Was Sicherheits-Experten brauchen Die Wunschliste der Security-Admins

Anbieter zum Thema

SolarWinds

Vogel IT-Medien GmbH

sysob IT-Distribution GmbH & Co. KG

Mimecast Germany GmbH

Um herauszufinden, was die Sicherheits-Experten in ihren aktuellen Werkzeugen vermissen, oder wo ein Feature vielleicht nicht ganz zu Ende gedacht wurde, hat Tools-Anbieter SolarWinds gezielt in der eigenen Community THWACK nachgeforscht. Denn der besondere Wert von Online-Communites liegt darin, sich mit Experten aus allen Bereichen, allen Industrien und allen Ländern auszutauschen.

Es scheint, als ginge es für viele Unternehmen eher um das Abdecken einer Auflagenliste anstatt darum, Risiken zu minimieren. Die schiere Anzahl an Sicherheitsprodukten macht es nicht einfacher. Doch schauen wir uns einmal näher an, was die Top Drei auf der Wunschliste von IT-Sicherheitsexperten sind – und warum eigentlich.

Automation in der Security

Ganz oben auf der Liste steht die Automation. Als Heiliger Gral angesehen, verspricht sie die Auslastung des Personals ebenso zu minimieren wie die Antwortzeiten bei Problemen sowie Fehler anhand von menschlichem Versagen zu vermeiden. Allerdings kann Automation nur dann sinnvoll eingesetzt werden, wenn sie ausreichend getestet wurde, und nur so gut sein wie die darunterliegenden Regeln.

Wäre das nicht ein Anknüpfungspunkt für Künstliche Intelligenz (KI)? Ähnlich wie bei Saug-, Mäh- und sonstigen Robotern, die trotz Herstellerversprechungen nie gänzlich reibungslos funktionieren, ist es auch bei der Automatisierung in der Security, beispielsweise bei einem SIEM. An dieser Stelle macht Automation den größten Sinn, da viele Dinge auf einmal zusammenkommen. All die Daten, die von verschiedenen Quellen gesammelt werden, machen ein SIEM zum Gehirn einer sicheren Landschaft.

Was und wie kann nun automatisiert werden? Für die meisten IT-Teams geht es um das Erstellen und Testen von Regeln. In der Theorie ist das simpel, da es lediglich einen Auslöser und eine Aktion braucht. Und das ist im Allgemeinen ausreichend für Dinge wie das Verwalten des Netzwerks oder einer Anwendung. Aber in der Security muss man mit viel mehr Daten umgehen, und die Regeln erfordern viel Kreativität und vorausschauendes Denken. Die besseren SIEMs kommen mit vorab definierten Regeln. Ehrlicherweise kostet es viel Zeit, diese anzupassen und auch dann bleiben Regeln statisch. Wenn irgendetwas außerhalb der klar definierten Regelbedingungen geschieht, löst die Aktion nicht aus. Trotzdem geht es in der Security um die Vermeidung und Minimierung von Risiken. Und 50 gut funktionierende Automationsregeln können potenziell 50 Risiken automatisch beseitigen. Darüber hinaus sind manche dieser Regeln wirklich schnell erstellt. Ein Mitarbeiter versucht sich dreimal innerhalb von 20 Sekunden mit einem falschen Passwort anzumelden? Das Passwort automatisch zurücksetzen lassen. Nun die gleiche Situation, aber mit 20 Versuchen in 20 Sekunden? Das ist eine Brute-Force-Attacke, und das sofortige automatisierte Schließen des Kontos ist die einzige richtige Maßnahme.

Open Source, um Geld zu sparen?

Das zweite, viel diskutierte Thema ist das Nutzen von Open Source oder Freeware. Budgets in der IT sind immer ziemlich knapp, IT-Manager und Direktoren müssen seit jeher gut haushalten können – mit Blick auf die plötzliche, globale Pandemie noch ein Stück mehr. Allerdings kommt Open Source mit vielen Herausforderungen.

Wenn der Einkauf eines neuen Geräts ansteht, vielleicht einer Firewall, ist es sehr verlockend sich mit „kostenlosen“ Dingen wie pfsense zu befassen. Das ist selbst in globalen Unternehmen mit deutlich größerem Budget der Fall. Leider ist das , vor allem in Sachen Unterstützung und Verantwortlichkeit, mit Risiken verbunden. Die meisten Open-Source-Lösungen und Community-Versionen kommen mit keinerlei Support außerhalb eines Benutzer-Forums. Für den Technikexperten heißt das, dass man auf sich allein gestellt ist, vom Deployment bis zum Lösen möglicher Probleme. Natürlich kann alles auf Anhieb funktionieren, und pfsense, um beim Beispiel zu bleiben, ist ein erwachsenes und gut funktionierendes System. Es ist und bleibt allerdings ein Risiko, solche Lösungen zu nutzen.

Bekannten Herstellern wie Cisco und Juniper liegt sehr daran, identifizierte Schwachstellen so schnell wie möglich zu beseitigen – schließlich hat man einen Ruf zu verlieren. Ein Team von Hobby-Programmierern, die in ihrer Freizeit an einem Open-Source-Projekt arbeiten, haben andere Prioritäten. Jede Organisation muss das Verhältnis von Risiko gegenüber Einsparungen also selbst einschätzen. Ein Kompromiss wäre zum Beispiel der Einsatz von Open Source in weniger wichtigen Funktionen und an weniger wichtigen Stellen – oder aber als erste Linie der Verteidigung, sodass weniger Stress für das nächste Gerät entsteht und man dort eine günstigere Version mit weniger Ressourcen einsetzen kann. Also vielleicht doch einen Maserati, aber mit dem „kleinsten“ Motor.

Authentifizierung: Es gibt mehr als AD

Auch oft und irgendwie eher unerwartet ging es um Authentifizierung. Active Directory ist allgegenwärtig beim Authentifizieren von Benutzern oder Objekten in den meisten Organisationen auf der Welt. Es ist zuverlässig, seit über 20 Jahren auf dem Markt, und weder im Deployment noch in der Verwaltung kommt es zu großen Rätseln oder Überraschungen. Aber es passt nicht zu jeder Situation, und manchmal werden komplexe Umwege benötigt, um es mit anderen Formen von Authentifizierung oder Autorisation zu vereinen. Wo reicht AD aus und wo liegen die Grenzen?

Die erste Frage ist leicht zu beantworten: Bei allen Standardaufgaben, bei denen es um das Sicherstellen von Zugriffen und das Anmelden von Benutzern geht, passt es problemlos, solange wir uns im eigenen Netzwerk befinden. Es wird allerdings komplizierter, wenn externe Verbindungen dazukommen. Die zwei großen Fische im Teich Any Connect und Global Protect sowie einige andere Lösungen können recht einfach mit AD verbunden werden, aber nicht jeder Hersteller von VPN ermöglicht das Authentifizieren über AD. Bei manchen helfen Umwege, wie z.B. RADIUS, andere bestehen jedoch auf ihrer eigenen Datenbank. Einige hochsichere Umgebungen benötigen wiederum ein solides AAA (Authentication Authorization and Accounting) Design und kommen mit sehr detaillierten Log-Anforderungen, wo AD am Limit läuft.

Häufig tauchen zwei bestimmte Situationen auf. Die erste ist die Multifaktor-Authentifizierung. Abhängig vom Industriezweig kann MFA gesetzlich erforderlich sein, oder zumindest von einem Konformitäts-Framework gewünscht. Demnach hat man auf der einen Seite den Bedarf des Geschäftes, MFA einzusetzen, um die Sicherheit zu erhöhen. Auf der anderen Seite, und hier kommt das Problem, stehen Benutzer, die von solchen Maßnahmen ganz und gar nicht begeistert sind. Die Herausforderung beim erfolgreichen Einsatz von MFA ist es, den Aufwand für diese so gering wie möglich zu gestalten. Dafür gibt es wiederum zweierlei Wege: Zum einen ein physisches „Ding“, so etwa einen YubiKey, zum anderen einen Software-Authenticator, der auf einem mobilen Endgerät läuft. Wenn man bedenkt, dass wir mittlerweile eher unsere Wohnungsschlüssel als unser Mobiltelefon irgendwo liegenlassen, scheint diese Variante von Vorteil zu sein. Wirklich sicher wird das aber nur, wenn die IT auch das Endgerät kontrollieren kann, also die Telefone, was nicht immer möglich – oder überhaupt gewünscht ist.

Fazit

Wie man sieht, stehen Security-Admins vor mancherlei Herausforderung. Es gilt nicht nur wirkliche Gefahrensituationen zu erkennen, sondern auch die richtigen Werkzeuge korrekt zu benutzen. Und das ist selbstverständlich einfacher gesagt als getan - vor allem heute vor dem Hintergrund von unsicheren Zeiten, sinkenden Budgets und voll ausgelastetem Personal.

Über den Autor: Sascha Giese ist Head Geek bei SolarWinds.

(ID:46912525)