerdem die Effektivität eines Teams ein, wenn große Mengen von Tickets verarbeitet und ein umfangreiches Netzwerk gesichert werden sollen.

Angesichts manueller Dokumentationsmethoden, unterschiedlichster Tools zum Sammeln von Daten und in den Köpfen von Experten eingeschlossenen Wissens bleibt es eine extreme Herausforderung für Netzwerkteams, die Umgebungen komplexer Unternehmensnetzwerke zu dekodieren. Es ist entscheidend für Teams, in Tools zu investieren, die komplexe Datenreihen und Abläufe übersichtlich in intuitive, nachverfolgbare Informationen zusammenfassen.

Eine Netzwerkautomatisierung implementieren

Die Nachfrage nach Netzwerkautomatisierung bei der Cybersicherheit hat am besten Major General Sara Zabel, Vice Director der amerikanischen Defense Information Systems Agency (DISA) formuliert. Nach Aussage von Zabels auf der Konferenz der „Open Networking User Group 2016“, generiert die 4,5 Mio. Nutzer und 11 Hauptrechenzentren umfassende Infrastruktur der DISA etwa 10 Mio. Warnmeldungen täglich, woraus sich ca. 2000 Incidents/ Störungstickets ergeben. Das DISA-Netzwerk ist ein beliebtes Ziel für Hacker: Jeden Tag werden 800 Mrd. Sicherheitsereignisse registriert. Neben Gegenmaßnahmen, Konfigurationskorrekturen und anderen Updates nimmt die DISA jeden Tag etwa 22.000 Änderungen an ihrer Infrastruktur vor.

Auch wenn die Infrastruktur der DISA ein extremes Beispiel darstellt, so haben doch die meisten Netzwerke genauso tagtäglich mit unübersichtlichen Mengen an Warnmeldungen und Tickets zu kämpfen. Die Netzwerkautomatisierung ist daher ein kritischer Faktor bei der Unterstützung der Unternehmensfunktionen und verbessert zudem die Vorhersagbarkeit und Zuverlässigkeit.

Der größte Trend bei der Netzwerkautomatisierung ist Software-Defined Networking (SDN), das die Programmierbarkeit in die Bereitstellung von Netzwerkdiensten einführt. SDN wird oft als „Programmierbarkeit auf Steuerebene“ bezeichnet. Eine zweite Kategorie, die Workflow-Automatisierung, soll Netzwerkoperationen flexibler, vorhersagbarer und effizienter machen. In vielen Unternehmen steht die Implementierung der Workflow-Automatisierung noch ganz am Anfang. Infolgedessen verwenden die meisten Techniker immer noch manuelle Prozesse für den Umgang mit den primären Sicherheits-Workflows wie z. B. die Überprüfung von Richtlinien zur Netzwerkabsicherung oder die Bekämpfung von Cyberangriffen.

Wir wollen im Rahmen des Cybersicherheits-Frameworks diese beiden umfangreichen (proaktiven und reaktiven) Arten von Workflows untersuchen, um die Bereiche zu ermitteln, in denen die Automatisierung vor allem die Effizienz und die Flexibilität verbessern kann.

Abb. 3: Proaktive und reaktive Workflows der Cybersicherheit

 

Proaktive Workflows: Das Netzwerk schützen

Um das Netzwerk zu schützen, müssen Unternehmen den Zugriff darauf dauerhaft erschweren. Eine Absicherung des Netzwerks wird in den USA beispielsweise von US-Regulierungsbehörden, wie dem National Institute of Health, dem Department of Homeland Security, dem FBI, der Federal Reserve Bank oder der FDIC angeordnet.

Jede Behörde kann zwar über einen eigenen Konformitätsstandard (z. B. PCI, HIPAA, STIGS, …) verfügen, aber viele der jeweils darin verlangten Grundsätze sind gleich und sollten als Mindestmaß in Sachen „Best Practices“ angesehen werden. Diese Standards verlangen unter anderem, dass Netzwerkgeräte nach einem bestimmten Standard konfiguriert werden, dass Datenverkehr in gesperrte Bereiche nicht erlaubt wird und dass Hardware laufend ausgebessert wird, um Sicherheitslücken zu schließen. In fast allen erfolgt der Prozess zur Validierung solcher Anordnungen oder Best Practices heutzutage noch komplett manuell.

Da es ständig neue Schwachstellen gibt und Netzwerke ununterbrochen Änderungen unterworfen sind, ist die Erschwerung des Zugriffs im Netzwerk ein fortwährender Prozess. Bei umfangreichen Netzwerken mit Hunderten oder Tausenden von Netzwerkknoten kann es Tage dauern, die Auswirkungen eines Hersteller-Updates auf eine einzelne Schwachstelle zu durchschauen. Werden Änderungen am Netzwerk vorgenommen, kann die Einhaltung der Sicherheitsvorschriften von den Vorgaben abweichen, wenn nicht jede Netzwerkänderung ordnungsgemäß validiert wird. Sicherheitsteams, die Sicherheitsstandards definieren, tun sich oft schwer damit, diese Standards im ganzen Netzwerkteam durchzusetzen.

Reaktive Workflows: Cyberbedrohungen erkennen und darauf reagieren

Viele Unternehmen nutzen IDS , IPS oder SIEM-Tools (SIEM = security information and event management), um die Administratoren zu warnen, wenn jemand versucht, dem Netzwerk böswillig Schaden zuzufügen. Die Schritte, die auf einen IDS-Alarm folgen, erfolgen jedoch zum größten Teil manuell. Die beiden ersten Fragen sind für gewöhnlich „Wo ist der Angreifer in das Netzwerk eingedrungen?“ und „Welcher Teil des Netzwerks ist davon betroffen?“. Um dies überhaupt beantworten zu können, müssen die Techniker allerdings zuerst eine Menge manueller Arbeit erledigen.

Der erste Schritt besteht darin, den Weg vom Startpunkt des Einbruchs, üblicherweise dem Computer eines Endbenutzers oder einem öffentlichen Internetserver, nachzuverfolgen. Das alleine kann schon Stunden dauern. Dann müssen die Teams die Auswirkungen auf die Leistung verstehen, um zu erkennen, ob der Angriff noch andauert und wie groß der Schaden ist. Bei einem DoS-Angriff (DoS = denial of service, „Verweigerung des Dienstes“), der darauf abzielt, die Netzwerkressourcen unzugänglich zu machen, müssen die Techniker die technischen Daten der Netzwerkleistung wie die CPU, den Speicher und die Bandbreitennutzung überwachen.

Ein Port kann erst dann geschlossen und eine Zugriffsliste angefügt werden, um den Angriff zu beenden, wenn die Teams darüber genügend Informationen haben, über welche Ports der Angriff erfolgt ist und welche Geräte davon betroffen sind. Häufig findet der Angriff über einen einzelnen Computer statt, sodass es sehr lange dauern kann, bis unter Hunderten, Tausenden oder gar Zehntausenden von Geräten das betroffene Gerät identifiziert wird.

Einschränkungen bei Automatisierungsskripten

Skripte sind grundsätzlich eine gute Methode für Techniker, indviduell Workflows zu automatisieren. Für die Erstellung von Skripten ist aber ein gewisses Know-How erforderlich und bei den meisten Netzwerkteams mangelt es an diesen entsprechenden Fähigkeiten. Zudem kann die Anpassung auch gut geschriebener Skripte bei hybriden ITInfrastrukturen oder bei solchen mit Geräten von mehreren Anbietern scheitern. Denn ein Skript, das geschrieben wurde, um von einem ganz konkreten Gerätetyp bestimmte Daten zu sammeln und zu analysieren, funktioniert auf dem Gerät eines anderen Anbieters möglicherweise nicht mehr. Automatisierung per Skript wird zu einem großen Problem, sobald sich ein Techniker beispielsweise immer gleichzeitig Windows- Geräte, Linux-Geräte, Cisco-Router, Firewalls von Palo Alto, drahtlose Aruba-Controller und noch andere anschauen muss – denn alle laufen unter unterschiedlichen Betriebssystemen mit eigener Befehlssyntax. Eine Automatisierung mit einem selbst gebastelten Tool an jedes einzelne Gerät anzupassen, ist extrem schwierig. Auch wenn sich manche Aufgaben mit Skripten automatisieren lassen, erfolgen die meisten Abläufe bei der Netzwerkabsicherung und der Reaktion auf eine Bedrohung dennoch manuell.

Eine Kultur der Zusammenarbeit fördern

Wie komplexe Systeme generell werden auch Unternehmensnetzwerke in der Regel nicht von Einzelpersonen, sondern von größeren Teams betrieben, die häufig auf mehrere geografische Gebiete verteilt sind, unterschiedliche Fachkenntnisse haben und aus verschiedenen Kulturen stammen. Für einen Netzwerktechniker ist es beispielsweise üblich, zwar im Netzwerkteam zu arbeiten, sich aber regelmäßig mit einem Information Security Officer des Sicherheitsteams abzusprechen.

Dass unterschiedliche Teams in der Lage sind, effektiv zusammenzuarbeiten, spielt also eine entscheidende Rolle beim Betrieb und der Sicherheit von Netzwerken. Um das zu erreichen, müssen sich die Teams zuerst zu einer „Kultur“ der Zusammenarbeit bereit erklären. Dann müssen sie Tools und Prozesse implementieren, die eine reibungslose Zusammenarbeit ermöglichen. In den beiden folgenden Bereichen sollten Teams unbedingt die Zusammenarbeit optimieren:

  1. Demokratisierung des Wissens

    Teams haben Probleme damit, Wissen zu dokumentieren und auszutauschen. Das schränkt ihre Erweiterungsmöglichkeiten ein, da ihre begrenzten Fertigkeiten und Fähigkeiten einen Engpass darstellen. In einem Unternehmen gibt es zwei Arten von Wissen: Bereichswissen und Expertenwissen. Bereichswissen hat mit Fachkenntnissen zu tun und ist sowohl innerhalb und außerhalb des Unternehmens wertvoll, z. B. Wissen über Sicherheits-Best-Practices oder Grundkenntnisse über die Um oder Weiterleitung des Datenverkehrs. Noch wertvoller aber ist vielleicht das Expertenwissen, das sich erst dann angesammelt hat, wenn die betreffende Person genügend Zeit in einem Team oder Unternehmen verbracht hat. Ein Beispiel dafür ist etwa der vertraute Umgang mit den speziellen Sicherheitsrichtlinien oder der Netzwerkstruktur in einem individuellen Netzwerk. Unternehmen ohne eine Kultur der Zusammenarbeit haben Wissensbestände, die in den Köpfen (oder vielleicht auf den lokalen Festplatten) einiger weniger Mitarbeiter gespeichert sind. Viele Unternehmen schaffen es nicht, Tools und Praktiken zu implementieren, die diese Art von Wissensaustausch ermöglichen können.

  2. Rationalisierung des Datenaustauschs

    Teams haben Probleme damit, Daten effektiv auszutauschen. Das ist aber auf Aufgabenebene entscheidend, wo Erkenntnisse und Schlussfolgerungen das Ergebnis von Teamarbeit sind. Teams kommunizieren auf althergebrachte Weise über Web-Konferenzen oder per E-Mail, wo der Datenaustausch umständlich erfolgt, nämlich üblicherweise mithilfe von Logdateien und Daten-Dumps. Mit solchen Methoden ist es für jemanden eine Herausforderung, aus dem Daten-Dump einer anderen Person Erkenntnisse herauszuholen. Vertrauen Teams auf manuelle Methoden des Datensammelns und austauschs (z. B. „box-by-box“, durch Screen-Scraping oder mit selbst gebastelten, veralteten Skripten), sind sie weniger effektiv.

Bei einem typischen Sicherheitsvorfall arbeitet das Netzwerkteam mit dem Anwendungsteam, dem Linux-Team, dem Sicherheitsteam und den Managern zusammen. Auf dieser Stufe einer funktionsübergreifenden Zusammenarbeit ist es sehr wichtig, auf zentrale Informationen zugreifen zu können, um zu wissen, was andere Teams in der Abteilung tun. Die Fähigkeit eines Teams, Wissen zu demokratisieren und Informationen nahtlos auszutauschen, ist nicht nur bei einem Cyberangriff, sondern auch im Hinblick auf eine proaktive Netzwerksicherheit nützlich. Im ersteren Fall müssen Teams effektiv arbeiten, um den Angriff schnellstmöglich zu isolieren und zu beenden, und sich im letzteren Fall über optimale Vorgehensweisen bei der Netzwerkabsicherung und der Konformitätsvalidierung austauschen.

3. Anwendung von Netzwerkautomatisierung bei Sicherheits-Workflows

Der wachsende Umfang der Netzwerke, der durch Trends wie IoT und Cloud-Computing vorangetrieben wird, steigert das Bedürfnis nach Automatisierung – die inzwischen von höchster Wichtigkeit für die Netzwerksicherheit ist. Zu einem umfassenden Cybersicherheits-Workflow gehören Aufgaben, die VOR, BEI und NACH einem Cyberangriff auszuführen sind. Dabei sollte Automatisierung wirklich in jeder Phase angewandt werden.

Vor einem Cyberangriff ist die Automatisierung entscheidend für die Absicherung des Netzwerks, um die Netzwerkressourcen zu schützen und Sicherheitslücken zu schließen. Sollte aber ein Angreifer trotzdem in das Netzwerk eindringen, kann die Automatisierung den Teams dabei helfen, die Bedrohungen schnell zu isolieren und zu beenden, um so den Schaden gering zu halten. Nach einem Angriff kann die Automatisierung den Teams dabei helfen, eine Post-Mortem-Analyse durchzuführen, um herauszufinden, wie die Netzwerkressourcen künftig noch besser vor ähnlichen Angriffen geschützt werden kann, und um die Teams so auszurüsten, dass sie noch schneller reagieren können. Dieser Ablauf stellt also einen fortwährenden Zyklus von proaktiv zu reaktiv dar.

Um solche bestehenden Workflows zu unterstützen und zu verbessern, müssen die Netzwerke mithilfe der Automatisierung transparenter gemacht werden, damit die Teams verstehen, wo Schwachstellen bestehen oder welche Netzwerkressourcen während eines Angriffs gefährdet sind. Die Automatisierung trägt ebenso dazu bei, dass Teams effektiv zusammenarbeiten, in dem sie Wissen und Erkenntnisse einfach und verlustfrei austauschen.

Das Netzwerk schützen

Automatisierung sollte auf Abläufe zur Zugriffserschwerung angewandt werden, um auf eine dauerhafte Einhaltung der Sicherheitsvorschriften hinzuwirken. Das Bedürfnis nach Automatisierung wird vom dynamischen Wesen der Sicherheitsbedrohungen in Verbindung mit sich stetig verändernden Unternehmensnetzwerken angetrieben. Jeder Workflow, für den ein Techniker erforderlich ist, der das Netzwerk analysiert und eine Sicherheitsvorschrift validiert, hat eine Automatisierung dringend nötig, da immer das Risiko besteht, dass etwas übersehen wird, das zu einer Sicherheitslücke führen könnte.

In diesem Zusammenhang stellen wir Ihnen kurz vier Anwendungsszenarien vor:

Szenario 1: Beurteilung der Auswirkungen neuer Patches

Nehmen wir an, ein neuer Schwachstellen oder Sicherheits-Patch, der für einen bestimmten Gerätetyp bestimmt ist, wird von einem Hardwareanbieter veröffentlicht. Woher wissen Sie, auf wie viele Geräte in Ihrem Netzwerk sich der Patch auswirkt und wo sie angeschlossen sind? Hier kann Automatisierung angewandt werden, um das Netzwerk zu durchsuchen, die betreffenden Geräte abzubilden und die Auswirkungen zu beurteilen. Im folgenden Beispiel wurde ein Patch für eine Schwachstelle einer bestimmten Softwareversion von Cisco IOS veröffentlicht. Ein Techniker nimmt zur Beurteilung der Auswirkungen eine Automatisierung vor, die die Softwareversion jedes einzelnen Gerätes im Netzwerkplan überlagert und die Geräte, die ein Upgrade erhalten müssen, dort automatisch (rot) hervorhebt.

 

Abb. 4: Visuelle Analyse der Sicherheitsbeurteilung

 

Szenario 2: Validierung von Sicherheitsrichtlinien und Zugangsrestriktionen

Nehmen wir an, Sie müssen validieren, dass der Datenverkehr dort fließen darf, wo er es muss, aber eingeschränkt ist, wo es verboten ist. In einer solchen Validierung beispielsweise, die vom PCI Security Standards Council erlassen wurde, wird der Zugriff auf Kreditkartendaten durch Out-of-Scope-Systeme eingeschränkt. Üblicherweise erfolgt eine solche Einschränkung durch Firewall- Richtlinien. In größeren Unternehmen gehören zu einer Firewall viele Hunderte, wenn nicht gar Tausende von Regeln, die sich im Laufe der Zeit angesammelt haben – leider in vielen Fällen auch ohne ergänzende Kommentare oder Dokumentation. Bei solchen Netzwerken sind Überprüfungen der Firewall-Regeln ein schmerzhafter Aspekt eines Sicherheitsaudits. Hier kann Automatisierung angewandt werden, um die wichtigsten Datenströme in Ihrem Netzwerk zu visualisieren. Dabei können Sicherheitsrichtlinien einbezogen werden, die den Datenverkehr auf Portebene kontrollieren. Mit dieser Methode können Sie validieren, dass Datenverkehr dort fließen darf, wo er soll, und nicht fließen darf, wo er nicht soll.

Abb. 5: Visuelle Analyse der Sicherheitsbeurteilung

 

Szenario 3: Validierung der Best Practices und der Compliance

Nehmen wir an, Sie müssen, entweder für ein internes Audit oder gegenüber einem Regulierungsausschuss die Konformität (Compliance) validieren und nachweisen. Der Prozess der Überprüfung und Dokumentierung von Konformität findet manuell statt und ist extrem zeitaufwendig. Bei umfangreichen Netzwerken mit Tausenden von Netzwerkgeräten ist es möglicherweise nicht machbar, jede einzelne Konfigurationsdatei zu kontrollieren, um zu gewährleisten, dass diese die Anforderungen tatsächlich erfüllt. Hier kann Automatisierung angewandt werden, um diese Aufgabe auszuführen und Verstöße gegen die Richtlinie, wie z. B. fehlende Passwortverschlüsselung, ein aktivierter Telnet-Zugriff oder unsichere SNMP-Community-Strings, aufzuspüren.

Abb. 6: Visuelle Analyse der Sicherheitsbeurteilung

 

Szenario 4: Sicherheits-Best-Practices als Anleitung für Techniker

Nehmen wir an, die Sicherheitsrichtlinie Ihres Unternehmens untersteht dem Sicherheitsteam, die Änderungen am Netzwerk werden aber vom Netzwerkteam umgesetzt. Wie kann nun das Netzwerkteam die Sicherheits-Best-Practices für sich nutzen? Und wie kann das Sicherheitsteam validieren, dass jede neue Änderung die Mindestsicherheitsstandards erfüllt oder gar übertrifft? Durch Automatisierung mit Runbooks kann das Sicherheitsteam die Best Practices zu ausführbaren Prozeduren digitalisieren. Jeder Schritt im Runbook kann eine individuelle Sicherheitsvorschrift validieren. Jedes Mal, wenn das Netzwerkteam eine Änderung am Netzwerk umgesetzt hat, kann es zum Schutz vor nichtkonformen Konfigurationen ganz einfach das Runbook ausführen und somit die Sicherheitsstandards automatisiert einhalten.

Abb 7: Ausschnitt aus einem Runbook für Sicherheitsbeurteilung

Cyberangriffe erkennen und darauf reagieren

Wir greifen das Bild vom Anfang des Whitepapers nochmal auf. Der erste Schritt bei der Behandlung eines laufenden Sicherheitsvorfalls besteht also darin, „unverzüglich die Blutung zu stillen“. Diese Erstversorgung ist bei einem Angriff von größter Bedeutung. Hat Ihr IDS oder SIEM den potenziell bösartigen Datenverkehr erkannt, sollte Automatisierung als Ihre Reaktion eine Diagnose erfolgen. Die Diagnose visualisiert Ihnen, wo der Angreifer in das Netzwerk eingedrungen ist und hilft Ihnen besser zu verstehen, welche anderen Netzwerkressourcen noch betroffen sind. Automatisierung kann die Nachverfolgung von Stunden auf Sekunden verkürzen.

Anschließend müssen die Teams die Auswirkungen auf die Leistung analysieren, um das Ausmaß des Schadens beurteilen zu können. Die Automatisierung ist hier entscheidend dafür, dass die Netzwerktechniker unmittelbar sachdienliche Informationen erhalten, ohne manuell eine Netzwerk-Appliance nach der anderen untersuchen zu müssen. Das hilft den Teams dabei, den Angreifer zu isolieren, um anschließend geeignete Maßnahmen zur Behebung des Schadens (z. B. durch Umleitung des Datenverkehrs, Deaktivierung von Ports oder Änderungen der Richtlinie) treffen zu können.

Im folgenden Beispiel ist der Weg eines Denial-of-Services-Angriffs vom Angreifer bis zum Opfer abgebildet. Danach wird die Leistungsüberwachung aktiviert, damit die Techniker die Auswirkungen auf die Leistung visualisieren können. In diesem Beispiel wird die Bandbreite bei jedem Sprung innerhalb des Wegverlaufs bewusst zu einem Engpass verjüngt (rot dargestellt).

Abb. 8: Isolierung eines Cyberangriffs mit ausgelöster Diagnose

Die Zusammenarbeit zwischen den Teams optimieren

Drei Schlüssel führen zu einer produktiven Zusammenarbeit:

(1) die Unternehmenskultur,

(2) der Prozess und

(3) die Werkzeuge.

Wenn Teams zusammenarbeiten, um einen Cyberangriff zu bekämpfen, müssen generelles Wissen und spezifische Informationen leicht austauschbar sein. Die Automatisierung sollte hier eine wichtige Rolle spielen, damit gemeinsam nutzbare, visuell zugängliche Daten, z. B. technische Anmerkungen und Beobachtungen, zur Verfügung stehen. Eine visuelle Oberfläche, wie ein Netzwerkplan, kann als gemeinsam genutzte Analysekonsole dienen, die allen Teams in verschiedenen geografischen Gebieten zugänglich ist.

Runbooks sollten gemeinsam genutzt werden, um weniger erfahrene Techniker mit entsprechenden Best Practices zu unterstützen. Das aus einem beliebigen Vorfall Gelernte sollte im Nachgang ebenfalls eingefügt werden, um bestehende Runbooks und somit auch bestehende automatisierte Reaktionen zu verbessern. Das folgende Diagramm erläutert, wie Technikerteams mithilfe einer gemeinsam genutzten Analysekonsole während eines Ereignisses am selben Strang ziehen können, um einen Angriff zu isolieren und zu beenden. Es zeigt außerdem, wie Workflows durch das aus einem Ereignis Gelernte optimiert werden können, um die Reaktion auf einen Angriff für das nächste Mal zu verbessern.

Abb. 9: Optimierung bestehender Workflows durch Automatisierung

4. Kontinuierliche Cybersicherheit erreichen

Mit dem Verdrängen von Pferd & Kutsche durch das Auto hat sich der automatisierte Transport immer schneller weiterentwickelt. Das Automobil wurde schließlich durch das Automatikgetriebe verbessert und die nächste Welle der Automatisierung zeigt sich heute in der Einführung des autonomen (selbstfahrenden) Autos. Das ultimative Ziel einer kompletten Automatisierung sind die Ausmerzung menschlicher Fehler und die radikale Steigerung der Effizienz. Bei der Cybersicherheit reduziert die kontinuierliche Automatisierung sowohl die Risiken als auch die Auswirkungen von Cyberangriffen.

Auf dem Weg hin zu einem vollständig autonomen Netzwerk, das sich selbst sichert und bei Bedarf selbst „heilt“ bzw. entstört, gibt es wichtige Meilensteine. Im vorigen Abschnitt haben wir über die Automatisierung als Werkzeug zur Reduzierung manueller Aufgaben und zur Verbesserung der Zusammenarbeit zwischen Menschen gesprochen. In diesem Abschnitt untersuchen wir nun einen zunehmenden Grad der Automatisierung, der durch die Kommunikation von Maschine zu Maschine entsteht. Wir wollen untersuchen, was heute alles möglich ist, wenn Automatisierungsplattformen über eine API zusammengeschlossen werden, die über die Schnittstelle selbst notwendige Aktivitäten anstoßen können, was sowohl proaktiven als auch reaktiven Sicherheits-Workflows zugutekommt.

Durchgängige Absicherung des Netzwerks (Network Hardening)

Das Ziel einer durchgängigen Absicherung des Netzwerks ist, ein Netzwerk zu erhalten, in dem die Sicherheitsvorschriften dauerhaft eingehalten werden. In vielen Fällen ist eine Abweichung von den Vorgaben die Folge nichtkonformer Änderungen am Netzwerk. In anderen Fällen wiederum kann sich diese Abweichung aus weiterentwickelten Bedrohungen (die häufig von einem Hardwareanbieter veröffentlicht werden) ergeben. Ein durchgehend automatisiertes Netzwerk wird sich dynamisch anpassen, um Sicherheitslücken direkt bei ihrer Entstehung in Echtzeit zu schließen.

Stellen Sie sich beispielsweise vor, dass eine mangelhaft ausgeführte Änderung am Netzwerk von einem Ereignis-Management-System (EMS) aufgedeckt wird. Das EMS sendet als Reaktion eine Warnmeldung über eine API an die Automatisierungsplattform des Netzwerks, um eine Konformitätsprüfung an der veränderten Konfiguration durchzuführen. Die Automatisierungsplattform reagiert möglicherweise so, dass sie einen Plan nichtkonformer Geräte anzeigt. Außerdem kann als eine weitere Reaktion über die API automatisch die Änderungssteuerung ausgelöst werden, um die Sicherheitslücke durch die automatische Bereitstellung eines Patches für das fehlerhafte Gerät zu schließen.

In einem weiteren Beispiel nehmen wir an, dass ein Anbieter eine Schwachstelle in einer bestimmten Firmwareversion bekannt gibt. In diesem Fall wird über die Automatisierungsplattform eine Beurteilung der Auswirkungen vorgenommen, um zu ermitteln, wie viele Geräte mit den bekannten Eigenschaften im Netzwerk eingesetzt werden. Die betroffenen Geräte können dann der Automatisierungsplattform gemeldet werden, um den erforderlichen Patch oder das Firmware-Upgrade auf diese Gerätegruppe automatisch aufzuspielen.

Abb.10: Durchgängige Absicherung des Netzwerks durch API-Integration

 

Kontinuierliche Reaktion auf Bedrohungen

Vor allem beim einem Cyberangriff, wenn die geschützten Daten des Unternehmens angreifbar sind und jede Sekunde zählt, ist kontinuierliche Automatisierung extrem wertvoll. Hier kann die Netzwerkautomatisierung bei einer Ereigniserkennung über ein IDS oder SIEM selbsttätig ausgelöst, um eine Diagnose der Bedrohung durchzuführen und so deren Auswirkungen zu validieren. Das Diagnoseergebnis kann dann an die Änderungssteuerungsplattform geleitet werden, damit diese eingreifen kann. Verschiedene vordefinierte Sicherheitsrichtlinien und -methoden innerhalb der Automatisierungsplattform können anhand der zurückgemeldeten Diagnosedaten automatisiert angewandt werden, um die Bedrohung unverzüglich zu beenden.

Abb. 11: Kontinuierliche Reaktion auf Bedrohungen durch API-Integration

Fazit

Netzwerksicherheit muss in der heutigen Zeit absolute Priorität haben, um die Unternehmensressourcen vor der zunehmenden Zahl an Cyberangriffen zu schützen. Angesichts dieser hoch entwickelten Bedrohungen und der wachsenden Komplexität der Unternehmensnetzwerke ist Automatisierung heute wichtiger denn je. Die Vorteile der Automatisierung – optimierte Netzwerktransparenz und verbesserte, funktionsübergreifende Zusammenarbeit – können bei jeder Funktion des Cybersicherheits-Frameworks, von proaktiv bis reaktiv, angewandt werden.

Bei der Automatisierung sind mehrere Grade möglich, die abhängig vom Umfang des Netzwerks und dem Risikoprofil Ihres Betriebs in Betracht zu ziehen sind: Bei der einfachsten Basisimplementierung lässt sich Automatisierung auf einzelne Aufgaben anwenden, um wiederkehrende Aufgaben zu verringern. Am anderen Ende des Spektrums kann man zu durchgehender Automatisierung gelangen, indem unterschiedliche Automatisierungsplattformen über eine zwischengeschaltete API mit klar definiertem Regelwerk zusammengeschlossen werden, um menschliche Fehler auszumerzen und die Reaktion auf eine Bedrohung zu beschleunigen.

Mit der zunehmenden Einführung von Automatisierung werden Netzwerk und Sicherheitstechniker im Unternehmen wichtiger denn je. Sowohl die Fähigkeiten als auch die Möglichkeiten dieser Teams müssen sich aber den sich ändernden Anforderungen anpassen können, um den Betrieb aufrechtzuerhalten und die kontinuierliche Cybersicherheit im Netzwerk zu erreichen.

Related Content