Synchronized Security[Gesponsert]

Endpoint und Firewall jetzt live im Gespräch

| Autor: Joe Levy*

Für mehr Sicherheit im Netzwerk müssen die verschiedenen Geräte ihren Status kommunizieren, Sophos spricht auch von synchronisierter Sicherheit und dem Security Heartbeat.
Für mehr Sicherheit im Netzwerk müssen die verschiedenen Geräte ihren Status kommunizieren, Sophos spricht auch von synchronisierter Sicherheit und dem Security Heartbeat. (Bild: sudok1 - Fotolia.com)

Bereitgestellt von

Angesichts aktueller Bedrohungen gebietet es der gesunde Menschenverstand, die besten verfügbaren Tools miteinander zu kombinieren – dann klappt das schon mit der IT-Sicherheit. Klingt logisch und vernünftig, funktioniert aber dennoch nicht. Warum nicht?

Kritische Infrastrukturen und virtuelle Währungen, Cyberkriege, ein unergründliches Dark Web und das täglich größer werdende Internet der Dinge – vorbei die glücklichen Tage, an denen ein bisschen Spam noch als Problem galt. Die Branche der IT-Sicherheit wird erwachsen und eines ist klar: so etwas wie die perfekte Gefahrenprävention gibt es nicht, denn jeder tut, was er kann, aber für sich allein.

Bisher war eine unmittelbare Abstimmung zwischen Schutzlösungen am physischen oder virtuellen Netzwerk und den Endpoints, also den vielen Laptops, Smartphones usw., die diese Netzwerke bilden, schlicht unmöglich. Den Preis dafür zahlen IT- und Sicherheitsexperten jeden Tag:

  • verpasste Hinweise, die einen Angriff hätten erkennen oder verhindern können;
  • Verzögerungen bei der Reaktion auf Bedrohungen und daraus resultierend verpasste Chancen, diese zu mildern;
  • eine Fülle von Alerts, deren Bedeutung unbekannt oder schlimmstenfalls völlig irrelevant ist;
  • schwierige und zeitaufwendige Untersuchungen, die dann doch nichts bringen.

Was fehlt, ist eine Synchronisierung: ein kontextbezogener Informationsaustausch zwischen den IT-Sicherheitslösungen an Endpoint und Netzwerk.

Mit vereinten Kräften

Die Vorteile synchroner Sicherheit können auf zwei Bereiche heruntergebrochen werden, die den jeweils anderen verstärken. Erstens verbessern die Automatisierung der Prozesse und die Koordination der Reaktionen über alle Netzwerke hinweg den Schutz vor Gefahren.

Zweitens erhöht synchrone Sicherheit die Wirtschaftlichkeit, in dem sie die fünf W’s einer Gefahr beleuchtet: Was ist wann, wo und warum passiert und von wem wurde es verursacht? Antworten hierauf helfen, die Untersuchung des Vorfalls zu straffen und zu beschleunigen und so den Schaden zu begrenzen.

Ohne synchronisierte Sicherheit können die Steuerungen der Informationssysteme nicht miteinander kommunizieren und ihre Kompetenzen bei der Verteidigung gegen Angriffe nicht bündeln. Registriert beispielsweise eine Firewall eine ausgehende Verbindung oder einen DNS-Lookup zu einer Command- and Control-IP oder Domain ist es das sicherste, diese Verbindung sofort zu blockieren und den Admin zu warnen.

Der Alarm kann eine IP-Adresse enthalten oder vielleicht sogar den angemeldeten Benutzer, aber Informationen über das beanstandete Verfahren enthält sie nicht. Unterdessen bleibt der Endpunkt infiziert und stellt ein Risiko für das Unternehmen dar, bis ein manueller Eingriff erfolgen kann.

Auf einem Auge blind

Ebenso sind Firewalls in der Regel blind gegenüber dem, was auf Endgeräten passiert. Die Analyse des Laufzeitverhaltens auf einem Endpunkt könnte einen schadhaften Prozess erkennen und blockieren und sofort eine Untersuchung und Reinigung initiieren. Bis diese abgeschlossen ist, merkt die Firewall nichts von der Gefahr. Das kompromittierte System kann ungehindert mit dem Internet oder anderen sensiblen Systemen Verbindung aufnehmen.

Die Referenzarchitektur von Sophos Synchronized Security.
Die Referenzarchitektur von Sophos Synchronized Security. (Bild: Sophos)

Sophos‘ „Synchronized Security“ beinhaltet einen sicheren Kommunikationskanal zwischen den Sophos Endpoint- und Netzwerk-Sicherheitslösungen – den Sophos Security Heartbeat. Erkennt die Firewall schädlichen Datenverkehr, benachrichtigt sie umgehend den Endpunkt. Der Endpoint-Agent reagiert dynamisch, er identifiziert und hinterfragt den verdächtigen Prozess. In vielen Fällen kann er den Vorgang automatisch beenden und die restlichen infizierten Komponenten entfernen. Im Gegenzug berichten die Endpunkte ihren aktuellen Sicherheitsstatus in regelmäßigen Abständen an die Firewall. Ist dieser beeinträchtigt – wie im Falle einer Laufzeiterkennung vor der Überprüfung – wird die Firewall eine entsprechende Policy zur Isolation des Endpunkts umsetzen.

Richtig umgesetzt, kann Synchronized Security besseren Schutz mit weniger Kosten und Komplexität erreichen, als ein Sammelsurium von Einzelprodukten. Eigentlich ist es ein einfaches Konzept: lasst Produkte miteinander reden und automatisch reagieren. Sophos verhilft zu einem gemeinsamen „Herzschlag“, der Bedrohungen erkennt und automatisch verhindert.

* Joe Levy ist CTO von Sophos.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44082736 / Netzwerk-Security-Devices)