Um eines gleich vorweg zu nehmen: Es geht in diesem Artikel nicht um klassischen Perimeterschutz. Der Perimeter ist tot! In diesem Artikel lernst Du, wie Du Dein Business Model wirklich vor Cyberbedrohungen – intern wie extern – schützen kannst.
Mehr als sechs von zehn US-amerikanischen IT-Leitern geben an, dass die Pandemie die Abwehr von Cyberangriffen erschwert hat. In Deutschland dürfte die Lage signifikant verheerender sein. Die von Covid vorangetriebene Digitalisierung und eine Massenmigration zu Remote Work mit zunehmender Consumerisation (fka Bring your own Device, BYOD) sind nicht ganz unschuldig am Anstieg ohnehin schon zahlreicher Cyberangriffe und hochkarätiger Datenschutzverletzungen in Unternehmen sowie Regierungen.
Wettlauf mit der Zeit. Oder? ODER?!
Cyberkriminelle entwickeln ständig neue Methoden und werden immer besser darin, sich als legitime Anwendung oder Verbindung zu tarnen. Traditionelle Ansätze in der Cybersicherheit konnten da noch nie mithalten. Virenscanner, URL-Blocker oder IP- und Portfilter haben immer nur reagiert. Nicht eins davon ist Zero-Day-Attacken oder Innentätern gewachsen.
Erste Hoffnungsschimmer kamen mit den ersten echten NG-Firewalls. Palo Alto Networks, Barracuda und Adyton (jetzt LANCOM R&S®Unified Firewalls) waren die ersten Vertreter dieser Zunft. Herzstück der neuen Generation Firewalls war (und ist) die Single Pass Engine und ihre Decoder. Bei PAN war das eine Eigenentwicklung, sowohl Barracuda als auch Adyton setzten auf die Deep Packet-Inspection-Erfahrung von Ipoque und deren Decoder. Mittlerweile hat auch Barracuda eine eigene Engine. Ipoque gehört wie seinerzeit Adyton zu Rohde & Schwarz. Die später hinzugekaufte Lancom dürfte noch heute diese Technologie nutzen. Kennt man die Geschichte der Sachsen, weiß man, dass auch rhebo und cognitix ihre Wurzeln in dem bereits 2005 in Leipzig gegründeten Unternehmen haben.
Nicht nur, dass die neue Generation Firewalls viel zuverlässiger beim Erkennen potentieller Bedrohungen ist, sie sind auch fast verlustfrei und arbeiten selbst unter Vollast noch nahezu mit Linespeed. Den Herstellern war schnell noch ein weiterer Vorteil klar: Anders als die schwerfälligen UTMs oder Proxy-Firewalls eignen die neue Generation sich nicht nur zum Torwächter. NG-Firewalls lassen sich transparent überall im Netz platzieren, z. B. als Segmentierer, in der Cloud oder am Edge.
Bald kam ein weiteres Merkmal hinzu: Künstliche Intelligenz. Mit ihr ergaben sich völlig neue Möglichkeiten. Und neue Anbieter betraten den Markt: Rhebo, Vectra, cognitix (jetzt genua cognitix Threat Defender) und DARKTRACE.
Aber, aber, aber, … KI lernt doch *auch* aus historischen Daten!
Ja, das tut sie. KI in Produkten für die Netzwerksicherheit analysiert jedoch keine vergangenen oder bekannten Angriffe. Die Algorithmen werden genutzt, um von Grund auf zu lernen, welches Verhalten von Anwendungen, Netzwerkverkehr, Geräten und Anwendern normal bzw. ungefährlich ist. Abweichungen davon können als Anomalie markiert oder direkt geblockt werden. Auf diese Weise können sowohl Zero-Day-Angriffe als auch Innentäter und Advanced Persistent Threats, also sehr komplexe Angriffsszenarien, erkannt werden.
Die Kehrseite der Medaille: Ist bereits ein schadhaftes Muster etabliert, wird dieses als normal von der KI erlernt. Auch False Positives sind möglich, z. B. bei sprunghaften Veränderungen. Das war der Fall, als Covid zuschlug und die Angestellten ihr Verhalten von einem Tag auf den anderen geändert haben. Mit Work from Home (WfH) änderten sich nicht nur die Verbindungen im Netzwerk. Auch die Zeitpläne der Mitarbeiter und Abläufe im Unternehmen waren plötzlich ganz anders.
Whitelisting on Steroids
IT-Sicherheit der neuen Genration basiert im Wesentlichen auf White Listing. Dabei erhalten nur vertrauenswürdige Anwendungen, Geräte oder Nutzer Zugriff auf bestimmte Prozesse und Daten.
Beim Whitelisting findet Anhand von Signaturen, die mit Fingerabdrücken vergleichbar sind, eine Integritätsprüfung statt. Jede Anwendung, jede Datei, jedes Verhalten hat eine einzigartige Signatur, die in einer Datenbank hinterlegt ist. Bei der Integritätsprüfung wird verglichen, ob es sich um einen autorisierten Zugriff einer erlaubten Anwendung handelt. Entspricht das Anwendungsmuster nicht der hinterlegten Signatur, wird der Zugriff blockiert. Dieses Vorgehen ist nicht nur effektiv, es ist auch sehr effizient. In der Praxis ist die Anzahl erlaubter Anwendungen wesentlich geringer als die Anzahl der als schädlich oder unerwünscht eingestuften Programme. Auf White-Listing basierende Schutzmaßnahmen reagieren schneller und sind wesentlich schlanker als die auf Black-Listing aufsetzenden herkömmlichen Lösungen.
Dieser Ansatz spielt eine große Rolle bei verhaltensbasierten Sicherheitskonzepten und Zero-Trust-Modellen.
„Es gibt keine Silberkugel in der Informationssicherheit. Aber korrekt eingesetztes White-Listing bietet außerordentlichen Schutz vor Zero-Day- und gezielten Angriffen.“
THE POWER OF WHITELISTING, NEIL MACDONALD, GARTNER
Quo Vadis?
Viele Cyberangriffe sind immer noch altmodisch. Phishing, Trojaner und Viren sowie der unzufriedene Mitarbeiter stellen die größten Bedrohungen dar. Dennoch werden die Angriffe raffinierter und zahlreicher. Auch die Gegenseite nutzt KI verstärkt – wie bei dem Angriff auf SolarWinds bereits geschehen.
Das nächste große Ding in der IT Sicherheit sind Root Cause Analysen, Graphen und eine eigene Threat Intelligence. Einer, der den Weg seit neuestem beschreitet, ist Riverbed. Der Netzwerktraffic- und Performancemonitoringspezialist sieht sich selbst mittlerweile als „the root cause analysis experts“. Weitere Anbieter sind Startups wie die slowakischen Minit oder die aus Deutschland stammenden KnowledgeRiver sowie die etablierteren Lana Labs. Alle arbeiten ebenfalls mit KI. Mit Graphen arbeiten die von genua bzw. der Bundesdruckerei gekauften cognitix sowie Firmen wie GlassWire, Vectra, Awake Security oder ExtraHop. Threat Intelligence haben neben Palo Alto Networks u. a. bereits Firemon und Guardicore integriert. Vor allem letztere könnten sich zum ernstzunehmenden Herausforderer im Firewall-Markt entwickeln.
