Als Basis der Netzwerkverteidigung werden Firewalls immer wieder mit neuen Funktionen ausgestattet, so viele, dass einige wichtige Funktionen leicht übersehen werden können. [...]
Firewalls entwickeln sich ständig weiter, um auch in Zukunft ein Grundpfeiler der Netzwerksicherheit bleiben zu können. Indem sie die Funktionen eigenständiger Geräte integrieren, Änderungen der Netzwerkarchitektur berücksichtigen und externe Datenquellen mit einbeziehen, um die Entscheidungen, die sie treffen, fundierter zu gestalten, wird eine gewaltige Fülle von Möglichkeiten geschaffen, die nur schwer zu überblicken ist.
Aufgrund dieser Vielfalt an Funktionen sind Firewalls der nächsten Generation oft nur schwer vollständig zu meistern, und wichtige Funktionen werden gerne manchmal übersehen.
Hier daher eine Liste mit neueren Funktionen, die IT-Profis kennen sollten.
Netzwerksegmentierung
Die Unterteilung eines einzelnen physischen Netzwerks in mehrere logische Netzwerke wird als Netzwerksegmentierung bezeichnet. Dabei verhält sich jedes Segment so, als ob es in einem eigenen physischen Netzwerk betrieben würde. Der Datenverkehr von einem Segment kann nicht von einem anderen Segment gesehen oder an ein anderes Segment weitergeleitet werden.
Dadurch werden die möglichen Angriffsflächen im Falle eines Sicherheitsverstoßes erheblich reduziert. Ein Krankenhaus könnte zum Beispiel alle seine medizinischen Geräte in ein Segment und seine Patientendaten in ein anderes Segment setzen. Wenn Hacker dann eine nicht ordnungsgemäß gesicherte Herzpumpe überwinden, können sie zumindest nicht auf private Patientendaten zugreifen.
Es ist wichtig zu beachten, dass viele Geräte, aus denen das Internet der Dinge besteht, ältere Betriebssysteme verwenden. Sie sind von Natur aus unsicher und können daher leicht als Einstiegspunkt für Angreifer dienen, so dass das Wachstum des IoT und seine verteilte Natur die Notwendigkeit einer Netzwerksegmentierung vorantreibt.
Richtlinienoptimierung
Firewall-Richtlinien und -Regeln sind der Motor, der Firewalls in Gang bringt. Die meisten Sicherheitsexperten haben Angst davor, ältere Richtlinien zu entfernen, weil sie nicht wissen, wann und warum sie eingeführt wurden. Infolgedessen werden immer wieder neue Regeln hinzugefügt, ohne daran zu denken, die Gesamtzahl wieder zu reduzieren. Einige Unternehmen geben an, Millionen von Firewall-Regeln zu besitzen. Tatsache ist, dass zu viele Regeln die Komplexität unnötig erhöhen, zu Konflikten führen können und die Verwaltung und Fehlerbehebung zeitaufwändig gestalten.
Bei der Richtlinienoptimierung werden alte Sicherheitsrichtlinien in anwendungsbasierte Regeln überführt, die den Datenverkehr je nach verwendeter Anwendung zulassen oder verweigern. Dies verbessert die allgemeine Sicherheit, indem die Angriffsfläche verringert wird, und bietet außerdem Transparenz, um den Anwendungszugriff sicher zu ermöglichen. Die Richtlinienoptimierung identifiziert portbasierte Regeln, so dass sie in anwendungsbasierte Whitelist-Regeln konvertiert werden können oder Anwendungen von einer portbasierten Regel zu einer bestehenden anwendungsbasierten Regel hinzugefügt werden können, ohne die Anwendungsverfügbarkeit zu beeinträchtigen. Sie identifiziert auch übermäßig vorhandene anwendungsbasierte Regeln. Mit Hilfe der Richtlinienoptimierung können Sie Prioritäten setzen, welche portbasierten Regeln zuerst migriert werden sollen, anwendungsbasierte Regeln identifizieren, die nicht genutzte Anwendungen zulassen, und Eigenschaften der Regelnutzung wie etwa die Trefferzahl analysieren, die vergleicht, wie oft eine bestimmte Regel im Vergleich zu allen Regeln angewendet wird.
Die Konvertierung von portbasierten Regeln in anwendungsbasierte Regeln verbessert die Sicherheitslage, da das Unternehmen die Anwendungen auswählen kann, die es auf die Whitelist setzen möchte, und alle anderen Anwendungen ablehnen kann. Auf diese Weise wird unerwünschter und potenziell bösartiger Datenverkehr aus dem Netzwerk entfernt.
Prävention von Credential-Diebstahl
Früher griffen die Mitarbeiter von den Büros des Unternehmens aus auf Unternehmensanwendungen zu. Heute greifen sie auf Legacy-Anwendungen, SaaS-Anwendungen und andere Cloud-Dienste vom Büro, von zu Hause, vom Flughafen und von jedem anderen Ort aus zu. Dies macht es für Angreifer wesentlich einfacher, Zugangsdaten zu stehlen. Der Untersuchungsbericht von Verizon Data Breach Investigations Report ergab, dass 81% der hackbezogenen Verstöße gestohlene und/oder schwache Passwörter nutzten.
Der Diebstahlschutz für Anmeldeinformationen hindert Mitarbeiter daran, Firmenanmeldeinformationen auf Websites wie Facebook und Twitter zu verwenden. Auch wenn es sich dabei um sanktionierte Anwendungen handelt, gefährdet die Verwendung von Unternehmens-Credentials für den Zugriff darauf das Unternehmen.
Der Diebstahlschutz für Berechtigungsnachweise funktioniert, indem die Eingaben von Benutzernamen und Passwörtern auf Websites gescannt und mit den Listen offizieller Unternehmens-Berechtigungsnachweise verglichen werden. Unternehmen können wählen, welche Websites die Einreichung von Unternehmensreferenzen zulassen oder diese auf der Grundlage der URL-Kategorie der Website blockieren.
Wenn die Firewall einen Benutzer erkennt, der versucht, Anmeldedaten für eine Website in einer Kategorie einzugeben, die eingeschränkt ist, kann sie eine Blockierungsseite anzeigen, die den Benutzer an der Eingabe von Anmeldedaten hindert. Alternativ kann sie eine Weiterleitungsseite anzeigen, die den Benutzer vor der Eingabe von Anmeldedaten auf Webseiten warnt, die in bestimmten URL-Kategorien klassifiziert sind, aber es ihnen dennoch erlaubt, mit der Übermittlung der Anmeldedaten fortzufahren. Sicherheitsexperten können diese Sperrseiten so anpassen, dass Benutzer vor der Wiederverwendung von Unternehmens-Anmeldeinformationen gewarnt werden, selbst auf legitimen, nicht-Phishing-Sites.
DNS-Sicherheit
Eine Kombination aus maschinellem Lernen, Analyse und Automatisierung kann Angriffe blockieren, die das Domain Name System (DNS) nutzen. In vielen Unternehmen sind DNS-Server ungesichert und völlig offen für Angriffe, die Benutzer auf schädliche Webseiten umleiten, auf denen sie gephisht und ihre Daten gestohlen werden. Angreifer haben einen großen Erfolg mit DNS-basierten Angriffen, weil Sicherheitsteams nur sehr wenig Einblick in die Art und Weise haben, wie Angreifer den Dienst nutzen, um die Kontrolle über infizierte Geräte zu erhalten. Es gibt einige selbständige DNS-Sicherheitsdienste, die mäßig effektiv sind, aber nicht über die nötige Datenmenge verfügen, um alle Angriffe zu erkennen.
Wenn DNS-Sicherheit in Firewalls integriert ist, kann durch maschinelles Lernen die riesige Menge an Netzwerkdaten analysiert werden, wodurch eigenständige Analysewerkzeuge überflüssig werden. Die in die Firewall integrierte DNS-Sicherheit kann bösartige Domänen durch Automatisierung und Echtzeitanalyse vorhersagen und blockieren. Wenn die Anzahl der bösartigen Domänen wächst, kann maschinelles Lernen diese schnell finden und sicherstellen, dass sie nicht zu Problemen werden.
Die integrierte DNS-Sicherheit kann auch maschinell erlernte Analysen verwenden, um DNS-Tunneling zu neutralisieren, das Daten durch Firewalls schmuggelt, indem es sie in DNS-Anforderungen versteckt. Außerdem ist sie in der Lage, Malware-Befehls- und Kontroll-Server finden. Sie baut auf signaturbasierten Systemen auf, um fortschrittliche Tunneling-Methoden zu identifizieren, und automatisiert die Abschaltung von DNS-Tunneling-Angriffen.
Dynamische Benutzergruppen
Es ist möglich, Richtlinien zu erstellen, die die Behebung anomaler Aktivitäten von Mitarbeitern automatisieren. Die Grundprämisse ist, dass die jeweiligen Rollen der Benutzer innerhalb einer Gruppe bedeuten, dass ihr Netzwerkverhalten ähnlich sein sollte. Wenn beispielsweise ein Mitarbeiter gephisht wird und merkwürdige Anwendungen installiert wurden, würde dies auffallen und könnte auf einen Verstoß hinweisen.
Früher war die Quarantäne einer Benutzergruppe sehr zeitaufwändig, da jedes Mitglied einer solchen Gruppe einzeln bearbeitet und die Richtlinien individuell durchgesetzt werden mussten. Bei dynamischen Benutzergruppen erstellt die Firewall, wenn sie eine Anomalie feststellt, Richtlinien, die der Anomalie entgegenwirken, und leitet sie an die Benutzergruppe weiter. Die gesamte Gruppe wird automatisch aktualisiert, ohne dass Richtlinien manuell erstellt und festgelegt werden müssen. So würden beispielsweise alle Personen in der Buchhaltung dieselbe Richtlinienaktualisierung automatisch auf einmal erhalten, anstatt sie manuell einzeln zu erstellen und zu übertragen. Die Integration in die Firewall ermöglicht es der Firewall, die Richtlinien für die Benutzergruppe an alle anderen Infrastrukturen zu verteilen, die dies erfordern, einschließlich anderer Firewalls, Log-Collectors und Anwendungen.
Firewalls waren und werden auch weiterhin der Anker der Cybersicherheit sein. Sie sind die erste Verteidigungslinie und können viele Angriffe vereiteln, bevor sie in das Unternehmensnetzwerk eindringen. Um den Wert von Firewalls zu maximieren, müssen viele der erweiterten Funktionen aktiviert werden, von denen einige schon seit Jahren in Firewalls vorhanden sind, aber aus verschiedenen Gründen bislang nicht genutzt wurden.
*Zeus Kerravala ist der Gründer und Chefanalyst von ZK Research.
Be the first to comment