Informationen zu den Autoren

Transkript

1 Secure Data Center für Großunternehmen Threat Management mit NextGen IPS Designhandbuch Letzte Aktualisierung: 24. April 2015

2 Informationen zu den Autoren Informationen zu den Autoren Tom Hogue, Security Solutions Manager, Security Business Group, Cisco Tom Hogue Mike Storm Bart McGlothin Matt Kaneko Tom Hogue ist Data Center Security Solutions Manager bei Cisco und arbeitet dort seit mehr als 20 Jahren an der Entwicklung integrierter Lösungen. Zuvor war er in anderen Unternehmen der Branche tätig. Er leitete die Entwicklung branchenführender Rechenzentrumslösungen, wie z. B. FlexPod und Vblock, und sicherer Multi-Tenant-Funktionen. In seiner jetzigen Position leitet er die Lösungsentwicklung für das Lösungsportfolio des Secure Data Center for the Enterprise, und er wirkte am Cisco Validated Design-Handbuch Single Site Clustering with TrustSec mit. Mike Storm, Senior Technical Engineering Leader, Security Business Group, Cisco CCIE Security #13847 Mike Storm leitet die globale Sicherheits-Community bei Cisco Systems, die Informationen zu Konkurrenzunternehmen und deren Architekturen sammelt und auswertet. In erster Linie kümmert er sich um das Thema Sicherheit im Rechenzentrum und entwickelt Architekturen, die auf die nahtlose Integration mit Sicherheits-Services der nächsten Generation in Rechenzentren und Virtualisierungstechnologien für Unternehmen der Enterprise-Klasse ausgelegt sind. Mike hat mehr als 20 Jahre Erfahrung in der Netzwerk- und Cyber-Sicherheitsbranche. Er arbeitete in diesem Bereich unter anderem als Enterprise Consultant und Technical Writer sowie als Professional Speaker in diesem Bereich. Er ist Autor mehrerer diesbezüglicher Publikationen, u. a. des Secure Data Center Design Field Guide und war an der Erstellung des Validated Design-Leitfadens Single Site Clustering with TrustSec mit. Bart McGlothin, Security Systems Architect, Security Business Group, Cisco Bart McGlothin ist Security Solutions Architect bei Cisco mit mehr als 15 Jahren Erfahrung in der Entwicklung von Branchenlösungen. Er ist hauptverantwortlich für die Kommunikation und Zusammenarbeit zwischen Cisco und dem National Retail Federation's Association for Retail Technology Standards Committee. Vor seinem Wechsel zu Cisco war er Netzwerkarchitekt bei Safeway, Inc. Matt Kaneko, Security Systems Architect, Security Business Group, Cisco Matt Kaneko ist der Hauptverantwortliche für die technische Umsetzung von Lösungen innerhalb des Secure Data Center Solution-Teams. Er und sein Team arbeiten eng mit Produktmarketingteams verschiedener Geschäftsgruppen zusammen. Basierend auf diesem Austausch und auf Kundenfeedback erstellen sie Lösungsarchitekturen. Davor arbeitete Matt als Technical Marketing Manager für verschiedene Cisco Security-Produktserien, darunter Cisco ASA Next-Generation Firewall, Cisco Intrusions-Schutzsystem, Cisco AnyConnect und die zugehörige Managementproduktserie. 2

3 INHALT Einführung 5 Ziel dieses Dokuments 5 Zielgruppe 6 Secure Data Center for the Enterprise Lösungsübersicht 6 Zusammenfassung 6 Lösungsdesign Übersicht 7 Threat Management mit NextGen IPS 7 Cyber-Bedrohungen für das Rechenzentrum 8 Angriffskette 10 Anzeichen für Bedrohungen (Indicators of Compromise) 12 Die dynamische und ständig wachsende Bedrohungslandschaft 13 Ein Sicherheitsmodell, das integrierte Abwehr von Bedrohungen nutzt 14 Threat Management-Systemfunktionen 16 Bedrohungseingrenzung und Problembehebung 18 Zugriffskontrolle und -segmentierung 18 Identitätsmanagement 19 Anwendungstransparenz 19 Protokollierung und Nachverfolgbarkeitsmanagement 19 Strategische Anforderungen zur Implementierung integrierter Abwehr von Bedrohungen 20 Threat Management-Technologien 22 Retrospective Security: Ein Blick über den Ereignishorizont hinaus 22 Schlüsseltechnologie für Retrospective Security: Trajectory 23 Network File Trajectory und Device Trajectory 24 Threat Management-Funktionen für sämtliche Abläufe 32 Validierte Komponenten 34 Design-Überlegungen zu Threat Management mit NextGen IPS 34 FirePOWER-Appliance und Integration der Management-Plattform 34 Plattform-Management FireSIGHT Management Center 34 Verwendung redundanter FireSIGHT Management Center 35 Lizenz-Erwägungen 37 NextGen IPS Fabric Integration 38 Threat Management mit NextGen IPS-Design 40 Secure Data Center for the Enterprise Handhabung von Sicherheitsrisiken mit NextGen IPS 3

4 Threat Management-Systemfunktionen Überlegungen zum Design 59 Bedrohungseingrenzung und Problembehebung 59 Zugriffskontrolle und -segmentierung 65 Identitätsmanagement 67 Anwendungstransparenz und -kontrolle 68 Protokollierung und Nachverfolgbarkeitsmanagement 72 Validierungsergebnisse 74 Zusammenfassung 74 Referenzen 75 Secure Data Center for the Enterprise Handhabung von Sicherheitsrisiken mit NextGen IPS 4

5 Einführung Ziel dieses Dokuments Cisco Secure Data Center for the Enterprise ist ein Portfolio aus Lösungen, die Unterstützung bei Design und Implementierung für Unternehmen bieten, welche physische und virtualisierte Workloads in ihren Rechenzentren bereitstellen und gleichzeitig besten Schutz haben möchten, um sich gegen die komplexen Bedrohungen der Datensicherheit in der heutigen Welt zu wehren. Dieses Dokument behandelt vor allem die Unterstützung bei der Integration von Threat Management mit NextGen IPS in das Secure Data Center for the Enterprise-Lösungsportfolio. Es baut auf den Design- und Bereitstellungsanleitungen auf, die mit den entsprechenden Lösungen zur Verfügung gestellt werden, wie die Lösungsübersicht in Abbildung 1 zeigt. Abbildung 1 Cisco Secure Data Center for the Enterprise-Portfolio Lösungsübersicht 6 CISCO SECURE DATA CENTER FOR THE ENTERPRISE-LÖSUNGSPORTFOLIO Cisco Secure Enclave Architecture Einzelstandort-Clustering mit Cisco TrustSec Cisco Threat Management mit NextGen IPS Cisco Cyber Threat Defense für das Rechenzentrum Konvergente Infrastruktur Computing Storage Hypervisor (Flexpod, Vblock, VSPEX) Virtualisierung Infrastrukturmanagement Access Layer Secure Enclaves Firewall-Clustering Intrusion Prevention Aktualisierungen in Echtzeit Management TrustSec SXP Sicherheitsgruppen-Tags Richtliniendurchsetzung SGACLs FWACLs NextGen IPS in ASA Cluster Defense Center FireSIGHT Anwendungstransparenz Netzwerk-AMP FireAMP Retrospektion File Trajectory Network Trajectory Lancope StealthWatch FlowCollector FlowSensor NetFlow NSEL Weitere Inhalte, die nicht in diesem Dokument enthalten sind, finden Sie unter den zusätzlichen Inhalten im Secure Data Center Solution-Portal unter folgender URL: Unternehmenszentrale: Cisco Systems, Inc., 170 West Tasman Drive, San Jose, CA USA Copyright 2014 Cisco Systems, Inc. Alle Rechte vorbehalten

6 Secure Data Center for the Enterprise Lösungsübersicht Zielgruppe Dieses Dokument enthält hilfreiche Informationen insbesondere für Sicherheitsarchitekten, Systemarchitekten, Netzwerkdesigntechniker, Systemtechniker, Außendienstmitarbeiter, Advanced Services-Spezialisten und Kunden, die mehr über das Bereitstellen einer robusten Sicherheitsarchitektur in einem Rechenzentrum erfahren möchten, um die komplexen Bedrohungen von heute abzuwenden. Bei dieser Bereitstellung soll weder die Flexibilität, virtualisierte und physische Workloads zu betreiben, noch Funktionen in herkömmlichen Modi oder von in die Cloud migrierten Betriebsmodellen beeinträchtigt werden. Dieses Dokument greift auch auf weitere ergänzende Lösungen zurück, die in separaten Design- und Bereitstellungsanleitungen dokumentiert sind. Für dieses Designhandbuch wird vorausgesetzt, dass der Leser mit den grundlegenden Konzepten von IP-Protokollen, Quality of Service (QoS), hoher Verfügbarkeit (HA) und Sicherheitstechnologien vertraut ist. Des Weiteren wird vorausgesetzt, dass der Leser mit den allgemeinen Systemanforderungen vertraut ist und über Kenntnisse im Hinblick auf das Unternehmensnetzwerk und die Rechenzentrumsarchitekturen verfügt. Secure Data Center for the Enterprise Lösungsübersicht Zusammenfassung Das Secure Data Center for the Enterprise-Portfolio entwickelte sich aus einem zentralen Designhandbuch für Kunden zur Integration von Cisco ASA-Firewalls in die Rechenzentrums-Fabric. Im November 2013 wurde dieses Designhandbuch nach dem Modulprinzip ergänzt, um eine umfassende Palette an Designleitfäden für Kunden zur Verfügung zu stellen. Mit der Single Site Clustering-Lösung mit TrustSec wurden ASA 5585-X Clustering für Skalierbarkeit, TrustSec für Richtlinienaggregation und Intrusion Prevention zum Schutz vor Bedrohungen eingeführt. In Kombination mit der Secure Enclaves-Referenzarchitektur und Cyber Threat Defense für Rechenzentren bildet diese Lösung ein äußerst leistungsstarkes Sicherheitsportfolio für unsere Kunden. Daher wird dieses Produktportfolio in seiner Gesamtheit auch als Secure Data Center for the Enterprise-Portfolio bezeichnet, welches in Zukunft um weitere Funktionen ergänzt werden soll. Threat Management mit NextGen IPS ist das nächste Cisco Validated Design, das zum Secure Data Center for the Enterprise-Lösungsportfolio hinzugefügt werden soll. Dieses neue Cisco Validated Design baut auf Single Site Clustering mit TrustSec auf und demonstriert Kunden, wie sie FirePOWER NextGen IPS in die Architektur integrieren können und mit dieser Lösung umfassende Funktionen für ein Threat Management-System erhalten. Das Designhandbuch verfolgt einen anderen Ansatz, indem er die Perspektive eines Cyber-Angreifers darstellt. Er erläutert die Angriffskette aus Sicht der Angreifer, wo sie ihre Funktionen entwickeln, um einen erfolgreichen Angriff durchzuführen. Auf diese Weise wird deutlich, dass zur Verteidigung neue Funktionen entwickelt und implementiert werden müssen, um ein Thread Management-System aufzubauen. Dieses Cisco Validated Design behandelt nicht die grundlegenden Schritte zum Schutz des Rechenzentrums, wie zum Beispiel Sicherstellen, dass keine Standardpasswörter verwendet werden. Unternehmen wird daher dringend geraten, sich für entsprechende Branchenvorgaben zu entscheiden und die Sicherheitskontrollen entsprechend zu implementieren. Dieses Dokument erläutert eine neue Funktionen und beschreibt, wie die neue FirePOWER NextGen IPS Plattform in die Fabric integriert wird. 6

7 Lösungsdesign Übersicht Lösungsdesign Übersicht Threat Management mit NextGen IPS Abbildung 2 zeigt das Architektur-Framework für die Threat Management mit NextGen IPS-Lösung. Zur Erinnerung: Diese Lösung basiert auf Secure Data Center Single Site Clustering mit TrustSec als Basis. Sie ist damit Voraussetzung für dieses Designhandbuch. Abbildung 2 Threat Management mit NextGen IPS DC Core Layer WAN Management und Betriebsabläufe DC-Aggregation und Serviceebene Nord-Süd-Schutzservices für Serverfarmen Schutz vor Malware für Netzwerke Hinweis: CCL = Cluster Data Link Redundante Verbindung zur Nexus 7000-Serie Virtuelles Netzwerk und Zugriff Ost-West-Schutz Zonenbasiertes Filtern (2) 10-GE- Verbindungen Erweiterter Echtzeitschutz der Cisco SIO CCL ASA 5585-X-Cluster mit Sourcefire NGIPS bis zu 16 ASA 5585-X-Knotenpunkte bis zu (16) Sourcefire oder 8350-Stacks Physischer Zugriff Computing QFP Physischer Zugriff VPC- Peer VPC- Peer QFP FireSIGHT Management Center Identity Services Engine NetFlow Collector NetFlow Generation Appliance Tier 1 Tier 2 Rollenbasierter Betrieb Defense Center StealthWatch- Konsole Cisco Security Manager ISE-Admin- Portal Erweiterter Malware- Schutz Benutzer- und Ablaufkontext Anwendung für Bedrohungsschutzmanagement in Echtzeit Transparenz URL-Kontrolle NetFlow-basierter Bedrohungsschutz Verhaltensanalyse Benutzer- und Ablaufkontexanalyse Management der Reaktion auf Zwischenfälle und Netzwerkforensik Richtlinienverwaltung für Zugriffskontrolle Benutzerintegration Statusüberprüfung für Geräte Richtlinienaggregationsverwaltung Storage Konvergentes Netzwerk-Rack Rack-Serverbereitstellung Physisch-virtuelle-Umgebungen für Workloads Tier N UCS Director Workload und Sicherheit Servicesautomatisierung Konvergentes, integriertes Infrastrukturmanagement

8 Lösungsdesign Übersicht Threat Management mit NextGen IPS nutzt die Designanleitung des Single Site Clustering mit TrustSec, die Technologien umfasst, welche wirkungsvollere Sicherheitsfunktionen im gesamten Rechenzentrum ermöglichen, sofern die folgenden Designvorgaben erfüllt sind: ASA-Firewall-Clustering für Skalierbarkeit Fabric-Integration mit Virtual Port Channels (vpcs) Link-Aggregation für einen vereinfachten Betrieb Schutz vor Sicherheitsrisiken und Anwendungstransparenz Signatur-Updates in Echtzeit Sicherheitsgruppen-Tags (SGTs) für Richtlinienaggregation Das Designhandbuch für Threat Management mit NextGen IPS erweitert das Single Site Clustering um die TrustSec-Lösung und erläutert die Integration der FirePOWER NextGen IPS-Plattform in die Architektur sowohl aus physischer als auch aus virtueller Perspektive. Die FirePOWER-Anwendung bietet Funktionen zum Schutz vor Bedrohungen, die weit über herkömmliche IPS-Angebote hinausreichen. Kombiniert man diese Funktionen mit denen, die im Secure Data Center for the Enterprise-Portfolio enthalten waren, entsteht eine umfassende Lösung, die Kunden dank enorm leistungsstarken Thread Management-Workflows eine höchst effektive Reaktion auf die aktuellen Cyber-Bedrohungen ermöglicht. Cyber-Bedrohungen für das Rechenzentrum Für Unternehmen ist ein herkömmliches Rechenzentrum in der Regel der Ort, an dem sich die wichtigsten und wertvollsten Ressourcen befinden Dies können Daten in Form von urheberrechtlich geschützten Informationen, Kundenkontakte, Kundenkreditkarten, Finanzinformationen des Unternehmens, Bankkonten des Unternehmens, Mitarbeiterinformationen, etc. sein. Wenn die Daten im Rechenzentrum für das Unternehmen wertvoll sind, sind sie das auch für Cyberkriminelle ganz gleich, ob aus Finanz-, Spionage- oder anderen Gründen. Es ist unstrittig, dass die Rechenzentren eine wichtige Ressource sind, die geschützt werden muss. Die meisten Unternehmen verfügen über ein gewisses Maß an Segmentierung mit Richtlinien für die Zugriffskontrollen, um sicherzustellen, dass nur autorisierte Benutzer Zugriff auf Informationen im Rechenzentrum haben, und zwar nur auf die Informationen, die sie wirklich benötigen. Leider basiert dieser Ansatz auf einigen veralteten Annahmen. Daher muss der Schutz der Rechenzentren überdacht werden. Viele Organisationen verlassen sich allein auf Zugriffskontrolllisten und deren Durchsetzung, um das Rechenzentrum zu schützen. Dabei geht man in erster Linie davon aus, dass der autorisierte Benutzer wirklich der ist, der er vorgibt zu sein, oder dass wirklich der autorisierte Benutzer die Kontrolle hat und mit seinem eigenen Gerät auf das Rechenzentrum zugreift. Eine der einfachsten Methoden, über die sich Cyber-Angreifer Zugriff in das Netzwerk eines Unternehmens verschaffen können, ist die Installation von Rootkits auf dem Endgerät eines Benutzers. Dies kann beispielsweise geschehen, wenn der nichts ahnende Benutzer zu Hause eine schädliche Website aufruft, während er nicht mit dem Unternehmensnetzwerk verbunden ist. (Siehe Abbildung 3). 8

9 Lösungsdesign Übersicht Abbildung 3 Exploit-Kits Webserver lenkt Client zum Malwareserver um Kompromittierter Webserver Malwareserver überträgt Malware auf Client Benutzer Client ist kompromittiert Sobald die Malware auf dem Endbenutzergerät installiert ist und sich der Benutzer wieder im Unternehmensnetzwerk anmeldet, nimmt die Malware die Identität des Endbenutzers an und kann auf alle Ressourcen des Rechenzentrums zugreifen, die der Benutzer normalerweise nutzen kann. An diesem Punkt ermöglichen diese Sicherheitszugriffskontrolllisten der Malware den Zugriff auf das Rechenzentrum über das Netzwerk (siehe Abbildung 4). Dieser Ansatz berücksichtigt nicht einmal den Fall, wenn Anmeldedaten gestohlen werden und die Cyber-Angreifer einfach über die Autorisierung auf die Rechenzentrumressourcen zugreifen können Abbildung 4 Kompromittierter Server VM VM VM VM VM VM Kompromittierter Client Malware erhält Kernel-Zugriff VM-basierte Rootkits Sobald ein Cyber-Angreifer direkten Zugriff auf das Rechenzentrum hat, beginnt er, die Server und Anwendungen im Rechenzentrum zu bedrohen. Ein relativ neuer Typ von Exploits, die direkt die Rechenzentren angreifen, sind die VM-basierten Rootkits (Virtual Machine-Based Rootkits, VMBR), wie in Abbildung 5 dargestellt. Erfolgreiche VMBR-Exploits, wie Blue Pill, Vitriol und SubVirt, wurden bei Black Hat von Forschern vorgeführt. Ob diese Exploits nun von Cyber-Angreifern verwendet werden oder nicht die Bedrohung ist real. 9

10 Lösungsdesign Übersicht Abbildung 5 VMBR-Rootkit Malware kontaktiert Hauptserver VMs unter Cyberangriffskontrolle VM VM VM VM VM VM VM-Überwachung kompromittiert Malware hat Kernel-Zugriff Die grundlegende Frage, die beantwortet werden muss, lautet: Ist die Durchsetzung der Zugriffskontrolle sicher genug, um die Ressourcen des Rechenzentrums zu schützen? Während kein Zweifel besteht, dass sich die Cyber-Angriffe gegen das Rechenzentrum richten, ist es insbesondere die Kombination aus bestehenden Sicherheitsmodellen und neuen Cyberbedrohungen, die die neue wirkliche Gefahr für Rechenzentren darstellt. Die oben genannten Beispiele sind sehr stark vereinfacht, die Bedrohungen für das Rechenzentrum hingegen extrem komplex. Im folgenden Abschnitt werden die Angriffskette und ein neues Sicherheitsmodell beschrieben, und es wird erläutert, wie das neue Modell in die in den folgenden Abschnitten beschriebenen Unterfunktionen einzuordnen ist. Angriffskette Im vorhergehenden Abschnitt wurde kurz erläutert, wie ein Rootkit funktioniert. Um jedoch frühere Annahmen zum Schutz des Rechenzentrums weiter zu untersuchen, müssen wir uns zunächst näher mit den behandelten Herausforderungen beschäftigen. Es ist wichtig, zu erkennen, dass die erfolgreicheren Cyber-Angriffe sehr gezielt ausgeführt werden. Die komplexeren Cyber-Angriffe können mithilfe des Angriffskettenmodells aus der Perspektive des Cyber-Angreifers unterteilt werden (siehe Abbildung 6). Abbildung 6 Angriffskette Untersuchung Entwicklung Überprüfung Durchführung Erreichung

11 Lösungsdesign Übersicht Der im Juli 2000 im Air Force Magazine erschienene Artikel von John A. Tirpak Find, Track, Target, Engage, Assess erläutert das Konzept einer Kill Chain vor. Diese Worte hat er aus der Rede von General Ronald R. Fogleman, Chef des Einsatzstabs der Luftwaffe, vom Oktober 1996 übernommen. Dieser erklärte damals: Alles, was sich auf der Erdoberfläche bewegt, kann ausfindig gemacht, dingfest gemacht und nachverfolgt werden. Die Konzepte dieser Rede resultierten schließlich in der Kill Chain Find, Fix, Target, Engage, Assess (finden, dingfest machen, anvisieren, angreifen, auswerten). Im Laufe der Zeit haben die Verschiedenen Gattungen des Militärs die Kill Chain an ihre individuellen Anforderungen angepasst. Dieser Bericht schlägt noch eine weitere Version des Kill Chain-Konzepts vor, die eher der Denkweise eines Softwareentwicklers (oder Hackers) entspricht. Beachten Sie, dass die Angriffskette nicht einem bestimmten Zeitplan zugeordnet wird, da einige Cyber-Angreifer ihre Ziele über mehr als ein Jahr hinweg bearbeiten, um zu vermeiden, dass sie erkannt werden. In anderen Fällen erfolgen die Angriffe sehr schnell innerhalb von Minuten. Viele Unternehmen haben das Kill Chain-Konzept verwendet, um Modelle zum Schutz vor Cyber-Bedrohungen zu entwickeln. Untersuchung Um sich auf Angriffe vorzubereiten, ist es wichtig, zu wissen, wie die Umgebung aussieht: Welche Ports sind offen, und muss das Rootkit über mehrere Ports arbeiten? Welche Betriebssysteme werden erkannt? Welche Umgehungs- und Verschleierungstechniken muss ein Cyber-Angreifer einsetzen? Welches sind die wichtigsten im Zielunternehmen eingesetzten Schutzmechanismen? Wie weit kommt ein Cyber-Angreifer mit der Verwendung von Standard-Passwörtern? Können -Adressen für eine Vielzahl von Benutzern ausgespäht werden, um eine Phishing-Kampagne zu starten? Leider sind Phishing-Kampagnen nach wie vor äußerst erfolgreich. Das ergab der Verizon 2014 Data Breach Report. Darin wurde gezeigt, dass die Erfolgsquote bei nur zehn s, die an Endbenutzer gesendet werden, immer noch bei 90 Prozent liegt. Entwicklung Nachdem die gründliche Untersuchung für den Cyber-Angriff abgeschlossen ist, beginnt der Angreifer damit, Funktionen für einen erfolgreichen Angriff zu entwickeln. Dabei ist zu beachten, dass das Wort entwickeln nicht unbedingt bedeutet, dass neue Malware von Grund auf geschrieben werden muss. Es gibt zahlreiche Malware-Optionen, aus denen ein Cyber-Angreifer auswählen kann, ohne jemals selbst einen Code schreiben zu müssen. Obwohl es allgemein bekannt ist, ist es kaum zu glauben, dass man Lizenzen und Serviceverträge für Malware erwerben kann. Wenn der Angreifer benutzerdefinierte Malware für sein Ziel erstellen möchte, gibt es viele Open Source-Codes, die individuell angepasst werden können. Dies ist eine sehr effiziente Methode für die Community der Cyber-Angreifer. Überprüfung Sobald er über die richtigen Tools verfügt, fährt der Cyber-Angreifer mit der Test- und Validierungsphase fort. Es ist sehr wichtig für den Cyber-Angreifer, dass er unerkannt auf die Zielressourcen zugreifen kann. Wenn die Angreifer zu früh in der Angriffskette erkannt werden, müssen sie von vorne beginnen, da ihr anvisiertes Opfer neue Gegenmaßnahmen ergreift. Angreifer müssen sicherstellen, dass ihre Verschleierungstechniken effektiv sind. Sie wollen Zugriff erlangen, unentdeckt bleiben und sich ausreichend Zeit nehmen, um ihr Ziel zu erreichen. 11

12 Lösungsdesign Übersicht Durchführung Abschluss Sobald die Überprüfung abgeschlossen ist, können die Angreifer sich Zugriff auf die Ressourcen des Ziels verschaffen. Dazu können sie entweder Malware auf den Endbenutzergeräten installieren, oder auf Web-Anwendungsserver, -Server und alle anderen Geräte zugreifen, über die sie unbemerkt in das Netzwerk eindringen können. Sobald sie ins Netzwerk eingedrungen sind, versuchen sie, eine sekundäre Zugriffsmethode einzurichten, falls ihr Hauptziel durch Gegenmaßnahmen geschützt ist. Dieser wichtige Schritt wird später in diesem Dokument weiter erläutert. Nachdem der Cyber-Angreifer nun Zugriff auf das Zielnetzwerk hat, kann er sein Vorhaben vollenden: Wertvolle Daten werden extrahiert oder zerstört, Verweise werden hinterlassen sowie weitere Aktionen durchgeführt, um das Ziel des Cyber-Angriffs zu erreichen. Ein Cyber-Angreifer findet auch Stellen, an denen er seine Malware für zukünftige Cyber-Attacken platzieren kann. Anzeichen für Bedrohungen (Indicators of Compromise) In vielen Fällen liegt zwischen der Umsetzung und dem Abschluss eines Angriffs mehr als ein Jahr. Viele Cyber-Angreifer setzen auf die Strategie Abwarten und Tee trinken, um ihre Angriffe mit maximaler Effizienz zu führen. Bei dieser Strategie gibt es, wenn überhaupt, nur sehr wenige Anzeichen für eine Kompromittierung. Wenn man bedenkt, dass dieser Ansatz so wenige Anzeichen liefert, im Vergleich zu den Tausenden von Warnungen, die von vorhandenen Bedrohungssystemen generiert werden, ist es kein Wunder, dass diese Arten von Angriffen sehr schwierig zu erkennen sind. Bevor die Anzeichen für eine Kompromittierung identifiziert wurden, setzte die Branche auf Anzeichen eines Angriffs. Herkömmliche Intrusion Prevention Systems boten Anzeichen für einen Angriff, indem Warnungen anhand des Abgleichs einer signaturbasierten Point-in-Time-Einstufung ausgelöst wurden. Die IPS-Systeme gaben leider viele falsch-positive Meldungen aus. Dies lag an dem Traffic-Fluss, der mit Signaturen übereinstimmt, aber harmlos ist. Die Betreiber identifizierten dann Signaturen, die mit dem gutartigen Verkehr von bestimmten Hosts übereinstimmten, damit diese Traffic-Flüsse keine Warnungen generieren. Die verbleibenden Warnmeldungen wurden als Anzeichen für Angriffe behandelt, die vom IPS-System identifiziert wurden. Leider waren diese falschen Warnungen so zahlreich, dass echte Warnmeldungen oft einfach übersehen wurden. Wenn die Unternehmen dann ein glaubhaftes Anzeichen für eine Kompromittierung erkannt hatten, mussten sie eine zeitraubende und schwierige Analyse durchführen, um die folgenden Fragen zu beantworten: Welche Methode und welcher Angriffspunkt wurden genutzt? Welche Systeme waren betroffen? Was genau hat die Bedrohung verursacht? Kann ich die Bedrohung und ihre Ursachen aufhalten? Wie kann der Schaden behoben werden? Wie kann der Angriff in Zukunft abgewehrt werden? Cyber-Sicherheitsteams brauchten einen neuen Ansatz, der auf einem umfassenden Satz genauer Daten basiert, um zuverlässige Anzeichen für Kompromittierung abzuleiten. Ein solcher Ansatz, der eine breitere und auch genauere Analyse der Ergebnisse ermöglichen würde, könnte beispielsweise folgende Elemente umfassen: Was ist dieser Angriff? Beispielsweise ein bekannter Typ oder eine Kategorie. Welches sind die wesentlichen Merkmale des Angriffs? Beispielsweise die Vorgehensweise des Angreifers. Was hat sich möglicherweise am anvisierten Endpunkt geändert usw.? 12

13 Lösungsdesign Übersicht Woher kam der Angriff? Wie wurde der Angriff festgestellt? Welcher Endpunkt ist Ziel des Angriffs? Welches Betriebssystem? Ist das Ziel für diese Bedrohung anfällig? Ist der Endpunkt durch diesen oder andere Angriffe kompromittiert worden, aktuell oder in der Vergangenheit? Welche anderen Systeme hat dieses Gerät kontaktiert? Welche Anwendung wird anvisiert (z. B. Client oder Web)? Besteht die Möglichkeit, dass das Ziel durch dieses Ereignis beeinträchtigt wurde? Ist dies ein neues Problem, oder wurde es über eine externe Quelle eingeschleust, beispielsweise Bring-Your-Own-Device (BYOD)? Befindet sich der angreifende Host derzeit im Netzwerk oder außerhalb des Netzwerks? Was war/ist die Ursache? Kann das System sofort ermitteln, wie viele Hosts oder Netzwerkgeräte möglicherweise für diese Bedrohung anfällig sind? Wenn dieser Angriff blockiert wird, wie kann das System feststellen, ob es sich tatsächlich um einen Angriff handelt oder nicht? Ein Beispiel für ein gutes Kennzeichen einer Kompromittierung wäre, wenn eine Java-Anwendung anfängt, Anwendungen zu installieren und auszuführen, was nie passieren sollte. Leider ist Java ein gängiger Bedrohungsvektor und nach wie vor der Favorit vieler Cyber-Angreifer. Diese Angriffsart kann ganz einfach mit jeder beliebigen Zugriffskontrollliste übereinstimmen und von herkömmlichen IPS übersehen werden, da die Dateisignatur keine Warnmeldung auslöst. Um eine erweiterte Anzeige für Kompromittierungen zu erreichen, müssen Ereignisse aus folgenden Komponenten und Aktivitäten korreliert werden: Malware-Aktivitäten Identifizierung von Sicherheitsrisiken Netzwerkverbindungen Network File Trajectorys Device Trajectorys Gerätenetzwerkverlauf, einschließlich, aber nicht beschränkt auf laterale Bewegungen, Überordnungs- und Unterordnungsverhältnisse oder Kontext Das Ziel ist für alle oben genannten Aspekte gleich: Korrelation mit Netzwerk-, Endpunkt-, Anwendungsund Benutzerkontext. Der daraus resultierende Datensatz bietet auf eine einzigartige Weise ausreichend präzise Indikatoren für Kompromittierung über das gesamte Netzwerk hinweg, die zuverlässig und sofort umgesetzt werden können. Die dynamische und ständig wachsende Bedrohungslandschaft Moderne erweiterte Netzwerke und ihre Komponenten entwickeln sich ständig weiter und bringen neue Angriffsvektoren mit sich: Mobilgeräte, webbasierte und mobile Anwendungen, Hypervisoren, Social Media, Webbrowser, integrierte Computer sowie eine enorme Verbreitung von Geräten, die das Internet of Everything mit sich bringt. 13

14 Lösungsdesign Übersicht Die Menschen bewegen sich innerhalb und außerhalb des Netzwerks, nutzen diverse Geräte und greifen auf beliebige Anwendungen in vielen verschiedenen Cloud-Umgebungen zu. Dies ist die Any-to-Any-Herausforderung. Und während diese Komponenten die Kommunikation verbessert haben, bieten sie gleichzeitig mehr Möglichkeiten, über die Hacker sich Zugriff verschaffen können. Leider hat sich der Sicherheitsansatz der meisten Unternehmen nicht genauso schnell weiterentwickelt. Der Großteil der Unternehmen sichert erweiterte Netzwerke mithilfe unterschiedlicher Einzeltechnologien, die untereinander nicht kooperieren und nicht gemeinsam eingesetzt werden können. Sie verlassen sich möglicherweise auch zu sehr auf spezialisierte Service Provider für Sicherheit in der Cloud und Hosting-Unternehmen, um ihre Internet-Infrastruktur zu schützen. In dieser neuen Situation haben Administratoren allzu oft wenig Transparenz und Kontrolle für die Geräte und Anwendungen, die auf das Unternehmensnetzwerk zugreifen, und kaum Möglichkeiten, mit den neuen Bedrohungen Schritt zu halten. Sicherheitsexperten, die mit komplexen Angriffen und der Any-to-Any-Infrastruktur konfrontiert sind, stellen sich die drei folgenden wichtigen Fragen: 1. Wie können wir angesichts neuer Geschäftsmodellen und Angriffsvektoren weiter die Sicherheit und Compliance gewährleisten, während sich unsere IT-Landschaft weiter verändert? Unternehmen, die den Übergang zur Cloud, zur Virtualisierung oder zu Mobilgeräten vollziehen, weil diese Technologien Produktivität, Flexibilität und Effizienz bieten, müssen ihre Sicherheitsinfrastruktur entsprechend anpassen. 2. Wie verbessern wir unsere Fähigkeit, uns in einer dynamischen Bedrohungslandschaft laufend vor neuen Angriffsvektoren und immer komplexeren Bedrohungen zu schützen? Angreifern ist es ganz gleich, wen sie attackieren. Sie suchen sich einfach das schwächste Glied in der Kette. Sie verwenden für ihre Angriffe häufig Tools, die speziell zur Umgehung der von ihrem Angriffsziel ausgewählten Sicherheitsinfrastruktur konzipiert sind. Sie achten penibel darauf, nicht entdeckt zu bleiben, und verwenden Technologien und Methoden, durch die Indicators of Compromise auf ein nahezu unmerkliches Niveau reduziert werden. 3. Wie können wir die beiden ersten Probleme lösen, und gleichzeitig Komplexität und Fragmentierung unser Sicherheitslösungen reduzieren? Unternehmen können sich keine Sicherheitslücken erlauben, die erfahrene Angreifer von heute gerne ausnutzen. Gleichzeitig bieten getrennte, nicht integrierte Sicherheitslösungen bei zunehmender Komplexität nicht den erforderlichen Schutz vor modernen Bedrohungen. Ein Sicherheitsmodell, das integrierte Abwehr von Bedrohungen nutzt Wie bereits erwähnt sind neue Tools und Technologien erforderlich, um auf die modernen Bedrohungen angemessen zu reagieren, die nicht nur das Rechenzentrum betreffen, sondern auch das gesamte Unternehmen. Dies muss mithilfe eines Modells geschehen, das die Komplexität minimiert und einen kontinuierlichen Schutz der Unternehmensressourcen ermöglicht. Gleichzeitig muss es auch möglich sein, auf Änderungen in den Geschäftsmodellen, z. B. Any-to-Any, zu reagieren. Das Sicherheitssystem muss direkt in die Netzwerkstruktur integriert werden, um bestmögliche Effizienz und Funktionalität zu gewährleisten und gleichzeitig das normalerweise mit der Integration verschiedener, nicht netzwerkorientierter Sicherheitskontrollen einhergehende Risiko zu minimieren. Um ein solches System zu entwerfen, ist ein neues Modell erforderlich: Die Integration muss nahtlos erfolgen, vor allem im Rechenzentrum mit seiner äußerst geringen Fehlertoleranz. Dieses neue Modell ist eine nützliche Referenz bei der Entwicklung einer umfassenden Sicherheitslösung für jede Art von Netzwerk. Bei diesem neuen Modell gibt es eine Schlüsselkomponente das so genannte Angriffskontinuum, welches alle wichtigen Mechanismen und Prozesse ermittelt, die für das umfassende Sicherheitssystem von Bedeutung sind. (Siehe Abbildung 7). 14

15 Lösungsdesign Übersicht Abbildung 7 Integration von Bedrohungsabwehr mithilfe des Angriffskontinuums Das neue Sicherheitsmodell Angriffskontinuum Vorher Erkennen Durchsetzen Stärken Während Erkennen Blockieren Abwehren Nachher Auswerten Eingrenzen Beheben Netzwerke Endpunkte Mobilgerät Virtuelles Cloud Point-In-Time Durchgängig Bei diesem Modell wird das Bedrohungsproblem gelöst, indem die Aktionen ermittelt werden, die vor, während und nach einem Angriff sowie über die gesamte Bandbreite der Angriffsvektoren z. B. Endpunkte, mobile Geräte, Rechenzentrumsressourcen, VMs und selbst die Cloud erforderlich sind. Während die meisten Sicherheitslösungen überwiegend darauf ausgelegt sind, die Bekämpfung von Bedrohungen zu bestimmten, festgelegten Zeitpunkten auszuführen, ist es wichtig, sie als kontinuierlichen Zyklus zu betrachten. Vor einem Angriff Während eines Angriffs Kontextbewusste Angreifer erfordern kontextbewusste Sicherheit. Unternehmen müssen sich heute gegen Angreifer wehren, die häufig besser mit Maßnahmen zum Schutz der Infrastruktur vertraut sind, als die Unternehmen selbst. Um Angriffe abzuwehren, bevor sie überhaupt auftreten, benötigen Unternehmen volle Transparenz hinsichtlich ihrer IT-Umgebung, also u. a. über physische und virtuelle Hosts, Betriebssysteme, Anwendungen, Services, Protokolle, Benutzer, Inhalte und das Netzwerkverhalten, um so die Oberhand über die Angreifer zu gewinnen. Die Verantwortlichen müssen anhand von Angriffszielen, Legitimität von Angriffen und Verläufen die Risiken für ihre Infrastruktur verstehen. Wenn die Verantwortlichen nicht wissen, was sie zu schützen versuchen, sind sie nicht in der Lage, geeignete Sicherheitstechnologien zum Schutz ihrer Ressourcen zu konfigurieren. Transparenz muss im gesamten Netzwerk gewährleistet sein, d. h. für Endpunkte, - und Web-Gateways, virtuelle Umgebungen und Mobilgeräte und auch Rechenzentren. Zusätzlich müssen auf Basis dieser Transparenz umsetzbare Warnmeldungen erzeugt werden, damit die Verantwortlichen fundiertere Entscheidungen treffen können. Bösartige Angriffe und kombinierte Bedrohungen treten nicht zu einem bestimmten Zeitpunkt, sondern kontinuierlich auf und erfordern daher kontinuierliche Sicherheitsüberprüfungen. Die konventionellen Sicherheitstechnologien können nur Angriffe auswerten, die zu einem bestimmten Zeitpunkt auftreten, basierend auf einem einzelnen Datenpunkt des Angriffs. Dieser Ansatz ist gegen moderne Angriffe machtlos. 15

16 Lösungsdesign Übersicht Nach einem Angriff Hier ist eine Sicherheitsinfrastruktur gefragt, die sämtliche Informationen einbezieht. Gemeint ist eine Infrastruktur, die Daten aus dem erweiterten Netzwerk aggregieren und mit historischen Merkmalen und weltweiten Informationen zu Angriffen korrelieren kann. Sie muss Kontext liefern und legitime Hintergrundaktivitäten von aktiven Angriffen, Datendiebstahl und Ausspähung unterscheiden können. So wird das Sicherheitssystem von einer Aufgabe, die zu einem bestimmten Zeitpunkt durchgeführt wird, zu einem Prozess der kontinuierlichen Analyse und Entscheidungsfindung. Wenn eine als sicher eingestufte Datei in die Umgebung gelangt, aber später bösartiges Verhalten zeigt, können Unternehmen eingreifen. Dank dieser Echtzeitinformationen können Sicherheitsexperten intelligente Automatisierungsservices einsetzen, mit denen Sicherheitsrichtlinien ohne manuelle Eingriffe durchgesetzt werden. Um das gesamte Angriffskontinuum abzudecken, brauchen Unternehmen Retrospective Security. Retrospective Security ist eine Big Data-Herausforderung und eine Funktion, die nur wenige Systeme gewährleisten können. Sicherheitsteams können mit einer Infrastruktur, die laufend Daten zum Sammeln von Sicherheitsinformationen erfasst und analysiert, mithilfe automatisierter Verfahren Indicators of Compromise identifizieren und Malware erkennen, die so ausgereift ist, dass sie ihr Verhalten ändert, um einer Erkennung zu entgehen sowie erkannte Probleme beheben. Kompromittierungen, die andernfalls über Wochen oder Monate unerkannt geblieben wären, können so schnell identifiziert, gründlich untersucht, eingegrenzt und behoben werden. Durch dieses bedrohungsorientierte Sicherheitsmodell sind Unternehmen in der Lage, das gesamte Angriffskontinuum über alle Angriffsvektoren hinweg abzudecken und jederzeit in Echtzeit zu reagieren. Threat Management-Systemfunktionen Das Angriffskontinuum-Modell bietet einen Überblick darüber, wie auf Bedrohungen reagiert werden kann. Es unterstützt Sie bei der Erstellung eines Frameworks von Funktionen als Basis für die Implementierung von Sicherheitskontrollen. So geht beispielsweise aus der NIST-Sonderveröffentlichung , Security and Privacy Controls for Federal Information Systems and Organizations, hervor, dass Unternehmen die Definition bestimmter Sicherheitsfunktionen als Vorstufe zur Auswahl der Sicherheitskontrollen in Betracht ziehen können. Die NIST-Publikation definiert außerdem das Konzept der Sicherheitsfunktion als Konstrukt, welches erkennt, dass der Schutz von Informationen, die durch Informationssysteme verarbeitet, gespeichert oder übertragen werden, selten von einer einzigen Schutz- oder Gegenmaßnahme (z. B. Sicherheitskontrolle) abhängig ist. Jedes Unternehmen sollte bemüht sein, die Einhaltung seiner jeweiligen Branchenstandards zu gewährleisten. In diesem Dokument wird zwar nicht die Einhaltung bestimmter konkreter Standards erläutert; dennoch bildet das Konzept der Funktionen den zentralen Kern eines Threat Management-Systems und dieses Dokuments. In Tabelle 1 werden die Threat Management-Systemfunktionen und -Beschreibungen zu den Angriffskontinuumphasen und den entsprechenden Produkten zugewiesen. Einige Produkte umfassen mehrere Funktionen, sodass die Zuordnung nicht immer 1:1 ist. 16

17 Lösungsdesign Übersicht Tabelle 1 Threat Management-Systemfunktionen Threat Management-Syste mfunktionen Beschreibung Vorher Während Nachher Produkte Bedrohungseingrenzung und Problembehebung Zugriffskontrolle und -segmentierung Identitätsmanagement Untersuchung und Analyse von Bedrohungen auf Datei-, Paket- und Datenflussebene Zugriffskontrollrichtlinien, Segmentierung, sichere Trennung Statusüberprüfung für Benutzeridentität und -zugriff, netzwerkbasierter Benutzerkontext Endpunktschutzagenten, netzwerkbasierter Schutz des Datenverkehrs Endpunktegruppenzuordnungen, Sicherheitszonen, Ressourcenzugriffsrichtlinien für Benutzer Zuweisung von Benutzern zu Gruppen, Ressourcen und zulässigen Zugriffsstandorten Cloud-basierte Endpunktanalyse, netzwerkbasierte Dateianalyse, netzwerkbasierte Analyse des Datenverkehrs, signaturbasierte Analyse, Sandbox-Analyse Fabric-Durchsetzung, Firewall-Security- Durchsetzung, Datenverkehrsnormalisierung und Protokoll- Compliance Benutzerkontextanalyse Verbindungs- und Datenverkehrsanalyse und Problembehebung Durchsetzung von Richtlinien und Protokollierung Benutzerzugriff und Analyse von Bedrohungsentstehung und -behebung Sourcefire FireSIGHT, Schutz vor Sicherheitsrisiken, netzwerkbasierte AMP, -AMP, CWS-AMP, FireAMP für Endbenutzer und mobile Geräte ASA 5585-X, SGTs, SGACL, SXP und TrustSec-fähige Switching Fabric oder ACI-Fabric mit ASAv Active Directory, Cisco ISE, Sourcefire FireSIGHT 17

18 Lösungsdesign Übersicht Tabelle 1 Threat Management-Systemfunktionen (Fortsetzung) Threat Management-Syste mfunktionen Beschreibung Vorher Während Nachher Produkte Anwendungstransparenz und -kontrolle Protokollierung und Nachverfolgbarkeitsmanagement Dateiüberwachung und File Trajectory, Network File Trajectory, Anwendungsquarantäne, Schutz vor Datenverlust Bedrohungsforensik und Compliance Richtlinien zur Beschränkung und Kontrolle des Zugriffs auf interne und externe Anwendungen Richtige Konfiguration der Berichterstellung im Threat Management- System Durchsetzung von Anwendungskontrollrichtlinien, Untersuchung vertraulicher Daten Aktive Out-of-Band-Protokollierung Transparenz aller im Netzwerk aufgerufenen und ausgeführten Anwendungen Direkter Zugriff durch geeignete Bedrohungsfunktions-Managementplattform Konsolidierung der Protokolle in zentralem Repository für weitere Forensik und Compliance Sourcefire Access Control, Sourcefire NGFW FireSIGHT Management Center für kurzfristige Protokolle, Lancope StealthWatch für längerfristige NetFlow Analyseprotokolle, SIEM für Protokollmanagement-Compliance (SIEM ist nicht im Umfang für Projekt) Bedrohungseingrenzung und Problembehebung Sie müssen Cyber-Bedrohungen erkennen und diese Bedrohungen so schnell wie möglich beheben. Dies ist keine Point-in-Time-Funktion, sondern eine kontinuierliche Funktion, die Retrospektion einsetzt. Wenn also eine Malware-Komponente zunächst nicht erkannt wird, kann das System die Malware zu einem späteren Zeitpunkt trotzdem noch finden und die Kompromittierung beheben. Zugriffskontrolle und -segmentierung Zugriffskontrollenrichtlinien und deren Durchsetzung bildeten die Grundlage für Netzwerksicherheit und sind auch weiterhin eine Schlüsselkernkomponente. Segmentierung ist ebenfalls ein wichtiges Mittel zur Trennung des Datenverkehrs. Die Unternehmen haben die Möglichkeiten dieses Verfahrens bisher jedoch nicht voll ausgeschöpft. Diese zwei Funktionen werden in der Regel als separate Funktionen betrachtet und in den meisten, wenn nicht sogar allen, Compliance-Standards in separate Kontrollen aufgeschlüsselt. Sie werden hier als Einheit behandelt, da sie im Rahmen der Entwicklung und Implementierung von Netzwerken in enger Wechselwirkung stehen. Jedes Netzwerk, das über eine wirksame Segmentierungsstrategie verfügt, sollte auch geeignete Zugriffskontrollrichtlinien bereitstellen, um die Sicherheitsdomänen zu definieren. Bei großen Sicherheitsdomänen besteht die Gefahr, dass Unternehmen im Falle einer Datenschutzverletzung einem erheblichen Risiko ausgesetzt sind. Mithilfe neuer Segmentierungstechniken kann die Größe dieser Sicherheitsdomänen reduziert und so deren Verwaltung vereinfacht werden. 18

19 Lösungsdesign Übersicht Identitätsmanagement Jedes Unternehmen nutzt in irgendeiner Form Identitätsmanagement- und Autorisierungsfunktionen, wie z. B. Active Directory, zur Benutzerauthentifizierung. Leider verwenden nicht alle Unternehmen diese Funktion auch dazu, während der Authentifizierung eine Statusüberprüfung des jeweiligen Benutzers durchzuführen. Dadurch könnten sie den Benutzer basierend auf seinem Endpunkt oder Standort oder anhand sonstiger relevanter Kriterien zu den entsprechenden Sicherheitsrichtlinien zuweisen. Ebenfalls ist es wichtig, Benutzerkontext zu Traffic-Fluss, Dateianalyse, Netzverbindungen und zu den anderen Netzwerkaktivitäten hinzuzufügen, um ein wirksames Threat Management zu gewährleisten. Anwendungstransparenz Anwendungstransparenz über das gesamte Netzwerk ist eine entscheidende Funktion für jedes Unternehmen, die in keinem Portfolio zum Schutz vor Cyber-Bedrohungen fehlen darf. Anwendungen sind immer noch ein Hauptangriffsvektor. Daher ist es äußerst wichtig, dass ungewöhnliches Verhalten von Anwendungen beim Zugriff auf Rechenzentrumsressourcen sowie deren Kommunikationsfluss analysiert werden kann. Protokollierung und Nachverfolgbarkeitsmanagement Es ist nach wie vor wichtig, dass sämtliche Aspekte der Netzwerk- und Endpunktaktivität detailliert protokolliert werden können. Nachverfolgbarkeit umfasst mehr als nur einen Zeitstempel für Warnmeldungen. Es geht darum, die File Trajectory zu bestimmen, wenn Malware in Netzwerke eingedrungen ist. Ein Unternehmen muss in der Lage sein, eine detaillierte Forensik durchzuführen, sobald eine Sicherheitsverletzung erkannt wird. Zuordnung von Funktionen zu NIST-Kontrollen Obwohl die Zuordnung der Compliance-Kontrolle in diesem Dokument nicht ausführlich behandelt wird, wollen wir dieses Thema der Vollständigkeit halber kurz ansprechen. Ein kurzer Blick in NIST SP und die SANs Top 20 Critical Security Controls ermöglicht eine Zuordnung der zuvor erläuterten Funktionen zu den in diesen beiden Dokumenten behandelten Kontrollen. Wie in Tabelle 2 erläutert, können nicht alle Kontrollen zugeordnet werden die meisten Internetsicherheitskontrollen werden jedoch berücksichtigt. 19

20 Lösungsdesign Übersicht Tabelle 2 Zuordnung von Bedrohungsfunktionen zu Kontrollen Bedrohungseingrenzung Zugriffskontrolle und -segmentierung Identitätsmanagement Anwendungsverwaltung Protokollierung und Nachverfolgbarkeit Funktionen Untersuchung und Analyse von Bedrohungen auf Datei-, Paket- und Datenflussebene Zugriffskontrolle und -segmentierung Benutzeridentitäts-, -zugriffs- und -statusüberprüfung, netzwerkbasierter Benutzerkontext Anwendungstransparenz und -kontrolle Bedrohungsforensik und Compliance Für NIST relevante Kontrollen Reaktion, Wartung, Medienschutz, Risikoanalyse, System- und Datenintegrität Zugriffskontrolle und -segmentierung Zugriffskontrolle System- und Datenintegrität, Zugriffskontrolle Audit und Verantwortlichkeit Die 20 wichtigsten Sicherheitskontrollen für SAN Kontinuierliche Schwachstellenanalyse und Problembehebung, Malware-Schutz, Datenschutz Erfassung autorisierter und nicht autorisierter Geräte, Schutz von Systemgrenzen, kontrollierter, bedarfsbasierter Zugriff, sicheres Netzwerkengineering Kontrollierter, bedarfsbasierter Zugriff, sichere Netzwerktechnik Erfassung autorisierter und nicht autorisierter Software, sichere Netzwerktechnik Pflege, Überwachung und Analyse von Audit-Protokollen Strategische Anforderungen zur Implementierung integrierter Abwehr von Bedrohungen Es gibt eine Reihe von Anforderungen, die für die Anwendung der Logik vor, während und nach dem Angriff über alle Angriffsvektoren hinweg wichtig sind. Sie dienen außerdem dazu, zu jedem Zeitpunkt, durchweg und in Echtzeit eine geeignete Reaktion zu gewährleisten. Diese Anforderungen werden nachfolgend erläutert. Transparenz SecOPS-Teams müssen genau wissen, was bereits vorgefallen ist und was aktuell passiert, damit sie ihre Aufgaben effizient erfüllen können. Dies erfordert sowohl den Überblick über die gesamte Bandbreite von Angriffsvektoren als auch detaillierten Einblick in die einzelnen Vektoren. Gesamtüberblick bedeutet die Fähigkeit, Daten von allen potenziellen Angriffsvektoren in der gesamten Netzwerkstruktur, aus s und Web-Gateways, Mobilgeräten, virtuellen Umgebungen und in der Cloud zu überblicken und zu erfassen, um Informationen zu Umgebungen und Bedrohungen zu sammeln. Tiefe Die Tiefe ermöglicht es, diese Informationen zu korrelieren, Informationen zum besseren Verständnis des Kontexts einzusetzen, fundiertere Entscheidungen zu treffen und Maßnahmen entweder manuell oder automatisch zu treffen. Die Technologie, die diesen umfassenden kontextbezogenen Überblick bietet, heißt FireSIGHT. Sie bildet die technologische Grundlage für das FireSIGHT Management Center. 20