Der Entwurf für intelligente Zugangskontrolle und Security Management

Transkript

1 Der Entwurf für intelligente Zugangskontrolle und Wie sich kontinuierliche Sichtbarkeit und Transparenz, die Steuerung von Wissen sowie richtlinienbasierte Reaktionen beschleunigen lassen

2 Inhalt Warum konventionelle Lösungen der IT-Sicherheit versagen ) Das Erkennen von Risiken dauert zu lange ) Nicht alle Risiken werden erkannt ) Das Auffinden von Verstößen dauert zu lange ) Reaktionen und das Eindämmen erfolgen zu langsam ) Lücken in der Abstimmung zwischen den unterschiedlichen Sicherheitssystemen... 6 Die Lösung für intelligente Zugangskontrolle und ) Sichtbarkeit und Transparenz ) Verstärkung und Prävention ) Kontinuierliches Monitoring und Erkennung ) Leistungsfähige, jedoch gleichzeitig flexible Richtlinien-Engine ) Eindämmen von Vorfällen über Verstärkung des Netzwerks ) Automatisierte Endpunkt-Korrektur ) Zentrale Verwaltung und Berichterstattung ) Abstimmung mit anderen IT-Sicherheitssystemen Anwenderfälle ) Network Access Control (NAC) ) Sichtbarkeit und Transparenz der Endgeräte sowie Compliance ) Mobile Sicherheit ) Bedrohungsmanagement ) Compliance intern und reguliert Abgrenzung gegenüber anderen Produkten ) Herstellerunabhängig ) Schnelle Implementierung ) Betrieb ohne Agent ) Zentralisierter oder dezentralisierter Einsatz ) Skalierbarkeit Fazit

3 Einführung Trotz der über die letzten 10 Jahre erfolgten nachhaltigen Investitionen in Produkte und Personal für IT-Sicherheit bleibt bei den Beauftragten für die zentrale IT-Sicherheit (CISOs) der Restzweifel bestehen 1, ob sie wirklich alle Bedrohungen von ihren Netzwerken fernhalten und sie vor Datendiebstahl oder dem Cryptolocker-Trojaner schützen können. In der Tat stellt sich die Situation so ernst dar, dass Gartner erst vor Kurzem einen Bericht mit dem Titel: Malware hat längst den Weg in Ihr Unternehmen gefunden: Gehen Sie es an 2 veröffentlicht. Wo liegt die Ursache für ein solches flächendeckendes Versagen? Dazu kommen einem vier Gründe in den Sinn: Die heutzutage für die Bedrohung verantwortlichen Akteure (Threat Actors) verfügen über ebenso viele Mittel wie Fachkenntnisse. Malware, Phishing, Social Engineering und Schwachstellen an den Endpunkten bieten den Cyber- Verbrechern willkommene Gelegenheiten, um in Ihr Netzwerk einzudringen und dort Unheil anzurichten. Aufgrund der zunehmenden Komplexität, Dynamik und Diversität ihrer IT-Umgebungen verlieren Unternehmen die Kontrolle über ihre Systeme. Erst wenige Jahre junge IT-Sicherheitskontrollen sind heute schon veraltet und nicht mehr in der Lage, moderne Unternehmen ausreichend zu schützen und der zunehmenden Risiken der Consumerization von IT Herr zu werden. Noch immer setzen Unternehmen auf sogenannte mehrschichtige Sicherheitsstrategien, die sich vordergründig auf nicht miteinander kommunizierende Produkte stützen, räumlich voneinander getrennt operieren und denen der Automatismus fehlt, bei einer Bedrohung sofort zu reagieren. Ebenso stützen sich Unternehmen noch immer auf sogenannte agentenbasierte Systeme zur Verwaltung und Sicherung ihrer Endpunkte, obwohl die hohe Fehleranfälligkeit solcher Agenten nachgewiesen ist. Schon lange stellt sich die Frage nicht mehr, ob oder wann sich bei Ihnen ein ernsthafter Sicherheitsvorfall ereignet, sondern wie gut Ihre Prozesse und Kontrollen zum Erkennen, zur Analyse und zum Reagieren dagegen gewappnet sind. Gartner empfiehlt einen neuen Ansatz 3 mit der Bezeichnung Adaptive Security Architecture (im Sinne von Lernende Sicherheitsarchitektur ) zum Schutz vor den immer ausgefeilter werdenden Bedrohungen. Diese Architektur setzt eine kontinuierliche Überwachung, Analysen und eine Automatisierung zwischen den IT-Systemen voraus, um die Zeitspanne zwischen Risikoerkennung und -eindämmung zu verkürzen. Gartner hat zwölf kritische Schwachstellenwarnungen identifiziert und diese in vier Quadranten gruppiert: Vorhersagen, Vermeiden, Erkennen und Reagieren. Auch die US-Regierung fordert ab sofort kontinuierliches Monitoring im Rahmen der Bestimmungen des Federal Information Act (FISMA) und das National Institute of Standards and Technologies (NIST) hat im Rahmen von NIST die Caesars-Architektur (Continuous Asset Evaluation, Situational Awareness, and Risk Scoring) erstellt. In diesem werden die Herausforderungen ausführlich geschildert, vor denen IT-Sicherheitsbeauftragte heute stehen. Es enthält zudem einen Lösungsansatz von ForeScout Technologies mit der Bezeichnung Intelligente Zugangskontrolle und, der Unternehmen bei der Verringerung ihrer Reaktionszeiten und der Optimierung ihrer Ressourcen helfen kann. Damit verbunden ist eine Verbesserung der Sicherheitsausrichtung in Abstimmung mit den von Gartner, dem National Institute of Standards and Technology (NIST), dem SANS-Institut und anderen Sicherheitsbehörden empfohlenen Rahmenplänen. Abbildung 1: Die 12 kritischen Schwachstellenwarnungen aus der Adaptive Security Architecture von Gartner. Quelle: Gartner (Februar 2014) 1 ForeScout: 2014 Cyber Defense Maturity Report., Juli Gartner: Malware Is Already Inside Your Organization; Deal With It., Februar Gartner: Designing an Adaptive Security Architecture for Protection From Advanced Threats., Februar

4 Warum konventionelle IT-Sicherheitslösungen versagen Eines steht bereits fest: Die Zahl der Sicherheitsvorfälle nimmt unaufhörlich zu. Nach den Angaben der 2014 von PwC durchgeführten Global State of Information Security Survey erhöhte sich die Anzahl der Sicherheitsvorfälle in Unternehmen zwischen 2011 und 2013 um 25 %. Abbildung 2: Insgesamt hat sich die Anzahl der ernsthaft bedrohlichen Sicherheitsvorfälle mit spürbaren Auswirkungen auf die Unternehmen in den letzten Jahren kontinuierlich erhöht. Wie ist die Stimmung unter den IT-Sicherheitsbeauftragen, die bei diesem Cyber-Krieg in der ersten Reihe stehen? In dem kürzlich veröffentlichten Bericht IDG Cyber Defense Maturity Report 4 berichteten 96 % der Befragten von einem schweren Sicherheitsvorfall und einer von sechs Befragten war sogar von fünf oder mehr Zwischenfällen betroffen. Bei 40 % der IT-Sicherheitsbeauftragen herrscht die Meinung vor, dass IT-Sicherheit heute mit wesentlich mehr Herausforderungen verbunden ist, als dies noch vor einem Jahr der Fall war. Insbesondere trifft dies auf präventive Problemvermeidung, Erkennung, Diagnose und Korrektur zu. Abbildung 3: Das IT-Sicherheitspersonal gibt an, dass seine Arbeit von Jahr zu Jahr schwieriger wird. IDG Connect: 2014 Cyber Defense Maturity Report. Abbildung 4: Fast jedes Unternehmen hat die Konsequenzen einer Cyber- Attacke bereits am eigenen Leib deutlich zu spüren bekommen. IDG Connect: 2014 Cyber Defense Maturity Report. 4 IDG Connect: 2014 Cyber Defense Maturity Report von ForeScout im Juli 2014 in Auftrag gegeben. Umfang: N-1600; USA, GB und DACH, 50 % der Unternehmen mit über Mitarbeitern. 4

5 Woher stammt das anhaltende Interesse von Cyber-Kriminellen, in Unternehmensnetzwerke einzudringen? Hier folgen die maßgeblichen Ursachen. 1) Das Erkennen von Risiken dauert zu lange Von den Cyber-Angreifern werden bevorzugt die anfälligen Endpunkte attackiert. In Studien hat sich herausgestellt, dass etwa 80 % der erfolgreichen Angriffe bei einem Gerät im Netzwerk ihren Anfang genommen haben, auf dem bereits eine Schwachstelle bekannt war oder das von Anfang an nicht hätte in das Netzwerk integriert werden dürfen. Warum haben die derzeit auf dem Markt verfügbaren Sicherheitssysteme so große Schwierigkeiten mit der raschen Erkennung eines feindlichen Geräts, eines sich nicht konform verhaltenen Systems oder allgemeinen Schwachstellen? Die kurze Antwort lautet, dass diese Geräte nie für den Betrieb unter dem heutzutage von Unternehmen benötigten Tempo konstruiert wurden. Die Mehrzahl der Sicherheitssysteme basiert entweder auf Anfragen (Polling) (in Einzelfällen täglich, aber in der Praxis eher wöchentlich oder monatlich), der Annahme eines aktiven Host-Managements oder es gilt abzuwarten, bis es zu einem hohen Aufkommen an umfangreichem oder anormalem Datenverkehr kommt. Eine von Tenable durchgeführte Umfrage 5 gelangte zu der Feststellung, dass in 70 % der Unternehmen die Netzwerke monatlich oder noch seltener auf Schwachstellen hin abgefragt werden. Abbildung 5: In Unternehmen werden Schwachstellenüberprüfungen nur sehr unregelmäßig durchgeführt, daher fehlt ihnen die Echtzeit-Erkennung von Schwachstellen in ihren Netzwerken. 2) Nicht alle Risiken werden erkannt Es gibt eine Redensart, die besagt, dass man das nicht bewältigen kann, was man nicht sieht, und dies trifft bei der heutigen komplexen IT-Umgebung definitiv den Nagel auf den Kopf. Es gibt viele Gründe dafür, warum die heute in den Unternehmen bestehenden Programme für IT-Sicherheit nicht alle Risiken im Netzwerk erkennen. A. Bei Endpunkten handelt es sich zunehmend um nur vorübergehend eingesetzte Geräte, die oftmals bei einem geplanten Suchlauf auf Schwachstellen gerade dann nicht Teil des Netzwerks sind. Die Ursachen dafür sind in der Mobilität und dem Anstieg der virtuellen und dynamischen Arbeitsbelastung zu suchen. B. Immer häufiger sind die Unternehmen nicht die Eigentümer der Endpunkte und daher ohne Schutz durch einen integrierten Management-Agenten. Falls sich das Unternehmen darauf verlässt, dass die Endpunkte die Meldung über die auf ihnen laufenden Konfigurationen und Anwendungen selbst vornehmen, stellen für gewöhnlich alle BYOD (Bring your own device) unter Windows und MacOS ein unsichtbares Risiko dar, denn nicht immer sind Unternehmen über diese Geräte informiert und/oder installieren auf diesen BYOD-Geräten keine Management-Agenten oder sind dazu nicht in der Lage. Etwas besser sieht die Lage bei den Betriebssystemen Android und ios aus, da für diese sogenannte MDM-Lösungen (Mobile Device Management) existieren. Dennoch wird hier die Tatsache außer Acht gelassen, dass diese Geräte in der Regel als nicht verwaltete Geräte genutzt werden. Als solche müssen sie zunächst identifiziert und in ein MDM-System integriert werden, bevor ihnen der Zugang in das Netzwerk gestattet wird. In vielen Unternehmen fehlt es aber an der entsprechenden Sichtbarkeit, Transparenz und Kontrolle. 5 Tenable: Die Studie deckt auf, dass 83 % der für die Sicherheit Verantwortlichen befürchten, zwischen den Suchläufen erfolgende Bedrohungen zu versäumen. Februar

6 C. Komplett auf die Karte Sicherheitsagent zu setzen, ist eine löchrige Strategie. In den meisten Unternehmen verlässt man sich fast ausschließlich auf Agenten, die viele verschiedene Funktionen im Sicherheits- und Systemmanagement wahrnehmen. Diese Agenten bedienen wertvolle Funktionen und werden auch weiterhin notwendige Bestandteile im gesamten Sicherungsprozess sein. Allerdings arbeiten auch die Agenten nicht durchgehend fehlerfrei. Es können sich Fehler bei der Konfiguration einschleichen, sie können angegriffen werden, veralten, deinstalliert oder deaktiviert werden. Sobald der Agent ausfällt oder die Verbindung zwischen dem Agenten und dem Management-System unterbrochen ist, ist sich das Unternehmen nicht über das bestehende Risiko bei den Endpunkten bewusst. Zusammenfassend lässt sich also sagen: Ohne eine unabhängige und umfassende Echtzeit-Darstellung des Endpunkt-Status weist das Risikoverständnis von Unternehmen hinsichtlich ihrer IT Lücken auf. Laut den von uns zusammengetragenen Statistiken fehlt IT-Sicherheitsbeauftragten üblicherweise die Kenntnis in Bezug auf 20 % der Geräte in ihrem Netzwerk und etwa 30 % der Endpunkte enthalten grundlegende Fehlkonfigurationen oder Schwachstellen, die der IT-Abteilung völlig unbekannt sind. 3) Das Auffinden von Verstößen dauert zu lange Verweilzeit ist eine Messgröße für die Anzahl der Tage, die zwischen der Infektion mit einer Malware und ihrer Entdeckung vergehen. Laut Berichten von Mandiant aus diesem Jahr beträgt die durchschnittliche Verweilzeit 229 Tage. 6 Warum bleibt ein Angriff so lange unentdeckt? In Sicherheitskreisen herrscht der allgemeine Konsens vor, dass der Grund dafür in den nicht ausreichenden Investitionen in Aufdeckungsmöglichkeiten zu suchen ist. An einer Stelle im Gartner-Bericht heißt es, dass Unternehmen mit dem Glauben an eine 100%ige Prävention einer Selbsttäuschung aufgesessen sind und sich zu sehr auf Sperrmechanismen und signaturbasierte Schutzmechanismen verlassen haben. 7 4) Reaktionen und das Eindämmen erfolgen zu langsam Nach dem Entdecken eines Risikos (oder schlimmer eines Eindringens) ist die Reaktionszeit bei den meisten IT-Abteilungen in der Regel noch immer viel zu lang. Hier liegt der Fehler eindeutig in einem Mangel an Automatisierung. Vielen der vom IT- Sicherheitspersonal verwendeten Tools fehlen automatisierte und richtlinienbasierte Korrektur- oder Eindämmungsmöglichkeiten. So kann zum Beispiel ein Bedrohungserkennungssystem der neuen Generation eine Warnmeldung ausgeben, dass bei einem Endpunkt eventuell ein Sicherheitsrisiko besteht, wobei auf diese Warnmeldung von einem IT-Manager reagiert werden muss, der in der Regel täglich Hunderte oder Tausende solcher Meldungen erhält. Genau dies war der Fall bei dem Sicherheits-Gau, der dem US-amerikanischen Einzelhandelsunternehmen Target widerfahren ist. 8 Weil Warnmeldungen ignoriert wurden, gelang der Diebstahl von Millionen von Kreditkartensätzen. Ähnlich verhält es sich mit den Systemen zur Einschätzung von Schwachstellen, bei denen auch keine automatisierte Reaktion vorgesehen ist, ebenso wenig wie bei SIEM-Systemen (Security Information and Event Management). 5) Lücken in der Abstimmung zwischen den unterschiedlichen Sicherheitssystemen Für gewöhnlich greifen Unternehmen zu einer mehrschichtigen Sicherheitsstrategie mit einer Vielzahl an unterschiedlichen Produkten von verschiedenen Herstellern, alle mit separaten Steuer- und Informationseinheiten. Diese Insellösungen stehen einer effizienten Kommunikation untereinander im Weg. Dadurch fehlen Ihnen dringend benötigte Synergien, wie die Fähigkeit, Kontextinformationen zwischen Systemen auszutauschen, was wiederum die Effizienz der einzelnen Systeme schwächt. Daneben führen die fehlenden Mechanismen zur Schadensminderung zwischen den verschiedenen Netzwerken und Sicherheitssystemen zu Verzögerungen bei Reaktion und Eindämmung, da diese Prozesse, wie oben beschrieben, manuell stattfinden. Und natürlich verursacht das Fehlen einer richtlinienbasierten Automatisierung auch einen Anstieg der IT-Betriebskosten und der Gefährdung. Zusammenfassung: Die IT-Landschaften in Unternehmen sind durch zunehmende Komplexität geprägt, und die IT- Sicherheitssysteme, auf die sich viele Firmen seit Jahren stützen, haben mit dieser Entwicklung nicht Schritt gehalten. Daher bestehen bei IT-Sicherheitsbeauftragten oft Wissenslücken darüber, wer oder was alles Zugang in ihre Netzwerke hat. Sie kennen nicht ansatzweise alle Risiken in ihren Netzwerken. Außerdem vergeht zu viel Zeit, bis sie sich der bereits eingetretenen Sicherheitsrisiken bewusst werden. Darüber hinaus fehlen IT-Abteilungen wirksame Methoden zur Durchsetzung von Endpunkt-Integrität sowie der Eindämmung von Risiken und Gefahren. Die aktuellen Prozesse sind zu langsam und erfordern zu viele manuelle Arbeitsschritte. 6 Mandiant: M-Trends 2014: Beyond the Breach., April Gartner: Designing an Adaptive Security Architecture for Protection From Advanced Attacks, 12. Februar 2014, Neil MacDonald und Peter Firstbrook. 8 SC Magazine, 13. März 2014: Dem Bericht zufolge hat Target FireEye-Sicherheitswarnungen vor dem Eindringen in das System ignoriert. 6

7 Die Lösung für intelligente Zugangskontrolle und Seit über zwei Jahren nun empfehlen die Branchenanalysten von Gartner 9, Frost & Sullivan 10, IDC 11, Enterprise Security Group 12, Enterprise Management Associates 13 sowie Quocirca 14, dass Unternehmen mit der Verschärfung ihrer bestehenden Sicherheitskontrollen beginnen müssen und diese besser für den Umgang mit den heute bestehenden Herausforderungen bei der IT-Sicherheit ausrüsten sollten. Nachstehend gehen wir auf vier der sechs von Gartner 15 Anfang 2014 veröffentlichten Empfehlungen ein: Denken Sie um, und zwar von Reaktion auf einen Vorfall (Incident Response) zu kontinuierliche Reaktionen, wobei man davon ausgeht, dass Systeme bereits betroffen sind und kontinuierliche Überwachung und Korrektur erfordern. Entscheiden Sie sich für eine lernende Sicherheitsarchitektur zum Schutz gegen ernsthafte Bedrohungen und richten Sie sich dabei als Maßstab nach den von Garner genannten 12 kritischen Schwachstellen. Reduzieren Sie Ihre Ausgaben in die Vorbeugung. Investieren Sie stattdessen in Erkennung, Reaktion und Prognose-Tools. Geben Sie kontextbewussten Netzwerken den Vorzug, ebenso Plattformen für Endpunkt- und Anwendungssicherheit von Lieferanten, die Tools für Prognose, Vorbeugung, Erkennung und Reaktionen zur Verfügung stellen. Die von Gartner herausgegebenen Empfehlungen ähneln den erst kürzlich von der US-Regierung und anderen Normenorganisationen wie NIST geäußerten Vorgaben für kontinuierliche Überwachung und Schadensminderung. ForeScout hat eine Plattform für intelligente Zugangskontrolle und entwickelt, mit denen Unternehmen die oben beschriebenen Sicherheitslücken schließen können und die von den genannten Analysten und Regulierungsbehörden ausgesprochenen Empfehlungen umsetzen können. Über die Plattform von ForeScout erhalten Unternehmen Unterstützung bei der Erlangung operativer Erkenntnisse, dem Abbau von Risiken, dem wirkungsvollen Umgang mit der Abwehr von Bedrohungen und Gefahren. Dafür müssen sie an ihrer bestehenden Netzwerkinfrastruktur keine Veränderungen vornehmen oder zusätzliche Sicherheitsagenten einsetzen. Die wesentlichen Funktionen unserer Plattform für intelligente Zugangskontrolle und werden nachfolgend beschrieben. 1) Sichtbarkeit und Transparenz Die Plattform für intelligente Zugangskontrolle und von ForeScout ermöglicht die Sichtbarkeit und Transparenz in Echtzeit von Anwendern und Geräten, die sich in ein Unternehmensnetzwerk einwählen wollen oder bereits eingewählt sind. Das Ganze funktioniert drahtgebunden oder drahtlos, verwaltet oder nicht verwaltet, virtuell oder eingebettet, auf dem Desktop oder auf mobilen Endgeräten. Die Geräte werden dynamisch identifiziert, kategorisiert, mit einem Profil versehen und bewertet. Unsere Plattform arbeitet mit einem Multi-Faktor-Ansatz zur Entdeckung und Prüfung, der in den meisten Fällen ohne Software-Agenten oder Vorkenntnisse zu einem Gerät auskommt. Die eingebaute und erweiterbare Fingerprinting-Technologie ermöglicht die automatisierte Kategorisierung von entdeckten Geräten. Besonders hervorzuheben sind die folgenden Merkmale unserer Plattform: Umfassender Geltungsbereich. ForeScout arbeitet auf der Netzwerkebene, daher ist es gegen die unterschiedlichen Endpunkte und Probleme des Agenten-Managements immun, die sich für die bestehenden und agentenbasierten Sicherheitssysteme als Herausforderung erweisen. Wem der Endpunkt gehört, spielt keine Rolle. Das löst das oben erwähnte Problem der großen Bandbreite an Geräten. Echtzeit-Entdeckung. Das Produkt von ForeScout integriert sich in die Netzwerkinfrastruktur und ist daher in der Lage, die Geräte unmittelbar bei ihrem Versuch, sich mit dem Netzwerk zu verbinden, zu entdecken. Das löst das oben erwähnte Problem der nur vorübergehend eingesetzten Geräte. Kategorisierung. Das Produkt von ForeScout nimmt eine automatische Kategorisierung aller Geräte nach dem Typ (Computer, Smartphone, Drucker, Switch usw.), der Art des Besitzers (Unternehmen, Einzelperson, Angreifer) sowie der Version des Betriebssystems vor. 9 Gartner: Designing an Adaptive Security Architecture for Protection From Advanced Attacks, 12. Februar Frost und Sullivan: Continuous Compliance and Next Generation NAC: A Cornerstone Defense for Dynamic Endpoint Intelligence and Risk Mitigation., IDC: Worldwide Security 2013 Top 10 Predictions., Februar Enterprise Strategy Group: Market Landscape Report: NAC Solutions Evolve to EVAS: Endpoint Visibility, Access, and Security., Juli Enterprise Management Associates: Achieving NAC Results., Januar Quocirca: Next-generation network access control Advancing governance, risk and compliance controls in the frenetic enterprise., August Gartner: Designing an Adaptive Security Architecture for Protection From Advanced Attacks, 12. Februar 2014, von den Gartner-Analysten Neil MacDonald und Peter Firstbrook. 16 NIST-Sonderveröffentlichung : Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations., September

8 Eingehende Bewertung. Auf der Grundlage von eingebauten und benutzerdefinierten Richtlinien ist die Plattform von ForeScout in der Lage, ungepatchte Betriebssysteme, anfällige Anwendungen, Fehlkonfigurationen, Hardware-Parameter, ungewollte oder unautorisierte Anwendungen, vorhandene Sicherheits- und Management-Agenten sowie deren Status, Dateien, Registry-Einstellungen, Ports, Dienste, periphere Geräte und Weiteres aufzuspüren. Das Innenleben der Plattform von ForeScout präsentiert sich mit einer eigenen Multi-Sensor-Korrelation mit intelligenter Heuristik, um auf diese Weise einen korrekten Zustand der Endpunkte von Eigenschaften abzuleiten, die über verschiedene Quellen, darunter Netzwerkadresse, Identität und Konfiguration, berichtet wurden. Darüber hinaus unterstützt unsere Plattform synchrone und asynchrone Datenverarbeitung, sodass bei Veränderungen im Netzwerk oder von Systemen unsere Plattform diese Veränderungen registriert, ihnen folgen und sie bewerten kann. Dies erfolgt über unterschiedliche Quellen, womit die Intelligenz in Echtzeit gewahrt bleibt. Die Plattform von ForeScout ist in der Lage, Geräte ohne einen Endpunkt-Agenten oder ein Endpunkt-Supplement aufzuspüren und zu kategorisieren, was eine spürbare Erleichterung in Bezug auf Bereitstellung und Verwaltung darstellt. Außerdem liefert unsere Plattform detaillierte und ausführliche Angaben zu sämtlichen Anwendergeräten, auf die sie Zugriff auf Administratorenebene hat, ohne dass dafür ein Endpunkt-Agent benötigt würde. Dadurch heben sich die Produkte von ForeScout aus der Masse dessen ab, was auf dem Markt erhältlich ist. 2) Verstärkung und Prävention Die Funktionen für Sichtbarkeit und Transparenz von ForeScout unterstützen IT-Sicherheitsbeauftragte bei der Sicherung ihrer Systeme gegen Angriffe. (Die Funktion zum Verstärken wird im oberen rechten Quadranten von Gartners Adaptive Security Architecture angezeigt. Siehe dazu Abbildung 1.) Wie bereits oben erwähnt sind host-basierte Abwehrmaßnahmen meistens auch agentenbasiert, und Agenten zeigen häufig nur dann Wirkung, wenn sie auch installiert und betrieben werden. Von unseren Kunden haben wir erfahren, dass sie nach der Installation unserer Produkte in ihren Netzwerken entdeckt haben, dass etwa 30 % der Endpunkte in Unternehmensbesitz aufgrund eines Problems mit einem oder mehreren der Sicherheits- oder Management-Agenten nicht konform waren. Diese Funktion des Verstärkens über Benachrichtigung, Endpunkt-Korrektur oder das Auslösen anderer Kontrollen, wie z. B. Patch- Management und Schwachstellenanalyse, ist von größter Bedeutung. Gartner hat prognostiziert, dass bis 2015 sich 80 % der erfolgreichen Angriffe auf bekannte Schwachstellen stürzen werden 17. Weiter geht Gartner davon aus, dass ein korrekt konfigurierter und gepatchter Endpunkt gegen die meisten Malware-Angriffe immun ist. Dies verschafft den IT-Sicherheitsbeauftragten Freiräume, die sie für die Abwehr von ausgefeilteren Angriffen nutzen können, die sich eben nicht auf falsch konfigurierte oder anfällige Systeme richten. 18 3) Kontinuierliches Monitoring und Erkennung Im Anschluss an die Aufnahme eines Geräts in das Netzwerk setzt die Plattform von ForeScout das Monitoring des Status sowie des Verhaltens der Endpunkte fort. Die eingebaute Technologie erkennt Veränderungen an den Endpunkte und vorgetäuschte Aktionen, etwa wenn ein Endpunkt beginnt, sich untypisch zu verhalten. Nach dem Entdecken einer fehlerhaften oder verdächtigen Aktivität ist unsere Plattform zur automatischen Erzeugung einer Warnmeldung oder der Kommunikation des Ereignisses an ein externes System in der Lage. Darüber hinaus kann durch die Plattform eine proaktive Kontrolle ausgeführt werden, wie z. B. das Gerät unter Quarantäne zu stellen. Die Plattform für intelligente Zugangskontrolle und von ForeScout beinhaltet auch die patentierte Möglichkeit des Erkennens von Eindringlingen in Netzwerke und zum Schutz dieser Netzwerke (IPS) von ForeScout mit der Bezeichnung ActiveResponse, wodurch eine passive Erkennung von Netzwerkbedrohungen ermöglicht wird. Die ActiveResponse-Technologie arbeitet verhaltensbasiert, daher ist sie sowohl zur präzisen Erkennung traditioneller Malware in der Lage als auch zum Aufspüren von Zero-Day-Bedrohungen, die Schwachstellen gnadenlos ausnutzen. Diese Methode ist so ausgefeilt, dass sie sogar hochentwickelte Malware ausfindig macht, die als Schläfer oder nur für sporadische Angriffe programmiert wurde oder der es gelingt, vor dem Angriff Abwehrmechanismen zu umgehen. So gelang ActiveResponse beispielsweise das Aufspüren der Verbreitung des hochgefährlichen Stuxnet-Wurms. ActiveResponse ist ebenfalls in der Lage, die Aufmerksamkeit der Angreifer abzulenken. Dadurch gewinnen die IT- Sicherheitsteams mehr Zeit zum genauen Identifizieren ihres Feindes. 4) Leistungsfähige, jedoch gleichzeitig flexible Richtlinien-Engine Unsere Richtlinien-Engine ermöglicht den IT-Sicherheitsteams die Flexibilität zum Festlegen und Durchsetzen von granularen Richtlinien auf Netzwerk-, Anwender-, Geräte- und Anwendungsebene. Geliefert wird die Plattform mit zahlreichen bereits eingebauten und erweiterbaren Vorlagen, womit eine große Bandbreite an Steuerungen möglich ist. Sobald unser Produkt einen Richtlinienverstoß entdeckt, kann es automatisch Maßnahmen ergreifen, wie z. B. Warnungen, Benachrichtigungen, Einschränkungen, Korrekturen und Deaktivierungen. Dank dem umfassenden Maßnahmenangebot können IT-Manager die jeweiligen Aktionen individuell auf das Problem zuschneiden, und zwar abhängig vom jeweils für die Abläufe des Unternehmens verträglichen Risiko- und Unterbrechungsgrad. 17 Gartner: Preparing for Advanced Threats and Targeted Attacks, 2014, Kelly Kavanaugh. 18 Gartner: Malware Is Already Inside Your Organization; Deal With It., Februar 2014, Peter Firstbrook und Neil MacDonald. 8

9 Auf Wunsch können die IT-Sicherheitsbeauftragten mehrere Richtliniensets zusammenstellen. Zusammensetzen können sich diese Pakete entweder aus Richtlinien nur für Mitarbeiter, die verwaltete Geräte nutzen, oder aus Richtlinien mit Geltung nur für diejenigen Mitarbeiter, die eigene (nicht verwaltete) Geräte nutzen. Unsere Plattform kann automatisch erkennen, bei welchen Geräten es sich um verwaltetes Unternehmenseigentum handelt und bei welchen es sich um BYOD handelt. Je nach Art der Sicherheitsrichtlinien im Unternehmen lassen sich unterschiedliche Netzwerkzugangsebenen erteilen. Diese können u. a. auf den folgenden Attributen basieren: Anwender (Gast, Lieferant, Mitarbeiter, Position) Gerätetyp (Switch, medizinisches System, Kamera, Computer, Drucker etc.) Betriebssystem (ios, Android Ice Cream Sandwich, Windows XP etc.) Geräteeigentum (Unternehmen, BYOD) Sicherheitsniveau (durch Jailbreak zugänglich gemachte Geräte, fehlender MDM-Agent, Schwachstellen von Windows) Standort (drahtgebunden, drahtlos, VPN, China, New York) Tageszeit Eigentum eines externen Sicherheits- oder Managementsystems (z. B. Schwachstellenanalyse, fortgeschrittene Erkennung von Bedrohungen etc.) Abbildung 6: Der Richtlinien-Assistent von ForeScout CounterACT ermöglicht das einfache Überprüfen auf häufig vorkommende Compliance-Fehler bei Endpunkten. 5) Eindämmen von Vorfällen über Verstärkung des Netzwerks Die Funktion zum Verstärken wird im oberen rechten Quadranten von Gartners Adaptive Security Architecture angezeigt (Abbildung 1) und stellt eine weitere wichtige Funktion dar. Eine Verstärkung des Netzwerks wird durch die Herstellung einer Schnittstelle mit der Netzwerkinfrastruktur erreicht, um somit Zugriff zu ermöglichen, einzuschränken oder diesen vor und nach dem Zugang zu verwehren. So kann unsere Plattform beispielsweise Schadgeräte erkennen und blockieren sowie ein System im Anschluss an ein Eindringen unter Quarantäne stellen, den Browser eines Besuchers umleiten, verbunden mit der Aufforderung, sich für einen Gastzugang zu registrieren, oder die für Endpunkte verfügbaren Ressourcen anpassen. ForeScout bietet eine Reihe von Technologien für die Zugangskontrolle zum Netzwerk, damit Kunden dies problemlos in unterschiedlichen Netzwerkinfrastrukturen umsetzen können. 9

10 6) Automatisierte Endpunkt-Korrektur Die Funktion zum Korrigieren wird im oberen linken Quadranten von Gartners Adaptive Security Architecture angezeigt und stellt eine weitere wichtige Funktion dar. Wie auch bei der Zugangskontrolle zum Netzwerk stehen hier unterschiedliche Möglichkeiten für die Korrektur der Endpunkte zur Verfügung. In der Regel lassen sich diese drei Kategorien zuordnen: Selbstkorrektur der Anwender wird über den Sicherheitsvorfall informiert und erhält Anweisungen zur Selbstkorrektur. Unmittelbare Korrektur die Korrektur des Geräts erfolgt direkt über die Plattform von ForeScout, indem beispielsweise ein Script ausgeführt wird, das ein Patch installiert, eine AV-Signatur aktualisiert, einen Neustart oder eine Neuinstallation eines Agenten durchführt, einen Prozess beendet oder ein Peripheriegerät deaktiviert. Externe Korrektur die Plattform von ForeScout sendet eine Anfrage an ein externes System, von wo aus die Korrektur dann vorgenommen wird. Hier kann zum Beispiel der Endpunkt aufgefordert werden, Microsoft SCCM oder WSUS im Hinblick auf fehlende Updates zu überprüfen. Über die Kommunikation mit McAfee epo kann der Versuch gestartet werden, einen fehlenden Sicherheitsagenten zu installieren oder Änderungen bei den Schutzeinstellungen eines Endpunkts vorzunehmen. 7) Zentrale Verwaltung und Berichterstattung ForeScout CounterACT schließt die zentrale Verwaltung und Berichterstattung ein. Dadurch können IT-Manager Sicherheitsrichtlinien von einer zentralen Stelle aus anwenden und diese Richtlinien in großen Organisationen unternehmensweit durchsetzen. Zudem können Ereignisse und Aktivitäten zentral protokolliert, Protokollaufzeichnungen (Audit Trails) bereitgestellt und Berichte verwaltet werden, um die Geschäfts-, Sicherheits- und Compliance-Anforderungen des Unternehmens zu erfüllen. Eine langfristige Asset-Intelligence sowie Trendanalyse und Fehlerermittlung wird durch die Weitergabe dieser Angaben an externe Protokollierungssysteme erreicht. Abbildung 7: Über das Compliance-Dashboard von ForeScout CounterACT können Sie genau erkennen, an welchen Stellen die Verstöße vorliegen. 8) Abstimmung mit anderen IT-Sicherheitssystemen Bei der Erörterung des Modells der Adaptive Security Architecture erläutert Gartner: Am Ende sollen nicht 12 Insellösungen mit völlig unterschiedlichen Ansätzen für die Sicherheit stehen. Das Ergebnis sollte sein, dass diese unterschiedlichen Systeme miteinander verbunden sind und untereinander Informationen austauschen, was zu einem soliden Sicherheitssystem führt, das insgesamt über eine höhere Anpassungsfähigkeit und Intelligenz verfügt. 19 Dieser Aussage können wir uns zu 100 % anschließen. Die Integration der ForeScout-Systeme in andere IT-Systeme baut auf der Architektur von ForeScout ControlFabric auf. Dank der ControlFabric-Technologien kann die Plattform von ForeScout, Kontextinformationen mit anderen Sicherheits- und IT-Managementsystemen austauschen, wodurch das Problem der Informationsfragmentierung reduziert und eine automatische Problembehebung ermöglicht wird. Dadurch können IT-Unternehmen ihre bestehenden Infrastrukturinvestitionen optimieren, Schwachstellen effizient vermeiden und Bedrohungen eindämmen und somit ihr gesamtes Sicherheitsniveau verbessern. 19 Gartner: Erstellen einer Adaptive Security Architecture zum Schutz gegen schwerwiegende Bedrohungen., Februar

11 Unsere Plattform ermöglicht die Integration in gängige Netzwerk- und IT-Infrastrukturen (Switches, drahtlose Controller, VPN, Router, Directories), Geräte (Windows, Mac, Linux, ios, Android, Drucker, andere Geräte) und Endpunkt-Software (Systemkonfiguration, Anwendungen für Produktivität und Sicherheit). Diese Integrationen sind in unserer Plattform enthalten und ohne Zusatzkosten erhältlich. Erweiterte Integrationen sind als separat lizensierte Module erhältlich und lassen sich unserer Basis-Plattform hinzufügen. Abbildung 8: Über das Interface von ForeScout ControlFabric werden Daten zwischen unterschiedlichen Sicherheits- und Managementsystemen ausgetauscht. Nachstehend sind einige Beispiele dafür aufgeführt, wie solche Abstimmungen und Kooperationen aussehen könnten: Security Information and Event Management (SIEM) Die Plattform von ForeScout stellt in Echtzeit Angaben zum Sicherheitsniveau der Endpunkte den SIEM-Tools zur Verfügung. Dadurch erhalten diese Systeme einen vollständigeren Überblick über die im Netzwerk vorhandenen Risiken verwaltet, nicht verwaltet und Schadgeräte, sowohl aus dem Unternehmen als auch aus persönlichen Quellen. Außerdem ermöglicht es die Plattform von ForeScout den SIEM-Systemen, CounterACT je nach vorhandener Richtlinie die Anweisung zu erteilen, ein Risiko darstellende Endpunkte automatisch zu isolieren oder zu korrigieren. Abbildung 9: Mit ForeScout wird Ihr SIEM zu einem IT-Sicherheitsinstrument in Echtzeit. 11

12 Schwachstellenanalyse Durch die Integration von Systemen zur Schwachstellenanalyse löst ForeScout das Problem der nur vorübergehend eingesetzten Geräte. Mit der Plattform von ForeScout lässt sich die Überprüfung eines neuen Geräts auslösen, sobald es sich mit dem Netzwerk verbindet und sofern es sich um eine Erstverbindung handelt. Will man die Sicherheitsanforderungen um eine Stufe erhöhen, kann ForeScout für das neue Gerät den Zugang auf nur bestimmte Bereiche im Netzwerk einschränken. Dort kann es überprüft und bei Bedarf sofort eine Korrektur durchgeführt werden. Die durch die Schwachstellenanalyse erhaltenen Informationen können ebenso in CounterACT einfließen, wo sie zum Verbessern unseres Kontrollkontextes genutzt werden und auch Maßnahmen von CounterACT auslösen können, wie z. B. Quarantäne oder Korrektur. Mobile Device Management (MDM) Über die Plattform von ForeScout lässt sich die Anmeldung von nicht verwalteten mobilen Geräten in das MDM-System überwachen und automatisieren, damit sichergestellt ist, dass ausschließlich autorisierte und konforme Geräte Zugang zum Unternehmensnetzwerk erhalten. Auch ohne ein MDM-System kann unsere Plattform mobile Geräte, Anwender sowie Konfigurationsattribute entdecken und die das Netzwerk zusätzlich schützenden Richtlinien anwenden. So kann z. B. für gehackte oder falsch konfigurierte Mobilgeräte der Zugang eingeschränkt werden. Scan starten Scan Ergebnis MDM-Agent installieren Kein Agent Isolieren Genehmigenen Blockieren Verbinden Abbildung 10: ForeScout meldet mobile Geräte im MDM-System an. Endpunkt-Schutz Systeme für den Schutz von Endpunkten arbeiten mit Host-Agenten und haben daher oftmals Schwierigkeiten bei der Erkennung und dem Erstellen von Profilen für nicht verwaltete Geräte, wie z. B. bei persönlichen Laptops, Smartphones und bösartigen WLAN-Zugangspunkten (Rogue Access Points). Die Integration von ForeScout in Systeme zum Schutz von Endpunkten ermöglicht den IT-Sicherheitsteams volle Sichtbarkeit und Transparenz sowie die Kontrolle über verwaltete und nicht verwaltete Endpunkte im Netzwerk. Darüber hinaus bedeutet diese Integration für die Unternehmen eine Zeitersparnis, da die Installation der Sicherheitsagenten automatisch erfolgt und diese stets auf Einsatzbereitschaft und Aktualität überprüft werden. Advanced Threat Detection (ATD) Durch die Einbindung von ATD-Systemen liefert ForeScout die Antwort auf das Problem der Schadensbegrenzung, ein weiterer wichtiger Punkt in Gartners Adaptive Security Architecture. Die Plattform von ForeScout ist in der Lage, automatisch jedes Gerät unter Quarantäne zu stellen, das durch eine ATD-Lösung als potenzielle Bedrohung oder als infiziert identifiziert wurde oder das bösartige Handlungen vornimmt, wie z. B. Überprüfen des Systems oder das Ausschleusen von Daten. Open Integration Die ControlFabric-Technologie von ForeScout ermöglicht unabhängigen Softwareherstellern, Systemintegratoren und Kunden die einfache Gestaltung von benutzerdefinierten Integrationen, wie z. B. von Altdaten, seltenen oder selbst entwickelten Anwendungen. Hierzu nutzt die ControlFabric-Schnittstelle eine Vielzahl von Mechanismen für offene Integration, wie beispielsweise syslog, Web Services API, SQL und LDAP. Diese bi-direktionalen Integrationen ermöglichen für Systeme von Drittanbietern Folgendes: Aufnahme von durch die Plattform für intelligente Zugangskontrolle und von ForeScout erzeugten Daten wie Gerätetyp, Compliance-Status, Informationen über Anwender, Betriebssystem, Anwendung, Peripheriegeräte, physikalische Ebene und mehr. Bereitstellung von Informationen für die Plattform für intelligente Zugangskontrolle und von ForeScout wie Eigenschaften von Hosts und Ereignissen. Empfangen/Senden von Aktionsauslösern an die Plattform für intelligente Zugangskontrolle und von ForeScout. 12

13 Anwenderfälle 1) Network Access Control (NAC) Die Plattform für intelligente Zugangskontrolle und von ForeScout ermöglicht den IT-Sicherheitsverantwortlichen eine äußerst präzise Steuerung des Netzwerkzugriffs. Die Plattform erkennt den Zugriffsversuch eines Geräts auf das Unternehmensnetzwerk sofort, worauf die folgenden Daten abgefragt werden: Gerätetyp, der auf das Netzwerk zugreifen will wer der Geräteinhaber ist um wen es sich bei dem Anwender handelt um einen Mitarbeiter, einen Lieferanten oder einen Gast das Sicherheitsniveaus des Geräts Standort und Verbindungsmethode des Geräts Tageszeit Wie bereits an anderer Stelle in diesem angeführt, ist die Plattform von ForeScout zum Bereitstellen eines Großteils dieser Daten in der Lage, ohne dass dafür ein Endpunkt-Agent erforderlich ist. Darin liegt ein erheblicher Vorteil. Unsere Plattform unterstützt zahlreiche Authentifizierungsformate, darunter 802.1X und andere Methoden. Im Vergleich zu Produkten für die Netzwerkzugriffskontrolle, die auf 802.1X begrenzt sind, ist die Tatsache, dass unser Produkt nicht auf 802.1X angewiesen ist, ein großer Vorteil. Darüber hinaus automatisiert unsere Plattform den Umgang mit Druckern, Telefonen und anderen Büroausstattungsgeräten, die sich nicht über 802.1X authentifizieren können. Das kontinuierliche Monitoring des Endpunkt-Verhaltens, nachdem das Gerät sich im Netzwerk befindet, beseitigt die mit MAC-Adressen-Spoofing und ARP-Spoofing verbundenen Sicherheitsrisiken. 2) Sichtbarkeit und Transparenz der Endgeräte sowie Compliance Nachdem für einen Host durch passive und/oder aktive Entdeckungsmethoden ein Profil erstellt wurde, wird er unter Abgleich mit Sicherheitsrichtlinien bewertet. Bei der Gestaltung dieser Richtlinien wurde darauf geachtet, dass sie bestimmte Risiken bei Endpunkten erkennen können. Hierzu gehören: ungepatchte Schwachstellen Fehlkonfigurationen der Systemsicherheit nicht genehmigte Anwendungen fehlende host-basierte Abwehrmaßnahmen nicht genehmigte Peripheriegeräte Die von Endpunkten ausgehenden Gefahren lassen sich entweder direkt über unsere Plattform oder über ein externes System beheben. Viele unserer Kunden bevorzugen die Optimierung ihrer bestehenden Patchmanagement-Systeme zur Anwendung von Patches auf verwalteten Geräten. Sollte diese Methode allerdings versagen, kann die Plattform von ForeScout als Korrekturreserve im Hintergrund dienen. Im Gegensatz zu anderen Systemen kann unsere Plattform Geräte kontinuierlich überwachen und verwalten, sogar wenn diese das Unternehmensnetzwerk verlassen haben. 20 Dafür ist die Installation eines einfachen Agenten erforderlich, der eine sichere Kommunikationsleitung zwischen dem Host und unserer Plattform herstellt, was zu einer Optimierung aller Internetverbindungen führt, auf die der Endpunkt Zugriff hat. 20 CounterACT RemoteControl wird voraussichtlich Ende 2014 eingeführt. Weitere Informationen zu diesem Thema erhalten Sie auf der Website von. ForeScout. 13

14 3) Mobile Sicherheit Für das zentrale Verwalten mobiler Geräte kommen häufig Systeme für das Mobile Device Management (MDM) zum Einsatz. Bei MDM-Systemen stellt sich allerdings das Problem, dass sie nicht im Netzwerk angemeldete Geräte nicht erkennen oder diese am Zugriff auch nicht hindern können. Die Plattform für intelligente Zugangskontrolle und von ForeScout löst dieses Dilemma, indem mobile Geräte bereits beim Verbinden erkannt und auf Vorhandensein des MDM-Agenten überprüft werden. Je nach Lage wird der Netzwerkzugang dann genehmigt oder verwehrt. Wenn der MDM-Agent auf einem genehmigten Gerät fehlt, kann die Plattform von ForeScout den Anwender auf einem Bildschirm umleiten, über den MDM installiert werden kann. Dieser automatisierte Vorgang bedeutet für Anwender und das Help Desk eine Zeitersparnis. Für Umgebungen mit extrem hohen Sicherheitsanforderungen kann die Plattform von ForeScout das MDM-System veranlassen, eine Compliance-Überprüfung für jedes über MDM verwaltete Gerät vorzunehmen, und zwar in dem Moment, in dem das Gerät auf das Netzwerk zugreifen will. Sollte dieses Gerät bei dem Compliance-Test versagen, kann ForeScout dafür den Netzwerkzugang einschränken oder solange unterbinden, bis das Gerät den Compliance-Test bestanden hat. Da dies auf Netzwerkebene geschieht, hat es gegenüber alternativen Ansätzen Vorrang, die den Zugang zum Netzwerk auf Geräteebene entfernen. 4) Bedrohungsmanagement Für sich alleine genommen meldet ein fortgeschrittenes ATD-System (Bedrohungserkennung), von welchen Endpunkten eine Gefahr ausgehen könnte. Diese Informationen sind zwar nützlich, dennoch muss sich der IT-Sicherheitsbeauftragte nun einer noch vorhandenen Warnmeldung annehmen. Im Fall des mittlerweile traurige Berühmtheit erlangten Target-Szenarios erfolgte auf eine solche Warnung keine Reaktion. Dieses Versäumnis kam Target mit einem Betrag in Millionenhöhe teuer zu stehen. Die Plattform von ForeScout ermöglicht es den IT-Sicherheitsverantwortlichen, Aktionen zum Eindämmen und Korrigieren zu automatisieren. Sobald ein ATD-System ein riskantes Gerät vermutet, kann es dazu eine Information an unser Produkt senden, das dann die von Ihnen gewünschten und zuvor festlegten Maßnahmen ausführt: den Endpunkt unter Quarantäne stellen weitere Angaben über den Host an andere Systeme berichten, z. B. an ein SIEM-System (Security Information and Event Management). Diese Angaben können den Namen des eingeloggten Anwenders enthalten, fehlende Patches, Antivirus- Status, laufende Prozesse, installierte Anwendungen, angeschlossene externe Geräte, Standort des Endpunkts, IP-Adresse und Gerätetyp. Durch diese Kontextinformationen werden die Möglichkeiten für IT-Sicherheitsverantwortliche in Bezug auf die Analyse und Reaktion auf von ATD-Systemen erzeugten Sicherheitswarnungen immens verbessert. eine durch ein externes Produkt durchgeführte Schwachstellenanalyse auslösen den Endanwender und/oder Administrator per oder SMS benachrichtigen ein Korrektursystem auslösen Unsere Plattform enthält außerdem die patentierte ActiveResponse -Technologie, die eine Ausbreitung von Malware oder Hackern in Ihrem Netzwerk verhindern kann. ActiveResponse arbeitet ohne Signaturen und hat sich gegen Conficker, Zeus, Stuxnet und Flame am Tag null als effektiv erwiesen, noch bevor auch nur ein Sicherheitsunternehmen für diese Angriffe eine Signatur entwickeln konnte. 5) Compliance intern und reguliert Alle Compliance-Regelungen haben Anforderungen im Bezug auf Inventar, Systemintegrität, Schwachstellenanalyse, Malware, sichere Wireless-Verbindungen, Netzwerk- und Perimeterabwehrmaßnahmen, Datenschutz, Zugangskontrolle und Audit-Spezifikationen. Über die Plattform von ForeScout werden viele dieser Kontrollen, Prozesse und Audit-Aufgaben unterstützt und untermauert. So erhalten Unternehmen beispielsweise über die Funktionen zur dynamischen Asset Intelligence raschere und präzisere Angaben über den Einsatz von Hardware und Software, Konfigurationen, Endpunkt-Schutz, Bedrohungen oder Verstößen, Schadgeräte und Operational Gaps. ForeScout kann über aktive Mechanismen zur Schadensminderung die Compliance mit Sicherheitsvorgaben für Unternehmen verbessern, wie z. B. Host Defense. 14

15 SIEM, Log-Verwaltung sowie GRC-Systeme (Governance, Risiko und Compliance) ermöglichen Unternehmen die Dokumentation von Compliance-Kontrollen und deren Wirksamkeit durch die Berichts-, Audit- und Forensik-Funktionalität. ForeScout unterstützt syslog, SNMP, LEEF und Common Event Format (CEF). Dies ermöglicht die Integration unserer Plattform in diese Systeme zur Erfassung, Speicherung und Analyse von über unsere Plattform generierten Ereignissen wie in Echtzeit entdeckten Zugriffsverletzungen des Netzwerks, Compliance-Problemen bei Endpunkten und Sicherheitsmängeln bei mobilen Geräten. Außerdem kann unsere Plattform Maßnahmen zur Eindämmung und Korrektur vornehmen. Doch damit nicht genug hilft die Plattform von ForeScout Unternehmen auch dabei, die Bereitstellung und weitere Nutzung von protokollierenden Systemen zu vereinfachen, indem Protokollierungsaktivitäten sowie ein gründliches Monitoring der Protokollquelle ermöglicht werden. Dies sind zwingende Voraussetzungen für jedes erfolgreiche SIEM-Programm. Unsere Plattform kann bekannte und neue Endpunkte bereits im Moment ihrer Verbindung mit dem Netzwerk erkennen und übernimmt folgende dynamisch ablaufende Aufgaben: Überprüfung auf Präsenz und Aktivität einer Protokollierungsanwendung oder eines Protokollierungsdienstes Installation oder Reaktivierung einer Protokollierungsanwendung oder eines Protokollierungsdienstes Durchsetzung oder Änderung einer Protokollierungsanwendung oder eines Protokollierungsdienstes Abgrenzung gegenüber anderen Produkten Die Plattform für intelligente Zugangskontrolle und von ForeScout hebt sich von anderen derzeit auf dem Markt erhältlichen Systemen ab. Viele der oben beschriebenen Merkmale und Funktionen gibt es nur bei ForeScout. Einige davon sind sogar patentiert. Daneben sind es noch die nachfolgenden Eigenschaften, durch die sich unser Produkt von anderen Anbietern unterscheidet: 1) Unabhängigkeit vom Hersteller Unsere Plattform arbeitet mit bestehenden Infrastrukturen und erfordert in der Regel keine Änderungen an der Architektur oder Anlagenaufrüstungen. Darüber hinaus verfügt ForeScout ControlFabric bereits über zahlreiche standardbasierte Integrationsmechanismen, womit unabhängige Softwarehersteller (ISV), Systemintegratoren und Kunden die Möglichkeit zur individuellen Gestaltung der Integrationen in andere Systeme erhalten. Fasst man diese Eigenschaften zusammen, dann heißt das für den Kunden, dass er eine höhere operationelle Flexibilität erhält und nach der Entscheidung für unser Produkt nicht an einen Hersteller gebunden ist. 2) Schnelle Implementierung Der Einsatz unserer Plattform ist für den Kunden schnell und einfach. In der Regel gelingt unseren Großkunden der vollständige Einsatz unseres Systems innerhalb weniger Wochen, über mehrere Standorte hinweg und mit Tausenden von an das Netzwerk angeschlossenen Geräten. Die meisten unserer Kunden unterliegen, was Öffentlichkeit betrifft, gewissen Einschränkungen. Diejenigen, die allerdings einer Veröffentlichung ihrer Erfolgsgeschichten zugestimmt haben, wie auf unserer Webseite zu sehen ist, betonen bei den Vorteilen immer wieder die schnelle und einfache Umsetzung. 3) Betrieb ohne Agent Ein weiterer Wettbewerbsvorteil von ForeScout besteht darin, dass kein Agent benötigt wird. Ohne Agent arbeiten zu können bedeutet einen Zeitgewinn bei der Umsetzung, dazu eine Kostenersparnis und der Wegfall weiteren Verwaltungsaufwands in der Zukunft. Außerdem wird dadurch die Unterstützung der zahlreichen mit unserem Netzwerk verbundenen Geräte vereinfacht, einschließlich BYOD und Sonderausrüstung. In manchen Fällen können Agenten dabei helfen, bestimmte Informationen zu erlangen und Kontrollen an den Endpunkten durchzuführen. So hat ForeScout beispielsweise auf ios- und Android-Geräte spezialisierte Agenten entwickelt, die in der Lage sind, diese Geräte grundlegend zu untersuchen und Informationen an CounterACT zurückzumelden. Diese Angaben lassen sich dann in die Sicherheitsrichtlinien integrieren, um z. B. gehackte Geräte oder solche mit einem Root-Zugriff an einer Verbindung mit dem Netzwerk zu hindern. 15

16 4) Zentralisierter oder dezentralisierter Einsatz Unternehmen gestalten ihre Netzwerkarchitektur heutzutage auf unterschiedliche Weise. Einige arbeiten mit einem Huband-Spoke-System, andere wiederum entscheiden sich für eine Cloud-Infrastruktur per MPLS. Die Infrastrukturleistungen wie Internetzugang, DHCP, DNS und Active Directory lassen sich zentralisieren oder dezentralisieren. Unabhängig davon lässt sich das System für intelligente Zugangskontrolle und von ForeScout in eine zentralisierte oder dezentralisierte Umgebung integrieren. Wir unterstützen unsere Kunden bei der Entscheidungsfindung, indem wir mit ihnen gemeinsam einen Blick auf ihre Projektziele und Netzwerkinfrastruktur werfen. Auch wenn die Anwendungen von ForeScout in eine zentralisierte Umgebung integriert werden, stehen sämtliche Funktionen wie Echtzeit-Erkennung, Sichtbarkeit und Transparenz, Netzwerkzugangskontrolle und Endpunkt-Korrektur zur Verfügung. 5) Skalierbarkeit Unsere Plattform ist nachweislich dazu in der Lage, sich auf über Endpunkte skalieren zu lassen. CounterACT nutzt dazu eine zweistufige Anwendungsarchitektur mit der Möglichkeit der zentralen Verwaltung, die sich weiter nach Region, Geschäftsfunktion oder anderen Sicherheitsanforderungen in einem globalen Unternehmen unterteilen lässt. Der Administrator kann nur von einer einzigen Konsole aus auf hunderttausende verbundene Geräte zugreifen und diese steuern. Dadurch lassen sich die unternehmensweite Konfiguration und Einhaltung von Richtlinien einfach umsetzen. Abbildung 11: Große und dezentrale Unternehmen können ForeScout CounterACT zentral einsetzen und steuern und sparen dadurch Zeit und Geld. 16

17 Fazit Bisherige Tools und Vorgehensweisen zum Erreichen von IT-Sicherheit legen ihren Fokus zu sehr auf Verwaltungsagenten, periodische Bewertungen, unterschiedliche Einzellösungen und manuelle Reaktion erfordernde Prozesse. Unternehmen müssen ihre Sicherheitsarchitektur weiterentwickeln, um in Bezug auf die heutigen komplexeren, unterschiedlichen und dynamischen IT-Umgebungen gut aufgestellt und gegen die stetig wachsenden Bedrohungen gewappnet zu sein. Beim Thema Sicherheitsarchitektur sollten Unternehmen heute vornehmlich ihren Blick auf eine Sicherheitsarchitektur richten, die ein kontinuierliches Monitoring aller Anwender, Geräte, Systeme und Anwendungen im Netzwerk gewährleistet, einschließlich der nicht verwalteten, nur vorübergehend genutzten und nicht konformen Geräte, eine Integration zwischen Sicherheits- und Managementsystemen unterschiedlicher Hersteller zulässt und Kontrollen verbessert, umgehend und automatisch auf Verstöße, Gefahren und Angriffshinweise (IoC) reagiert, Die Plattform für intelligente Zugangskontrolle und von ForeScout bietet IT-Organisationen die Möglichkeit, genau die oben genannten Vorteile zu nutzen. Unsere Plattform fügt sich sehr gut in die Adaptive Security Architecture von Gartner ein und erfüllt die meisten der von Gartner und weiteren führenden Analysten aus der Sicherheitsbranche empfohlenen Maßnahmen. Daneben bieten wir Vernetzungsmöglichkeiten mit über 60 Hardware- und Softwareprodukten und eine Integration in diese. Ebenso unterstützen wir auf offenen Standards basierende API-Lösungen, womit unsere Kunden und Partner ihre eigene und geschlossene Sicherheitsarchitektur gestalten können, um sich gegen die Bedrohungen der heutigen Zeit zu schützen. Die Plattform für intelligente Zugangskontrolle und von ForeScout ist nicht mehr länger nur eine Vision sie ist bereits in über Unternehmen, bei Regierungskunden sowie Tausenden von IT-Sicherheitsbeauftragten in mehr als 54 Ländern im Einsatz. 17

18 Über ForeScout Technologies ForeScout bietet eine intelligente Zugangskontrolle und, indem Unternehmen befähigt werden, eine dauerhafte Überwachung durchzuführen, Schwachstellen zu beheben und Cyber-Attacken zu blockieren. Die CounterACT- Appliance des Unternehmens identifiziert und bewertet dynamisch alle Netzwerkanwender, Endpunkte und Anwendungen. So können Sicherheitsprobleme sofort vollständig erkannt, eingestuft und richtlinienbasiert behoben werden. Die offene ForeScout- Technologie ControlFabric ermöglicht es einem breiten Spektrum von IT-Sicherheitsprodukten und Managementsystemen, Daten auszutauschen und Korrekturmaßnahmen zu automatisieren. Da die Lösungen von ForeScout leicht implementierbar, flexibel und skalierbar sind und ohne irgendwelche Beeinträchtigungen eingesetzt werden können, wurden sie von über Unternehmen und Regierungsbehörden gewählt. ForeScout hat seinen Firmensitz in Campbell (Kalifornien) und bietet seine Lösungen weltweit über ein Netzwerk autorisierter Partnerfirmen an. Weitere Informationen unter ForeScout Technologies, Inc. 900 E. Hamilton Ave., Suite 300 Campbell, CA U.S.A. T (USA) T (Intl.) F ForeScout Technologies, Inc. Alle Rechte vorbehalten. ForeScout Technologies, das ForeScout-Logo, ActiveResponse, CounterACT und ControlFabric sind Marken von ForeScout Technologies, Inc. Alle anderen Marken sind das Eigentum der jeweiligen Inhaber. Doc: