Informationen zu den Autoren

Größe: px
Ab Seite anzeigen:

Download "Informationen zu den Autoren"

Transkript

1 Secure Data Center für Großunternehmen Threat Management mit NextGen IPS Designhandbuch Letzte Aktualisierung: 24. April 2015

2 Informationen zu den Autoren Informationen zu den Autoren Tom Hogue, Security Solutions Manager, Security Business Group, Cisco Tom Hogue Mike Storm Bart McGlothin Matt Kaneko Tom Hogue ist Data Center Security Solutions Manager bei Cisco und arbeitet dort seit mehr als 20 Jahren an der Entwicklung integrierter Lösungen. Zuvor war er in anderen Unternehmen der Branche tätig. Er leitete die Entwicklung branchenführender Rechenzentrumslösungen, wie z. B. FlexPod und Vblock, und sicherer Multi-Tenant-Funktionen. In seiner jetzigen Position leitet er die Lösungsentwicklung für das Lösungsportfolio des Secure Data Center for the Enterprise, und er wirkte am Cisco Validated Design-Handbuch Single Site Clustering with TrustSec mit. Mike Storm, Senior Technical Engineering Leader, Security Business Group, Cisco CCIE Security #13847 Mike Storm leitet die globale Sicherheits-Community bei Cisco Systems, die Informationen zu Konkurrenzunternehmen und deren Architekturen sammelt und auswertet. In erster Linie kümmert er sich um das Thema Sicherheit im Rechenzentrum und entwickelt Architekturen, die auf die nahtlose Integration mit Sicherheits-Services der nächsten Generation in Rechenzentren und Virtualisierungstechnologien für Unternehmen der Enterprise-Klasse ausgelegt sind. Mike hat mehr als 20 Jahre Erfahrung in der Netzwerk- und Cyber-Sicherheitsbranche. Er arbeitete in diesem Bereich unter anderem als Enterprise Consultant und Technical Writer sowie als Professional Speaker in diesem Bereich. Er ist Autor mehrerer diesbezüglicher Publikationen, u. a. des Secure Data Center Design Field Guide und war an der Erstellung des Validated Design-Leitfadens Single Site Clustering with TrustSec mit. Bart McGlothin, Security Systems Architect, Security Business Group, Cisco Bart McGlothin ist Security Solutions Architect bei Cisco mit mehr als 15 Jahren Erfahrung in der Entwicklung von Branchenlösungen. Er ist hauptverantwortlich für die Kommunikation und Zusammenarbeit zwischen Cisco und dem National Retail Federation's Association for Retail Technology Standards Committee. Vor seinem Wechsel zu Cisco war er Netzwerkarchitekt bei Safeway, Inc. Matt Kaneko, Security Systems Architect, Security Business Group, Cisco Matt Kaneko ist der Hauptverantwortliche für die technische Umsetzung von Lösungen innerhalb des Secure Data Center Solution-Teams. Er und sein Team arbeiten eng mit Produktmarketingteams verschiedener Geschäftsgruppen zusammen. Basierend auf diesem Austausch und auf Kundenfeedback erstellen sie Lösungsarchitekturen. Davor arbeitete Matt als Technical Marketing Manager für verschiedene Cisco Security-Produktserien, darunter Cisco ASA Next-Generation Firewall, Cisco Intrusions-Schutzsystem, Cisco AnyConnect und die zugehörige Managementproduktserie. 2

3 INHALT Einführung 5 Ziel dieses Dokuments 5 Zielgruppe 6 Secure Data Center for the Enterprise Lösungsübersicht 6 Zusammenfassung 6 Lösungsdesign Übersicht 7 Threat Management mit NextGen IPS 7 Cyber-Bedrohungen für das Rechenzentrum 8 Angriffskette 10 Anzeichen für Bedrohungen (Indicators of Compromise) 12 Die dynamische und ständig wachsende Bedrohungslandschaft 13 Ein Sicherheitsmodell, das integrierte Abwehr von Bedrohungen nutzt 14 Threat Management-Systemfunktionen 16 Bedrohungseingrenzung und Problembehebung 18 Zugriffskontrolle und -segmentierung 18 Identitätsmanagement 19 Anwendungstransparenz 19 Protokollierung und Nachverfolgbarkeitsmanagement 19 Strategische Anforderungen zur Implementierung integrierter Abwehr von Bedrohungen 20 Threat Management-Technologien 22 Retrospective Security: Ein Blick über den Ereignishorizont hinaus 22 Schlüsseltechnologie für Retrospective Security: Trajectory 23 Network File Trajectory und Device Trajectory 24 Threat Management-Funktionen für sämtliche Abläufe 32 Validierte Komponenten 34 Design-Überlegungen zu Threat Management mit NextGen IPS 34 FirePOWER-Appliance und Integration der Management-Plattform 34 Plattform-Management FireSIGHT Management Center 34 Verwendung redundanter FireSIGHT Management Center 35 Lizenz-Erwägungen 37 NextGen IPS Fabric Integration 38 Threat Management mit NextGen IPS-Design 40 Secure Data Center for the Enterprise Handhabung von Sicherheitsrisiken mit NextGen IPS 3

4 Threat Management-Systemfunktionen Überlegungen zum Design 59 Bedrohungseingrenzung und Problembehebung 59 Zugriffskontrolle und -segmentierung 65 Identitätsmanagement 67 Anwendungstransparenz und -kontrolle 68 Protokollierung und Nachverfolgbarkeitsmanagement 72 Validierungsergebnisse 74 Zusammenfassung 74 Referenzen 75 Secure Data Center for the Enterprise Handhabung von Sicherheitsrisiken mit NextGen IPS 4

5 Einführung Ziel dieses Dokuments Cisco Secure Data Center for the Enterprise ist ein Portfolio aus Lösungen, die Unterstützung bei Design und Implementierung für Unternehmen bieten, welche physische und virtualisierte Workloads in ihren Rechenzentren bereitstellen und gleichzeitig besten Schutz haben möchten, um sich gegen die komplexen Bedrohungen der Datensicherheit in der heutigen Welt zu wehren. Dieses Dokument behandelt vor allem die Unterstützung bei der Integration von Threat Management mit NextGen IPS in das Secure Data Center for the Enterprise-Lösungsportfolio. Es baut auf den Design- und Bereitstellungsanleitungen auf, die mit den entsprechenden Lösungen zur Verfügung gestellt werden, wie die Lösungsübersicht in Abbildung 1 zeigt. Abbildung 1 Cisco Secure Data Center for the Enterprise-Portfolio Lösungsübersicht 6 CISCO SECURE DATA CENTER FOR THE ENTERPRISE-LÖSUNGSPORTFOLIO Cisco Secure Enclave Architecture Einzelstandort-Clustering mit Cisco TrustSec Cisco Threat Management mit NextGen IPS Cisco Cyber Threat Defense für das Rechenzentrum Konvergente Infrastruktur Computing Storage Hypervisor (Flexpod, Vblock, VSPEX) Virtualisierung Infrastrukturmanagement Access Layer Secure Enclaves Firewall-Clustering Intrusion Prevention Aktualisierungen in Echtzeit Management TrustSec SXP Sicherheitsgruppen-Tags Richtliniendurchsetzung SGACLs FWACLs NextGen IPS in ASA Cluster Defense Center FireSIGHT Anwendungstransparenz Netzwerk-AMP FireAMP Retrospektion File Trajectory Network Trajectory Lancope StealthWatch FlowCollector FlowSensor NetFlow NSEL Weitere Inhalte, die nicht in diesem Dokument enthalten sind, finden Sie unter den zusätzlichen Inhalten im Secure Data Center Solution-Portal unter folgender URL: Unternehmenszentrale: Cisco Systems, Inc., 170 West Tasman Drive, San Jose, CA USA Copyright 2014 Cisco Systems, Inc. Alle Rechte vorbehalten

6 Secure Data Center for the Enterprise Lösungsübersicht Zielgruppe Dieses Dokument enthält hilfreiche Informationen insbesondere für Sicherheitsarchitekten, Systemarchitekten, Netzwerkdesigntechniker, Systemtechniker, Außendienstmitarbeiter, Advanced Services-Spezialisten und Kunden, die mehr über das Bereitstellen einer robusten Sicherheitsarchitektur in einem Rechenzentrum erfahren möchten, um die komplexen Bedrohungen von heute abzuwenden. Bei dieser Bereitstellung soll weder die Flexibilität, virtualisierte und physische Workloads zu betreiben, noch Funktionen in herkömmlichen Modi oder von in die Cloud migrierten Betriebsmodellen beeinträchtigt werden. Dieses Dokument greift auch auf weitere ergänzende Lösungen zurück, die in separaten Design- und Bereitstellungsanleitungen dokumentiert sind. Für dieses Designhandbuch wird vorausgesetzt, dass der Leser mit den grundlegenden Konzepten von IP-Protokollen, Quality of Service (QoS), hoher Verfügbarkeit (HA) und Sicherheitstechnologien vertraut ist. Des Weiteren wird vorausgesetzt, dass der Leser mit den allgemeinen Systemanforderungen vertraut ist und über Kenntnisse im Hinblick auf das Unternehmensnetzwerk und die Rechenzentrumsarchitekturen verfügt. Secure Data Center for the Enterprise Lösungsübersicht Zusammenfassung Das Secure Data Center for the Enterprise-Portfolio entwickelte sich aus einem zentralen Designhandbuch für Kunden zur Integration von Cisco ASA-Firewalls in die Rechenzentrums-Fabric. Im November 2013 wurde dieses Designhandbuch nach dem Modulprinzip ergänzt, um eine umfassende Palette an Designleitfäden für Kunden zur Verfügung zu stellen. Mit der Single Site Clustering-Lösung mit TrustSec wurden ASA 5585-X Clustering für Skalierbarkeit, TrustSec für Richtlinienaggregation und Intrusion Prevention zum Schutz vor Bedrohungen eingeführt. In Kombination mit der Secure Enclaves-Referenzarchitektur und Cyber Threat Defense für Rechenzentren bildet diese Lösung ein äußerst leistungsstarkes Sicherheitsportfolio für unsere Kunden. Daher wird dieses Produktportfolio in seiner Gesamtheit auch als Secure Data Center for the Enterprise-Portfolio bezeichnet, welches in Zukunft um weitere Funktionen ergänzt werden soll. Threat Management mit NextGen IPS ist das nächste Cisco Validated Design, das zum Secure Data Center for the Enterprise-Lösungsportfolio hinzugefügt werden soll. Dieses neue Cisco Validated Design baut auf Single Site Clustering mit TrustSec auf und demonstriert Kunden, wie sie FirePOWER NextGen IPS in die Architektur integrieren können und mit dieser Lösung umfassende Funktionen für ein Threat Management-System erhalten. Das Designhandbuch verfolgt einen anderen Ansatz, indem er die Perspektive eines Cyber-Angreifers darstellt. Er erläutert die Angriffskette aus Sicht der Angreifer, wo sie ihre Funktionen entwickeln, um einen erfolgreichen Angriff durchzuführen. Auf diese Weise wird deutlich, dass zur Verteidigung neue Funktionen entwickelt und implementiert werden müssen, um ein Thread Management-System aufzubauen. Dieses Cisco Validated Design behandelt nicht die grundlegenden Schritte zum Schutz des Rechenzentrums, wie zum Beispiel Sicherstellen, dass keine Standardpasswörter verwendet werden. Unternehmen wird daher dringend geraten, sich für entsprechende Branchenvorgaben zu entscheiden und die Sicherheitskontrollen entsprechend zu implementieren. Dieses Dokument erläutert eine neue Funktionen und beschreibt, wie die neue FirePOWER NextGen IPS Plattform in die Fabric integriert wird. 6

7 Lösungsdesign Übersicht Lösungsdesign Übersicht Threat Management mit NextGen IPS Abbildung 2 zeigt das Architektur-Framework für die Threat Management mit NextGen IPS-Lösung. Zur Erinnerung: Diese Lösung basiert auf Secure Data Center Single Site Clustering mit TrustSec als Basis. Sie ist damit Voraussetzung für dieses Designhandbuch. Abbildung 2 Threat Management mit NextGen IPS DC Core Layer WAN Management und Betriebsabläufe DC-Aggregation und Serviceebene Nord-Süd-Schutzservices für Serverfarmen Schutz vor Malware für Netzwerke Hinweis: CCL = Cluster Data Link Redundante Verbindung zur Nexus 7000-Serie Virtuelles Netzwerk und Zugriff Ost-West-Schutz Zonenbasiertes Filtern (2) 10-GE- Verbindungen Erweiterter Echtzeitschutz der Cisco SIO CCL ASA 5585-X-Cluster mit Sourcefire NGIPS bis zu 16 ASA 5585-X-Knotenpunkte bis zu (16) Sourcefire oder 8350-Stacks Physischer Zugriff Computing QFP Physischer Zugriff VPC- Peer VPC- Peer QFP FireSIGHT Management Center Identity Services Engine NetFlow Collector NetFlow Generation Appliance Tier 1 Tier 2 Rollenbasierter Betrieb Defense Center StealthWatch- Konsole Cisco Security Manager ISE-Admin- Portal Erweiterter Malware- Schutz Benutzer- und Ablaufkontext Anwendung für Bedrohungsschutzmanagement in Echtzeit Transparenz URL-Kontrolle NetFlow-basierter Bedrohungsschutz Verhaltensanalyse Benutzer- und Ablaufkontexanalyse Management der Reaktion auf Zwischenfälle und Netzwerkforensik Richtlinienverwaltung für Zugriffskontrolle Benutzerintegration Statusüberprüfung für Geräte Richtlinienaggregationsverwaltung Storage Konvergentes Netzwerk-Rack Rack-Serverbereitstellung Physisch-virtuelle-Umgebungen für Workloads Tier N UCS Director Workload und Sicherheit Servicesautomatisierung Konvergentes, integriertes Infrastrukturmanagement

8 Lösungsdesign Übersicht Threat Management mit NextGen IPS nutzt die Designanleitung des Single Site Clustering mit TrustSec, die Technologien umfasst, welche wirkungsvollere Sicherheitsfunktionen im gesamten Rechenzentrum ermöglichen, sofern die folgenden Designvorgaben erfüllt sind: ASA-Firewall-Clustering für Skalierbarkeit Fabric-Integration mit Virtual Port Channels (vpcs) Link-Aggregation für einen vereinfachten Betrieb Schutz vor Sicherheitsrisiken und Anwendungstransparenz Signatur-Updates in Echtzeit Sicherheitsgruppen-Tags (SGTs) für Richtlinienaggregation Das Designhandbuch für Threat Management mit NextGen IPS erweitert das Single Site Clustering um die TrustSec-Lösung und erläutert die Integration der FirePOWER NextGen IPS-Plattform in die Architektur sowohl aus physischer als auch aus virtueller Perspektive. Die FirePOWER-Anwendung bietet Funktionen zum Schutz vor Bedrohungen, die weit über herkömmliche IPS-Angebote hinausreichen. Kombiniert man diese Funktionen mit denen, die im Secure Data Center for the Enterprise-Portfolio enthalten waren, entsteht eine umfassende Lösung, die Kunden dank enorm leistungsstarken Thread Management-Workflows eine höchst effektive Reaktion auf die aktuellen Cyber-Bedrohungen ermöglicht. Cyber-Bedrohungen für das Rechenzentrum Für Unternehmen ist ein herkömmliches Rechenzentrum in der Regel der Ort, an dem sich die wichtigsten und wertvollsten Ressourcen befinden Dies können Daten in Form von urheberrechtlich geschützten Informationen, Kundenkontakte, Kundenkreditkarten, Finanzinformationen des Unternehmens, Bankkonten des Unternehmens, Mitarbeiterinformationen, etc. sein. Wenn die Daten im Rechenzentrum für das Unternehmen wertvoll sind, sind sie das auch für Cyberkriminelle ganz gleich, ob aus Finanz-, Spionage- oder anderen Gründen. Es ist unstrittig, dass die Rechenzentren eine wichtige Ressource sind, die geschützt werden muss. Die meisten Unternehmen verfügen über ein gewisses Maß an Segmentierung mit Richtlinien für die Zugriffskontrollen, um sicherzustellen, dass nur autorisierte Benutzer Zugriff auf Informationen im Rechenzentrum haben, und zwar nur auf die Informationen, die sie wirklich benötigen. Leider basiert dieser Ansatz auf einigen veralteten Annahmen. Daher muss der Schutz der Rechenzentren überdacht werden. Viele Organisationen verlassen sich allein auf Zugriffskontrolllisten und deren Durchsetzung, um das Rechenzentrum zu schützen. Dabei geht man in erster Linie davon aus, dass der autorisierte Benutzer wirklich der ist, der er vorgibt zu sein, oder dass wirklich der autorisierte Benutzer die Kontrolle hat und mit seinem eigenen Gerät auf das Rechenzentrum zugreift. Eine der einfachsten Methoden, über die sich Cyber-Angreifer Zugriff in das Netzwerk eines Unternehmens verschaffen können, ist die Installation von Rootkits auf dem Endgerät eines Benutzers. Dies kann beispielsweise geschehen, wenn der nichts ahnende Benutzer zu Hause eine schädliche Website aufruft, während er nicht mit dem Unternehmensnetzwerk verbunden ist. (Siehe Abbildung 3). 8

9 Lösungsdesign Übersicht Abbildung 3 Exploit-Kits Webserver lenkt Client zum Malwareserver um Kompromittierter Webserver Malwareserver überträgt Malware auf Client Benutzer Client ist kompromittiert Sobald die Malware auf dem Endbenutzergerät installiert ist und sich der Benutzer wieder im Unternehmensnetzwerk anmeldet, nimmt die Malware die Identität des Endbenutzers an und kann auf alle Ressourcen des Rechenzentrums zugreifen, die der Benutzer normalerweise nutzen kann. An diesem Punkt ermöglichen diese Sicherheitszugriffskontrolllisten der Malware den Zugriff auf das Rechenzentrum über das Netzwerk (siehe Abbildung 4). Dieser Ansatz berücksichtigt nicht einmal den Fall, wenn Anmeldedaten gestohlen werden und die Cyber-Angreifer einfach über die Autorisierung auf die Rechenzentrumressourcen zugreifen können Abbildung 4 Kompromittierter Server VM VM VM VM VM VM Kompromittierter Client Malware erhält Kernel-Zugriff VM-basierte Rootkits Sobald ein Cyber-Angreifer direkten Zugriff auf das Rechenzentrum hat, beginnt er, die Server und Anwendungen im Rechenzentrum zu bedrohen. Ein relativ neuer Typ von Exploits, die direkt die Rechenzentren angreifen, sind die VM-basierten Rootkits (Virtual Machine-Based Rootkits, VMBR), wie in Abbildung 5 dargestellt. Erfolgreiche VMBR-Exploits, wie Blue Pill, Vitriol und SubVirt, wurden bei Black Hat von Forschern vorgeführt. Ob diese Exploits nun von Cyber-Angreifern verwendet werden oder nicht die Bedrohung ist real. 9

10 Lösungsdesign Übersicht Abbildung 5 VMBR-Rootkit Malware kontaktiert Hauptserver VMs unter Cyberangriffskontrolle VM VM VM VM VM VM VM-Überwachung kompromittiert Malware hat Kernel-Zugriff Die grundlegende Frage, die beantwortet werden muss, lautet: Ist die Durchsetzung der Zugriffskontrolle sicher genug, um die Ressourcen des Rechenzentrums zu schützen? Während kein Zweifel besteht, dass sich die Cyber-Angriffe gegen das Rechenzentrum richten, ist es insbesondere die Kombination aus bestehenden Sicherheitsmodellen und neuen Cyberbedrohungen, die die neue wirkliche Gefahr für Rechenzentren darstellt. Die oben genannten Beispiele sind sehr stark vereinfacht, die Bedrohungen für das Rechenzentrum hingegen extrem komplex. Im folgenden Abschnitt werden die Angriffskette und ein neues Sicherheitsmodell beschrieben, und es wird erläutert, wie das neue Modell in die in den folgenden Abschnitten beschriebenen Unterfunktionen einzuordnen ist. Angriffskette Im vorhergehenden Abschnitt wurde kurz erläutert, wie ein Rootkit funktioniert. Um jedoch frühere Annahmen zum Schutz des Rechenzentrums weiter zu untersuchen, müssen wir uns zunächst näher mit den behandelten Herausforderungen beschäftigen. Es ist wichtig, zu erkennen, dass die erfolgreicheren Cyber-Angriffe sehr gezielt ausgeführt werden. Die komplexeren Cyber-Angriffe können mithilfe des Angriffskettenmodells aus der Perspektive des Cyber-Angreifers unterteilt werden (siehe Abbildung 6). Abbildung 6 Angriffskette Untersuchung Entwicklung Überprüfung Durchführung Erreichung

11 Lösungsdesign Übersicht Der im Juli 2000 im Air Force Magazine erschienene Artikel von John A. Tirpak Find, Track, Target, Engage, Assess erläutert das Konzept einer Kill Chain vor. Diese Worte hat er aus der Rede von General Ronald R. Fogleman, Chef des Einsatzstabs der Luftwaffe, vom Oktober 1996 übernommen. Dieser erklärte damals: Alles, was sich auf der Erdoberfläche bewegt, kann ausfindig gemacht, dingfest gemacht und nachverfolgt werden. Die Konzepte dieser Rede resultierten schließlich in der Kill Chain Find, Fix, Target, Engage, Assess (finden, dingfest machen, anvisieren, angreifen, auswerten). Im Laufe der Zeit haben die Verschiedenen Gattungen des Militärs die Kill Chain an ihre individuellen Anforderungen angepasst. Dieser Bericht schlägt noch eine weitere Version des Kill Chain-Konzepts vor, die eher der Denkweise eines Softwareentwicklers (oder Hackers) entspricht. Beachten Sie, dass die Angriffskette nicht einem bestimmten Zeitplan zugeordnet wird, da einige Cyber-Angreifer ihre Ziele über mehr als ein Jahr hinweg bearbeiten, um zu vermeiden, dass sie erkannt werden. In anderen Fällen erfolgen die Angriffe sehr schnell innerhalb von Minuten. Viele Unternehmen haben das Kill Chain-Konzept verwendet, um Modelle zum Schutz vor Cyber-Bedrohungen zu entwickeln. Untersuchung Um sich auf Angriffe vorzubereiten, ist es wichtig, zu wissen, wie die Umgebung aussieht: Welche Ports sind offen, und muss das Rootkit über mehrere Ports arbeiten? Welche Betriebssysteme werden erkannt? Welche Umgehungs- und Verschleierungstechniken muss ein Cyber-Angreifer einsetzen? Welches sind die wichtigsten im Zielunternehmen eingesetzten Schutzmechanismen? Wie weit kommt ein Cyber-Angreifer mit der Verwendung von Standard-Passwörtern? Können -Adressen für eine Vielzahl von Benutzern ausgespäht werden, um eine Phishing-Kampagne zu starten? Leider sind Phishing-Kampagnen nach wie vor äußerst erfolgreich. Das ergab der Verizon 2014 Data Breach Report. Darin wurde gezeigt, dass die Erfolgsquote bei nur zehn s, die an Endbenutzer gesendet werden, immer noch bei 90 Prozent liegt. Entwicklung Nachdem die gründliche Untersuchung für den Cyber-Angriff abgeschlossen ist, beginnt der Angreifer damit, Funktionen für einen erfolgreichen Angriff zu entwickeln. Dabei ist zu beachten, dass das Wort entwickeln nicht unbedingt bedeutet, dass neue Malware von Grund auf geschrieben werden muss. Es gibt zahlreiche Malware-Optionen, aus denen ein Cyber-Angreifer auswählen kann, ohne jemals selbst einen Code schreiben zu müssen. Obwohl es allgemein bekannt ist, ist es kaum zu glauben, dass man Lizenzen und Serviceverträge für Malware erwerben kann. Wenn der Angreifer benutzerdefinierte Malware für sein Ziel erstellen möchte, gibt es viele Open Source-Codes, die individuell angepasst werden können. Dies ist eine sehr effiziente Methode für die Community der Cyber-Angreifer. Überprüfung Sobald er über die richtigen Tools verfügt, fährt der Cyber-Angreifer mit der Test- und Validierungsphase fort. Es ist sehr wichtig für den Cyber-Angreifer, dass er unerkannt auf die Zielressourcen zugreifen kann. Wenn die Angreifer zu früh in der Angriffskette erkannt werden, müssen sie von vorne beginnen, da ihr anvisiertes Opfer neue Gegenmaßnahmen ergreift. Angreifer müssen sicherstellen, dass ihre Verschleierungstechniken effektiv sind. Sie wollen Zugriff erlangen, unentdeckt bleiben und sich ausreichend Zeit nehmen, um ihr Ziel zu erreichen. 11

12 Lösungsdesign Übersicht Durchführung Abschluss Sobald die Überprüfung abgeschlossen ist, können die Angreifer sich Zugriff auf die Ressourcen des Ziels verschaffen. Dazu können sie entweder Malware auf den Endbenutzergeräten installieren, oder auf Web-Anwendungsserver, -Server und alle anderen Geräte zugreifen, über die sie unbemerkt in das Netzwerk eindringen können. Sobald sie ins Netzwerk eingedrungen sind, versuchen sie, eine sekundäre Zugriffsmethode einzurichten, falls ihr Hauptziel durch Gegenmaßnahmen geschützt ist. Dieser wichtige Schritt wird später in diesem Dokument weiter erläutert. Nachdem der Cyber-Angreifer nun Zugriff auf das Zielnetzwerk hat, kann er sein Vorhaben vollenden: Wertvolle Daten werden extrahiert oder zerstört, Verweise werden hinterlassen sowie weitere Aktionen durchgeführt, um das Ziel des Cyber-Angriffs zu erreichen. Ein Cyber-Angreifer findet auch Stellen, an denen er seine Malware für zukünftige Cyber-Attacken platzieren kann. Anzeichen für Bedrohungen (Indicators of Compromise) In vielen Fällen liegt zwischen der Umsetzung und dem Abschluss eines Angriffs mehr als ein Jahr. Viele Cyber-Angreifer setzen auf die Strategie Abwarten und Tee trinken, um ihre Angriffe mit maximaler Effizienz zu führen. Bei dieser Strategie gibt es, wenn überhaupt, nur sehr wenige Anzeichen für eine Kompromittierung. Wenn man bedenkt, dass dieser Ansatz so wenige Anzeichen liefert, im Vergleich zu den Tausenden von Warnungen, die von vorhandenen Bedrohungssystemen generiert werden, ist es kein Wunder, dass diese Arten von Angriffen sehr schwierig zu erkennen sind. Bevor die Anzeichen für eine Kompromittierung identifiziert wurden, setzte die Branche auf Anzeichen eines Angriffs. Herkömmliche Intrusion Prevention Systems boten Anzeichen für einen Angriff, indem Warnungen anhand des Abgleichs einer signaturbasierten Point-in-Time-Einstufung ausgelöst wurden. Die IPS-Systeme gaben leider viele falsch-positive Meldungen aus. Dies lag an dem Traffic-Fluss, der mit Signaturen übereinstimmt, aber harmlos ist. Die Betreiber identifizierten dann Signaturen, die mit dem gutartigen Verkehr von bestimmten Hosts übereinstimmten, damit diese Traffic-Flüsse keine Warnungen generieren. Die verbleibenden Warnmeldungen wurden als Anzeichen für Angriffe behandelt, die vom IPS-System identifiziert wurden. Leider waren diese falschen Warnungen so zahlreich, dass echte Warnmeldungen oft einfach übersehen wurden. Wenn die Unternehmen dann ein glaubhaftes Anzeichen für eine Kompromittierung erkannt hatten, mussten sie eine zeitraubende und schwierige Analyse durchführen, um die folgenden Fragen zu beantworten: Welche Methode und welcher Angriffspunkt wurden genutzt? Welche Systeme waren betroffen? Was genau hat die Bedrohung verursacht? Kann ich die Bedrohung und ihre Ursachen aufhalten? Wie kann der Schaden behoben werden? Wie kann der Angriff in Zukunft abgewehrt werden? Cyber-Sicherheitsteams brauchten einen neuen Ansatz, der auf einem umfassenden Satz genauer Daten basiert, um zuverlässige Anzeichen für Kompromittierung abzuleiten. Ein solcher Ansatz, der eine breitere und auch genauere Analyse der Ergebnisse ermöglichen würde, könnte beispielsweise folgende Elemente umfassen: Was ist dieser Angriff? Beispielsweise ein bekannter Typ oder eine Kategorie. Welches sind die wesentlichen Merkmale des Angriffs? Beispielsweise die Vorgehensweise des Angreifers. Was hat sich möglicherweise am anvisierten Endpunkt geändert usw.? 12

13 Lösungsdesign Übersicht Woher kam der Angriff? Wie wurde der Angriff festgestellt? Welcher Endpunkt ist Ziel des Angriffs? Welches Betriebssystem? Ist das Ziel für diese Bedrohung anfällig? Ist der Endpunkt durch diesen oder andere Angriffe kompromittiert worden, aktuell oder in der Vergangenheit? Welche anderen Systeme hat dieses Gerät kontaktiert? Welche Anwendung wird anvisiert (z. B. Client oder Web)? Besteht die Möglichkeit, dass das Ziel durch dieses Ereignis beeinträchtigt wurde? Ist dies ein neues Problem, oder wurde es über eine externe Quelle eingeschleust, beispielsweise Bring-Your-Own-Device (BYOD)? Befindet sich der angreifende Host derzeit im Netzwerk oder außerhalb des Netzwerks? Was war/ist die Ursache? Kann das System sofort ermitteln, wie viele Hosts oder Netzwerkgeräte möglicherweise für diese Bedrohung anfällig sind? Wenn dieser Angriff blockiert wird, wie kann das System feststellen, ob es sich tatsächlich um einen Angriff handelt oder nicht? Ein Beispiel für ein gutes Kennzeichen einer Kompromittierung wäre, wenn eine Java-Anwendung anfängt, Anwendungen zu installieren und auszuführen, was nie passieren sollte. Leider ist Java ein gängiger Bedrohungsvektor und nach wie vor der Favorit vieler Cyber-Angreifer. Diese Angriffsart kann ganz einfach mit jeder beliebigen Zugriffskontrollliste übereinstimmen und von herkömmlichen IPS übersehen werden, da die Dateisignatur keine Warnmeldung auslöst. Um eine erweiterte Anzeige für Kompromittierungen zu erreichen, müssen Ereignisse aus folgenden Komponenten und Aktivitäten korreliert werden: Malware-Aktivitäten Identifizierung von Sicherheitsrisiken Netzwerkverbindungen Network File Trajectorys Device Trajectorys Gerätenetzwerkverlauf, einschließlich, aber nicht beschränkt auf laterale Bewegungen, Überordnungs- und Unterordnungsverhältnisse oder Kontext Das Ziel ist für alle oben genannten Aspekte gleich: Korrelation mit Netzwerk-, Endpunkt-, Anwendungsund Benutzerkontext. Der daraus resultierende Datensatz bietet auf eine einzigartige Weise ausreichend präzise Indikatoren für Kompromittierung über das gesamte Netzwerk hinweg, die zuverlässig und sofort umgesetzt werden können. Die dynamische und ständig wachsende Bedrohungslandschaft Moderne erweiterte Netzwerke und ihre Komponenten entwickeln sich ständig weiter und bringen neue Angriffsvektoren mit sich: Mobilgeräte, webbasierte und mobile Anwendungen, Hypervisoren, Social Media, Webbrowser, integrierte Computer sowie eine enorme Verbreitung von Geräten, die das Internet of Everything mit sich bringt. 13

14 Lösungsdesign Übersicht Die Menschen bewegen sich innerhalb und außerhalb des Netzwerks, nutzen diverse Geräte und greifen auf beliebige Anwendungen in vielen verschiedenen Cloud-Umgebungen zu. Dies ist die Any-to-Any-Herausforderung. Und während diese Komponenten die Kommunikation verbessert haben, bieten sie gleichzeitig mehr Möglichkeiten, über die Hacker sich Zugriff verschaffen können. Leider hat sich der Sicherheitsansatz der meisten Unternehmen nicht genauso schnell weiterentwickelt. Der Großteil der Unternehmen sichert erweiterte Netzwerke mithilfe unterschiedlicher Einzeltechnologien, die untereinander nicht kooperieren und nicht gemeinsam eingesetzt werden können. Sie verlassen sich möglicherweise auch zu sehr auf spezialisierte Service Provider für Sicherheit in der Cloud und Hosting-Unternehmen, um ihre Internet-Infrastruktur zu schützen. In dieser neuen Situation haben Administratoren allzu oft wenig Transparenz und Kontrolle für die Geräte und Anwendungen, die auf das Unternehmensnetzwerk zugreifen, und kaum Möglichkeiten, mit den neuen Bedrohungen Schritt zu halten. Sicherheitsexperten, die mit komplexen Angriffen und der Any-to-Any-Infrastruktur konfrontiert sind, stellen sich die drei folgenden wichtigen Fragen: 1. Wie können wir angesichts neuer Geschäftsmodellen und Angriffsvektoren weiter die Sicherheit und Compliance gewährleisten, während sich unsere IT-Landschaft weiter verändert? Unternehmen, die den Übergang zur Cloud, zur Virtualisierung oder zu Mobilgeräten vollziehen, weil diese Technologien Produktivität, Flexibilität und Effizienz bieten, müssen ihre Sicherheitsinfrastruktur entsprechend anpassen. 2. Wie verbessern wir unsere Fähigkeit, uns in einer dynamischen Bedrohungslandschaft laufend vor neuen Angriffsvektoren und immer komplexeren Bedrohungen zu schützen? Angreifern ist es ganz gleich, wen sie attackieren. Sie suchen sich einfach das schwächste Glied in der Kette. Sie verwenden für ihre Angriffe häufig Tools, die speziell zur Umgehung der von ihrem Angriffsziel ausgewählten Sicherheitsinfrastruktur konzipiert sind. Sie achten penibel darauf, nicht entdeckt zu bleiben, und verwenden Technologien und Methoden, durch die Indicators of Compromise auf ein nahezu unmerkliches Niveau reduziert werden. 3. Wie können wir die beiden ersten Probleme lösen, und gleichzeitig Komplexität und Fragmentierung unser Sicherheitslösungen reduzieren? Unternehmen können sich keine Sicherheitslücken erlauben, die erfahrene Angreifer von heute gerne ausnutzen. Gleichzeitig bieten getrennte, nicht integrierte Sicherheitslösungen bei zunehmender Komplexität nicht den erforderlichen Schutz vor modernen Bedrohungen. Ein Sicherheitsmodell, das integrierte Abwehr von Bedrohungen nutzt Wie bereits erwähnt sind neue Tools und Technologien erforderlich, um auf die modernen Bedrohungen angemessen zu reagieren, die nicht nur das Rechenzentrum betreffen, sondern auch das gesamte Unternehmen. Dies muss mithilfe eines Modells geschehen, das die Komplexität minimiert und einen kontinuierlichen Schutz der Unternehmensressourcen ermöglicht. Gleichzeitig muss es auch möglich sein, auf Änderungen in den Geschäftsmodellen, z. B. Any-to-Any, zu reagieren. Das Sicherheitssystem muss direkt in die Netzwerkstruktur integriert werden, um bestmögliche Effizienz und Funktionalität zu gewährleisten und gleichzeitig das normalerweise mit der Integration verschiedener, nicht netzwerkorientierter Sicherheitskontrollen einhergehende Risiko zu minimieren. Um ein solches System zu entwerfen, ist ein neues Modell erforderlich: Die Integration muss nahtlos erfolgen, vor allem im Rechenzentrum mit seiner äußerst geringen Fehlertoleranz. Dieses neue Modell ist eine nützliche Referenz bei der Entwicklung einer umfassenden Sicherheitslösung für jede Art von Netzwerk. Bei diesem neuen Modell gibt es eine Schlüsselkomponente das so genannte Angriffskontinuum, welches alle wichtigen Mechanismen und Prozesse ermittelt, die für das umfassende Sicherheitssystem von Bedeutung sind. (Siehe Abbildung 7). 14

15 Lösungsdesign Übersicht Abbildung 7 Integration von Bedrohungsabwehr mithilfe des Angriffskontinuums Das neue Sicherheitsmodell Angriffskontinuum Vorher Erkennen Durchsetzen Stärken Während Erkennen Blockieren Abwehren Nachher Auswerten Eingrenzen Beheben Netzwerke Endpunkte Mobilgerät Virtuelles Cloud Point-In-Time Durchgängig Bei diesem Modell wird das Bedrohungsproblem gelöst, indem die Aktionen ermittelt werden, die vor, während und nach einem Angriff sowie über die gesamte Bandbreite der Angriffsvektoren z. B. Endpunkte, mobile Geräte, Rechenzentrumsressourcen, VMs und selbst die Cloud erforderlich sind. Während die meisten Sicherheitslösungen überwiegend darauf ausgelegt sind, die Bekämpfung von Bedrohungen zu bestimmten, festgelegten Zeitpunkten auszuführen, ist es wichtig, sie als kontinuierlichen Zyklus zu betrachten. Vor einem Angriff Während eines Angriffs Kontextbewusste Angreifer erfordern kontextbewusste Sicherheit. Unternehmen müssen sich heute gegen Angreifer wehren, die häufig besser mit Maßnahmen zum Schutz der Infrastruktur vertraut sind, als die Unternehmen selbst. Um Angriffe abzuwehren, bevor sie überhaupt auftreten, benötigen Unternehmen volle Transparenz hinsichtlich ihrer IT-Umgebung, also u. a. über physische und virtuelle Hosts, Betriebssysteme, Anwendungen, Services, Protokolle, Benutzer, Inhalte und das Netzwerkverhalten, um so die Oberhand über die Angreifer zu gewinnen. Die Verantwortlichen müssen anhand von Angriffszielen, Legitimität von Angriffen und Verläufen die Risiken für ihre Infrastruktur verstehen. Wenn die Verantwortlichen nicht wissen, was sie zu schützen versuchen, sind sie nicht in der Lage, geeignete Sicherheitstechnologien zum Schutz ihrer Ressourcen zu konfigurieren. Transparenz muss im gesamten Netzwerk gewährleistet sein, d. h. für Endpunkte, - und Web-Gateways, virtuelle Umgebungen und Mobilgeräte und auch Rechenzentren. Zusätzlich müssen auf Basis dieser Transparenz umsetzbare Warnmeldungen erzeugt werden, damit die Verantwortlichen fundiertere Entscheidungen treffen können. Bösartige Angriffe und kombinierte Bedrohungen treten nicht zu einem bestimmten Zeitpunkt, sondern kontinuierlich auf und erfordern daher kontinuierliche Sicherheitsüberprüfungen. Die konventionellen Sicherheitstechnologien können nur Angriffe auswerten, die zu einem bestimmten Zeitpunkt auftreten, basierend auf einem einzelnen Datenpunkt des Angriffs. Dieser Ansatz ist gegen moderne Angriffe machtlos. 15

16 Lösungsdesign Übersicht Nach einem Angriff Hier ist eine Sicherheitsinfrastruktur gefragt, die sämtliche Informationen einbezieht. Gemeint ist eine Infrastruktur, die Daten aus dem erweiterten Netzwerk aggregieren und mit historischen Merkmalen und weltweiten Informationen zu Angriffen korrelieren kann. Sie muss Kontext liefern und legitime Hintergrundaktivitäten von aktiven Angriffen, Datendiebstahl und Ausspähung unterscheiden können. So wird das Sicherheitssystem von einer Aufgabe, die zu einem bestimmten Zeitpunkt durchgeführt wird, zu einem Prozess der kontinuierlichen Analyse und Entscheidungsfindung. Wenn eine als sicher eingestufte Datei in die Umgebung gelangt, aber später bösartiges Verhalten zeigt, können Unternehmen eingreifen. Dank dieser Echtzeitinformationen können Sicherheitsexperten intelligente Automatisierungsservices einsetzen, mit denen Sicherheitsrichtlinien ohne manuelle Eingriffe durchgesetzt werden. Um das gesamte Angriffskontinuum abzudecken, brauchen Unternehmen Retrospective Security. Retrospective Security ist eine Big Data-Herausforderung und eine Funktion, die nur wenige Systeme gewährleisten können. Sicherheitsteams können mit einer Infrastruktur, die laufend Daten zum Sammeln von Sicherheitsinformationen erfasst und analysiert, mithilfe automatisierter Verfahren Indicators of Compromise identifizieren und Malware erkennen, die so ausgereift ist, dass sie ihr Verhalten ändert, um einer Erkennung zu entgehen sowie erkannte Probleme beheben. Kompromittierungen, die andernfalls über Wochen oder Monate unerkannt geblieben wären, können so schnell identifiziert, gründlich untersucht, eingegrenzt und behoben werden. Durch dieses bedrohungsorientierte Sicherheitsmodell sind Unternehmen in der Lage, das gesamte Angriffskontinuum über alle Angriffsvektoren hinweg abzudecken und jederzeit in Echtzeit zu reagieren. Threat Management-Systemfunktionen Das Angriffskontinuum-Modell bietet einen Überblick darüber, wie auf Bedrohungen reagiert werden kann. Es unterstützt Sie bei der Erstellung eines Frameworks von Funktionen als Basis für die Implementierung von Sicherheitskontrollen. So geht beispielsweise aus der NIST-Sonderveröffentlichung , Security and Privacy Controls for Federal Information Systems and Organizations, hervor, dass Unternehmen die Definition bestimmter Sicherheitsfunktionen als Vorstufe zur Auswahl der Sicherheitskontrollen in Betracht ziehen können. Die NIST-Publikation definiert außerdem das Konzept der Sicherheitsfunktion als Konstrukt, welches erkennt, dass der Schutz von Informationen, die durch Informationssysteme verarbeitet, gespeichert oder übertragen werden, selten von einer einzigen Schutz- oder Gegenmaßnahme (z. B. Sicherheitskontrolle) abhängig ist. Jedes Unternehmen sollte bemüht sein, die Einhaltung seiner jeweiligen Branchenstandards zu gewährleisten. In diesem Dokument wird zwar nicht die Einhaltung bestimmter konkreter Standards erläutert; dennoch bildet das Konzept der Funktionen den zentralen Kern eines Threat Management-Systems und dieses Dokuments. In Tabelle 1 werden die Threat Management-Systemfunktionen und -Beschreibungen zu den Angriffskontinuumphasen und den entsprechenden Produkten zugewiesen. Einige Produkte umfassen mehrere Funktionen, sodass die Zuordnung nicht immer 1:1 ist. 16

17 Lösungsdesign Übersicht Tabelle 1 Threat Management-Systemfunktionen Threat Management-Syste mfunktionen Beschreibung Vorher Während Nachher Produkte Bedrohungseingrenzung und Problembehebung Zugriffskontrolle und -segmentierung Identitätsmanagement Untersuchung und Analyse von Bedrohungen auf Datei-, Paket- und Datenflussebene Zugriffskontrollrichtlinien, Segmentierung, sichere Trennung Statusüberprüfung für Benutzeridentität und -zugriff, netzwerkbasierter Benutzerkontext Endpunktschutzagenten, netzwerkbasierter Schutz des Datenverkehrs Endpunktegruppenzuordnungen, Sicherheitszonen, Ressourcenzugriffsrichtlinien für Benutzer Zuweisung von Benutzern zu Gruppen, Ressourcen und zulässigen Zugriffsstandorten Cloud-basierte Endpunktanalyse, netzwerkbasierte Dateianalyse, netzwerkbasierte Analyse des Datenverkehrs, signaturbasierte Analyse, Sandbox-Analyse Fabric-Durchsetzung, Firewall-Security- Durchsetzung, Datenverkehrsnormalisierung und Protokoll- Compliance Benutzerkontextanalyse Verbindungs- und Datenverkehrsanalyse und Problembehebung Durchsetzung von Richtlinien und Protokollierung Benutzerzugriff und Analyse von Bedrohungsentstehung und -behebung Sourcefire FireSIGHT, Schutz vor Sicherheitsrisiken, netzwerkbasierte AMP, -AMP, CWS-AMP, FireAMP für Endbenutzer und mobile Geräte ASA 5585-X, SGTs, SGACL, SXP und TrustSec-fähige Switching Fabric oder ACI-Fabric mit ASAv Active Directory, Cisco ISE, Sourcefire FireSIGHT 17

18 Lösungsdesign Übersicht Tabelle 1 Threat Management-Systemfunktionen (Fortsetzung) Threat Management-Syste mfunktionen Beschreibung Vorher Während Nachher Produkte Anwendungstransparenz und -kontrolle Protokollierung und Nachverfolgbarkeitsmanagement Dateiüberwachung und File Trajectory, Network File Trajectory, Anwendungsquarantäne, Schutz vor Datenverlust Bedrohungsforensik und Compliance Richtlinien zur Beschränkung und Kontrolle des Zugriffs auf interne und externe Anwendungen Richtige Konfiguration der Berichterstellung im Threat Management- System Durchsetzung von Anwendungskontrollrichtlinien, Untersuchung vertraulicher Daten Aktive Out-of-Band-Protokollierung Transparenz aller im Netzwerk aufgerufenen und ausgeführten Anwendungen Direkter Zugriff durch geeignete Bedrohungsfunktions-Managementplattform Konsolidierung der Protokolle in zentralem Repository für weitere Forensik und Compliance Sourcefire Access Control, Sourcefire NGFW FireSIGHT Management Center für kurzfristige Protokolle, Lancope StealthWatch für längerfristige NetFlow Analyseprotokolle, SIEM für Protokollmanagement-Compliance (SIEM ist nicht im Umfang für Projekt) Bedrohungseingrenzung und Problembehebung Sie müssen Cyber-Bedrohungen erkennen und diese Bedrohungen so schnell wie möglich beheben. Dies ist keine Point-in-Time-Funktion, sondern eine kontinuierliche Funktion, die Retrospektion einsetzt. Wenn also eine Malware-Komponente zunächst nicht erkannt wird, kann das System die Malware zu einem späteren Zeitpunkt trotzdem noch finden und die Kompromittierung beheben. Zugriffskontrolle und -segmentierung Zugriffskontrollenrichtlinien und deren Durchsetzung bildeten die Grundlage für Netzwerksicherheit und sind auch weiterhin eine Schlüsselkernkomponente. Segmentierung ist ebenfalls ein wichtiges Mittel zur Trennung des Datenverkehrs. Die Unternehmen haben die Möglichkeiten dieses Verfahrens bisher jedoch nicht voll ausgeschöpft. Diese zwei Funktionen werden in der Regel als separate Funktionen betrachtet und in den meisten, wenn nicht sogar allen, Compliance-Standards in separate Kontrollen aufgeschlüsselt. Sie werden hier als Einheit behandelt, da sie im Rahmen der Entwicklung und Implementierung von Netzwerken in enger Wechselwirkung stehen. Jedes Netzwerk, das über eine wirksame Segmentierungsstrategie verfügt, sollte auch geeignete Zugriffskontrollrichtlinien bereitstellen, um die Sicherheitsdomänen zu definieren. Bei großen Sicherheitsdomänen besteht die Gefahr, dass Unternehmen im Falle einer Datenschutzverletzung einem erheblichen Risiko ausgesetzt sind. Mithilfe neuer Segmentierungstechniken kann die Größe dieser Sicherheitsdomänen reduziert und so deren Verwaltung vereinfacht werden. 18

19 Lösungsdesign Übersicht Identitätsmanagement Jedes Unternehmen nutzt in irgendeiner Form Identitätsmanagement- und Autorisierungsfunktionen, wie z. B. Active Directory, zur Benutzerauthentifizierung. Leider verwenden nicht alle Unternehmen diese Funktion auch dazu, während der Authentifizierung eine Statusüberprüfung des jeweiligen Benutzers durchzuführen. Dadurch könnten sie den Benutzer basierend auf seinem Endpunkt oder Standort oder anhand sonstiger relevanter Kriterien zu den entsprechenden Sicherheitsrichtlinien zuweisen. Ebenfalls ist es wichtig, Benutzerkontext zu Traffic-Fluss, Dateianalyse, Netzverbindungen und zu den anderen Netzwerkaktivitäten hinzuzufügen, um ein wirksames Threat Management zu gewährleisten. Anwendungstransparenz Anwendungstransparenz über das gesamte Netzwerk ist eine entscheidende Funktion für jedes Unternehmen, die in keinem Portfolio zum Schutz vor Cyber-Bedrohungen fehlen darf. Anwendungen sind immer noch ein Hauptangriffsvektor. Daher ist es äußerst wichtig, dass ungewöhnliches Verhalten von Anwendungen beim Zugriff auf Rechenzentrumsressourcen sowie deren Kommunikationsfluss analysiert werden kann. Protokollierung und Nachverfolgbarkeitsmanagement Es ist nach wie vor wichtig, dass sämtliche Aspekte der Netzwerk- und Endpunktaktivität detailliert protokolliert werden können. Nachverfolgbarkeit umfasst mehr als nur einen Zeitstempel für Warnmeldungen. Es geht darum, die File Trajectory zu bestimmen, wenn Malware in Netzwerke eingedrungen ist. Ein Unternehmen muss in der Lage sein, eine detaillierte Forensik durchzuführen, sobald eine Sicherheitsverletzung erkannt wird. Zuordnung von Funktionen zu NIST-Kontrollen Obwohl die Zuordnung der Compliance-Kontrolle in diesem Dokument nicht ausführlich behandelt wird, wollen wir dieses Thema der Vollständigkeit halber kurz ansprechen. Ein kurzer Blick in NIST SP und die SANs Top 20 Critical Security Controls ermöglicht eine Zuordnung der zuvor erläuterten Funktionen zu den in diesen beiden Dokumenten behandelten Kontrollen. Wie in Tabelle 2 erläutert, können nicht alle Kontrollen zugeordnet werden die meisten Internetsicherheitskontrollen werden jedoch berücksichtigt. 19

20 Lösungsdesign Übersicht Tabelle 2 Zuordnung von Bedrohungsfunktionen zu Kontrollen Bedrohungseingrenzung Zugriffskontrolle und -segmentierung Identitätsmanagement Anwendungsverwaltung Protokollierung und Nachverfolgbarkeit Funktionen Untersuchung und Analyse von Bedrohungen auf Datei-, Paket- und Datenflussebene Zugriffskontrolle und -segmentierung Benutzeridentitäts-, -zugriffs- und -statusüberprüfung, netzwerkbasierter Benutzerkontext Anwendungstransparenz und -kontrolle Bedrohungsforensik und Compliance Für NIST relevante Kontrollen Reaktion, Wartung, Medienschutz, Risikoanalyse, System- und Datenintegrität Zugriffskontrolle und -segmentierung Zugriffskontrolle System- und Datenintegrität, Zugriffskontrolle Audit und Verantwortlichkeit Die 20 wichtigsten Sicherheitskontrollen für SAN Kontinuierliche Schwachstellenanalyse und Problembehebung, Malware-Schutz, Datenschutz Erfassung autorisierter und nicht autorisierter Geräte, Schutz von Systemgrenzen, kontrollierter, bedarfsbasierter Zugriff, sicheres Netzwerkengineering Kontrollierter, bedarfsbasierter Zugriff, sichere Netzwerktechnik Erfassung autorisierter und nicht autorisierter Software, sichere Netzwerktechnik Pflege, Überwachung und Analyse von Audit-Protokollen Strategische Anforderungen zur Implementierung integrierter Abwehr von Bedrohungen Es gibt eine Reihe von Anforderungen, die für die Anwendung der Logik vor, während und nach dem Angriff über alle Angriffsvektoren hinweg wichtig sind. Sie dienen außerdem dazu, zu jedem Zeitpunkt, durchweg und in Echtzeit eine geeignete Reaktion zu gewährleisten. Diese Anforderungen werden nachfolgend erläutert. Transparenz SecOPS-Teams müssen genau wissen, was bereits vorgefallen ist und was aktuell passiert, damit sie ihre Aufgaben effizient erfüllen können. Dies erfordert sowohl den Überblick über die gesamte Bandbreite von Angriffsvektoren als auch detaillierten Einblick in die einzelnen Vektoren. Gesamtüberblick bedeutet die Fähigkeit, Daten von allen potenziellen Angriffsvektoren in der gesamten Netzwerkstruktur, aus s und Web-Gateways, Mobilgeräten, virtuellen Umgebungen und in der Cloud zu überblicken und zu erfassen, um Informationen zu Umgebungen und Bedrohungen zu sammeln. Tiefe Die Tiefe ermöglicht es, diese Informationen zu korrelieren, Informationen zum besseren Verständnis des Kontexts einzusetzen, fundiertere Entscheidungen zu treffen und Maßnahmen entweder manuell oder automatisch zu treffen. Die Technologie, die diesen umfassenden kontextbezogenen Überblick bietet, heißt FireSIGHT. Sie bildet die technologische Grundlage für das FireSIGHT Management Center. 20

Abdeckung des gesamten Angriffskontinuums: vor, während und nach einem Angriff. Die Zeit für ein neues Sicherheitsmodell ist gekommen

Abdeckung des gesamten Angriffskontinuums: vor, während und nach einem Angriff. Die Zeit für ein neues Sicherheitsmodell ist gekommen Whitepaper Abdeckung des gesamten Angriffskontinuums: vor, während und nach einem Angriff Die Zeit für ein neues Sicherheitsmodell ist gekommen Die Bedrohungslandschaft hat sich in den letzten zehn Jahren

Mehr

Kaspersky Fraud Prevention-Plattform: eine umfassende Lösung für die sichere Zahlungsabwicklung

Kaspersky Fraud Prevention-Plattform: eine umfassende Lösung für die sichere Zahlungsabwicklung Kaspersky Fraud Prevention-Plattform: eine umfassende Lösung für die sichere Bankkunden von heute können die meisten ihrer Finanztransaktionen online durchführen. Laut einer weltweiten Umfrage unter Internetnutzern,

Mehr

Custom Defense die Trend Micro Lösung für einen umfassenden und individuellen Schutz vor gezielten Angriffen

Custom Defense die Trend Micro Lösung für einen umfassenden und individuellen Schutz vor gezielten Angriffen Custom Defense die Trend Micro Lösung für einen umfassenden und individuellen Schutz vor gezielten Angriffen Petra Flessa Product Marketing Manager DACH it-sa 2013 10/4/2013 Copyright 2013 Trend Micro

Mehr

Secure Cloud - "In-the-Cloud-Sicherheit"

Secure Cloud - In-the-Cloud-Sicherheit Secure Cloud - "In-the-Cloud-Sicherheit" Christian Klein Senior Sales Engineer Trend Micro Deutschland GmbH Copyright 2009 Trend Micro Inc. Virtualisierung nimmt zu 16.000.000 14.000.000 Absatz virtualisierter

Mehr

Cisco ProtectLink Endpoint

Cisco ProtectLink Endpoint Cisco ProtectLink Endpoint Kostengünstige Daten- und Benutzersicherheit Wenn der Geschäftsbetrieb erste Priorität hat, bleibt keine Zeit für die Lösung von Sicherheitsproblemen, ständiges Patchen und Bereinigen

Mehr

Web Security: Schützen Sie Ihre Daten in der Cloud

Web Security: Schützen Sie Ihre Daten in der Cloud Whitepaper Web Security: Schützen Sie Ihre Daten in der Cloud Überblick Sicherheitsteams können nicht überall sein, aber im aktuellen Umfeld ist es für Unternehmen unerlässlich, ihre Daten überall dort

Mehr

CISCO Next-Generation Firewalls

CISCO Next-Generation Firewalls CISCO Next-Generation Firewalls S&L INFOTAG 2013 Trends, Technologien und existierende Schwachstellen BESCHLEUNIGUNG DER INNOVATIONSZYKLEN VON GERÄTEN OFFENE ANWENDUNGEN UND SOFTWARE-AS-A-SERVICE EXPLOSIONSARTIGER

Mehr

ÜBERBLICK ÜBER DIE WEBSENSE EMAIL SECURITY-LÖSUNGEN

ÜBERBLICK ÜBER DIE WEBSENSE EMAIL SECURITY-LÖSUNGEN ÜBERBLICK ÜBER DIE WEBSENSE EMAIL SECURITY-LÖSUNGEN ÜBERBLICK Herausforderung Viele der größten Sicherheitsverletzungen beginnen heutzutage mit einem einfachen E-Mail- Angriff, der sich Web-Schwachstellen

Mehr

McAfee Advanced Threat Defense 3.0

McAfee Advanced Threat Defense 3.0 Versionshinweise McAfee Advanced Threat Defense 3.0 Revision A Inhalt Über dieses Dokument Funktionen von McAfee Advanced Threat Defense 3.0 Gelöste Probleme Hinweise zur Installation und Aktualisierung

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

DIE NEUE LÖSUNG KASPERSKY SECURITY FOR VIRTUALIZATION FÜR VIRTUALISIERTE VMWARE-, MICROSOFT- UND CITRIX- UMGEBUNGEN

DIE NEUE LÖSUNG KASPERSKY SECURITY FOR VIRTUALIZATION FÜR VIRTUALISIERTE VMWARE-, MICROSOFT- UND CITRIX- UMGEBUNGEN DIE NEUE LÖSUNG KASPERSKY SECURITY FOR VIRTUALIZATION FÜR VIRTUALISIERTE VMWARE-, MICROSOFT- UND CITRIX- UMGEBUNGEN April 2014 SICHERHEIT IN VIRTUALISIERTEN UMGEBUNGEN: WAHR ODER FALSCH?? FALSCH VIRTUALISIERTE

Mehr

Cloud Vendor Benchmark 2013:

Cloud Vendor Benchmark 2013: Cloud Vendor Benchmark 2013: Warum Trend Micro die Nr. 1 in Cloud Security ist! Manuela Rotter, Senior Technical Consultant 2013/04/24 Copyright 2012 Trend Micro Inc. Markttrends Trend Micro Nr. 1 im Cloud

Mehr

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Rene Straube Internetworking Consultant Cisco Systems Agenda Einführung Intrusion Detection IDS Bestandteil der Infrastruktur IDS Trends

Mehr

Network Access Control für Remote Access: Best Practice Technical Paper

Network Access Control für Remote Access: Best Practice Technical Paper Network Access Control für Remote Access: Best Practice Technical Paper Stand Mai 2010 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und

Mehr

KAV/KIS 2014 Global Messaging- Leitfaden

KAV/KIS 2014 Global Messaging- Leitfaden KAV/KIS 2014 Global Messaging- Leitfaden Headlines Kaspersky Internet Security 2014 Kaspersky Anti-Virus 2014 Premium-Schutz für den PC Essenzieller PC-Schutz Produktbeschreibung 15/25/50 Kaspersky Internet

Mehr

Vermeiden Sie Fehler & Risiken in der IT-Sicherheit Maßnahmen, die Sie gegen die meisten Angriffe schützen

Vermeiden Sie Fehler & Risiken in der IT-Sicherheit Maßnahmen, die Sie gegen die meisten Angriffe schützen Vermeiden Sie Fehler & Risiken in der IT-Sicherheit Maßnahmen, die Sie gegen die meisten Angriffe schützen Michael Felber Senior Presales Consultant - Central Europe Tripwire Inc. Cyber-Sicherheit gewinnt

Mehr

Sicherheit im IT - Netzwerk

Sicherheit im IT - Netzwerk OSKAR EMMENEGGER & SÖHNE AG IT - SERVICES Email mail@it-services.tv WWW http://www.it-services.tv Stöcklistrasse CH-7205 Zizers Telefon 081-307 22 02 Telefax 081-307 22 52 Kunden erwarten von ihrem Lösungsanbieter

Mehr

Wir haben den Markt durch Innovationen grundlegend verändert. Über 11.000 zufriedene Kunden sprechen eine deutliche Sprache:

Wir haben den Markt durch Innovationen grundlegend verändert. Über 11.000 zufriedene Kunden sprechen eine deutliche Sprache: EIN SERVERSYSTEM, DAS NEUE WEGE BESCHREITET Wir haben den Markt durch Innovationen grundlegend verändert. Über 11.000 zufriedene Kunden sprechen eine deutliche Sprache: 80 % verbesserte Produktivität von

Mehr

Symantec Protection Suite Enterprise Edition für Endpoints Effizienter Umgang mit IT-Sicherheitsrisiken

Symantec Protection Suite Enterprise Edition für Endpoints Effizienter Umgang mit IT-Sicherheitsrisiken Datenblatt: Endpoint Security Symantec Protection Suite Enterprise Edition für Endpoints Effizienter Umgang mit IT-Sicherheitsrisiken Überblick Mit minimieren Unternehmen das Gefährdungspotenzial der ITRessourcen,

Mehr

Die Vorteile von Multicore-UTM. Umfassender Echtzeit-Schutz jenseits der Geschwindigkeitsbarriere

Die Vorteile von Multicore-UTM. Umfassender Echtzeit-Schutz jenseits der Geschwindigkeitsbarriere Die Vorteile von Multicore-UTM Umfassender Echtzeit-Schutz jenseits der Geschwindigkeitsbarriere Inhalt Netzwerksicherheit wird immer komplexer 1 UTM ist am effizientesten, wenn ganze Pakete gescannt werden

Mehr

W i r p r ä s e n t i e r e n

W i r p r ä s e n t i e r e n W i r p r ä s e n t i e r e n Verbesserte Optik Internet-Schutz neu erfunden Malware kann Sie immer raffinierter ausspionieren. Können Ihre smaßnahmen da mithalten? CA konzentrierte sich auf IT-Experten

Mehr

Umstellung der Windows Server 2003-Infrastruktur auf eine moderne Lösung von Cisco und Microsoft

Umstellung der Windows Server 2003-Infrastruktur auf eine moderne Lösung von Cisco und Microsoft Lösungsüberblick Umstellung der Windows Server 2003-Infrastruktur auf eine moderne Lösung von Cisco und Microsoft Am 14. Juli 2015 stellt Microsoft den Support für alle Versionen von Windows Server 2003

Mehr

McAfee Total Protection Vereinfachen Sie Ihr Sicherheits-Management

McAfee Total Protection Vereinfachen Sie Ihr Sicherheits-Management McAfee Vereinfachen Sie Ihr Sicherheits-Management Seit der erste Computervirus vor 25 Jahren sein Unwesen trieb, hat sich die Computersicherheit dramatisch verändert. Sie ist viel komplexer und zeitaufwendiger

Mehr

KASPERSKY SECURITY FOR VIRTUALIZATION

KASPERSKY SECURITY FOR VIRTUALIZATION KASPERSKY SECURITY FOR VIRTUALIZATION SCHUTZ FÜR SERVER, DESKTOPS & RECHENZENTREN Joachim Gay Senior Technical Sales Engineer Kaspersky Lab EXPONENTIELLER ANSTIEG VON MALWARE 200K Neue Bedrohungen pro

Mehr

Dunkel Mail Security

Dunkel Mail Security Dunkel Mail Security email-sicherheit auf die stressfreie Art Unser Service verhindert wie ein externer Schutzschild, dass Spam, Viren und andere Bedrohungen mit der email in Ihr Unternehmen gelangen und

Mehr

Breaking the Kill Chain

Breaking the Kill Chain Breaking the Kill Chain Eine ganzheitliche Lösung zur Abwehr heutiger Angriffe Frank Barthel, Senior System Engineer Copyright Fortinet Inc. All rights reserved. Typischer Ablauf eines zielgerichteten

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

Datenblatt: Endgerätesicherheit Symantec Endpoint Protection Die neue Generation der Antivirustechnologie von Symantec

Datenblatt: Endgerätesicherheit Symantec Endpoint Protection Die neue Generation der Antivirustechnologie von Symantec Die neue Generation der Antivirustechnologie von Symantec Übersicht Fortschrittlicher Bedrohungsschutz Symantec Endpoint Protection kombiniert Symantec AntiVirus mit fortschrittlichen Technologien zur

Mehr

Führendes Marktforschungsunternehmen sieht Trapeze Networks als die Nr. 1 bei WLAN-Sicherheit

Führendes Marktforschungsunternehmen sieht Trapeze Networks als die Nr. 1 bei WLAN-Sicherheit Führendes Marktforschungsunternehmen sieht als die Nr. 1 bei WLAN-Sicherheit Trapeze übertrumpft Cisco, Aruba, Symbol, HP und Meru bei der Bewertung der WLAN-Sicherheit München, 05. Februar 2007 ABI Research,

Mehr

Fortgeschrittene, zielgerichtete Angriffe stoppen, risikobehaftete Benutzer identifizieren und Bedrohungen durch Innentäter kontrollieren

Fortgeschrittene, zielgerichtete Angriffe stoppen, risikobehaftete Benutzer identifizieren und Bedrohungen durch Innentäter kontrollieren TRITON AP-EMAIL Fortgeschrittene, zielgerichtete Angriffe stoppen, risikobehaftete Benutzer identifizieren und Bedrohungen durch Innentäter kontrollieren Von Ködern, die auf soziale Manipulation setzen,

Mehr

#1 Security Platform for Virtualization & the Cloud. Timo Wege Sales Engineer

#1 Security Platform for Virtualization & the Cloud. Timo Wege Sales Engineer #1 Security Platform for Virtualization & the Cloud Timo Wege Sales Engineer Trend Micro marktführender Anbieter von Sicherheitslösungen für Rechenzentren Führender Sicherheitsanbieter für Server, Cloud

Mehr

26. November 2012. Mehr Schutz für Bankkunden: RSA Adaptive Authentication On Premise verhindert Kontenmissbrauch

26. November 2012. Mehr Schutz für Bankkunden: RSA Adaptive Authentication On Premise verhindert Kontenmissbrauch 26. November 2012 Mehr Schutz für Bankkunden: RSA Adaptive Authentication On Premise verhindert Kontenmissbrauch Big-Data-Analyse erkennt Angriffe verursacht durch mehr als 30 Millionen Schadprogramme

Mehr

Visualisierung & Kontrolle aktueller Angriffe im Datacenter & am Perimeter mit einer Firewall. Achim Kraus Senior Consultant Palo Alto Networks Inc.

Visualisierung & Kontrolle aktueller Angriffe im Datacenter & am Perimeter mit einer Firewall. Achim Kraus Senior Consultant Palo Alto Networks Inc. Visualisierung & Kontrolle aktueller Angriffe im Datacenter & am Perimeter mit einer Firewall Achim Kraus Senior Consultant Palo Alto Networks Inc. Agenda Flexible Netzwerkintegration in bestehende Netzwerk-Infrastrukturen

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Cloud Computing Governance Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Definition Cloud - Wolke Wolke, die; -, -n; Wölkchen: Hoch in der Luft schwebende Massen feiner Wassertröpfchen

Mehr

Integrierte Sicherheitslösungen

Integrierte Sicherheitslösungen Integrierte Sicherheitslösungen Alexander Austein Senior Systems Engineer Alexander_Austein@symantec.com IT heute: Kunstwerk ohne Einschränkung IT ermöglicht unendlich viel - Kommunikation ohne Grenzen

Mehr

Trend Micro - Deep Security

Trend Micro - Deep Security Trend Micro - Deep Security Oliver Truetsch-Toksoy Regional Account Manager Trend Micro Gegründet vor 26 Jahren, Billion $ Security Software Pure-Play Hauptsitz in Japan Tokyo Exchange Nikkei Index, Symbol

Mehr

Die verschiedenen Arten von Cyberangriffen. und wie Sie diese abwehren können

Die verschiedenen Arten von Cyberangriffen. und wie Sie diese abwehren können Die verschiedenen Arten von Cyberangriffen und wie Sie diese abwehren können Einführung Die Cyberkriminellen von heute wenden verschiedene komplexe Techniken an, um beim Eindringen in Unternehmensnetzwerke

Mehr

KAPITEL 3: ABWEHRSTRATEGIE FÜNF WICHTIGE EMPFEHLUNGEN DER GLOBAL THREAT INTELLIGENCE REPORT 2015 :: COPYRIGHT 2015 NTT INNOVATION INSTITUTE 1 LLC

KAPITEL 3: ABWEHRSTRATEGIE FÜNF WICHTIGE EMPFEHLUNGEN DER GLOBAL THREAT INTELLIGENCE REPORT 2015 :: COPYRIGHT 2015 NTT INNOVATION INSTITUTE 1 LLC KAPITEL 3: ABWEHRSTRATEGIE FÜNF WICHTIGE EMPFEHLUNGEN 1 FÜNF WICHTIGE EMPFEHLUNGEN FÜNF EMPFEHLUNGEN FÜR DEN UMGANG MIT SICHERHEITSVORFÄLLEN Im Jahr 2014 leistete die NTT Group Unterstützung bei der Eindämmung

Mehr

Deep Discovery. Udo Schneider Trend Micro Udo_Schneider@trendmicro.de. 03.07.2012 Copyright 2012 Trend Micro Inc.

Deep Discovery. Udo Schneider Trend Micro Udo_Schneider@trendmicro.de. 03.07.2012 Copyright 2012 Trend Micro Inc. Deep Discovery Udo Schneider Trend Micro Udo_Schneider@trendmicro.de 03.07.2012 Copyright 2012 Trend Micro Inc. 1 1 APTs und zielgerichtete Angriffe -- The New Norm - IDC A Cyber Intrusion Every 5 Minutes

Mehr

Complete User Protection

Complete User Protection Complete User Protection Oliver Truetsch-Toksoy Regional Account Manager Trend Micro Gegründet vor 26 Jahren, Billion $ Security Software Pure-Play Hauptsitz in Japan Tokyo Exchange Nikkei Index, Symbol

Mehr

Sicherung unternehmenskritischer Werte mit Intrusion Prevention der nächsten Generation

Sicherung unternehmenskritischer Werte mit Intrusion Prevention der nächsten Generation Sicherung unternehmenskritischer Werte mit Intrusion Prevention der nächsten Generation Volker Marschner CISSP, Security Consultant Sourcefire GmbH, now part of Cisco Alle waren wurden smart sicher gehackt

Mehr

Beispiellose Einblicke und integrierter Schutz vor fortgeschrittenen Bedrohungen und Datendiebstahl

Beispiellose Einblicke und integrierter Schutz vor fortgeschrittenen Bedrohungen und Datendiebstahl TRITON APX Beispiellose Einblicke und integrierter Schutz vor fortgeschrittenen Bedrohungen und Datendiebstahl Ihr Unternehmen ist einer stetig wachsenden Anzahl fortgeschrittener Bedrohungen ausgesetzt,

Mehr

Lizenzierung von Exchange Server 2013

Lizenzierung von Exchange Server 2013 Lizenzierung von Exchange Server 2013 Das Lizenzmodell von Exchange Server 2013 besteht aus zwei Komponenten: Serverlizenzen zur Lizenzierung der Serversoftware und Zugriffslizenzen, so genannte Client

Mehr

Endpoint Web Control Übersichtsanleitung. Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control

Endpoint Web Control Übersichtsanleitung. Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control Endpoint Web Control Übersichtsanleitung Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control Stand: Dezember 2011 Inhalt 1 Endpoint Web Control...3 2 Enterprise Console...4

Mehr

Intelligent Cybersecurity for the Real World

Intelligent Cybersecurity for the Real World Intelligent Cybersecurity for the Real World Wolfram Schulze wschulze@cisco.com Januar 2015 V3.38 Inhalt dieser Präsentation: Aktuelle Bedrohungslage, Cisco Security Report: Dem Sicherheitsteam von Cisco

Mehr

FIREWALL. Funktionsumfang IT-SICHERHEIT

FIREWALL. Funktionsumfang IT-SICHERHEIT FIREWALL Funktionsumfang IT-SICHERHEIT Um sich weiter zu entwickeln und wettbewerbsfähig zu bleiben, ist es für heutige Unternehmen an der Tagesordnung, in immer größerem Umfang und immer direkter mit

Mehr

Neueste IDG-Studie: Cyber Defense Maturity Report 2014

Neueste IDG-Studie: Cyber Defense Maturity Report 2014 Medienkontakt: Susanne Sothmann / Erna Kornelis Kafka Kommunikation 089 74 74 70 580 ssothmann@kafka-kommunikation.de ekornelis@kafka-kommunikation.de Neueste IDG-Studie: Cyber Defense Maturity Report

Mehr

Das Open Network Environment neue Impulse für Innovation

Das Open Network Environment neue Impulse für Innovation Lösungsüberblick Das Open Network Environment neue Impulse für Innovation Überblick Technologien wie Cloud Computing, Mobilität, Social Media und Video haben in der IT-Branche bereits eine zentrale Rolle

Mehr

IMPLEMENTIERUNG EINER SECURITY- ANALYTICS-ARCHITEKTUR

IMPLEMENTIERUNG EINER SECURITY- ANALYTICS-ARCHITEKTUR IMPLEMENTIERUNG EINER SECURITY- ANALYTICS-ARCHITEKTUR Lösungsübersicht ZUSAMMENFASSUNG Neue Sicherheitsbedrohungen erfordern einen neuen Ansatz für das Sicherheitsmanagement. Sicherheitsteams benötigen

Mehr

Datenblatt: Messaging-Sicherheit

Datenblatt: Messaging-Sicherheit Datenblatt: Messaging-Sicherheit Optimierte Messaging-, Internet- und Netzwerksicherheit mit einem Minimum an Verwaltungsaufwand Überblick schafft eine sicherere Messaging-, Internet- und Netzwerkumgebung,

Mehr

Advanced Threats erkennen und untersuchen ÜBERBLICK

Advanced Threats erkennen und untersuchen ÜBERBLICK Advanced Threats erkennen und untersuchen ÜBERBLICK HIGHLIGHTS RSA Security Analytics bietet: Sicherheitsüberwachung Vorfallsermittlung Compliance-Reporting Sicherheitsanalysen für große Datenmengen Das

Mehr

Sophos Computer Security Scan Startup-Anleitung

Sophos Computer Security Scan Startup-Anleitung Sophos Computer Security Scan Startup-Anleitung Produktversion: 1.0 Stand: Februar 2010 Inhalt 1 Einleitung...3 2 Vorgehensweise...3 3 Scan-Vorbereitung...3 4 Installieren der Software...4 5 Scannen der

Mehr

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Aktuelle Herausforderungen Mehr Anwendungen 2 2014, Palo

Mehr

Sichere Freigabe und Kommunikation

Sichere Freigabe und Kommunikation Sichere Freigabe und Kommunikation F-SECURE PROTECTION FOR SERVERS, EMAIL AND COLLABORATION Die Bedeutung von Sicherheit Die meisten Malware-Angriffe nutzen Softwareschwachstellen aus, um an ihr Ziel zu

Mehr

Endpoint Web Control Übersichtsanleitung

Endpoint Web Control Übersichtsanleitung Endpoint Web Control Übersichtsanleitung Sophos Web Appliance Sophos UTM (Version 9.2 oder höher) Sophos Enterprise Console Sophos Endpoint Security and Control Stand: Dezember 2013 Inhalt 1 Endpoint Web

Mehr

ENDPOINT SECURITY FOR MAC BY BITDEFENDER

ENDPOINT SECURITY FOR MAC BY BITDEFENDER ENDPOINT SECURITY FOR MAC BY BITDEFENDER Änderungsprotokoll Endpoint Security for Mac by Bitdefender Änderungsprotokoll Veröffentlicht 2015.03.11 Copyright 2015 Bitdefender Rechtlicher Hinweis Alle Rechte

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

IT Systeme / Netzwerke (SAN, LAN, VoIP, Video) DFL-800 Small Business Firewall

IT Systeme / Netzwerke (SAN, LAN, VoIP, Video) DFL-800 Small Business Firewall IT Systeme / Netzwerke (SAN, LAN, VoIP, Video) DFL-800 Small Business Firewall Seite 1 / 5 DFL-800 Small Business Firewall Diese Firewall eignet sich besonders für kleine und mittelständische Unternehmen.

Mehr

McAfee Total Protection for Endpoint Handbuch zur Schnellübersicht

McAfee Total Protection for Endpoint Handbuch zur Schnellübersicht McAfee Total Protection for Endpoint Handbuch zur Schnellübersicht COPYRIGHT Copyright 2009 McAfee, Inc. Alle Rechte vorbehalten. Diese Publikation darf in keiner Form und in keiner Weise ohne die schriftliche

Mehr

Unser differenzierter Ansatz für den Intelligent Workload Management-Markt

Unser differenzierter Ansatz für den Intelligent Workload Management-Markt Unser differenzierter Ansatz für den Intelligent Workload Management-Markt DER MARKT 1 Die IT-Landschaft unterliegt einem starken Wandel. Die Risiken und Herausforderungen, die sich aus dem Einsatz mehrerer

Mehr

Trend Micro Deep Security. Tobias Schubert Pre-Sales Engineer DACH

Trend Micro Deep Security. Tobias Schubert Pre-Sales Engineer DACH Trend Micro Deep Security Tobias Schubert Pre-Sales Engineer DACH Trends in Datenzentren Schutz von VMs VMsafe Der Trend Micro Ansatz Roadmap Virtual Patching Trends in Datenzentren Schutz von VMs VMsafe

Mehr

Online Help StruxureWare Data Center Expert

Online Help StruxureWare Data Center Expert Online Help StruxureWare Data Center Expert Version 7.2.7 Virtuelle StruxureWare Data Center Expert-Appliance Der StruxureWare Data Center Expert-7.2-Server ist als virtuelle Appliance verfügbar, die auf

Mehr

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor.

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor. Cloud Computing im Gesundheitswesen Cloud Computing ist derzeit das beherrschende Thema in der Informationstechnologie. Die Möglichkeit IT Ressourcen oder Applikationen aus einem Netz von Computern zu

Mehr

2. Automotive SupplierS Day. Security

2. Automotive SupplierS Day. Security 2. Automotive SupplierS Day Security Cyber security: Demo Cyberangriffe Steigen rasant An BEDROHUNGEN VERÄNDERN SICH: Heutige Angriffe durchdacht und erfolgreich Damage of Attacks DISRUPTION Worms Viruses

Mehr

KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG DER GLOBAL THREAT INTELLIGENCE REPORT 2015 :: COPYRIGHT 2015 NTT INNOVATION INSTITUTE 1 LLC

KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG DER GLOBAL THREAT INTELLIGENCE REPORT 2015 :: COPYRIGHT 2015 NTT INNOVATION INSTITUTE 1 LLC KAPITEL 4: FALLSTUDIE DDOS-ANGRIFF AUF EINE WEBANWENDUNG 1 DDOS-ANGRIFF AUF EINE WEBANWENDUNG LEHRE AUS DER FALLSTUDIE Im Falle eines Angriffs zahlt sich eine DoS-/DDoS-Abwehrstrategie aus. SZENARIO Das

Mehr

CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg, 08.-10.10.2013

CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg, 08.-10.10.2013 CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg, 08.-10.10.2013 IT HEUTE UND MORGEN Die Welt im Netz Das Netz wird wichtiger als der Knoten Prozesse statt Computer Cloud, Cloud,

Mehr

HANDHABBAR INTEGRIERT UMFASSEND

HANDHABBAR INTEGRIERT UMFASSEND Gefährlichere Bedrohungen Fortgeschrittenerer Anwendungsorientierter Häufiger Auf Profit abzielend Fragmentierung von Sicherheitstechnologie Zu viele Einzelprodukte Dürftige Interoperabilität Fehlende

Mehr

Trend Micro DeepSecurity

Trend Micro DeepSecurity Trend Micro DeepSecurity Umfassende Sicherheit für physische, virtuelle und Server in der Cloud Christian Klein Senior Sales Engineer CEUR Trend Micro marktführender Anbieter von Sicherheitslösungen für

Mehr

ProCurve Manager Plus 2.2

ProCurve Manager Plus 2.2 ProCurve Manager Plus 2.2 Bei ProCurve Manager Plus 2.2 handelt es sich um eine sichere Windows -basierte Netzwerkverwaltungsplattform mit erweitertem Funktionsumfang zur zentralen Konfiguration, Aktualisierung,

Mehr

Sophos Cloud. Die moderne Art Sicherheit zu verwalten. Mario Winter Senior Sales Engineer

Sophos Cloud. Die moderne Art Sicherheit zu verwalten. Mario Winter Senior Sales Engineer Sophos Cloud Die moderne Art Sicherheit zu verwalten Mario Winter Senior Sales Engineer 1 Sophos Snapshot 1985 FOUNDED OXFORD, UK $450M IN FY15 BILLING (APPX.) 2,200 EMPLOYEES (APPX.) HQ OXFORD, UK 200,000+

Mehr

Corero Network Security

Corero Network Security Corero Network Security Neue Ansätze gegen moderne DDoS- Angriffe 2015 Corero www.corero.com September 2015 2 Sub- saturation & Kurzzeit- Angriffe 96% aller Attacken dauern unter 30 Minuten, 73% unter

Mehr

Eine umfassende Unternehmenslösung für die private und berufliche Nutzung

Eine umfassende Unternehmenslösung für die private und berufliche Nutzung Eine umfassende Unternehmenslösung für die private und berufliche Nutzung Mobile Security Lösung für Unternehmen Einführung in Samsung KNOX DIE TECHNOLOGIE HINTER SAMSUNG KNOX Samsung KNOX ist eine Android-basierte

Mehr

Der Weg zur modernen IT-Infrastruktur mit FlexPod

Der Weg zur modernen IT-Infrastruktur mit FlexPod Der Weg zur modernen IT-Infrastruktur mit FlexPod Der Weg zur modernen IT-Infrastruktur mit FlexPod Das Herzstück eines Unternehmens ist heutzutage nicht selten die IT-Abteilung. Immer mehr Anwendungen

Mehr

IBM Security Systems: Intelligente Sicherheit für die Cloud

IBM Security Systems: Intelligente Sicherheit für die Cloud : Intelligente Sicherheit für die Cloud Oliver Oldach Arrow ECS GmbH 2011 Sampling of Security Incidents by Attack Type, Time and Impact Conjecture of relative breach impact is based on publicly disclosed

Mehr

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Angriffe und Schadsoftware zuverlässig erkennen Christian Scheucher secxtreme GmbH Kiefernstraße 38, D-85649 Brunnthal-Hofolding

Mehr

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing G Data Whitepaper Behaviour Blocking Marco Lauerwald Marketing Geschützt. Geschützter. G Data. Inhalt 1 Behaviour Blocking Mission: Unbekannte Bedrohungen bekämpfen... 2 1.1 Unbekannte Schädlinge: Die

Mehr

Effizientes Sicherheits-Management von Endbenutzergeräten

Effizientes Sicherheits-Management von Endbenutzergeräten Effizientes Sicherheits-Management von Endbenutzergeräten Kammerstetter Bernhard Client Technical Professional IBM Tivoli http://www-01.ibm.com/software/tivoli/solutions/endpoint/ Bernhard_Kammerstetter@at.ibm.com

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Next Generation Firewall: Security & Operation Intelligence

Next Generation Firewall: Security & Operation Intelligence Next Generation Firewall: Security & Operation Intelligence Umfassend über unterschiedliche Infrastrukturbereiche (P, DC, RA) Flexible Umsetzung: unterschiedliche Topologien & Plattformen Eine Richtlinie:

Mehr

Netzwerk- Prüfung Risikobericht

Netzwerk- Prüfung Risikobericht Netzwerk- Prüfung Risikobericht VERTRAULICHE Informationen: Die in diesem Bericht enthaltene Informationen sind ausschließlich für den Gebrauch des oben angegebenen Kunden und enthält unter Umständen vertrauliche,

Mehr

Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut

Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut TWINSOF T Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut 05.06.2013 GI Themenabend BIG DATA: Matthias Hesse, Twinsoft Ablauf 1. Wer ist denn

Mehr

KASPERSKY SECURITY FOR VIRTUALIZATION 2015

KASPERSKY SECURITY FOR VIRTUALIZATION 2015 KASPERSKY SECURITY FOR VIRTUALIZATION 2015 Leistung, Kosten, Sicherheit: Bessere Performance und mehr Effizienz beim Schutz von virtualisierten Umgebungen AGENDA - Virtualisierung im Rechenzentrum - Marktübersicht

Mehr

bewegt den Appliance Markt Wählen Sie die beste Security Appliance für Ihre Kunden

bewegt den Appliance Markt Wählen Sie die beste Security Appliance für Ihre Kunden bewegt den Appliance Markt Wählen Sie die beste Security Appliance für Ihre Kunden UTM-1 : alles inclusive - alles gesichert Markt: Kleine bis mittelständische Unternehmen oder Niederlassungen Geschäftsmöglichkeiten:

Mehr

spezial Software Defined Networking

spezial Software Defined Networking infoline spezial Software Defined Networking Alle Artikel zu unseren Fokusthemen finden Sie unter comlineag.de/infocenter Ciscos ACI-Lösung als Weg zum SDN Seit einiger Zeit sind Schlagworte wie SDN aus

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

Umfassender Echtzeitschutz vor fortgeschrittenen Bedrohungen und Datendiebstahl

Umfassender Echtzeitschutz vor fortgeschrittenen Bedrohungen und Datendiebstahl TRITON AP-WEB Umfassender Echtzeitschutz vor fortgeschrittenen Bedrohungen und Datendiebstahl Ihr Unternehmen und Ihre Daten werden ständig angegriffen. Herkömmliche Sicherheitslösungen bieten keinen ausreichenden

Mehr

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de Endpoint Security Where trust begins and ends SINN GmbH Andreas Fleischmann Technischer Leiter www.s-inn.de Herausforderung für die IT Wer befindet sich im Netzwerk? Welcher Benutzer? Mit welchem Gerät?

Mehr

Factsheet. Security Intelligence mit Vectra

Factsheet. Security Intelligence mit Vectra Factsheet Security Intelligence mit Vectra Neu definierte Sicherheit Cyberangriffe stellen für Unternehmen jeder Grösse und in jeder Branche inzwischen einen Teil des Alltags dar. In den Nachrichten liest

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

Cisco erweitert Gigabit-Ethernet-Portfolio

Cisco erweitert Gigabit-Ethernet-Portfolio Seite 1/6 Kleine und mittelständische Unternehmen Neue 1000BaseT-Produkte erleichtern die Migration zur Gigabit-Ethernet- Technologie WIEN. Cisco Systems stellt eine Lösung vor, die mittelständischen Unternehmen

Mehr

Stoppen Sie fortgeschrittene Bedrohungen und schützen Sie die vertraulichen Daten mobiler Nutzer

Stoppen Sie fortgeschrittene Bedrohungen und schützen Sie die vertraulichen Daten mobiler Nutzer TRITON AP-ENDPOINT Stoppen Sie fortgeschrittene Bedrohungen und schützen Sie die vertraulichen Daten mobiler Nutzer Von einer Schädigung des Rufs bis hin zu behördlich auferlegten Bußgeldern und Strafen

Mehr

Microsoft Lizenzierung SQL Server 2014. Bernd Löschner

Microsoft Lizenzierung SQL Server 2014. Bernd Löschner Bernd Löschner EDITIONEN Enterprise Edition für mission critical Anwendungen und large scale Data Warehousing. Business Intelligence Edition für Premium Unternehmen und self service BI. Standard Edition

Mehr

Relevante Daten zum richtigen Zeitpunkt

Relevante Daten zum richtigen Zeitpunkt Netzwerkadministratoren analysieren Netze aus zahlreichen Blickwinkeln. Einmal steht die Netzwerksicherheit im Vordergrund, dann eine bestimmte Anwendung oder das Compliance-Management. Für alles gibt

Mehr

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation Departement Wirtschaft IT Forensics in action against malicious Software of the newest generation Dipl. Ing. Uwe Irmer IT Security- Schnappschüsse 2 Malware der neuesten Generation Professionalität- wer

Mehr

Die Cloud, die für Ihr Unternehmen geschaffen wurde.

Die Cloud, die für Ihr Unternehmen geschaffen wurde. Die Cloud, die für Ihr Unternehmen geschaffen wurde. Das ist die Microsoft Cloud. Jedes Unternehmen ist einzigartig. Ganz gleich, ob im Gesundheitssektor oder im Einzelhandel, in der Fertigung oder im

Mehr

Viele Gründe sprechen für eine Cisco Security-Lösung Ihr Umsatzwachstum ist nur einer davon

Viele Gründe sprechen für eine Cisco Security-Lösung Ihr Umsatzwachstum ist nur einer davon Viele Gründe sprechen für eine Cisco -Lösung Ihr Umsatzwachstum ist nur einer davon Netzwerksicherheit ist nicht nur für Fachleute ein Dauerbrenner es ist in jedem Unternehmen ein zentrales Thema. Was

Mehr

MailStore Service Provider Edition (SPE)

MailStore Service Provider Edition (SPE) MailStore Solutions MailStore Service Provider Edition (SPE) E-Mail-Archivierung für Service Provider Mit Hilfe der MailStore Service Provider Edition können Sie Ihren Kunden moderne E-Mail-Archivierung

Mehr