Zeitgemäße Cybersicherheit durch Mikroperimeter

Weniger ist mehr – Palo Alto Networks hebt neben der Technik vor allem die richtigen Methoden und Konzepte hervor

[datensicherheit.de, 13.09.2018] Neben allerlei Technik sind vor allem die richtigen Methoden und Konzepte grundlegend für professionelle Cybersicherheit. Thorsten Henning, Senior Systems Engineering Manager bei Palo Alto Networks weißt in diesem Kontext auf die Bedeutung des Mikroperimeters hin.

„In der Cybersicherheit ist eines der Dinge, auf das sich die Verantwortlichen am wenigsten konzentrieren, zu definieren, was sie eigentlich zu schützen versuchen. Der allgemeine Konsens ist, sich vor Cyberangriffen schützen zu wollen, aber was genau wird angegriffen?“, fragt Henning.

Im Laufe der Jahre haben Unternehmen und Institutionen fleißig daran gearbeitet, ihre Angriffsfläche zu verkleinern, aber leider ist es ähnlich wie beim Universum, das sich immer weiter ausdehnt. Mit jeder neuen Technologie kommt eine neue Reihe von Problemen und Schwachstellen hinzu. Vor allem das Internet der Dinge hat zu einer massiven Zunahme der Angriffsfläche geführt. Neu aufgedeckte Schwachstellen, wie sie den Angriffen auf Chipsätze – durch Spectre und Meltdown – zugrunde liegen, machen fast jedes moderne Computersystem zu einem potenziellen Teil der Gesamtangriffsfläche.

Beim Zero-Trust-Prinzip bestimmen die Sicherheitsfachkräfte, was sie schützen müssen, anstatt sich auf die Makroebene der Angriffsfläche zu konzentrieren. Dabei geht es um die maximale Reduzierung der Angriffsfläche oder der zu schützenden Oberfläche. Typischerweise definiert ein Zero-Trust-Netzwerk eine Schutzfläche, die auf mindestens einem dieser vier Aspekte basiert:

Daten: Welche Daten müssen geschützt werden?
Anwendungen: Welche Anwendungen greifen auf vertrauliche Daten zurück?
Ressourcen: Welche Vermögenswerte sind am sensibelsten?
Dienste: Welche Dienste, wie etwa DHCP und Active Directory, können ausgenutzt werden, um den regulären IT-Betrieb zu stören?

Vorteilhaft an der zu schützenden Oberfläche ist, dass sie nicht nur um Größenordnungen kleiner ist als die Gesamtangriffsfläche, sondern auch immer bekannt ist. Die meisten Unternehmen können die Angriffsfläche nicht wirklich definieren, weshalb Penetrationstester immer einen Weg ins Netzwerk finden. Es gibt unzählige Möglichkeiten, in den Makroperimeter einer Unternehmensumgebung einzudringen. Aus diesem Grund hat sich die Idee eines großen, Perimeter-basierten Sicherheitsansatzes als erfolglos erwiesen. Im alten Modell wurden Überwachungsmaßnahmen wie Firewalls und Intrusion-Prevention-Technologien bis an den Rand des Perimeters geschoben, der so weit wie möglich von der schützenden Oberfläche entfernt sein sollte.

„Bei Zero Trust lässt sich durch die Definition einer Schutzoberfläche die Überwachung so nah wie möglich an die zu schützende Oberfläche heranziehen, um einen Mikroperimeter zu definieren. Mit einer Next-Generation-Technologie, die als Segmentierungs-Gateway fungiert, können Netzwerke in Layer-7-Richtlinien segmentiert und granular überwacht werden. So ist ersichtlich, welcher Datenverkehr sich in den Mikroperimeter hineinbewegt und den Mikroperimeter verlässt“, erklärt Thorsten Henning abschließend. „Es gibt eine sehr begrenzte Anzahl von Nutzern oder Ressourcen, die tatsächlich Zugang zu sensiblen Daten oder Ressourcen in einer Umgebung benötigen. Durch die Erstellung von Grundsatzregeln, die exakt definiert und nachvollziehbar sind, lässt sich die Fähigkeit der Gegner, einen erfolgreichen Cyberangriff durchzuführen, effektiv einschränken.“

Weitere Informationen zum Thema:

datensicherheit.de, 12.09.2018
Security für Software-Defined-WANs

datensicherheit.de, 23.07.2018
Handhabung von IT-Komplexität: Sechs Strategien für CIOs

datensicherheit.de, 08.05.2018
Unsichere Rechenzentren: Zukunftsmodell Blockchain gerät ins Wanken