Next Generation NAC Netzwerk-Zugangskontrolle mit stetem Monitoring

Autor / Redakteur: Markus Auer* / Stephan Augsten

Malware, Advanced Persistent Threats (APTs) und Software-Schwachstellen lassen es unwahrscheinlich erscheinen, dass IT-Systeme hundertprozentig sicher betrieben werden können. Eine Möglichkeit zum Schutz ist es, die Sicherheitseinbrüche zu erwarten.

Firma zum Thema

Mittlerweile lässt sich auch ohne installierte Agent-Software gut steuern, wer auf das Netzwerk zugreifen darf.
Mittlerweile lässt sich auch ohne installierte Agent-Software gut steuern, wer auf das Netzwerk zugreifen darf.
(Bild: Archiv)

Nach den Cyber-Angriffen auf das deutsche Parlament in diesem Sommer will die Bundesregierung den Bundestag sicherer machen. Dazu wurden verschiedene Maßnahmen eingeleitet, doch der Begriff der Cyber-Sicherheit ist schwammig: Eine absolute Sicherheit gegen Angriffe scheint es nicht zu geben.

Gartner empfiehlt ein adaptives Sicherheitsmodell. Dieses sähe vor, Anfälligkeiten und Sicherheitsverletzungen mit richtlinienbasierten, automatisierten Reaktionen zu begegnen. Nicht nur, bevor es zu einem Sicherheitsereignis kommt, sondern auch während eines Angriffs sowie danach. Problembehebung, Sichtbarkeit und Transparenz müssen gewährleistet werden, um die Bedrohung zu minimieren.

Kontinuierliches Monitoring und Problembehebung für alle Geräte, die mit dem eigenen Netz verbunden, sind elementare Maßnahme für effektiven Schutz. Laut Corporative Executive Board sind 40 Prozent aller IT-Systeme der Kontrolle durch die Netzwerkadministratoren entzogen.

Für die IT-Sicherheitsmanager wird es immer schwieriger, dafür zu sorgen, dass die Geräte und virtuellen Maschinen die Sicherheits- und Konfigurationsstandards einhalten. Tatsächlich gibt es derzeit keinen Sicherheitsanbieter, der in der Lage wäre, mit einer einzigen, umfassenden Lösung Schutz vor Cyber-Angriffen zu gewährleisten.

Hacker können sich mittels Spear-Phishing einfach Anmeldedaten und damit Zugang zu Unternehmensnetzen verschaffen; und der Bring-Your-Own-Device-Trend (BYOD) sowie die rasch wachsende Zahl nur vorübergehend mit dem Netz verbundener (mobiler oder virtueller) Geräte machen neue Konzepte und Lösungen unabdingbar.

Intelligente Incident Response bei Sicherheitsvorfällen

Für jedes Problem gibt es zahlreiche Einzellösungen. Doch wenn zu viele Sicherheitslösungen parallel laufen, ohne Informationen auszutauschen, wird kein nachhaltiges Schutzniveau erreicht. Das SC Magazine befragte vor kurzem 350 Führungskräfte und Berater aus der IT-Sicherheitsbranche nach ihrer derzeitigen Aufstellung im Hinblick auf Sicherheitslösungen. Dabei zeigte sich, dass in 52 Prozent aller Unternehmen mit einem Umsatzvolumen von über 1 Milliarde Dollar mehr als 13 Sicherheitslösungen im Einsatz sind.

78 Prozent der Befragten wünschen sich, dass diese Tools miteinander gekoppelt werden, damit ihre Effektivität steigt und künftige Sicherheitsverletzungen unterbunden werden können. Unternehmen müssen sich auf die Anforderungen der IT-Sicherheit einstellen, und 64 Prozent aller Unternehmen planen, zu diesem Zweck zu kontinuierlichen Prozessen für Monitoring und Problembehebung überzugehen.

Die klassischen Tools bleiben weiterhin notwendig, doch um Netzwerksicherheit zu erreichen, müssen neue Wege eingeschlagen werden. Als Frost & Sullivan kürzlich in einer Untersuchung nach dem besten Tool zur Erhöhung der Netzwerksicherheit fragte, lautete die häufigste Antwort, die 75 Prozent der befragten IT-Profis gaben, Tools für Netzwerk-Monitoring wie etwa Network Access Control (NAC). IT-Fachleute sind also der Ansicht, dass Tools zur Netzwerkanalyse der beste Weg sind, um ihre Netze abzusichern.

NAC-Lösungen sind heute so weit entwickelt, dass sie als automatisierte Einsatzzentrale für Sicherheitsvorfälle dienen können, die vollständigen Einblick in die Netzwerkaktivitäten gibt. Die Interaktion mit anderen Tools über bereitgestellte Programmierschnittstellen (APIs) ermöglicht eine bidirektionale Integration, sodass bereits vorhandene Sicherheitsprodukte Daten mit dem NAC-System austauschen können.

So lassen sich zum Beispiel Informationen aus Virenschutz-, SIEM- oder Intrusion-Prevention-Systemen nutzen und austauschen. IT-Verantwortlichen eröffnet sich die Möglichkeit, ein automatisches Incident Response Centre einzusetzen, das bestehende Sicherheitslösungen integriert und deren Fähigkeiten kombiniert. Auf diese Weise können intelligente Reaktionen in Echtzeit durchgesetzt werden.

Gleichzeitig bringen NAC-Systeme eigene Sicherheitsmechanismen mit. Sobald sich ein Gerät ins Netzwerk einzuloggen versucht, erstellt NAC ein Sicherheitsprofil, das Informationen zu Patches, nicht genehmigter Software und aktiven host-basierten Abwehrmechanismen umfasst. NAC-Lösungen unterstützen Self-Enrolement und bieten mehr als bloßes Monitoring der unternehmenseigenen Geräte. Sie helfen, Sicherheitslücken zu schließen und dafür zu sorgen, dass die Geräte immer aktuell gepatcht sind.

Was „Next Generation NAC“ bedeutet

NAC-Lösungen gibt es jetzt schon seit geraumer Zeit, doch mit „Next-Generation NAC“ hat die Technik den nächsten großen Schritt vollbracht. Neben dem bereits beschriebenen Integrationsaspekt erfordern NAC-Lösungen keine Installation eines Clients (auch: Supplicant oder Agent). Sie eignen sich für alle gängigen Betriebssysteme und unterstützen sowohl vom Arbeitgeber zur Verfügung gestellte Geräte als auch Konzepte wie BYOD oder COPE (Company Owned, Personally Enabled).

Moderne NAC-Lösungen basieren nicht ausschließlich auf dem IEEE-Standard 802.1X und können auch für virtuelle Infrastrukturen, ausgedehntere Netzwerkumgebungen (mit mehreren Teilnetzen), standortferne und nur kurzzeitig verbundene Geräte eingesetzt werden. Dank Unterstützung für alternative Authentifizierungsmethoden lassen sich sowohl vom Arbeitgeber bereitgestellte als auch benutzereigene Endpunkte verwalten.

Selbst Geräte aus dem sogenannten Internet der Dinge (IoT), die nur einen relativ kleinen Footprint im Netzwerk hinterlassen, können einbezogen werden. Abhängig von der Vertrauensstufe und dem Standort eines Geräts kann am Zugangspunkt ein „Fingerabdruck“ genommen werden, um den Status jedes Nutzers individuell zu bestimmen.

Fazit

Next Generation NAC-Lösungen lassen sich leicht implementieren und stellen die Best-Practice-Lösung zur Absicherung von Netzwerken und IT-Systemen dar. Der Trend zu BYOD, die digitale Integration von „Dingen“ und die wachsende Zahl von Schwachstellen werden mit NAC beherrschbar. Dank flexibler Integration von Drittanbieter-Tools und Unterstützung für unterschiedliche Kommunikationsprotokolle können Richtlinien auf automatisierte und dennoch fein abgestufte Weise durchgesetzt werden.

Angesichts der wachsenden Zahl unterschiedlicher Sicherheitstools können Unternehmen ihr Sicherheitsniveau verbessern, wenn sie über ein intelligentes Incident Response Centre verfügen. Fehlverhalten kann abgestellt werden, ohne dass Geräte direkt geblockt oder abgeschaltet werden müssen.

Die Benutzer werden informiert, können die Probleme auf ihrem System selbst beheben und das Verhalten ändern, bevor Maßnahmen zur Durchsetzung der Richtlinien manuell ergriffen werden müssen. Eine Sicherheitsarchitektur, die Flexibilität, Richtlinienkonformität und Bereitschaft zur Abwehr von Angriffen gewährleistet, ist der richtige Weg, um auf die aktuelle Bedrohungslandschaft zu reagieren.

Markus Auer
Markus Auer
(Bild: ForeScout)

* Über den Autor

Markus Auer ist Regional Sales Director DACH bei ForeScout Technologies.

(ID:43680395)