Sicherheit im Netzwerk

Warum Netzwerksicherheit wichtig ist

Computersysteme und Netzwerke sind in der Regel heterogen aufgebaut, was bedeutet, dass sie in unterschiedlichen Formen vorliegen, unterschiedliche Kommunikationsmedien verwenden und von verschiedenen Anbietern erhältlich sind. Diese Anbieter können sich auf einen oder mehrere Aspekte wie Dienste, Hardware, Software, verkabelt oder drahtlos spezialisieren. Aus diesem Grund müssen Computer- und Netzwerksysteme bestimmte Standards und Protokolle für die Interoperabilität, insbesondere die Interoperabilität des Internets, erfüllen. Ein grundlegendes Problem besteht darin, dass einige der heute gebräuchlichen Kernstandards und Protokolle zu einer Zeit entwickelt wurden, als Computersysteme und Netzwerke noch in den Kinderschuhen steckten und die Netzwerksicherheit keine entscheidende Rolle spielte.
 
Im Laufe der Zeit verbreitete sich die Einführung von Computern und verlagerte sich vom Bereich hauptsächlich von Regierungen und großen Organisationen auf die Verbraucherebene, was durch die Einführung des Personal Computers schnell zunahm. Etwa zur gleichen Zeit begannen Unternehmen auch, sensiblere Daten mithilfe von Computersystemen und Netzwerken zu speichern und zu transportieren. Dann wurde klar, dass die Netzwerksicherheit ein zentraler Bestandteil der Nutzung und Wartung von Computernetzwerken sein sollte.
 
Ein weiteres Problem ergibt sich aus dem Netzwerkdesign. Traditionell wurden die meisten Netzwerke in Bezug auf die Kommunikation als flache Layouts konzipiert, sodass jeder Computer mit jedem anderen Computer kommunizieren konnte. Es gab kaum eine effektive Segmentierung, und tatsächlich funktionieren Protokolle wie das Dynamic Host Configuration Protocol (DHCP) und Windows-Netzwerke im Allgemeinen in solchen Netzwerkdesigns am einfachsten. In Bezug auf die Sicherheit ist dies jedoch alles andere als ideal, da sich ein Angriff oder eine Infektion leicht im Netzwerk ausbreiten kann — das Problem der lateralen Bewegung.

Wo soll ich mit Netzwerksicherheit beginnen

Bei Netzwerksicherheit geht es um viel mehr als nur den Einsatz von Tools und Technologien. Als Ausgangspunkt sollten einige wichtige Überlegungen darin bestehen, dass die richtigen Strategien, Richtlinien und Verfahren eingeführt werden, bevor die entsprechenden Technologien sorgfältig ausgewählt werden, um die Strategien, Richtlinien und Verfahren zu vereinfachen und zu automatisieren. Als Ausgangspunkt bietet sich die folgende Möglichkeit an:

1. Richtlinien und Einhaltung
2. Kenntnis des Netzwerks
3. Schulung — Technisches Wissen und Nutzerbewusstsein
4. Tools und Technologie

‍

Ein gut definiertes sicherheitspolitik das den Einsatz von Computersystemen und Ressourcen vorschreibt, ist ein guter Ausgangspunkt. Diese Richtlinie sollte idealerweise im Einklang mit allen zu erfüllenden Compliance-Verpflichtungen stehen. Dann sollte ein genauer Basisplan für das Netzwerk und die Netzwerksysteme verfügbar sein, sodass bekannt ist, was für das Netzwerk normal ist, einschließlich Ressourcen, Geräte, Benutzerzugriffsrechte und Kommunikationszuordnungen.
 
Sowohl für technische Administratoren als auch für Endbenutzer sollten regelmäßig angemessene und zeitnahe Schulungen durchgeführt werden, damit die Konfiguration und die Sicherheitslücken auf der Endbenutzerseite beseitigt werden. Und schließlich muss all dies durch die richtigen Tools und Technologien mit Automatisierungs- und Orchestrierungsfunktionen unterstützt werden, wo dies erforderlich ist. Auf diese Konzepte wird später in diesem Artikel näher eingegangen.

Bedrohungen der Netzwerksicherheit

Heute ist Netzwerksicherheit ein integraler Bestandteil der Cyberstrategie vieler Unternehmen, insbesondere für Unternehmen, bei denen die Einhaltung bestimmter Sicherheits- und Regulierungsstandards vorgeschrieben ist. Dies ist wichtig, da Cyberbedrohungen im Laufe der Jahre an Raffinesse und Effizienz gewonnen haben, ebenso wie die Bedeutung und der Wert von Daten zugenommen haben. Jede Kombination von Bedrohungsakteuren kann eine Bedrohung für die Netzwerksicherheit darstellen:

• Hacker
• Lösegeldsuchende
• Nationalstaaten
• Cyberspionage
• Organisiertes Verbrechen
• Hacktivisten
• Insider (böswillig und versehentlich)
• Drehbuch Kiddies

Bei den entsprechenden Netzwerksicherheitsbedrohungen kann es sich auch um eine beliebige Kombination der folgenden Bedrohungen handeln:

• Soziale Technik
• Schadsoftware (Rohstoff)
• Fortgeschrittene persistente Bedrohungen (APT)
• Exploits
• Diensteverweigerung (DOS und DDOS)
• Seitenkanalangriffe
• Körperlicher Eingriff
• Strafrechtlicher Schaden

Diese Herausforderungen im Bereich der Netzwerksicherheit scheinen immer größer zu werden, da Benutzer und Unternehmen in Bezug auf tägliche Aktivitäten wie Arbeit, Freizeit, Unterhaltungsdienste und Handel immer mehr von der Cyberwelt erwarten und immer mehr erwarten.

Schutzmaßnahmen für die Netzwerksicherheit

Als Reaktion auf das Problem der Netzwerksicherheit gibt es eine Vielzahl von Technologien, die versuchen, verschiedene Lösungen anzubieten, insbesondere angesichts der aktuellen Zunahme der Internetnutzung und des Cloud-Computing. Dies führt dann zu einer wichtigen Frage, die denjenigen, die mit der Gewährleistung der Netzwerksicherheit beauftragt sind, weiterhin im Kopf herumschwirrt.

Sind wir angemessen geschützt?

Um diese Frage effektiv beantworten zu können, ist eine kontinuierliche Bewertung der Netzwerksicherheit für Benutzer- und Netzwerkstandorte vor Ort, in der Cloud und an entfernten Standorten erforderlich.

1. Richtlinien und Einhaltung
   Richtlinien und Compliance umfassen die Strategien und Taktiken, die definieren, wie das Unternehmen mit der Netzwerksicherheit umgehen soll, und sie können die Einhaltung der Vorschriften messen. In diesem Fall werden die Richtlinien höchstwahrscheinlich gemäß verschiedenen Compliance-Richtlinien auf ein bestimmtes Unternehmen zugeschnitten sein. Die Compliance-Richtlinien selbst sind jedoch in der Regel organisationsunabhängig, aber wahrscheinlich branchen- oder branchenspezifisch.
2. Kenntnis der Umwelt
   Netzwerksicherheit umfasst verschiedene Teile und Komponenten eines Computernetzwerks. Aus diesem Grund ist es in erster Linie wichtig zu wissen, um welche Teile und Komponenten es sich handelt und wo sie sich befinden. Eine aktuelle Bestandsaufnahme des aktuellen Zustands Ihres Netzwerks trägt wesentlich dazu bei, zu beurteilen, wo sich das Unternehmen in seinem Schutzsystem befindet. Es versteht sich von selbst, dass Sie etwas, das Sie nicht kennen, nicht wirklich schützen können. Die Netzwerksicherheit wird durch die Geschwindigkeit und Agilität, die durch mobile Datenverarbeitung und öffentliche Clouds verfügbar geworden sind, noch verstärkt. Diese Technologien haben den herkömmlichen Netzwerkperimeter weiter erweitert, sodass sich die Netzwerksicherheit nicht mehr auf den herkömmlichen Netzwerkperimeter konzentriert. Zu diesem Zweck ist auch eine kontinuierliche Sichtbarkeit sehr wichtig. Effektiver Schutz muss mit der Fähigkeit beginnen, Geräte- und Anwendungsinformationen sowie Kommunikationsabhängigkeiten in Echtzeit oder zumindest nahezu in Echtzeit zu visualisieren. Dies ebnet den Weg für eine Basisanalyse der Netzwerksicherheit, sodass sich Anomalien deutlich von etablierten und erwarteten Normen abheben.
3. Schulung — Technisches Wissen und Nutzerbewusstsein
   Die Schulung sollte sich sowohl auf technische als auch auf nichttechnische Administratoren und Nutzer des Netzwerks, der Netzwerksysteme und Anwendungen konzentrieren. Einige der folgenden Fragen müssen angemessen beantwortet werden:
   Verfügen wir über das erforderliche technische Wissen, um unsere Sicherheitstechnologien jetzt und in Zukunft zu konfigurieren und zu warten?
   Sind unsere Nutzer angemessen in Bezug auf Cybersicherheit geschult?
   Verfügen unsere Mitarbeiter über das richtige Wissen zur Erkennung und Berichterstattung, um angemessen auf einen Vorfall zu reagieren und die Einhaltung der Vorschriften zu gewährleisten?
   Technische IT-Schulung für IT- und Sicherheitsadministratoren sowie Schulung zum Thema Cybersicherheit für alle Mitarbeiter. Dies beinhaltet eine praktische Schulung der IT-Administratoren im Umgang mit den erworbenen Sicherheitssystemen.
4. Technologie
   Der letzte Schritt besteht dann darin, sicherzustellen, dass die richtigen Tools und Technologien zum angemessenen Schutz vor bekannten und unbekannten Netzwerksicherheitsbedrohungen eingesetzt werden. Es muss eine Technologie vorhanden sein, um Netzwerksicherheitsvorfälle zu verhindern und Netzwerksicherheitsvorfälle einzudämmen. Ungeachtet dessen ist es unmöglich, jederzeit einen vollständigen Schutz zu gewährleisten. Daher müssen auch angemessene Erkennungs- und Reaktionsmöglichkeiten vorhanden sein, um angemessen auf einen Vorfall reagieren zu können.

Tools und Technologien für Netzwerksicherheit

Diese vier Leitprinzipien können als nützlicher Ausgangspunkt für die Sicherheitspolitik des Unternehmens im Allgemeinen und für die Auswahl der richtigen Technologien im Detail dienen. Der Einsatz neuer Technologien bringt kaum Vorteile, wenn wenig darüber bekannt ist, wovor geschützt werden muss oder warum der Schutz überhaupt erforderlich ist.

Die Auswahl der richtigen Tools und Technologien kann eine schwierige Aufgabe sein, aber auch hier sollte diese Aufgabe strategisch und systematisch angegangen werden, wobei die Richtlinien- und Compliance-Anforderungen, das Wissen über das Netzwerk und die Schulungskapazitäten des Unternehmens als Leitfaden dienen. In einigen Fällen können diese Aspekte ausgelagert werden, wenn interne Kapazitäten fehlen und dies wahrscheinlich eine Sicherheitslücke darstellt, z. B. aufgrund von Fachkräftemangel oder Personalmangel. Tools und Technologien können anhand des folgenden Leitfadens überprüft und ausgewählt werden:

1. Perimetersicherheit
2. Kommunikationssicherheit — E-Mail, Nachrichten, Dokumente
3. Endpunkt- und Gerätesicherheit
4. Identität und interne Netzwerksicherheit
5. Automatisierung, kontinuierliche Überwachung und Kontext ‍

‍

1. Sicherheit am Perimeter

Cloud-Dienste, mobile Geräte und Schatten-IT haben alle dazu beigetragen, den Netzwerkperimeter über einen festen physischen Standort hinaus zu verlagern. Benutzer können mehrere Mobilgeräte verwenden, um von verschiedenen Standorten und am Arbeitsplatz aus auf persönliche und Unternehmensdaten zuzugreifen. Wenn jedoch der Netzwerkperimeter geschützt werden muss, z. B. in einem Rechenzentrum oder einer Cloud-Umgebung, sollten die folgenden Schutzmaßnahmen in ihren physischen oder virtuellen Entsprechungen in Betracht gezogen werden:

• Firewall (Stateful, Next Generation, API-fähig)
• Anti-Botnetz und Erkennung von Botnet-Aktivitäten
• Anti-Malware
• IPS — System zur Verhinderung von Eindringlingen
• Entschlüsselung verschlüsselter Inhalte (z. B. HTTPS-Inspektion)
• Web Security — Web- und Anwendungskontrolle
• Sandboxing und Emulation

2. Kommunikationssicherheit — E-Mail, Nachrichten, Dokumente

• Anti-Spam und Anti-Malware
• Phishing-Schutz und Erkennung bösartiger Links
• BEC-Prävention (Business Email Compromise) mit Intelligence-Funktion
• E-Mail-Sicherheit
• Messaging-Sicherheit
• Sicherheit von Dokumenten
• Sicherheit physischer Ablagesysteme

3. Endpunkt- und Gerätesicherheit

In den meisten Fällen dienen Endpoint-Schutzsysteme als letzte Verteidigungslinie in der Netzwerksicherheitsstrategie. Die auf dem Endpunkt implementierten Sicherheitsmaßnahmen müssen daher über Kontext, Intelligenz und Entscheidungsfindung in Echtzeit verfügen, um mit bekannten und unbekannten Bedrohungen fertig zu werden, wie ausgeklügelt sie auch sein mögen. Einige der nützlichsten Funktionen sollten sein:

• Anwendungskontrolle (Standardliste „Zulassen verweigern“)
• Erkennung und Reaktion mit KI
• Festplattenverschlüsselung
• Schutz vor Exploits
• Firewall (Netzwerkschichten und Anwendung)
• Fähigkeit zur Forensik
• Hafen- und Mediensicherheit
• Heuristik und Sandboxing
• Host-basierte Mikrosegmentierung
• Verwaltung mobiler Geräte
• Host-Websicherheit

4. Identität und interne Netzwerksicherheit

In vielen Fällen beginnen Sicherheitslücken mit kompromittierten Anmeldeinformationen und/oder Sicherheitslücken in einem Zielsystem. Die Überprüfung und Autorisierung der Benutzer- und Geräteidentität unabhängig vom Standort sollte eine Schlüsselkomponente sein, bei der der Benutzer nur Zutritt hat, wenn die korrekte Identität vorgelegt und das Gerät ebenfalls verifiziert wurde. Darüber hinaus gilt die Autorisierung nicht für das gesamte Netzwerk, sondern für die angeforderte spezifische Ressource. Ein Beispiel dafür ist Single Packet Authorization (SPA). Im Falle von Sicherheitslücken können diese systemimmanent sein oder vom Benutzer des Systems falsch konfiguriert werden. Eine Fehlkonfiguration tritt in Situationen auf, in denen bewährte Verfahren nicht befolgt wurden oder die Administratorkenntnisse im Umgang mit der Technologie nicht ausreichen. Zu den Schutzmaßnahmen im Rahmen der Identitäts- und internen Netzwerksicherheit gehören:

• Inventar von Vermögenswerten und
• Identitäts- und Zugriffsmanagement
• Datensicherheit und Verschlüsselung (Daten im Ruhezustand, Daten in Bewegung und Daten in Verwendung)
• Kontext- und Kommunikationszuordnungssystem von Host zu Host (Zuordnung von App-Abhängigkeiten)
• NAC - Netzwerkzugriffskontrolle
• Bedrohungssuche (proaktiv und passiv)
• Sicherheitslücken- und Patch-Management
• Physische Sicherheit (Steckkarten, automatische Schlösser, Alarmanlagen, Videoüberwachung)

5. Automatisierung, kontinuierliche Überwachung und Kontext

Bei den Problemen, mit denen Cybersicherheit heutzutage konfrontiert ist, handelt es sich sowohl um ein Problem mit mangelnder Visualisierung im Kontext als auch um ein Toolproblem. Sichtbarkeit, kontinuierliche Überwachung und die Erstellung von Basiswerten für normales Verhalten sind entscheidend, wenn anomales Verhalten leicht erkannt werden soll.

• Analytik (SIEM und Sicherheitsanalysen)
• Automatisierung und Orchestrierung
• Cyber Bedrohungsinformationen
• Sichtbarkeit
  - Visualisierung des Anlagenbestands
  - Zuordnung von Anwendungsabhängigkeiten
  - Risikobewertung
  - Bedrohungskartierung

Die oben aufgeführten Funktionen und Technologiebeispiele sind nicht als vollständige Liste gedacht, sondern lediglich als Leitfaden bei der Auswahl der richtigen Tools und Technologien. Wo dies möglich und effizient ist, ist es ratsam, Funktionen in einem einzigen Angebot zusammenzufassen. Eine hostbasierte Segmentierungslösung sollte beispielsweise auch in der Lage sein, Anwendungsabhängigkeiten abzubilden und Drittanbieter-Integrationen in eine SIEM-Lösung (Security Information and Event Management) oder eine Configuration Management Database (CMDB) -Lösung zu ermöglichen. Ein anderes Beispiel ist, dass eine Perimeter-Firewall auch in der Lage sein sollte, IPS-, Bedrohungsemulations-, Anti-Malware- und Botnet-Abwehrfunktionen zu konsolidieren.

Fazit

Netzwerksicherheit muss Teil der Unternehmenskultur sein, vom Vorstandssaal bis zur Werkstatt, und zwar über den traditionellen Perimeter hinaus bis hin zum Mitarbeiter im Homeoffice. Moderne Architekturprinzipien wie Zero Trust zielen darauf ab, die Netzwerksicherheit von herkömmlichen Perimeterkonzepten und impliziten Vertrauenskonzepten auf dynamischere, automatisiertere und kontinuierlichere Überprüfungs- und Autorisierungsprinzipien zu übertragen. Es ist wichtig, dass diese Prinzipien nicht isoliert betrachtet werden, sondern als ein System miteinander verbundener Prinzipien geplant und umgesetzt werden, an dem Menschen, Prozesse und Technologien beteiligt sind.