Komplexität, Kosten, Compliance: Drei Faktoren, die das Interesse an Security-as-a-Service steigern

Ähnliche Dokumente
Service-Übersicht. Securing the Digital Transformation through Cyber Resilience

Securing Your Digital Transformation

MEHR KONTROLLE, MEHR SICHERHEIT. Business Suite

Datenschutz in Zeiten der Digitalisierung

Cloud Monitor 2017 Eine Studie von Bitkom Research im Auftrag von KPMG Pressekonferenz

NEWS-FLASH. 3 Dinge, auf die Sie beim Erwerb von Flash-Speicher nicht verzichten sollten ERSTE SCHRITTE

CLOUD STRATEGY CLOUD STRATEGY

Sicherheit an erster Stelle bei kritischen Online-Marken-Assets. cscdigitalbrand.services/de

Experton Group: Computacenter sechsmal Security Leader

DATA PROTECTION FOR VMWARE

Thales Bericht zu Datensicherheitsbedrohungen 2018

Swisscom Dialog Arena 2018 Cyber Security was beschäftigt die Schweiz?

Drei Dinge, die Sie beachten sollten, wenn Sie Ihr - System nach Microsoft Office 365 migrieren

4 GRÜNDE, WESHALB BCDR ESSENTIELL WICHTIG IST Sie sind Geschäftsführer? Setzen Sie auf Business Continuity und Disaster Recovery!

Bild: Gorodenkoff - shutterstock.com. Veeam Lösungen. for Microsoft Azure. Nahtlose Integration in die Microsoft Cloud mit Veeam COMPAREX AG

GESCHÜTZT MIT HL SECURE 4.0

WIR VERFÜGEN ÜBER EIN LANGJÄHRIGES KNOW-HOW

RUAG Cyber Security Cyber verstehen. Werte schützen.

4 GRÜNDE, WESHALB BCDR ESSENTIELL WICHTIG IST Sie sind Geschäftsführer? Setzen Sie auf Business Continuity und Disaster Recovery!

Grundlagen der Cloud-Sicherheit

Security 2.0: Tipps und Trends rund um das Security Information und Event Management (SIEM)

Identity for Everything

Best Practices für den Aufbau cloudfähiger Netzwerke

2015 Zürich. Willkommen!

CLOUD FOR IOT. Die Informationen, die von vernetzten Objekten erzeugt werden, in Echtzeit erfassen und verwalten.

Profitieren Sie von einer offenen und flexiblen Clouddienstplattform

service center 3.0 für MANAGED IT-SERVICES IT-Ressourcen aus der private und hybrid telekom cloud aktiv managen

NGO Tag - Sicherheit und Datenschutz in der Cloud Microsoft Deutschland GmbH Unter den Linden 17, Berlin

Business Productivity. Mit dem Business Productivity Index die Produktivität Ihres Unternehmens messbar verbessern.

Cloud Computing Chancen und Risiken für KMUs.

An der Cloud führt kein Weg vorbei. Darauf sollten Sie sich vorbereiten! Dieter Rehfeld Bremen

Sicherheit und Verteidigung für Ihre Netzwerke und Server

In 30 Minuten zur BI-Lösung in der Cloud Aufbau einer BI-Infrastruktur & Entwicklung von Reports Live. Referent: Patrick Eisner & Ronja Schermer

Cyber Security 4.0. Aktuelle Angriffs- Methoden & Gegenmaßnahmen

Unify Customer Summits 2014 Data Center Herz der virtuellen IT-Fabrik. Andreas Hack, Leiter Consulting & Design South

Neues deutsches IT-Sicherheitsgesetz Was bedeutet das für die Kunden? Wie können wir helfen?

DIGITALE POSTSTELLE. Canon Business Services

Cybersicherheit in der Smart Factory

Verpassen Sie nicht den Anschluss!

Automation meets IT. Industrial Security Heinrich Homann Security Specialist Plant Security Services

WIE SICHER IST DER INHALT IHRER S? Sicher mit Secure -as-a-Service

Pressekonferenz zur CEBIT 2018

Faktor Mensch in IT-Managementsystemen oder Security-Awareness nachhaltig und wirksam. Nadin Ebel, Materna

Umfassende Managed Services für IBM Power Systems IBM POWER SERVICES

Umgestaltung des Managements Ihres virtualisierten Rechenzentrums Carsten Landeck Senior Specialist Systems Engineer 20.

Software Engineering effizient und flexibel siemens.de/sicbs

CloudingSMEs Umfrage für ICT-Unternehmen (KMU)

Besuchen Sie uns: siemens.de/sicbs

Störenfriede stören. Umfrage zum Thema Bedrohungssuche und Weiterentwicklung der Sicherheitskontrollzentren (SOC)

2017 VERITAS GDPR REPORT. Kapitel 1: DSGVO voraus Unternehmen fürchten, Reputation, Stellen und sogar die Existenzgrundlage einzubüßen

CloudingSMEs Umfrage für ICT-Unternehmen (KMU)

Service Portal Die komplette IT auf einen Blick an jedem Ort, auf jedem Device, in Echtzeit. Network Visibility

Cloud Services eine Wirtschaftlichkeitsbetrachtung Eine Hilfestellung für den wirtschaftlichen Einsatz von Cloud Services

Einfach verbinden und die Kontrolle übernehmen

Datenschutz-Grundverordnung (DSGVO) DSGVO-COMPLIANCE FRISTGERECHT ERREICHEN. Warten Sie nicht bis Mai 2018, überprüfen Sie Ihre Maßnahmen jetzt.

Stellen Sie Ihre IT-Sicherheit auf Autopilot

IT Managed Service & Datenschutz Agieren statt Reagieren

WAGNER IT SYSTEMS MANAGED CLOUD-SPACE

NETZWERKSICHERHEIT FÜR JEDE ART VON CLOUD

Partner bieten in der Mehrzahl Komplettdienstleistungen. Kunden erwarten ausgeprägte Kenntnisse über Branche,

Regionaltage Human Centric Workplace Fujitsu

SECURITY & COMPLIANCE

Cloud-Monitor 2018 Eine Studie von Bitkom Research im Auftrag von KPMG Pressekonferenz Dr. Axel Pols, Bitkom Research GmbH Peter Heidkamp, KPMG AG

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

EASY Cloud Platform Developer Edition

Cybersecurity 4.0 Schutz vor den Bedrohungen von heute und morgen. Markus Grathwohl Senior Corporate Account Manager

IT-Security als Voraussetzung für Digitalen Wandel Hausaufgaben für Industrie 4.0 und Digitales Business

Akamai Aktuelle Cybertrends und die EU Datenschutz-Grundverordnung (DSGVO)

IT-Sicherheit: Unternehmen betrachten die Themen zu technisch

Erschlagen von der Menge an Daten? Dann hilft die intelligente Sicherung mit StorageCraft

TÜV Rheinland. Security Intelligence: Die Schlagkraft eines GRC nutzen. It-sa 2016, 18. Oktober 2016

Eine Schritt-für-Schritt- Anleitung, um COBOL- Anwendungen in die Cloud zu bringen

DISTRIBUTED COMPUTING IN A HYBRID ENVIRONMENT. Die Komplexität heterogener Server einfach und schnell bewältigen.

McAFEE-LÖSUNG FÜR INTEGRIERTE BEDROHUNGSABWEHR

Security Einfach Machen

Wolkenlos durch die Cloud Cloud-Management mit COMLINE

EINE AN DIE BEDÜRFNISSE DER BETRIEBSTECHNIK ANGEPASSTE GESAMTLÖSUNG INDUSTRIESICHERHEIT NETWORK SECURITY I ENDPOINT SECURITY I DATA SECURITY

Umfrage: Verschlüsselung in Rechenzentren Zusammenfassung

So verkaufen Sie StorageCraft Cloud Backup for Office 365

Pressekonferenz zur CeBIT 2016 Prof. Dr.-Ing. Udo Ungeheuer, Präsident des VDI Dieter Westerkamp, Leiter Technik und Wissenschaft im VDI Olaf

Unter Cloud Computing versteht man die Bereitstellung von Computerdiensten sowie

Vorbereitetsein. ist Macht. Elastizität. BK Strategie. Business Kontinuität Krisenmanagement. Reputation. Identifizierung der Bedrohungen

Global State of Information Security Survey 2017

Incident Reponse. Irgendwann erwischt es jeden. oder warum wir uns auf den Ernstfall vorbereiten müssen. Robert Schischka

Informatikdienste Virtualisierung im Datacenter mit VMware vsphere

Cloud Computing Realitätscheck und Optionen für KMUs

LEISTUNGSSTARKES, SKALIERBARES SCHWACHSTELLEN- MANAGEMENT. F-Secure Radar

Home to the Cloud e-shelter Marktplatz für die hybride Cloud Welt. Wien, 2. Februar 2017 Matthias Dämon, e-shelter

Azure Stack «Die Microsoft Public Cloud im eigenen Rechenzentrum»

Experton Group Security Vendor Benchmark Schweiz 2015 veröffentlicht

Was sind die größten IT-Sicherheitsherausforderungen?

Wenn Gebäudetechnik perfekte Orte schafft das ist Ingenuity for life. Weder zu kalt noch zu warm. Immer sicher. Immer beschützt.

TÜV Rheinland. Ihr Partner für Informationssicherheit.

Cyber Attacks & Data Security in der Eventbranche WIE VERANSTALTUNGEN VOR CYBER-ANGRIFFEN EFFEKTIV GESCHÜTZT WERDEN KÖNNEN

Public Cloud im eigenen Rechenzentrum

IT-LÖSUNGEN NACH MAß 20 JAHRE KOMPETENZ. in der Informationstechnologie. Ihr Partner für Netzwerk- und Softwarelösungen

Datensicherheits- und Datenschutzrichtlinien IBM Cloud-Services

Einführung in Cloud Computing

Transkript:

Whitepaper Komplexität, Kosten, Compliance: Drei Faktoren, die das Interesse an Security-as-a-Service steigern Informationssicherheit wird von Tag zu Tag schwieriger. Mobilgeräte, das Internet der Dinge (IoT) und die Verlagerung von Arbeitslasten in die Cloud spielen eine immer größere Rolle. Dadurch steigen die Anzahl der Nutzeraktivitäten, das von Nutzern und Geräten generierte Datenvolumen und auch die Compliance-Anforderungen. Sicherheitsverantwortliche müssen einerseits stets wachsam nach neuen Bedrohungen Ausschau halten und andererseits einen nicht enden wollenden Strom von akuten Aufgaben bewältigen. Bemühungen, dies mit internen Mitteln zu schaffen, stellen Unternehmen schnell vor weitere Probleme: Budgets werden überzogen und wertvolle IT-Fachkräfte müssen von anderen Aufgaben abgezogen werden. Kein Wunder also, dass CSO und CISO nach Alternativen suchen. In diesem Whitepaper untersuchen wir die wachsende Beliebtheit von Securityas-a-Service (SECaaS) und stellen einige Empfehlungen von NTT Security für Unternehmen vor, die den Umstieg zu Cloud-basierten Sicherheitslösungen erwägen. Früher war alles einfacher Die heutige IT ist mobil und von einer explosionsartigen Zunahme der Endpunkte geprägt, die über weit verteilte Netzwerke miteinander verbunden sind. Mitarbeiter bringen ihre eigenen Geräte und Anwendungen mit ins Büro und verschieben Daten in die und aus der Cloud, während die umfangreiche industrielle Implementierung von IoT neue Bedrohungsvektoren schafft. Es ist nicht übertrieben, zu sagen, dass das Sicherheitsmanagement immer komplexer wird, während die Häufigkeit und Effektivität von Angriffen zunehmen. Dies lässt sich leicht belegen. Erinnern wir uns zum Beispiel an die folgenden Datenschutzverletzungen aus dem Jahr 2017: Aus den Schlagzeilen Im Januar sah sich ein College in den USA nach einem Ransomware- Angriff gezwungen, Hackern 28.000 USD in Bitcoins zu zahlen, um wieder auf Dateien zugreifen zu können. 1 Der Vorfall ereignete sich während der Winterpause und verursachte weitläufige Unterbrechungen von Online-Services zur finanziellen Unterstützung sowie Ausfälle von E Mail- und Voicemail-Systemen. 1.800 Studenten und Mitarbeiter hatten keinen Zugriff auf ihre Computer. Dies belegt die Notwendigkeit integrierter Sicherheitsservices ohne On-Premises-Hardware durch Cloud-basierte Lösungen für das zentrale Sicherheitsmanagement, die verwaltete Bedrohungserkennung und transparentere IT-Infrastrukturen. Untersuchungen für den Global Threat Intelligence Report 2017 von NTT Security zeigten, dass 73 % der in Unternehmen gefundenen Malware mit Phishing-Angriffen eingeschleust wurde. 2 Die Implementierung und der Betrieb von On-Premises-Lösungen zur Phishing-Abwehr können schwierig und teuer sein. Im Februar 2017 warnte der US Internal Revenue Service vor einer Betrugsmasche während der Zeit der Steuerabrechnungen, bei der Phishing-E Mails als seriöse Mitteilungen eines Anbieters von Steuersoftware getarnt sein würden. 3 Heutzutage wird es immer wichtiger, robustere Cloud-basierte Lösungen zur Phishing-Abwehr einzuführen, die schnell und ohne großen Aufwand implementiert und entsprechend den Anforderungen des Unternehmens skaliert werden können und umfassende Fähigkeiten wie die Überwachung und Erkennung ausgereifter Phishing-Angriffe sowie Abwehr und Beseitigung solcher Vorfälle bieten. Die IT-Teams von Unternehmen erhalten im Schnitt 578 Sicherheitswarnungen pro Tag. 4 Vor diesem Hintergrund fällt es CSO und CISO immer schwerer, das große Ganze nicht aus den Augen zu verlieren. Sie brauchen Zeit und Ressourcen, um mit den Veränderungen der Bedrohungslage Schritt zu halten und langfristige Strategien zur Verteidigung gegen Angriffe bzw. zur Minimierung von deren Auswirkungen zu entwickeln. 1. Los Angeles Times 2. Global Threat Intelligence Report 2017, NTT Security 3. Pressemitteilung des US Internal Revenue Service: Security Summit Alert: Tax Professionals Warned of New Scam to Unlock Their Tax Software Accounts 4. SC Magazine - Balabit CSI Report www.nttsecurity.com Copyright NTT Security 2018

Die Herausforderungen des modernen Cyber-Sicherheitsmanagements im Zeitalter der Cloud Compliance ist ein weiterer Bereich, der CSO und CISO das Leben schwer macht. Private Unternehmen und öffentliche Organisationen stehen gleichermaßen vor einer wachsenden Menge von Regulierungsbestimmungen global, innerhalb von Handelsblöcken wie der NAFTA oder EU und häufig parallel zu branchenspezifischen Regeln und unterschiedlichen Umsetzungspraktiken auf nationaler Ebene. Allein für die DSGVO sagt Gartner voraus, dass über die Hälfte der davon betroffenen Unternehmen die Anforderungen auch nach einem Jahr noch nicht vollständig umgesetzt haben werden. 5 Vorstände und Führungskräfte sind inzwischen viel besser darüber informiert, wie wichtig die Sicherheit für das Geschäft und den guten Ruf ist, insbesondere wenn sie ihre digitale Reichweite durch die Cloud-Nutzung vergrößern. So beeinträchtigt Komplexität die Effektivität der Sicherheit 1 sinkende IT-Produktivität 2 übersehene Schwachstellen 3 widersprüchliche Richtlinien und Governance 4 unklare Verantwortlichkeiten 5 unbefriedigende Rendite von Technologie-Investitionen 6 potenzielle Kommunikationslücken mit dem oberen Management 7 mangelhafte Technologie- Integration 8 mehr aktive Endpunkte als effektiv überwacht oder verwaltet werden können Wenn es bei anderen Unternehmen zu Datenschutzverletzungen kommt, möchten sie wissen, ob das auch in ihrem eigenen Unternehmen passieren könnte. Dadurch stehen CSO und CISO unter Druck, klare und überzeugende (z. B. mit Daten belegte) Antworten zu liefern, um Vertrauen zu schaffen. Der Hintergrund für all dies ist die hochdynamische Bedrohungslage. Während manche Angriffsarten bereits als Katalogware verfügbar sind, macht die Zunahme von Advanced Persistent Threats (APT) Investitionen in ausgereifte Technologien erforderlich. Deren und Pflege steigert jedoch die Komplexität. Ob einfache oder ausgefeilte Sicherheitsinfrastruktur, wichtig ist vor allem die Reaktion auf Warnmeldungen, die von IDS, Firewalls und andere Systemen ausgeben werden. Sicherheitsteams erhalten eine Flut von Mitteilungen, von denen viele Fehlalarme oder Duplikate sind - erzeugt von verschiedenen Maschinen und in verschiedenen Umgebungen (Cloud-, Hybrid-, On-Premises- oder virtuellen Umgebungen). Abgesehen von der vergeudeten Zeit und dem unnötigen Aufwand können die vielen harmlosen Meldungen auch die wenigen wirklich wichtigen Warnungen für einen tatsächlichen Sicherheitsverstoß übertönen. Daher gilt es schon seit einiger Zeit als normal, dass Unternehmen Unterstützung und Beratung bei vertrauenswürdigen externen Anbietern suchen, die ihnen dabei helfen sollen, ihr Sicherheitsprofil zu beurteilen und die Effektivität ihres Sicherheitsbetriebs zu verbessern. Jetzt wenden sie sich auch an Sicherheitsanbieter, um die des ganzen Sicherheitslebenszyklus wichtiger Ressourcen in mehreren Cloud- und On-Premises-Umgebungen auszulagern, Komplexität und Kosten zu senken und das Risiko in angemessener Weise zu mindern. Dieses neu aufkommende Modell wird Security-as-a- Service (SECaaS) genannt. Was genau ist SECaaS? SECaaS kann CSO das Leben erleichtern und die IT-Abwehr von Unternehmen durch Cloud-basierte Sicherheitsservices stärken. Wichtige, bislang im Unternehmen implementierte Technologien werden von einem Anbieter von Managed Security Services bereitgestellt und verwaltet, sodass CSO und CISO bei Bedarf schnell modernste Sicherheitsfunktionen nutzen können, während Investitionsund Betriebskosten auf ein Minimum reduziert werden. SECaaS beruht auf einer Kombination aus Automatisierung und laufender Überwachung durch menschliche Experten. Warnmeldungen werden rund um die Uhr geprüft und analysiert, ihr Risikoniveau wird abgeschätzt und angemessene Maßnahmen werden eingeleitet. Die Erkennung ernsthafter Bedrohungen wird verbessert, sodass es leichter wird, Gegenmaßnahmen zu ergreifen und erheblichen Schaden abzuwenden. Da sich SECaaS auf die Erfahrung und Intervention erfahrener Sicherheitsexperten stützt, entlastet sie CSO weitgehend von der Anwerbung, Einstellung und kontinuierlichen Weiterbildung eigener Sicherheitsexperten mit einem breiten Spektrum an Spezialkenntnissen. Die Infrastruktur selbst wird im Hintergrund laufend mit den neuesten Versionen und Patches aktualisiert, sodass Störungen des Betriebs auf ein Minimum reduziert werden und die Sicherstellung der Compliance in geringerem Ausmaß den Endnutzern obliegt. Zu den mittels SECaaS bereitgestellten Technologien gehören u. a.: Business continuity und Disaster Recovery (BCDR oder BC/ DR) laufende Überwachung Schutz vor Datenverlust (DLP) E Mail-Sicherheit Identitäts- und Zugriffsmanagement (IAM) Angriffsabwehr Netzwerksicherheit Sicherheitsbeurteilung Sicherheitsinformations- und Ereignismanagement (SIEM) Schwachstellenanalysen Websicherheit Ein umfassendes Serviceangebot könnte auch geschäftliche Kontinuität und Disaster Recovery (BCDR oder BC/ DR), Schutz vor Datenverlust (DLP), E Mail-Sicherheit, Websicherheit,, Identitätsund Zugriffsmanagement (IAM), Sicherheitsbeurteilungen und Untersuchungen auf Schwachstellen einschließen. Wer ist wofür verantwortlich? Die Liste der möglichen Services ist zwar sehr umfangreich, aber ein Unternehmen, das SECaaS in Erwägung zieht, wird die Compliance nicht gänzlich an einen externen Anbieter übergeben können. Datenschutzgesetze und Rechtsakte wie die DSGVO weisen die Verantwortung für den Schutz sensibler Daten letztendlich dem SECaaS-Kunden zu. Wichtige Sicherheitsfunktionen können von dem Sicherheitsanbieter durchgeführt werden, aber der Kunde 5. Pressemitteilung: Gartner Says Organizations Are Unprepared for the 2018 European Data Protection Regulation www.nttsecurity.com Copyright NTT Security 2018 2

bleibt verantwortlich für die korrekte und Implementierung von SECaaS. Alle auf den SECaaS-Anbieter übertragenen Kontrollen und Richtlinien müssen zudem regelmäßig überprüft und aktualisiert werden. Unternehmen, die die Nutzung von SECaaS in Erwägung ziehen, sollten die Anbieter fragen, ob sie als Teil ihres Serviceangebots in diesen Bereichen Anleitung und Unterstützung bieten. Weitere Gesichtspunkte: Die Wahl des richtigen Modells Wenn Unternehmen Cloud-Funktionen nutzen, übernehmen sie zugleich eine Mischung aus Sicherheitsverantwortung, risiken und herausforderungen. Ein Verständnis der Zusammenhänge und Verantwortlichkeiten zwischen den drei gängigsten Cloud-Computing-Modellen IaaS, PaaS und SaaS und ihrer Beziehung zu SECaaS ist wichtig. IaaS bietet dem Nutzer oder Kundenunternehmen Infrastrukturressourcen mit umfassender Flexibilität und Kontrolle. Allerdings liegt die Verantwortung für die Sicherung von Anwendungen, Runtime, Middleware und Infrastruktur dabei beim Nutzer. Als Beispiele für dieses Modell könnten Amazon EC2 und Microsoft Azure IaaS genannt werden. PaaS bietet eine Plattform, auf der Nutzer Anwendungen entwickeln und implementieren können. Die Verantwortlichkeit kann von beiden Parteien geteilt werden. SECaaS-Lösungen umfassen stärker anwendungsbasierte Kontrollen wie die Prüfung von Anwendungen und sichere Webgateways (SWG). SaaS bietet hingegen einen direkt einsetzbaren Service mit passenden Funktionen und dem höchsten Maß an integrierter Sicherheit für die der Anbieter die größere Verantwortung trägt. Im Gegenzug muss der Nutzer jedoch auf Flexibilität und Kontrolle verzichten. Beispiele für dieses Modell sind O365 und Salesforce. Das Servicemodell hat direkte Konsequenzen für den Grad der Verantwortung, die das Unternehmen trägt. Größere Flexibilität und Kontrolle erfordert ergänzende Sicherheitsservices, wie sie von SECaaS bereitgestellt werden. Zum Beispiel sind Unternehmen, die sich für ein IaaS-Modell entscheiden, wahrscheinlich besser positioniert, um die Vorteile von SECaaS in vollem Umfang zu nutzen. Das folgende Diagramm zeigt die SECaaS-Angebote, die mit den Verantwortungsbereichen für die Infrastruktur in Bezug gesetzt werden können. Abbildung 1: Geteiltes Sicherheitsmodell Infrastructure-as-a-Service (IaaS): SECaaS Kundendaten Datensicherheit DLP, CASB,, IAM Logische Ebene Betrieb und Plattform- und Anwendungsmanagement Clientseitige Betriebssystem Schutz des Netzwerkdatenverkehrs Maschinen Netzwerke Serverseitige Firewall- Anwendungssicherheit durch Kunden Netzwerksicherheit WAF, DDoS, IAM, Sicherheitsbeurteilung FW, IDS/IPS, SIEM E Mail, Web Physische Ebene Grundlegende Services Computing Speicherung Netzwerk Datenbank Rechenzentrumsinfrastruktur durch Anbieter Im Gegensatz dazu sind Nutzer von SaaS oder abstrahierten Servicemodellen weniger auf SECaaS-Angebote zur Abdeckung ihrer Verantwortungsbereiche angewiesen, weil viele Sicherheitsfunktionen bereits im Service des Anbieters integriert sind. Allerdings liegt der Schwerpunkt dieser integrierten Sicherheitsfunktionen auf der Vorbeugung und weniger auf der Erkennung und Beseitigung, weswegen sie häufig nur unzureichenden Schutz vor Advanced Persistent Threats (APT) bieten, besonders wenn diese bereits das Netzwerk des Kunden infiltriert haben. www.nttsecurity.com Copyright NTT Security 2018 3

Abbildung 2: Geteiltes Sicherheitsmodell Platform-as-a-Service (PaaS) SECaaS Kundendaten Datensicherheit durch Kunden DLP, CASB,, IAM Logische Ebene Betrieb und Plattform- und Anwendungsmanagement Clientseitige Betriebssystem Schutz des Netzwerkdatenverkehrs Maschinen Netzwerke Serverseitige Firewall- Anwendungssicherheit durch Anbieter WAF, DDoS, IAM, Sicherheitsbeurteilung Physische Ebene Grundlegende Services Computing Speicherung Netzwerk Datenbank Rechenzentrumsinfrastruktur Obwohl Technologien wie WAF oder DDoS-Schutz in abstrahierte oder containerisierte Services integriert sein können, muss der Nutzer diese Services möglicherweise immer noch selbst konfigurieren und überwachen, um ein Höchstmaß an Kontrolle und Risikominderung zu erlangen. Abbildung 3: Geteiltes Sicherheitsmodell Software-as-a-Service (PaaS) SECaaS Kundendaten Datensicherheit durch Kunden DLP, CASB,, IAM Logische Ebene Betrieb und Plattform- und Anwendungsmanagement Clientseitige Betriebssystem Schutz des Netzwerkdatenverkehrs Maschinen Netzwerke Serverseitige Firewall- durch Anbieter Physische Ebene Grundlegende Services Computing Speicherung Netzwerk Datenbank Rechenzentrumsinfrastruktur www.nttsecurity.com Copyright NTT Security 2018 4

Die Auswahl des richtigen SECaaS- Anbieters Unternehmen, die das Outsourcing ihres Sicherheitsmanagements an einen Anbieter von SECaaS oder Managed Security Services (MSSP) erwägen, haben ähnliche Ziele: Kostensenkung, Prozessautomatisierung, Vereinfachung der Compliance und Zugang zu den neuesten, zukunftsorientierten Services und Technologien. Die Entscheidung reduziert sich allerdings häufig darauf, auf welche Funktionen man verzichten kann. Wenn Sie sich beispielsweise für einen MSSP entscheiden, der keine Services im Rahmen eines SECaaS-Modells bereitstellt, nimmt dieser Ihnen zwar zeitraubende Aufgaben ab, doch Sie müssen in zusätzliche Hardware zur Unterstützung der Managed Services investieren. Die Zusammenarbeit mit einem spezialisierten Sicherheitsanbieter, dessen Experten Ihre gesamte Infrastruktur umfassend beurteilen und auf dieser Grundlage die strategisch richtigen standortgebundenen Managed Services planen, entwickeln und bereitstellen, ist wahrscheinlich die beste Option, um die Vorteile von SECaaS in vollem Umfang zu nutzen. Sie profitieren von skalierbaren On-Demand-Services und ausgereifter Unternehmenssicherheit, wie zum Beispiel Managed Services für die Erkennung und Abwehr (erweiterte Analyse, praxistaugliche Bedrohungsdaten, schnelle Reaktion auf Sicherheitsvorfälle usw.). Dabei entstehen keine Investitionskosten und Sie können immer noch die Hauptlast der umfassenden Sicherheitsüberwachung und verwaltung an den Anbieter abgeben. Diese letzte Frage ist wichtig, denn viele Unternehmen nutzen eine Mischung aus alter und neuer Technologie. Andere wichtige Fragen, die Sie bei der Beurteilung eines SECaaS- Anbieters stellen sollten: 1 In welchem Ausmaß verkürzen die Automatisierungsfunktionen des Anbieters die Reaktionszeit und weisen Meldungen die richtige Risikostufe zu? 2 Wie rasch kann der Anbieter reagieren, wenn ein Problem erkannt wird? 3 Wie häufig aktualisiert der Anbieter seine Technologie, um mit der Entwicklung von Angriffen Schritt zu halten und die jüngsten Innovationen zu nutzen? 4 Überwacht der Anbieter Kunden-Infrastrukturen rund um die Uhr und welche Sicherheitsgewährleistungen gibt er? 5 Wie viel Erfahrung, technisches Know-how und Branchenkenntnis bringt das Team des Anbieters mit? 6 Stellt der Anbieter eine zentrale Management-Oberfläche für die mehrerer SECaaS- Lösungen bereit? Dadurch werden das Management und die Veranschaulichung praxistauglicher Sicherheits- und Risikodaten komplizierter. Der SECaaS-Anbieter trägt zwar die Verantwortung für das Management und den Betrieb der für die Bereitstellung des Service genutzten Hardware und Software, aber die Kunden benötigen dennoch eine Webkonsole, um Einblick in ihre verwaltete Sicherheitsumgebung zu nehmen und regulierungsrelevante Kontrollaufgaben durchzuführen, die in ihren Verantwortungsbereich fallen und intern erledigt werden müssen. Fazit Wie der Global Threat Intelligence Report 2017 von NTT Security gezeigt hat, umfasst die IT-Sicherheit Technologie, Prozesse und die Zusammenarbeit von Menschen. Versuche, die Sicherheit einfach nur durch mehr Technologie zu stärken, ohne dabei die Prozesse und die Art und das Maß der für das Management erforderlichen Ressourcen zu berücksichtigen, können mehr schaden als nutzen. Angesichts des Tempos, mit dem sich die Bedrohungen weiterentwickeln, sind die meisten Unternehmen wahrscheinlich auch gar nicht in der Lage, die neueste Sicherheitstechnologie immer sofort einzusetzen und ihr volles Potenzial auszunutzen. Es ist noch nicht so lange her, dass Sicherheitsbedenken eine der Haupthürden bei der Cloud-Einführung waren. Aber die Vorteile des SaaS- Modells haben die zügige Einführung vorangetrieben und zu Innovationen geführt, die noch vor wenigen Jahren kaum vorstellbar waren. Führende Cloud-Anbieter haben jetzt Sicherheit in ihre Infrastruktur integriert und damit Umgebungen geschaffen, die nicht nur genauso sicher sind wie herkömmliche On-Premises-Umgebungen, sondern möglicherweise sogar sicherer. Da Vorschriften und Governance- Richtlinien immer mehr Wert auf eine angemessene Sicherheit legen, ist SECaaS eine attraktive Option zur Verbesserung der Sicherheit und Compliance. Dies gilt insbesondere dann, wenn Sie gleichzeitig den Betrieb vereinfachen und die Kosten unter Kontrolle behalten wollen. Ein Anwendungsfall für SECaaS Ein CISO ist besorgt über die Geschwindigkeit und das Ausmaß der Nutzung neuer SaaS-Anwendungen in den Geschäftsbereichen, weil es kein Verfahren und keine Richtlinien für die Prüfung der Sicherheit dieser Anwendungen gibt. Oft setzen die Geschäftsbereiche SaaS-Anwendungen ein, ohne zuvor eine ausreichende Risikobeurteilung vorzunehmen. Infolgedessen hat das Unternehmen keinen umfassenden Überblick über die Anwendungen und die von ihnen genutzten Daten. Dennoch möchte der CISO den Zugang zu Cloud-Services nicht ganz unterbinden. Die Produktivität ist erheblich gestiegen, seit die Abteilungen selbst die Tools auswählen dürfen, die ihre Anforderungen am besten erfüllen. Eine anstehende Prüfung zur DSGVO- Konformität hat jedoch zu einer Neubesinnung geführt. Der CISO ist besorgt, dass die Ressourcen des Unternehmens nicht ausreichen, um alle erforderlichen Informationen fristgerecht zusammenzutragen. Daher entscheidet er sich für die Nutzung von Cloud Access Security Brokern (CASB), um dieser Bedenken Herr zu werden. CASB sind Punkte zur Durchsetzung von Sicherheitsrichtlinien, die zwischen den Nutzern und Anbietern von Cloud-Services angeordnet sind, um beim Zugriff auf Cloud-basierte Ressourcen die Sicherheitsrichtlinien des Unternehmens durchzusetzen. Als Lösung bieten CASB: Einblick in die Nutzung der Cloud Risikobeurteilung von SaaS-Anbietern Compliance-Berichte Schutz vor Datenverlust Möglichkeit, für jede SaaS-Lösung granulär Richtlinien festzulegen schnellen Zugriff des CISO auf CASB- Tools über die Cloud www.nttsecurity.com Copyright NTT Security 2018 5

Über NTT Security NTT Security ist das auf Sicherheit spezialisierte Unternehmen und Security Center of Excellence der NTT Group. Mit Embedded Security ermöglicht NTT Security den NTT-Group-Unternehmen die Bereitstellung zuverlässiger Business-Lösungen für Kundenanforderungen in der digitalen Transformation. NTT Security verfügt über 10 SOCs, sieben Zentren für Forschung und Entwicklung sowie mehr als 1.500 Sicherheitsexperten und behandelt jährlich Hunderttausende Sicherheitsvorfälle auf sechs Kontinenten. NTT Security sichert eine effiziente Ressourcennutzung, indem den Unternehmen der NTT Group der richtige Mix an ganzheitlichen Managed Security Services, Security Consulting Services und Security-Technologie zur Verfügung gestellt wird unter optimaler Kombination von lokalen und globalen Ressourcen. NTT Security ist Teil der NTT Group (Nippon Telegraph and Telephone Corporation), einem der größten IKT-Unternehmen weltweit. Weitere Informationen über NTT Security finden sich auf: www.nttsecurity.com Über die NTT Group in Deutschland Zur NTT Group in Deutschland gehören neben NTT Security die Unternehmen Arkadin, Dimension Data, e-shelter, itelligence, NTT Communications und NTT DATA. In Deutschland beschäftigt die NTT Group rund 5.300 Mitarbeiter. Der Umsatz liegt bei über 1,2 Milliarden Euro. Weitere Informationen zur globalen NTT Group finden sich unter www.ntt-global.com www.nttsecurity.com Copyright NTT Security 2018 UEA V1

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback