Warum es an der Zeit ist, die Netzwerksegmentierung zu überarbeiten

Pedro Abreu, Chief Product & Strategy Officer bei Forescout Technologies

In den letzten fünf Jahren wurden einige der größten Technologien der Cyber-Sicherheit überarbeitet. Palo Alto Networks und der Firewall-Markt der nächsten Generation haben den Markt für Netzwerksicherheit umgekrempelt. Unternehmen wie Splunk haben SIEM auf den Kopf gestellt. Endpunkttechnologien der nächsten Generation von Unternehmen wie Crowdstrike und Cylance haben die Sicherheit radikal verändert.

Während sich diese Transformationen auf dem Markt durchsetzen, stellt sich die Frage: Was kommt als nächstes? Welche Technologie wird revolutioniert?

Die nächste Sparte, die höchstwahrscheinlich eine Umwälzung erfahren wird, ist die Netzwerksegmentierung. Sie ermöglicht Unternehmen, ihr Hauptnetzwerk im Sinne der Risikominimierung in kleinere Segmente aufzuteilen. Aus dem Blickwinkel der Cyber-Sicherheit bedeutet dies, dass man Netzwerkteile mit sensiblen Finanz- oder Kreditkartendaten völlig getrennt vom restlichen Netzwerk betreiben kann, welches potentielle Angriffspunkte, wie den Laptop eines Mitarbeiters oder eine intelligente Gebäudetechnik bereit halten. Netzwerksegmentierung ist zwar nichts Neues, wurde aber in Unternehmen eher selten eingesetzt. Zum Teil ist dies den Schwächen zuzuschreiben, die vorhandene Technologien für Unternehmen derzeit aufweisen. Dazu gehören Schwierigkeiten bei der Implementierung in Umgebungen außerhalb von Datenzentren oder „blinde Flecken“, wie nicht-verwaltete Geräte.

Es gibt jedoch bereits Anzeichen, dass es Zeit wird, die Technologie auf Vordermann zu bringen. Hacker dringen weiterhin in Unternehmensnetzwerke ein, und die Leichtigkeit, mit der sie sich durch das Netzwerk bewegen können, ist alarmierend. Sie zeigt, dass die Kriminellen in der Lage sind, einem Unternehmen größeren Schaden zuzufügen. Firmen sind außerdem mit neuen, komplexeren Compliance-Anforderungen und einem höheren Risiko konfrontiert, da die Angriffsfläche aufgrund der zunehmenden Anzahl und Vielfalt an digitalen Geräten, zu denen auch Geräte für IoT und Operative Technologien (OT) gehören, wächst. Netzwerksegmentierung ist eine Möglichkeit, damit Unternehmen einige dieser Herausforderungen besser bewältigen oder zumindest ihr Risiko begrenzen können. Im Zuge eines bevorstehenden Wandels muss unsere Branche bei der Frage, was wir von der nächsten Generation der Programme zur Netzwerksegmentierung erwarten, umdenken. Sie muss sich über einige Funktionen dieser Technologien ernste Gedanken machen.

Zunächst sollten wir sicherstellen, dass wir den vollständigen Kontext aller Geräte und Anwendungen erhalten, die man für das gesamte, erweiterte Unternehmen segmentieren möchte – vom Campus über das Rechenzentrum bis hin zu Cloud- und OT-Umgebungen. Ohne diesen Kontext als Basis zu kennen, weiß man nicht, was oder wie man segmentieren soll. Je detaillierter die Übersicht ist, desto hilfreicher kann sie sein. Es ist zum Beispiel hilfreich zu wissen, ob es sich bei einer Kamera um eine Überwachungs- oder eine Telekonferenz-Kamera handelt, da für die einzelnen Gerätetypen unterschiedliche Richtlinienarten angewendet werden. Wenn CISOs heute diesen Kontext nur zum Teil erhalten, stellt die Netzwerksegmentierung eine Herausforderung für sie dar. Sie kennen vielleicht die Gerätetypen oder Anwendungen für das Datenzentrum – was einfacher ist, weil die Geräte simpel sind – allerdings nicht für das gesamte Unternehmen. Sie benötigen jene Daten jedoch als Grundlage, wenn sie die Netzwerksegmentierung effizient und umfassender anwenden möchten.

Zweitens braucht die Zukunft der Netzwerksegmentierung den Traffic-Kontext. Nur sehr wenige Unternehmen genießen den Luxus, ihr Netzwerk von Grund auf neu aufbauen zu können. Wahrscheinlicher ist, dass sie die Netzwerksegmentierung in vorhandene Netzwerke einführen. Damit dies gelingt, muss man wissen, welches Gerät mit welchem spricht und was als legitimer Datenverkehr gilt, also was mit wem sprechen sollte. Wenn hier kein Einblick vorhanden ist, sind die Regeln für die Netzwerksegmentierung kaum durchsetzbar, ohne gegen irgendetwas zu verstoßen. Am Ende sind Unternehmen in der Lage, all diese Informationen zum Erstellen und Durchsetzen von Richtlinien zu verwenden. Dies ist der Schritt hin zur Netzwerksegmentierung der nächsten Generation. Sie setzt Grenzen im gesamten Netzwerk und segmentiert es so, dass Geräte und Anwendungen nur auf die gewünschten und benötigten Daten zugreifen können und sich die Auswirkungen eines Angriffs in Grenzen halten.

Ein wichtiger Aspekt bei diesem letzten Schritt ist, dass es sich wohl immer um einen iterativen Prozess handeln wird. Die Durchsetzung der Richtlinien sollte dynamisch und automatisiert erfolgen, und der Geräte- und Traffic-Kontext dazu genutzt werden, um bei den heutigen, sich schnell verändernden Netzwerken auf dem neuesten Stand zu bleiben. Ältere Richtlinien müssen aktualisiert werden, um einer sich ändernden Umgebung gerecht zu werden. Die Orchestrierung sollte Technologie-übergreifend erfolgen, damit unterschiedliche Infrastrukturen, wie Campus-Switches, Firewalls, SDN-Infrastrukturen und öffentliche Cloud-Infrastrukturen, berücksichtigt werden. All diese minimalen Veränderungen sind möglich, wenn man einen tiefen Einblick in die Umgebung hat. Im Idealfall können diese Änderungen auch im Voraus simuliert werden. Dann kann das Sicherheitspersonal die Richtlinien beim Erstellen testen, um vor dem Inkrafttreten festzustellen, welche Auswirkungen sie auf das Netzwerk haben werden.

Die CISOs haben derzeit keine einfache Arbeit vor sich. Sie müssen sich mit der Frage auseinandersetzen, wie sie eine wachsende Anzahl von Bedrohungen in den Griff bekommen, das Gesamtrisiko reduzieren und Compliance-Anforderungen erfüllen können. Die künftigen Technologien zur Netzsegmentierung könnten dabei helfen, diese Schwachstellen zu beseitigen und das Ausmaß eines Angriffs zu verringern. Beinah alle Unternehmen aber verfolgen weiterhin die Strategie zu fragen, wann es zu Datenverstößen kommt, nicht ob. Vor diesem Hintergrund ist es wichtiger denn je, neue Innovationen zu finden, um das Risiko und den Umfang des Schadens, den ein Angriff verursachen könnte, zu begrenzen.

Weitere Informationen finden Sie unter www.forescout.com.