Host-basierte Kontrollen durch bessere Netzwerkübersicht ersetzen

Moderne GRC-Strategien mit durchgängigem Monitoring

| Autor / Redakteur: Scott Gordon, ForeScout / Stephan Augsten

Sämtliche Geräte im Netzwerk wollen kontrolliert und gesteuert werden.
Sämtliche Geräte im Netzwerk wollen kontrolliert und gesteuert werden. (Bild: © Scanrail - Fotolia)

Unternehmen sehen sich mit etlichen Compliance- und Governance-Anforderungen konfrontiert. Tools und Kontrollen auf Basis von Compliance-Rahmenwerken der Branchen und Behörden helfen dabei, Best Practices für Governance, Risiko und Compliance effizienter umzusetzen. Das Problem: sie funktionieren zu einseitig.

Compliance- und Governance-Anforderungen bestehen spätestens seit BYOD aus einer bunten Mischung, deren Durchsetzung Firmen heute einiges an Kopfzerbrechen bereitet. GRC-Rahmenwerke (Governance, Risk and Compliance) bieten vor diesem Hintergrund viele konkrete Leitlinien und praktische Kontrollempfehlungen. Jedoch basieren viele dieser Standards auf Host-basierten Kontrollen.

Um die zunehmende Vielfalt an neuen Geräten, Nutzern und Bedrohungen bewältigen zu können, ist allerdings notwendig, dass sich die eingesetzten Kontrollen weiterentwickeln können. Dies ist umso wichtiger, da sich die Dynamik von Zugang und Endpunkt-Compliance aufgrund der Nutzung persönlicher und mobiler Geräte sowie der Verwendung von Cloud- und Mobilanwendungen grundlegend verändert hat.

Konkret bedeutet dies, dass die Kontrollnormen, von denen die IT-GRC-Anforderungen abhängen, ohne einen zusätzlichen, Netzwerk-basierten Backstop gefährdet sein könnten. Dies soll aber wiederum nicht heißen, dass die bereits eingeführten IT-GRC-Kontrollen allesamt zu verwerfen sind.

Host-basierte Kontrollen allein reichen nicht aus

Problematisch ist, dass die bisherigen Prämissen in Bezug auf die Durchsetzung der Endpunkt-Compliance nicht immer stichhaltig bleiben, wenn sie lediglich auf Host-Agenten beruhen. Falls der Agent nicht installiert ist, er beendet, überholt oder manipuliert wurde, kann die IT diesen Endpunkt nicht ausfindig machen.

An diesem Punkt geht die umfassende Sichtbarkeit, Sicherheit und Governance, auf denen das IT-GRC-Programm beruht, verloren. Kann man sich zum Beispiel sicher sein, dass der Logging-Dienst für ein bestimmtes System tatsächlich aktiv ist? Ist gewährleistet, dass der Agent zum Schutz von Verschlüsselungen oder der Schutz gegen Datenlecks läuft, nur weil installiert ist?

Wurde der Patch tatsächlich installiert, nur weil die Systemmanagement-Anwendung dies empfohlen hat? Kann garantiert werden, dass ein Mobilgerät im eigenen Netzwerk nicht gerootet ist, insbesondere, wenn sich der MDM-Profiling-Dienst gerade zwischen zwei Compliance-Scans befindet? Fazit: verlässt man sich nur auf Host-basierte Kontrollen, sind echte Sichtbarkeit oder Kontrolle nicht gewährleistet.

Ebenso wenig lässt sich ohne die Kombination Host- und Netzwerk-basierter Mechanismen nachvollziehen, ob globale Richtlinien für die im Netzwerk erlaubten Anwendungstypen befolgt werden. Zusätzlich kann es vorkommen, dass man sich in falscher Sicherheit wiegt, wenn man zwar Nutzer-authentifizierten Zugriff auf Anwendungen und Daten durchsetzt, gleichzeitig aber den Schutz des eigentlichen Gerätes nicht gewährleisten kann.

Durch eine zusätzliche Netzwerkkontrollschicht ist es möglich, unbekannte Geräte im Netzwerk zu identifizieren und ihre Anwesenheit zu verhindern. Darüber hinaus kann die Zusatzschicht sicherstellen, dass Host-Zustand, Konfigurationsintegrität und Sicherheitsagenten wie gewünscht vorhanden, aktiv und auf dem aktuellsten Stand sind. So schließt man eine Kontrolllücke und schützt bereits getätigte IT-GRC-Investitionen vor Beeinträchtigungen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42272663 / Monitoring und KI)