Komplexität, Kosten, Compliance: Drei Faktoren, die das Interesse an Security-as-a-Service steigern

Transkript

1 Whitepaper Komplexität, Kosten, Compliance: Drei Faktoren, die das Interesse an Security-as-a-Service steigern Informationssicherheit wird von Tag zu Tag schwieriger. Mobilgeräte, das Internet der Dinge (IoT) und die Verlagerung von Arbeitslasten in die Cloud spielen eine immer größere Rolle. Dadurch steigen die Anzahl der Nutzeraktivitäten, das von Nutzern und Geräten generierte Datenvolumen und auch die Compliance-Anforderungen. Sicherheitsverantwortliche müssen einerseits stets wachsam nach neuen Bedrohungen Ausschau halten und andererseits einen nicht enden wollenden Strom von akuten Aufgaben bewältigen. Bemühungen, dies mit internen Mitteln zu schaffen, stellen Unternehmen schnell vor weitere Probleme: Budgets werden überzogen und wertvolle IT-Fachkräfte müssen von anderen Aufgaben abgezogen werden. Kein Wunder also, dass CSO und CISO nach Alternativen suchen. In diesem Whitepaper untersuchen wir die wachsende Beliebtheit von Securityas-a-Service (SECaaS) und stellen einige Empfehlungen von NTT Security für Unternehmen vor, die den Umstieg zu Cloud-basierten Sicherheitslösungen erwägen. Früher war alles einfacher Die heutige IT ist mobil und von einer explosionsartigen Zunahme der Endpunkte geprägt, die über weit verteilte Netzwerke miteinander verbunden sind. Mitarbeiter bringen ihre eigenen Geräte und Anwendungen mit ins Büro und verschieben Daten in die und aus der Cloud, während die umfangreiche industrielle Implementierung von IoT neue Bedrohungsvektoren schafft. Es ist nicht übertrieben, zu sagen, dass das Sicherheitsmanagement immer komplexer wird, während die Häufigkeit und Effektivität von Angriffen zunehmen. Dies lässt sich leicht belegen. Erinnern wir uns zum Beispiel an die folgenden Datenschutzverletzungen aus dem Jahr 2017: Aus den Schlagzeilen Im Januar sah sich ein College in den USA nach einem Ransomware- Angriff gezwungen, Hackern USD in Bitcoins zu zahlen, um wieder auf Dateien zugreifen zu können. 1 Der Vorfall ereignete sich während der Winterpause und verursachte weitläufige Unterbrechungen von Online-Services zur finanziellen Unterstützung sowie Ausfälle von E Mail- und Voic -Systemen Studenten und Mitarbeiter hatten keinen Zugriff auf ihre Computer. Dies belegt die Notwendigkeit integrierter Sicherheitsservices ohne On-Premises-Hardware durch Cloud-basierte Lösungen für das zentrale Sicherheitsmanagement, die verwaltete Bedrohungserkennung und transparentere IT-Infrastrukturen. Untersuchungen für den Global Threat Intelligence Report 2017 von NTT Security zeigten, dass 73 % der in Unternehmen gefundenen Malware mit Phishing-Angriffen eingeschleust wurde. 2 Die Implementierung und der Betrieb von On-Premises-Lösungen zur Phishing-Abwehr können schwierig und teuer sein. Im Februar 2017 warnte der US Internal Revenue Service vor einer Betrugsmasche während der Zeit der Steuerabrechnungen, bei der Phishing-E Mails als seriöse Mitteilungen eines Anbieters von Steuersoftware getarnt sein würden. 3 Heutzutage wird es immer wichtiger, robustere Cloud-basierte Lösungen zur Phishing-Abwehr einzuführen, die schnell und ohne großen Aufwand implementiert und entsprechend den Anforderungen des Unternehmens skaliert werden können und umfassende Fähigkeiten wie die Überwachung und Erkennung ausgereifter Phishing-Angriffe sowie Abwehr und Beseitigung solcher Vorfälle bieten. Die IT-Teams von Unternehmen erhalten im Schnitt 578 Sicherheitswarnungen pro Tag. 4 Vor diesem Hintergrund fällt es CSO und CISO immer schwerer, das große Ganze nicht aus den Augen zu verlieren. Sie brauchen Zeit und Ressourcen, um mit den Veränderungen der Bedrohungslage Schritt zu halten und langfristige Strategien zur Verteidigung gegen Angriffe bzw. zur Minimierung von deren Auswirkungen zu entwickeln. 1. Los Angeles Times 2. Global Threat Intelligence Report 2017, NTT Security 3. Pressemitteilung des US Internal Revenue Service: Security Summit Alert: Tax Professionals Warned of New Scam to Unlock Their Tax Software Accounts 4. SC Magazine - Balabit CSI Report Copyright NTT Security 2018

2 Die Herausforderungen des modernen Cyber-Sicherheitsmanagements im Zeitalter der Cloud Compliance ist ein weiterer Bereich, der CSO und CISO das Leben schwer macht. Private Unternehmen und öffentliche Organisationen stehen gleichermaßen vor einer wachsenden Menge von Regulierungsbestimmungen global, innerhalb von Handelsblöcken wie der NAFTA oder EU und häufig parallel zu branchenspezifischen Regeln und unterschiedlichen Umsetzungspraktiken auf nationaler Ebene. Allein für die DSGVO sagt Gartner voraus, dass über die Hälfte der davon betroffenen Unternehmen die Anforderungen auch nach einem Jahr noch nicht vollständig umgesetzt haben werden. 5 Vorstände und Führungskräfte sind inzwischen viel besser darüber informiert, wie wichtig die Sicherheit für das Geschäft und den guten Ruf ist, insbesondere wenn sie ihre digitale Reichweite durch die Cloud-Nutzung vergrößern. So beeinträchtigt Komplexität die Effektivität der Sicherheit 1 sinkende IT-Produktivität 2 übersehene Schwachstellen 3 widersprüchliche Richtlinien und Governance 4 unklare Verantwortlichkeiten 5 unbefriedigende Rendite von Technologie-Investitionen 6 potenzielle Kommunikationslücken mit dem oberen Management 7 mangelhafte Technologie- Integration 8 mehr aktive Endpunkte als effektiv überwacht oder verwaltet werden können Wenn es bei anderen Unternehmen zu Datenschutzverletzungen kommt, möchten sie wissen, ob das auch in ihrem eigenen Unternehmen passieren könnte. Dadurch stehen CSO und CISO unter Druck, klare und überzeugende (z. B. mit Daten belegte) Antworten zu liefern, um Vertrauen zu schaffen. Der Hintergrund für all dies ist die hochdynamische Bedrohungslage. Während manche Angriffsarten bereits als Katalogware verfügbar sind, macht die Zunahme von Advanced Persistent Threats (APT) Investitionen in ausgereifte Technologien erforderlich. Deren und Pflege steigert jedoch die Komplexität. Ob einfache oder ausgefeilte Sicherheitsinfrastruktur, wichtig ist vor allem die Reaktion auf Warnmeldungen, die von IDS, Firewalls und andere Systemen ausgeben werden. Sicherheitsteams erhalten eine Flut von Mitteilungen, von denen viele Fehlalarme oder Duplikate sind - erzeugt von verschiedenen Maschinen und in verschiedenen Umgebungen (Cloud-, Hybrid-, On-Premises- oder virtuellen Umgebungen). Abgesehen von der vergeudeten Zeit und dem unnötigen Aufwand können die vielen harmlosen Meldungen auch die wenigen wirklich wichtigen Warnungen für einen tatsächlichen Sicherheitsverstoß übertönen. Daher gilt es schon seit einiger Zeit als normal, dass Unternehmen Unterstützung und Beratung bei vertrauenswürdigen externen Anbietern suchen, die ihnen dabei helfen sollen, ihr Sicherheitsprofil zu beurteilen und die Effektivität ihres Sicherheitsbetriebs zu verbessern. Jetzt wenden sie sich auch an Sicherheitsanbieter, um die des ganzen Sicherheitslebenszyklus wichtiger Ressourcen in mehreren Cloud- und On-Premises-Umgebungen auszulagern, Komplexität und Kosten zu senken und das Risiko in angemessener Weise zu mindern. Dieses neu aufkommende Modell wird Security-as-a- Service (SECaaS) genannt. Was genau ist SECaaS? SECaaS kann CSO das Leben erleichtern und die IT-Abwehr von Unternehmen durch Cloud-basierte Sicherheitsservices stärken. Wichtige, bislang im Unternehmen implementierte Technologien werden von einem Anbieter von Managed Security Services bereitgestellt und verwaltet, sodass CSO und CISO bei Bedarf schnell modernste Sicherheitsfunktionen nutzen können, während Investitionsund Betriebskosten auf ein Minimum reduziert werden. SECaaS beruht auf einer Kombination aus Automatisierung und laufender Überwachung durch menschliche Experten. Warnmeldungen werden rund um die Uhr geprüft und analysiert, ihr Risikoniveau wird abgeschätzt und angemessene Maßnahmen werden eingeleitet. Die Erkennung ernsthafter Bedrohungen wird verbessert, sodass es leichter wird, Gegenmaßnahmen zu ergreifen und erheblichen Schaden abzuwenden. Da sich SECaaS auf die Erfahrung und Intervention erfahrener Sicherheitsexperten stützt, entlastet sie CSO weitgehend von der Anwerbung, Einstellung und kontinuierlichen Weiterbildung eigener Sicherheitsexperten mit einem breiten Spektrum an Spezialkenntnissen. Die Infrastruktur selbst wird im Hintergrund laufend mit den neuesten Versionen und Patches aktualisiert, sodass Störungen des Betriebs auf ein Minimum reduziert werden und die Sicherstellung der Compliance in geringerem Ausmaß den Endnutzern obliegt. Zu den mittels SECaaS bereitgestellten Technologien gehören u. a.: Business continuity und Disaster Recovery (BCDR oder BC/ DR) laufende Überwachung Schutz vor Datenverlust (DLP) E Mail-Sicherheit Identitäts- und Zugriffsmanagement (IAM) Angriffsabwehr Netzwerksicherheit Sicherheitsbeurteilung Sicherheitsinformations- und Ereignismanagement (SIEM) Schwachstellenanalysen Websicherheit Ein umfassendes Serviceangebot könnte auch geschäftliche Kontinuität und Disaster Recovery (BCDR oder BC/ DR), Schutz vor Datenverlust (DLP), E Mail-Sicherheit, Websicherheit,, Identitätsund Zugriffsmanagement (IAM), Sicherheitsbeurteilungen und Untersuchungen auf Schwachstellen einschließen. Wer ist wofür verantwortlich? Die Liste der möglichen Services ist zwar sehr umfangreich, aber ein Unternehmen, das SECaaS in Erwägung zieht, wird die Compliance nicht gänzlich an einen externen Anbieter übergeben können. Datenschutzgesetze und Rechtsakte wie die DSGVO weisen die Verantwortung für den Schutz sensibler Daten letztendlich dem SECaaS-Kunden zu. Wichtige Sicherheitsfunktionen können von dem Sicherheitsanbieter durchgeführt werden, aber der Kunde 5. Pressemitteilung: Gartner Says Organizations Are Unprepared for the 2018 European Data Protection Regulation Copyright NTT Security

3 bleibt verantwortlich für die korrekte und Implementierung von SECaaS. Alle auf den SECaaS-Anbieter übertragenen Kontrollen und Richtlinien müssen zudem regelmäßig überprüft und aktualisiert werden. Unternehmen, die die Nutzung von SECaaS in Erwägung ziehen, sollten die Anbieter fragen, ob sie als Teil ihres Serviceangebots in diesen Bereichen Anleitung und Unterstützung bieten. Weitere Gesichtspunkte: Die Wahl des richtigen Modells Wenn Unternehmen Cloud-Funktionen nutzen, übernehmen sie zugleich eine Mischung aus Sicherheitsverantwortung, risiken und herausforderungen. Ein Verständnis der Zusammenhänge und Verantwortlichkeiten zwischen den drei gängigsten Cloud-Computing-Modellen IaaS, PaaS und SaaS und ihrer Beziehung zu SECaaS ist wichtig. IaaS bietet dem Nutzer oder Kundenunternehmen Infrastrukturressourcen mit umfassender Flexibilität und Kontrolle. Allerdings liegt die Verantwortung für die Sicherung von Anwendungen, Runtime, Middleware und Infrastruktur dabei beim Nutzer. Als Beispiele für dieses Modell könnten Amazon EC2 und Microsoft Azure IaaS genannt werden. PaaS bietet eine Plattform, auf der Nutzer Anwendungen entwickeln und implementieren können. Die Verantwortlichkeit kann von beiden Parteien geteilt werden. SECaaS-Lösungen umfassen stärker anwendungsbasierte Kontrollen wie die Prüfung von Anwendungen und sichere Webgateways (SWG). SaaS bietet hingegen einen direkt einsetzbaren Service mit passenden Funktionen und dem höchsten Maß an integrierter Sicherheit für die der Anbieter die größere Verantwortung trägt. Im Gegenzug muss der Nutzer jedoch auf Flexibilität und Kontrolle verzichten. Beispiele für dieses Modell sind O365 und Salesforce. Das Servicemodell hat direkte Konsequenzen für den Grad der Verantwortung, die das Unternehmen trägt. Größere Flexibilität und Kontrolle erfordert ergänzende Sicherheitsservices, wie sie von SECaaS bereitgestellt werden. Zum Beispiel sind Unternehmen, die sich für ein IaaS-Modell entscheiden, wahrscheinlich besser positioniert, um die Vorteile von SECaaS in vollem Umfang zu nutzen. Das folgende Diagramm zeigt die SECaaS-Angebote, die mit den Verantwortungsbereichen für die Infrastruktur in Bezug gesetzt werden können. Abbildung 1: Geteiltes Sicherheitsmodell Infrastructure-as-a-Service (IaaS): SECaaS Kundendaten Datensicherheit DLP, CASB,, IAM Logische Ebene Betrieb und Plattform- und Anwendungsmanagement Clientseitige Betriebssystem Schutz des Netzwerkdatenverkehrs Maschinen Netzwerke Serverseitige Firewall- Anwendungssicherheit durch Kunden Netzwerksicherheit WAF, DDoS, IAM, Sicherheitsbeurteilung FW, IDS/IPS, SIEM E Mail, Web Physische Ebene Grundlegende Services Computing Speicherung Netzwerk Datenbank Rechenzentrumsinfrastruktur durch Anbieter Im Gegensatz dazu sind Nutzer von SaaS oder abstrahierten Servicemodellen weniger auf SECaaS-Angebote zur Abdeckung ihrer Verantwortungsbereiche angewiesen, weil viele Sicherheitsfunktionen bereits im Service des Anbieters integriert sind. Allerdings liegt der Schwerpunkt dieser integrierten Sicherheitsfunktionen auf der Vorbeugung und weniger auf der Erkennung und Beseitigung, weswegen sie häufig nur unzureichenden Schutz vor Advanced Persistent Threats (APT) bieten, besonders wenn diese bereits das Netzwerk des Kunden infiltriert haben. Copyright NTT Security

4 Abbildung 2: Geteiltes Sicherheitsmodell Platform-as-a-Service (PaaS) SECaaS Kundendaten Datensicherheit durch Kunden DLP, CASB,, IAM Logische Ebene Betrieb und Plattform- und Anwendungsmanagement Clientseitige Betriebssystem Schutz des Netzwerkdatenverkehrs Maschinen Netzwerke Serverseitige Firewall- Anwendungssicherheit durch Anbieter WAF, DDoS, IAM, Sicherheitsbeurteilung Physische Ebene Grundlegende Services Computing Speicherung Netzwerk Datenbank Rechenzentrumsinfrastruktur Obwohl Technologien wie WAF oder DDoS-Schutz in abstrahierte oder containerisierte Services integriert sein können, muss der Nutzer diese Services möglicherweise immer noch selbst konfigurieren und überwachen, um ein Höchstmaß an Kontrolle und Risikominderung zu erlangen. Abbildung 3: Geteiltes Sicherheitsmodell Software-as-a-Service (PaaS) SECaaS Kundendaten Datensicherheit durch Kunden DLP, CASB,, IAM Logische Ebene Betrieb und Plattform- und Anwendungsmanagement Clientseitige Betriebssystem Schutz des Netzwerkdatenverkehrs Maschinen Netzwerke Serverseitige Firewall- durch Anbieter Physische Ebene Grundlegende Services Computing Speicherung Netzwerk Datenbank Rechenzentrumsinfrastruktur Copyright NTT Security

5 Die Auswahl des richtigen SECaaS- Anbieters Unternehmen, die das Outsourcing ihres Sicherheitsmanagements an einen Anbieter von SECaaS oder Managed Security Services (MSSP) erwägen, haben ähnliche Ziele: Kostensenkung, Prozessautomatisierung, Vereinfachung der Compliance und Zugang zu den neuesten, zukunftsorientierten Services und Technologien. Die Entscheidung reduziert sich allerdings häufig darauf, auf welche Funktionen man verzichten kann. Wenn Sie sich beispielsweise für einen MSSP entscheiden, der keine Services im Rahmen eines SECaaS-Modells bereitstellt, nimmt dieser Ihnen zwar zeitraubende Aufgaben ab, doch Sie müssen in zusätzliche Hardware zur Unterstützung der Managed Services investieren. Die Zusammenarbeit mit einem spezialisierten Sicherheitsanbieter, dessen Experten Ihre gesamte Infrastruktur umfassend beurteilen und auf dieser Grundlage die strategisch richtigen standortgebundenen Managed Services planen, entwickeln und bereitstellen, ist wahrscheinlich die beste Option, um die Vorteile von SECaaS in vollem Umfang zu nutzen. Sie profitieren von skalierbaren On-Demand-Services und ausgereifter Unternehmenssicherheit, wie zum Beispiel Managed Services für die Erkennung und Abwehr (erweiterte Analyse, praxistaugliche Bedrohungsdaten, schnelle Reaktion auf Sicherheitsvorfälle usw.). Dabei entstehen keine Investitionskosten und Sie können immer noch die Hauptlast der umfassenden Sicherheitsüberwachung und verwaltung an den Anbieter abgeben. Diese letzte Frage ist wichtig, denn viele Unternehmen nutzen eine Mischung aus alter und neuer Technologie. Andere wichtige Fragen, die Sie bei der Beurteilung eines SECaaS- Anbieters stellen sollten: 1 In welchem Ausmaß verkürzen die Automatisierungsfunktionen des Anbieters die Reaktionszeit und weisen Meldungen die richtige Risikostufe zu? 2 Wie rasch kann der Anbieter reagieren, wenn ein Problem erkannt wird? 3 Wie häufig aktualisiert der Anbieter seine Technologie, um mit der Entwicklung von Angriffen Schritt zu halten und die jüngsten Innovationen zu nutzen? 4 Überwacht der Anbieter Kunden-Infrastrukturen rund um die Uhr und welche Sicherheitsgewährleistungen gibt er? 5 Wie viel Erfahrung, technisches Know-how und Branchenkenntnis bringt das Team des Anbieters mit? 6 Stellt der Anbieter eine zentrale Management-Oberfläche für die mehrerer SECaaS- Lösungen bereit? Dadurch werden das Management und die Veranschaulichung praxistauglicher Sicherheits- und Risikodaten komplizierter. Der SECaaS-Anbieter trägt zwar die Verantwortung für das Management und den Betrieb der für die Bereitstellung des Service genutzten Hardware und Software, aber die Kunden benötigen dennoch eine Webkonsole, um Einblick in ihre verwaltete Sicherheitsumgebung zu nehmen und regulierungsrelevante Kontrollaufgaben durchzuführen, die in ihren Verantwortungsbereich fallen und intern erledigt werden müssen. Fazit Wie der Global Threat Intelligence Report 2017 von NTT Security gezeigt hat, umfasst die IT-Sicherheit Technologie, Prozesse und die Zusammenarbeit von Menschen. Versuche, die Sicherheit einfach nur durch mehr Technologie zu stärken, ohne dabei die Prozesse und die Art und das Maß der für das Management erforderlichen Ressourcen zu berücksichtigen, können mehr schaden als nutzen. Angesichts des Tempos, mit dem sich die Bedrohungen weiterentwickeln, sind die meisten Unternehmen wahrscheinlich auch gar nicht in der Lage, die neueste Sicherheitstechnologie immer sofort einzusetzen und ihr volles Potenzial auszunutzen. Es ist noch nicht so lange her, dass Sicherheitsbedenken eine der Haupthürden bei der Cloud-Einführung waren. Aber die Vorteile des SaaS- Modells haben die zügige Einführung vorangetrieben und zu Innovationen geführt, die noch vor wenigen Jahren kaum vorstellbar waren. Führende Cloud-Anbieter haben jetzt Sicherheit in ihre Infrastruktur integriert und damit Umgebungen geschaffen, die nicht nur genauso sicher sind wie herkömmliche On-Premises-Umgebungen, sondern möglicherweise sogar sicherer. Da Vorschriften und Governance- Richtlinien immer mehr Wert auf eine angemessene Sicherheit legen, ist SECaaS eine attraktive Option zur Verbesserung der Sicherheit und Compliance. Dies gilt insbesondere dann, wenn Sie gleichzeitig den Betrieb vereinfachen und die Kosten unter Kontrolle behalten wollen. Ein Anwendungsfall für SECaaS Ein CISO ist besorgt über die Geschwindigkeit und das Ausmaß der Nutzung neuer SaaS-Anwendungen in den Geschäftsbereichen, weil es kein Verfahren und keine Richtlinien für die Prüfung der Sicherheit dieser Anwendungen gibt. Oft setzen die Geschäftsbereiche SaaS-Anwendungen ein, ohne zuvor eine ausreichende Risikobeurteilung vorzunehmen. Infolgedessen hat das Unternehmen keinen umfassenden Überblick über die Anwendungen und die von ihnen genutzten Daten. Dennoch möchte der CISO den Zugang zu Cloud-Services nicht ganz unterbinden. Die Produktivität ist erheblich gestiegen, seit die Abteilungen selbst die Tools auswählen dürfen, die ihre Anforderungen am besten erfüllen. Eine anstehende Prüfung zur DSGVO- Konformität hat jedoch zu einer Neubesinnung geführt. Der CISO ist besorgt, dass die Ressourcen des Unternehmens nicht ausreichen, um alle erforderlichen Informationen fristgerecht zusammenzutragen. Daher entscheidet er sich für die Nutzung von Cloud Access Security Brokern (CASB), um dieser Bedenken Herr zu werden. CASB sind Punkte zur Durchsetzung von Sicherheitsrichtlinien, die zwischen den Nutzern und Anbietern von Cloud-Services angeordnet sind, um beim Zugriff auf Cloud-basierte Ressourcen die Sicherheitsrichtlinien des Unternehmens durchzusetzen. Als Lösung bieten CASB: Einblick in die Nutzung der Cloud Risikobeurteilung von SaaS-Anbietern Compliance-Berichte Schutz vor Datenverlust Möglichkeit, für jede SaaS-Lösung granulär Richtlinien festzulegen schnellen Zugriff des CISO auf CASB- Tools über die Cloud Copyright NTT Security

6 Über NTT Security NTT Security ist das auf Sicherheit spezialisierte Unternehmen und Security Center of Excellence der NTT Group. Mit Embedded Security ermöglicht NTT Security den NTT-Group-Unternehmen die Bereitstellung zuverlässiger Business-Lösungen für Kundenanforderungen in der digitalen Transformation. NTT Security verfügt über 10 SOCs, sieben Zentren für Forschung und Entwicklung sowie mehr als Sicherheitsexperten und behandelt jährlich Hunderttausende Sicherheitsvorfälle auf sechs Kontinenten. NTT Security sichert eine effiziente Ressourcennutzung, indem den Unternehmen der NTT Group der richtige Mix an ganzheitlichen Managed Security Services, Security Consulting Services und Security-Technologie zur Verfügung gestellt wird unter optimaler Kombination von lokalen und globalen Ressourcen. NTT Security ist Teil der NTT Group (Nippon Telegraph and Telephone Corporation), einem der größten IKT-Unternehmen weltweit. Weitere Informationen über NTT Security finden sich auf: Über die NTT Group in Deutschland Zur NTT Group in Deutschland gehören neben NTT Security die Unternehmen Arkadin, Dimension Data, e-shelter, itelligence, NTT Communications und NTT DATA. In Deutschland beschäftigt die NTT Group rund Mitarbeiter. Der Umsatz liegt bei über 1,2 Milliarden Euro. Weitere Informationen zur globalen NTT Group finden sich unter Copyright NTT Security 2018 UEA V1