ITWelt.at-Roundtable zum Thema Sicherheit: SASE – „Secure Access Service Edge“ – als intelligente Antwort auf aktuelle Bedrohungen und den Wunsch nach besserer Usability. Hier die gesammelten Statements von Patrick Fetter, Security Engineer & Cyber Security Evangelist bei Check Point. [...]
Welchen Aufgabenbereich verantworten Sie bei Check Point?
Ich unterstütze Kunden bei der Beratung und Erstellung von Security Konzepten. In meiner Rolle als Cyber Security Evangelist informiere ich über aktuelle Bedrohungen in verschiedenen Bereichen sowie über die neuesten Entwicklungen in Sicherheitstechnologien. Diese Technologien sind darauf ausgerichtet, den Kunden Arbeit abzunehmen und sie vor Bedrohungen zu schützen.
Wo stehen Unternehmen heute in Sachen Sicherheit?
Früher gab es eine klare Abtrennung zwischen dem internen Netz und dem Internet. Die Grenzen verschwinden aber auf Grund von Cloud, mobilen Applikationen und SaaS Diensten. Der Weg führt von einer Standort-zentrierten Security hin zu einer Benutzer-zentrierten Security.
In SASE-Konzepten folgt die Sicherheit dem Benutzer, egal wo sich dieser befindet und gleichgültig, wo seine Ressourcen zur Verfügung gestellt werden. Die Herausforderungen für die Unternehmen bestehen jedoch darin, herauszufinden, wo sich diese Ressourcen befinden, wie die Mitarbeiter und Mitarbeiterinnen agieren und wie Betriebe eine einheitliche Security-Strategie umsetzen können.
Oft wird Komplexität als Bremser in der Entwicklung und Anwendung von Security genannt. Ist dafür die Industrie verantwortlich oder ist sie einfach historisch gewachsen?
Mit den SaaS-Diensten sind Services entstanden, die eine „Checkbox-Security“ inkludiert haben. Durch einen geringen Aufpreis gibt es zusätzliche Security Funktionen, so die Versprechungen. Dies führt zu einer Vielzahl an Lösungen, die schwer zu managen sind. Einerseits ist die Komplexität historisch gewachsen, andererseits kann ich mit dem „Zücken“ der Kreditkarte Dienstleistungen hinzunehmen, mit denen ich vielleicht meine bestehende Security kompromittiere und neue Herausforderungen schaffe.
Was verbirgt sich hinter der Bezeichnung SASE? „Secure Access Service Edge“ ist nicht unbedingt selbsterklärend.
Es ist ein Begriff, der von dem Marktanalyse-Unternehmen Gartner generiert wurde und ein Framework bezeichnet. Man definiert die Anforderungen, die in einem SASE-Framework wichtig sind und die entsprechenden Schutzmaßnahmen. Essenziell ist, dass der Benutzer im Fokus steht.
Das bedeutet, dass wir uns vom Perimeter-Ansatz im Rechenzentrum entfernen und uns stattdessen auf den Benutzer konzentrieren, unabhängig von seinem Standort oder den Ressourcen, auf die er zugreift. Aus unserer Sicht definiert sich SASE aus den Kundenanforderungen. Basierend auf diesen können sich die Konzepte grundlegend unterscheiden. Zum Beispiel: Brauche ich eine moderne Remote-Access-Lösung? Wie wird die Standortsicherheit und -vernetzung umgesetzt? Wird ein sicherer Internet-Zugang benötigt? Ein Großteil der Unternehmen nutzt bereits Teile von SASE. Wir haben eine globale Umfrage von 600 Security-Experten gestartet.
Das Ergebnis zeigt, dass über 80 Prozent schon ein sogenanntes „Zero Trust“ Konzept im Einsatz haben und dieses mit unterschiedlichen Ansätzen kombinieren, wie etwa mit Firewall-Segmentierung oder Endpoint-Security.
Wichtig dabei ist, den Überblick darüber zu erhalten, welche Security-Technologien bereits im Unternehmen vorhanden sind und wo es die Bereiche gibt, die es zu verbessern gilt. Nur wenn Sichtbarkeit gegeben ist, kann die Sicherheit eines Unternehmens zielführend weiterentwickelt werden. Wir begleiten Kunden bei dieser Reise und bieten die Möglichkeit mit einer Plattform Security zu zentralisieren. Das bedeutet aber nicht, dass die Kunden alles ersetzen müssen, um von einer SASE-Lösung zu profitieren. Sie können Ihre bestehenden Lösungen integrieren und dadurch eine zentrale Sicht erhalten. Wir setzten dabei den Fokus auf Prevention der Bedrohung – lediglich eine Erkennung von Bedrohungen ist zu wenig. Der Enduser ist ständigen Angriffen durch Social Media durch E-Mail etc. ausgesetzt. Enduser sollten aber keine Angst haben, Weblinks zu folgen, sondern müssen sich auf die Technologien verlassen können. Wenn der Enduser früher eine virenverseuchte Datei ausgeführt hat, wurde sein Laptop infiziert. Heute betrifft es das ganze Unternehmen. Die Reichweite wurde viel größer. Ich kann die Mitarbeiter und Mitarbeiterinnen noch so gut schulen, es wird immer Stresssituationen oder gut vorbereitete Angriffe geben, so dass Mitarbeitende Fehler machen. Es braucht ein ausgereiftes System, damit die Benutzer in diesen Situationen geschützt sind.
Weil von Edge die Rede ist: Wird die Security nun zentralisiert oder verteilt?
Die Services, die dezentralisiert werden, müssen für das Management wieder zentralisiert werden. Andernfalls wird die Verwaltung zu komplex. Typischerweise kommen bei unseren Kunden laufend neue Services hinzu.
Diese Services kommunizieren wiederum miteinander. Man muss verhindern, dass durch eine Schwachstelle in einem SaaS-Service Daten kompromittiert werden. Ich habe nicht nur die Aufgabe, meine eigene Infrastruktur zu schützen, sondern auch den Ort, wohin meine Daten wandern. Deshalb braucht es einen zentralen Ansatz. Mit dem traditionellen Best-of-Breed schaffe ich es nicht, das Gesamtsystem zu verwalten oder sicherzustellen. Dazu bräuchte ich ein Third-Party-System, das alle Informationen zusammenfasst und aufbereitet.
Was treibt SASE? Gehört NIS2 dazu?
Neben den bereits genannten Sicherheitsaspekten treibt auch der Arbeitsmarkt die Anforderungen. Wenn ich nach Mitarbeitern suche und einen 100-Prozent-on-prem-Ansatz als Arbeitsplatz biete, dann wird es schwierig. Um Mitarbeiter zu finden und zu halten, muss ich Flexibilität zur Verfügung stellen, damit mobiles bzw. hybrides Arbeiten möglich ist.
Wenn es eine Richtlinie braucht, um überhaupt über Security nachzudenken, dann hat das Unternehmen ein Problem. Ein hilfreicher Ansatz ist, sich in die Gedankenwelt der Cyberkriminellen zu versetzen. Würde ein Angreifer das große Burgtor angreifen oder vielleicht den kleinen Lieferanteneingang nehmen, um hineinzukommen? Es gibt zum Beispiel den Klimaanlagentechniker, der einen nicht geschützten VPN-Zugang in mein Unternehmen hat. Bei SASE agiere ich nach dem Zero Trust-Ansatz: Welche Zugänge nutzt der Externe? Gibt es in seiner Umgebung eine Basis-Security, damit ich ihn überhaupt hineinlassen kann? Keine Person ist zu unwichtig, um sie sicherheitstechnisch zu negieren.
Seit 2020 wurde der Bereich der abgesicherten Standorte im Unternehmen, hin zu ungesicherten Wohnzimmern in denen die Mitarbeiter von zu Hause arbeiten, ausgeweitet. Man ließ von dort aus den Zugriff auf das Unternehmensnetzwerk zu. Ich muss einen Security-Ansatz wählen, der mich auch in diesem Fall optimal schützt. SASE beschreibt einen schrittweisen Ansatz, bei dem ich beim größten Risiko beginne.
SASE wird oft als Reise beschrieben. Wie sieht diese aus?
Im Security-Bereich ist das Thema Vertrauen immer sehr wichtig. Auf der einen Seite steht die Frage nach dem Anwendungsfall, den der Kunden lösen möchte. SASE besteht aus unterschiedlichen Bausteinen. Sobald die Reise definiert wurde und der Kunde sich die Lösungsvorschläge anschauen konnte, stellt sich die Frage, ob er die Lösung annimmt und eine Vertrauensbasis besteht. Wenn Ja, dann kann man den nächsten Schritt der SASE-Reise gehen. Hat man etwa mit einem Secure Web Gateway begonnen, um User vor Phishing oder Malware zu schützen, wäre der nächste Schritt zum Beispiel eine Remote Access-Lösung. Ist das Vertrauen in dem einen Bereich einmal etabliert, dann ist die Hürde bei den nächsten Schritten niedriger. Es ist immer wichtig, genau zuzuhören, was tatsächlich benötigt wird. Ich erachte es als nicht zielführend, den Kunden von Anfang an mit Produkten zu überfordern. Der Kunde möchte eine Lösung, kein Produkt.
Gibt es bei SASE Herausforderungen für das Change Management?
Unternehmen, die heute noch eine No-Cloud-Strategie fahren und die Mitarbeiter anhalten, immer vom Büro aus zu arbeiten, werden durch die modernen Anforderungen aber auch Lösungsanbieter, motiviert, ihre Strategie zu überdenken. Früher oder später muss sich jedes Unternehmen Gedanken über ein zeitgemäßes Arbeitsumfeld und einen modernen Security-Ansatz machen. Es ist nicht die Frage ob, sondern wann es passiert. Ein weiterer Treiber ist das Thema Einfachheit. Unternehmen müssen ihre Prozesse vereinfachen und das Security-Team entlasten, Stichwort Fachkräftemangel. Die Konsolidierung der IT-Security muss in enger Zusammenarbeit mit den Usern und dem Sicherheit-Team gemacht werden. Security soll kein Verhinderer, sondern ein Enabler werden. Ein entscheidendes Erfolgskriterium für jedes SASE-Projekt, sofern man es als solches bezeichnen kann, ist die Zufriedenheit der Endbenutzer am Ende des Tages, da sie es täglich nutzen müssen.
Wie geht es mit SASE weiter? Welche Rolle spielt KI?
Das Unternehmen, das in Security investiert, möchte, dass das Investment auch gesichert ist. Man vermeidet dadurch etwa Produktionsausfälle, die durch Angriffe verursacht werden.
SASE sollte als zentrales Element gesehen werden, nachdem es unterschiedliche Bereiche verbindet, beginnend vom Enduser, dem Data Center, über Remote Access, sowie hin zu SaaS-Applikationen. Wenn die Technologien überall gleichermaßen gleich gut schützen, dann wird der Arbeitsaufwand automatisch reduziert. Alles, was sich im Vorfeld verhindern lässt, muss nicht im Nachhinein aufgeräumt werden.
Wir nutzen KI, um unseren Kunden einen zusätzlichen Teamkollegen zur Verfügung zu stellen. Das heißt: Es können von ihm operative Aufgaben abgenommen werden, ohne ihn zuvor wochenlang ausbilden zu muss, oder um bei Security-Themen up-to-date zu sein. Mit einfachen Prompts lassen sich schnell hilfreiche Ergebnisse erzielen, ohne Experte sein zu müssen. Wir nutzen KI, um unseren Kunden schneller und effektiver bei der Bedrohungsabwehr zu helfen.
Der ITWelt.at-Roundtable SASE kann hier nachgehört werden:
Be the first to comment