Suchen

Worauf es beim Design von sicheren Infrastrukturen ankommt Verknüpfte Security-Systeme stärken das Enterprise Gateway

Autor / Redakteur: Michael Rudrich / Dr. Andreas Bergler

Kein Unternehmen kann es sich mehr leisten, eine Sicherheitslücke – und sei es auch nur eine temporäre – im Unternehmensnetzwerk zu tolerieren. Das Problem hat auch die Sicherheitsindustrie verstanden, die in den vergangenen Jahren verschiedene proaktive Abwehrmechanismen vorgestellt hat. Doch wo trennt sich für Reseller und Endkunden die Spreu vom Weizen, und was sollte beim Design einer Sicherheitsinfrastruktur beachtet werden, damit diese vorausschauend arbeitet und nicht nur bekannte Malware abwehrt?

Firmen zum Thema

Systeme, die am Gateway zusammenarbeiten, bieten den effektivsten Schutz.
Systeme, die am Gateway zusammenarbeiten, bieten den effektivsten Schutz.
( Archiv: Vogel Business Media )

Signaturen sind nach wie vor wichtig, um bekannte Schad-Codes am Enterprise Gateway und am Client abzuwehren. Aber was ist mit noch unbekannter Malware oder solcher, die ständig mutiert und deshalb schwer per Sicherheitspatch greifbar ist?

Viele mittelständische und große Unternehmen vertrauen auf spezialisierte Sicherheitslösungen für einzelne wichtige Internetdienste. Oft ist es auch eine Frage der internen Organisation, wenn die eMail-Sicherheit einer anderen Person untersteht wie der Schutz des Web-Traffics oder anderer IP-basierter Dienste. Viele spezialisierte Köche um einen Topf garantieren jedoch nicht unbedingt ein besseres Resultat. Die Zusammenarbeit und die Abstimmung untereinander macht den Unterschied. Ein Beispiel: Wenn der Spamfilter eine elektronische Nachricht als verdächtig oder unsinnig einstuft und blockt, sollte auch der URL-Filter davon Kenntnis nehmen, um eine URL, die möglicherweise in die Junk-Mail integriert ist, ebenfalls auf die schwarze Liste zu setzen – oder auch Webseiten, die von der gleichen IP-Adresse gehostet werden, von der Spamnachrichten kommen.

Allein über die starke Verknüpfung der Einzellösungen erreichen Organisationen also schon eine gewisse proaktive Abwehr. Zur Umsetzung bedarf es jedoch eines gemeinsamen Nenners, wie beispielsweise eines übergeordneten Reputationssystems. Dieses wertet über global verteilte Sensoren täglich das Verhalten von vielen Millionen Absendern, Empfängern und auch Inhalten im Internet aus. Mit den dadurch gewonnen Informationen erstellt das System in Echtzeit Risikoeinschätzungen – so genannte Reputationen – für IP-Adressen sowie optimalerweise auch für Domain-Namen und URLs. Im besten Fall können also nicht nur Messaging-Security-Lösungen, sondern auch Firewalls und Webfilter die Reputationen für eine proaktive Abwehr nutzen.

Neben einer solch global verankerten Auswertung des Internetverkehrs empfiehlt sich additional eine lokale Verhaltensanalyse. Wie diese genau aussieht, unterscheidet sich je nach Anbieter, oft ersetzen auch Sandboxing-Methoden heuristische Verfahren.

Die Klassiker: Firewalls

Firewalls mit applikationsspezifischen Proxies bieten per se schon Sicherheit vor unbekannten Angriffsmustern. Proxies schirmen die internen, Dienste-spezifischen Server vom Internet ab. Sie stoppen den Datenverkehr, zerlegen ihn in seine Bestandteile und setzen ihn nach positiver Prüfung nicht einfach wieder zusammen, sondern schreiben ihn erneut. Diese Rewriting-Funktionalität gewährleistet, dass eventuell nicht regelkonforme Codebestandteile der originalen Datenpakete nicht auf die internen Server treffen.

Ein weiterer Punkt, der bei Firewalls für proaktive Sicherheit sorgt, ist die grundsätzliche Philosophie, mit der diese arbeiten. Zu bevorzugen sind Firewalls, die »positiv« filtern – genauer: Geräte, die nur denjenigen Datenverkehr durchlassen, der vorher vom Administrator als legitim definiert wurde. Dadurch wird die Firewall zwar zum Nadelöhr, das detailliert an die firmeneigenen Bedürfnisse hinsichtlich des benötigten Datenverkehr eingestellt werden muss, eine solche Herangehensweise verringert jedoch die Angriffsoberfläche der Unternehmen dramatisch. Alles durchzulassen, außer man verbietet es dediziert, ist angesichts der Professionalisierung bei den Cyberkriminellen nicht mehr zeitgemäß.

Soft- oder Hardware?

Schließlich gilt es noch, die Frage nach dem Formfaktor der Sicherheitslösungen zu klären. Rein softwarebasierte Sicherheitslösungen für den Enterprise Gateway haben einen klaren Nachteil: Sie bedürfen einer ergänzenden Hardware, die separat gepflegt und gepatcht werden muss. Bei vielen Sicherheitsapplikationen also entsprechend viele Server und Betriebssysteme. Die Gefahr, dass hier einmal nicht rechtzeitig alles auf den neusten Stand gebracht wird, ist wesentlich größer als bei Appliance-basierten Sicherheitslösungen. Update-Patches für Appliances umfassen in der Regel Applikation wie auch Betriebssystem. Zudem vertrauen einige Hersteller nicht auf ein marktübliches Betriebssystem, sondern haben ihre eigene Technologie entwickelt, die weniger im Visier der Hacker steht oder per se mit weiteren Sicherheitsfunktionalitäten ausgestattet ist. Secure Computing beispielsweise separiert mit Hilfe seiner patentierten Type-Enforcement-Technologie alle Dienste bereits im Betriebssystem und liefert damit einen weiteren Baustein für eine proaktive Sicherheitsarchitektur.

(ID:2009260)