:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheit in der Multi-Cloud-Ära Abgeschirmt: Cloud Access Security Broker (CASB)
Konventionelle Cloud-Access-Security-Lösungen stoßen schnell an ihre Grenzen in Multi-Cloud-Umgebungen. Cloud Access Security Broker können Abhilfe schaffen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
:fill(fff,0)/p7i.vogel.de/companies/62/44/62441f164417b/fastly-logo-2020--3-.jpeg "fastly-logo-2020--3- (Fastly)"){kind=logo}
Das robuste Wachstum von Cloud-Diensten kann nicht darüber hinweg täuschen, dass die Nutzung auch „nur“ einer Cloud-Umgebung Cloud-native Sicherheitsansätze erforderlich macht. In hybriden IT-Umgebungen lassen sich viele Sicherheitsvorfälle auf misslungene Versuche zurückführen, bestehende Best-Practices aus On-Premise-Umgebungen auf Biegen und Brechen unverändert auf die Cloud zu übertragen.
Dabei nimmt die „Hybridisierung“ der Unternehmens-IT immer stärker zu. Cloud-Nutzer greifen zunehmend auf mehr als eine Cloud-Plattform zurück. Dieser Trend hängt zum Teil mit wirtschaftlichen Überlegungen zusammen, zum Teil aber auch mit der bloßen Verfügbarkeit spezialisierter Dienste. So haben etwa Applikationen aus dem Windows-Server-Ökosystem in der Microsoft-Wolke bereits auf Grund der Lizenzkosten einen klaren Heimvorteil. Amazons vollständig verwaltete Datenbanksysteme Aurora, RDS und DynamoDB wie auch die Data-Warehouse-Lösung Redshift setzen aber zwingend die AWS-Cloud voraus. Echtzeit-Kartendaten der Google-Maps-Plattform sind wiederum an die Google Compute Engine gebunden.
Bevor sich die betroffenen Unternehmen umschauen, sind sie mit ihren Daten in mehreren Clouds verankert. Erst recht kompliziert gestaltet sich dann die Gewährleistung der Zugriffssicherheit. Dafür zeichnen nämlich bei den Cloud-Anbietern jeweils proprietäre — und mit Angeboten der Mitbewerber gezielt inkompatible — Dienste verantwortlich.
Abhilfe schafft eine vergleichsweise neue Kategorie von Sicherheitssoftware: die sogenannten Cloud Access Security Broker (CASB, alternativ auch CSG für Cloud Security Gateway). Diese Lösungen unterstützen Unternehmen bei der Kontrolle der Cloud-Nutzung und beim Schutz sensibler Daten in hybriden IT- und Multi-Cloud-Umgebungen.
Sicherheit in der Multi-Cloud-Ära
Laut Gartner sind die Weichen im Markt für CASB-Lösungen auf Wachstum gestellt. Bis zum Jahre 2020 sollen demnach sechs von zehn aller Großunternehmen (60 Prozent) auf Cloud Access Security Broker (CASB) vertrauen. Zum Zeitpunkt der Studie (November 2017) hatten gerade einmal 10 Prozent dieser Firmen CASB-Software im Einsatz.
Feature-Parität bei den Sicherheits-, Identitäts- und Compliance-Lösungen der einzelnen Cloud-Anbieter suchen deren Nutzer seit jeher vergeblich. Denn reine Cloud-Anbieter haben offenbar vorrangig Vendor-Lock-In im Sinne. So haben sie aber auch keinen nennenswerten Erfolg mit ihren Sicherheitslösungen vorzuzeigen. Es ist auch nicht weiter erstaunlich, dass sich keiner der großen Cloud-Anbieter im Magic-Quadranten von Gartner für CASB als einer der Marktführer positionieren konnte.
Das renommierte Marktforschungsunternehmen Gartner hat drei der insgesamt elf Anbieter der begehrten Auszeichnung „Leader“ im Markt für CASB-Plattformen für würdig befunden:
- McAfee mit der Skyhigh Security Cloud (zuvor: Skyhigh Networks),
- Symantec mit CloudSOC und
- Netskope mit Cloud XD.
Microsoft und Oracle spielen zwar im Gartners Magic Quadrant für CASB noch als Nischenanbieter mit; von AWS und Google gibt es hier aber keine Spur.
:quality(80)/images.vogel.de/vogelonline/bdb/1478100/1478167/original.jpg "Verdächtiges Verhalten aufdecken: Sein Know-How für User-Behavior-Analytics hat sich Symantec durch die Akquisition des CASB-Pioniers Blue Coat eingekauft.")
:quality(80)/images.vogel.de/vogelonline/bdb/1478100/1478168/original.jpg "Cloud-Dashboard: Ereignisüberwachung am Beispiel der CASB-Plattform von Skyhigh Networks.")
:quality(80)/images.vogel.de/vogelonline/bdb/1478100/1478169/original.jpg "Marktdominanz: Im aktuellen Magic Quadrant für CASB hat Gartner drei Marktführer identifiziert (Stand: November 2017).")
:quality(80)/images.vogel.de/vogelonline/bdb/1478100/1478170/original.jpg "Genehmigt oder nicht: Schematische Übersicht der Funktionsweise von Symantec CloudSOC in Bezug auf Anwendungen.")
McAfee Skyhigh Security Cloud
Die Skyhigh Security Cloud von McAfee kann mittlerweile auf eine insgesamt siebenjährige Entwicklungszeit zurückblicken. Mit der Übernahme des CASB-Pioniers Skyhigh Networks stieg McAfee aber praktisch über Nacht zu einem der führenden Anbieter auf. Gartner wertet die Skyhigh Security Cloud als eine der drei besten, wenn nicht die beste CASB-Lösung ein. Mit organischem Wachstum ließe sich ein derartiges Kunststück in einem vergleichbar kurzen Zeitraum wohl kaum realisieren.
Die Architekten der Skyhigh-Plattform hatten handfesten Realitätssinn bewiesen und eine Menge Pionierarbeit geleistet. Mit einer der größten Cloud-Service-Discovery-Datenbanken auf dem Markt nimmt sich Skyhigh der Problematik der gefürchteten Schatten-IT an. Hierbei handelt es sich um IT-Dienste, welche im Auftrag einzelner Fachabteilungen ohne den offiziellen Segen der IT-Verantwortlichen in Anspruch genommen wurden und „unter dem Radar fliegen“. Leichtsinnige Aktivitäten der Schatten-IT können nicht „nur“ die betroffenen Daten kompromittieren, sondern auch die Sicherheit anderer, legitimer Teile der Unternehmens-IT in Gefahr bringen. Skyhigh kann auch diese nicht-genehmigten Cloud-Dienste aufspüren, sie umfassenden Risikobewertungen unterziehen und passende Sicherheitsmaßnahmen ergreifen.
Zu den Stärken von Skyhigh gehört die ausgereifte Richtlinien-Engine. Dank der durchdachten Versionierung von Richtlinienänderungen lassen sich diese bei Bedarf problemlos zurücksetzen. Der Monitor-only-Modus der Engine ermöglicht es Administratoren, geplante Richtlinienänderungen vor der Implementierung auszutesten. Dadurch lassen sich potenziell kostspielige Störungen des laufenden Tagesgeschäfts verhindern.
Skyhigh überwacht die verschiedenen Clouds via deren native APIs. Ein Feature namens Lightning Link hängt sich in die Freigabeereignisse ein und kann Aktionen auf Auslöserereignisse anwenden, noch bevor sich diese auf die IT-Umgebung auswirken. Auf diese Weise gewährleistet das System eine API-basierte Echtzeitsteuerung der Freigabeaktivitäten.
Skyhigh hat auch die Prävention vor Datenverlusten (kurz: DLP für Data Loss Prevention) sowie Verschlüsselung und Tokenisierung von strukturierten und unstrukturierten Daten bei gängigen SaaS-Anwendungen ins Visier genommen. Die DLP-Engine von Skyhigh lässt sich anhand tatsächlicher Ereignisse aus der täglichen Praxis trainieren und kann aus beliebigen historischen Daten neue Regeln ableiten. Bei einigen SaaS-Anwendungen liefert die Engine sogar In-App-Benachrichtigungen über Regel-Verstöße.
Mithilfe von AppExchange-Connectors kann ein SaaS-Anbieter eine API-Adapterkonfigurationsdatei erstellen, um Skyhighs CASB-Engine die Überwachung und Steuerung der betreffenden Anwendung zu ermöglichen. Die Nutzung der API-Adapterkonfigurationsdatei hilft SaaS-Anbietern, kleinere Zusatzfeatures in der CASB-Lösung in Eigenregie verfügbar zu machen.
Rein technisch gesehen ist die McAfee Skyhigh Security Cloud über alle Zweifel erhaben. Die DLP-Engine sei so umfassend und ausgereift, dass viele Unternehmen keinerlei sonstigen DLP-Tools benötigen würden, urteilt Gartner.
Leider rechnet McAfee viele Features von Skyhigh etwas kleinlich auf Per-SKU-Basis (Stock Keeping Unit) ab. Dadurch verkompliziert sich die Lizenzierung. Laut Gartner sollen viele Cloud-Nutzer bei Skyhigh trotz der letzten Preissenkung die im Vergleich zu Mitbewerbern eben immer noch abgehobenen Kosten bemängeln; die Lizenzgebühren erwiesen dem Namen „Skyhigh“ leider alle Ehre.
Angesichts des nutzerfeindlichen Preismodells von Skyhigh kommen in vielen Unternehmen vorrangig CASB-Lösungen von Symantec und Netskope in die engere Wahl.
Symanctec CloudSOC: das Beste aus Blue Coat, Perspecsys und Elastica
Mit CloudSOC strebt Symantec ein elastisches Sicherheitsmodell für die Multi-Cloud-IT an, welches mit den Daten der Anwender und den Applikationen mitwandert.
Zur Absicherung von Multi-Cloud-IT setzt Symantecs CloudSOC auf API-basierte Securelets und schützt damit Daten in Cloud-Umgebungen wie Office 365, Google Suite, Box, Dropbox, Salesforce, AWS, Azure, ServiceNow, DocuSign, Jive, GitHub, Slack, Spark, Workday und anderen. Hierzu erlaubt Symantecs CloudSOC sowohl die Steuerung und Überwachung sanktionierter Zugriffe über SaaS- und IaaS-Accounts als auch die Abwicklung von Echtzeit-Datenverkehr zwischen Anwendern und Cloud-Apps über sogenannte CASB-Gateways.
Zur Erkennung und Absicherung sensibler Daten macht sich CloudSOC eine Technologie namens ContentIQ zu Nutze. Es handelt sich dabei um eine Data-Science-Engine zur Verhinderung von Datenverlusten. ContentIQ nutzt Maschinelles Lernen zur akkuraten Klassifizierung der Datenströme und kann illegitime Freigaben kritischer Dokumente verhindern.
Organisches Wachstum stellt bei CASB-Lösungen offenbar eher die Ausnahme dar. Denn sowohl McAfees Skyhigh Security Cloud als auch Symantecs CloudSOC sind im Zuge von Akquisitionen entstanden. Im Juni 2016 hatte sich Symantec den CASB-Anbieter Blue Coat angeeignet; anderthalb Jahre später (im November 2017) kartete McAfee mit der Übernahme von Skyhigh Networks nach.
Auch Blue Coat selbst hatte auch nicht auf organisches Wachstum gesetzt. Im Juli 2015 akquirierte das Unternehmen die gerade einmal knapp sechs Jahre alte Perspecsys und im November 2015 das dreijährige Startup Elastica. Perspecsys hatte sich auf die sichere Datenerfassung durch die Tokenisierung und die Verschlüsselung spezialisiert. Elastica hatte sich im Bereich der Data-Loss-Prevention, UEBA (User and Entity Behavior Analytics) und Content-Inspection einen Namen gemacht. Blue Coat hatte die Technologie in die eigene marktführende Cloud Security Gateway-Lösung (CSG) integriert und wurde daraufhin von Forrester Research zum „Wave Leader 2016“ gekrönt. Mit der Übernahme von Blue Coat hatte Symantec so auch die Technologie von Perspecsys und Elastica mit ins Haus geholt und sich damit in einem Atemzug bei Gartner als einer der drei „Leader“ im Markt für Cloud Access Security Brokers qualifiziert.
Netskope Cloud XD
Netskope bietet die eigene CASB-Plattform, Cloud XD, als eine Cloud-Lösung und/oder eine On-Premises-Appliance an. Die Auswertung des Datenverkehrs erfolgt in beiden Fällen in der Netskope-Cloud.
Anders als McAfee und Symantec musste Netskope Inc. auf organisches Wachstum setzen — in einem Markt, der im Takt von Akquisitionen lebt, kein leichtes Unterfangen. Denn auch andere IT-Anbieter haben CASB-Know-How extern eingekauft, darunter Oracle (Palerra), Cisco (CloudLock), IBM (Gravitant), Microsoft (Adallom), Forcepoint (Skyfence) und Proofpoint (FireLayers). Netskope wurde bei der Akquisitionswelle anscheinend übergangen.
Die führende Marktposition, die sich McAfee und Symantec in einem bis zwei Jahren erkaufen konnten, musste sich Netskope im Laufe von sechs Jahren mit harten Bandagen erkämpfen. Der CASB-Pionier hatte es dennoch geschafft, von Anfang an zahlreiche angesehene Ingenieure und Hauptarchitekten von Unternehmen wie Palo Alto Networks, Juniper Networks/Netscreen und McAfee/IntruVert abzuwerben. Der dicken Kapitaldecke seiner beiden Rivalen stellt das Unternehmen erschwinglichere Preise entgegen.
Zu den Highlights von Cloud XD zählt die robuste DLP-Engine. Die Erkennung der Schatten-IT umfasst ein geführtes Korrekturverfahren mit allgemeinen Empfehlungen zur Verbesserung der Cloud-Sicherheitseinstellungen. Ein Vertrauensindex deckt tausende von Cloud-Diensten ab; Netskope berücksichtigt hierbei Kriterien wie die Preisstruktur und die DSGVO-Konformität.
Im Gegensatz dazu ist die API-Unterstützung vergleichsweise mager ausgefallen; die Plattform deckt nur eine Handvoll der meist genutzten Cloud-Dienste ab. Hochgeschraubte Authentifizierungsrichtlinien für kritische Zugriffe sind nur mit einem einzigen IDaaS-Provider, Ping Identity [url=https://www.pingidentity.com], funktionsfähig.
Fazit
CASB-Lösungen erlauben es Unternehmen, ihre CAS-Richtlinien Cloud-übergreifend zu verwalten. Der Ansatz senkt die TCO-Kosten und vereinfacht die Implementierung von anpassungsfähigen Sicherheitskontrollen.
Die Autoren: Filipe Pereira Martins und Anna Kobylinska sind Analysten bei McKinley Denali Inc. (USA) und der bei der Soft1T S.a r.l. Beratungsgesellschaft mbH.
(ID:45572809)
:quality(80)/images.vogel.de/vogelonline/bdb/1951800/1951811/original.jpg "Der Fokus des neuen Anbieters Skyhigh Security liegt auf Security Service Edge (SSE). (Skyhigh Security)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945914/original.jpg "Security Service Edge beschreibt den Security-Teil des Modells SASE. SSE kann jedoch auch alleinstehend umgesetzt werden. (Sikov - stock.adobe.com)")