SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

EuroCIS 2018
27.02.18 - 01.03.18
In Düsseldorf, Messe Halle 9 und 10

BIG DATA Marketing Day
27.02.18 - 27.02.18
In Wien

AUTOMATE IT 2018
01.03.18 - 01.03.18
In Hamburg, Schwanenwik 38

DIGITAL FUTUREcongress
01.03.18 - 01.03.18
In Frankfurt, Messe

ApplicationUnternehmen haben sich in den vergangenen Jahren beim Thema IT-Sicherheit auf das Netzwerk konzentriert. Doch heute müssen sie auch Anwendungen überprüfen, um neuartige Angriffe abzuwehren. Das ist einfacher gesagt als getan.

Im realen Leben wurden bereits zahlreiche Verbrechen durch die Aufzeichnungen von Sicherheitskameras aufgeklärt. Damit lässt sich eindeutig nachweisen, wer was getan hat – aber erst nachträglich, der Schaden ist bereits entstanden. Die Hoffnung, dass solche Sicherheitssysteme durch Abschreckung auch Verbrechen verhindern könnten, hat sich zumindest im realen Leben noch kaum erfüllt.

In der virtuellen Welt sieht die Lage kaum besser aus. So wird auch hier häufig erst nach einem Vorfall über die Log-Dateien ermittelt, was genau geschehen ist. Zumindest sind die aufgezeichneten Informationen sehr wertvoll für das Aufspüren und Schließen der ausgenutzten Sicherheitslücken. Doch auch wenn die Transparenz theoretisch immer mehr in Echtzeit möglich ist, bleiben die Unternehmen meist nur Zuschauer, wenn jemand in ihre Systeme eindringt und dort seine Schadprogramme verbreitet.

Herausforderungen für die Sicherheit

Das Problem besteht darin, dass Echtzeit-Transparenz – besonders auf der Anwendungsebene – häufig schwer in der Praxis umzusetzen ist. Gemäß der Studie F5 State of Application Security 2016 sagen 57 Prozent der Befragten, dass fehlender Einblick in den Application Layer ein hohes Sicherheitsniveau verhindert. Dies liegt oft daran, dass bei einer Erweiterung der Sicherheitsmaßnahmen vom OSI-Stack auf die Anwendungen deren Performance beeinträchtigt wird. Dabei ist gerade die Verbesserung der Application Performance ein wichtiges Ziel von Netzwerk-Investitionen – noch vor Security. Es gibt aber noch weitere Gründe für die fehlende Transparenz der Anwendungsebene:

  1. Herkömmliche Maßnahmen zur Netzwerksicherheit berücksichtigen nicht den Datenverkehr oberhalb des Layers 4 (TCP). Die Analyse der Anwendungsebene (Layer 7) erzeugt nämlich Latenz und erfordert mehr Ressourcen als der standardisierte Netzwerkverkehr. Daher verzichten die meisten Lösungen auf die Untersuchung des Application Traffic.
  2. Der Prozess des Schreibens auf eine Festplatte, ob lokal oder auf ein Remote-System im Netzwerk, erzeugt Latenz und verbraucht Ressourcen. Das richtige Logging von Transaktionen bei Web-Applikationen mit der notwendigen Tiefe und Breite an Daten benötigt daher Zeit sowie hohe Kapazitäten und beeinträchtigt daher die Performance der Anwendung. So analysieren viele Unternehmen die Anwendungsebene nur bei einem konkreten Vorfall.
  3. Eine Ende-zu-Ende-Verschlüsselung eignet sich zwar hervorragend zur Einhaltung von Compliance-Vorgaben. Doch gleichzeitig behindert sie Sicherheitslösungen bei der Untersuchung und Auswertung der Daten. Sie sind dann sozusagen blind für die Inhalte, ob schädlich oder legitim. Das bedeutet nicht, dass Unternehmen auf Verschlüsselung verzichten sollten, aber sie müssen sich den entsprechenden Folgen für die Transparenz bewusst sein.

Mögliche Lösungsansätze

So sind Ansätze zu entwickeln, welche die nötigen Einblicke gewähren, ohne die Performance deutlich zu beeinträchtigen oder den administrativen Mehraufwand zu erhöhen. Unternehmen sollten daher im ersten Schritt prüfen, ob ihre bereits eingesetzten Sicherheitslösungen Datenverkehr oberhalb des Layer 4 untersuchen und auswerten können – bis hin zur Anwendungsebene (Layer 7). Laut der erwähnten Studie kann einer der durchschnittlich 11 installierten Services die Anwendungsebene analysieren. Doch Unternehmen übersehen oft, dass manche genutzten Security-Lösungen ihre Anforderungen schon erfüllen.

Für das Logging lassen sich Datenspiegelungs-Funktionen in Load Balancing Services verwenden. Dabei leitet die Plattform kopierte Application Requests auf mehrere Backend-Server weiter. Hier wird dann ein Klon des Requests vollständig geloggt und untersucht, so dass die Echtzeit-Analyse keinen Einfluss auf die Antwortzeiten für die realen Nutzer hat. Auf die gleiche Weise lassen sich auch die Antworten prüfen. Da die Klone exakte Kopien sind, erhalten die Sicherheitsexperten die notwendige Transparenz für die Anwendungsebene, um sofort auf Vorfälle reagieren zu können.

Lösungen für das Problem der Verschlüsselung und Entschlüsselung basieren ebenfalls auf der Lastverteilung einer Application Delivery Platform. Durch das „Abladen“ oder „Terminieren“ von SSL/TLS-Dateien upstream der Backend-Anwendungen lässt sich verschlüsselter, eingehender Datenverkehr von Anwendungen in Echtzeit untersuchen. Dies ermöglicht eine proaktive Durchsetzung von Sicherheitsrichtlinien, die einen Angriff vom tieferen Eindringen in die Anwendungs-Infrastruktur abhalten können. Diese Plattformen wurden häufig unter Berücksichtigung von Sicherheit und Performance entwickelt. Das bedeutet, dass sie zur Entschlüsselung und der Untersuchung von Datenverkehr mit minimaler Latenz optimiert wurden. Daher mildern sie den Einfluss auf die User Experience.

Transparenz muss also nicht die Performance beeinträchtigen. Doch dazu sind in die Netzwerkarchitekturen Services zu integrieren, die in Echtzeit Einblicke in die Anwendungsebene ermöglichen. Und nur wenn sich diese Lösungen an die sich ständig verändernde Bedrohungslandschaft anpassen lassen, können Sicherheitsexperten und Entwickler Anwendungen vor Angriffen schützen.

 

GRID LIST
Tb W190 H80 Crop Int 5432ffa496aad4fc3d07ed53b63df31e

Warum IT- und OT-Netzwerke einen einheitlichen Sicherheitsansatz benötigen

Mit der steigenden Verbreitung von Produktionsnetzwerken,wächst auch der Bedarf an…
Tb W190 H80 Crop Int C3ad42b7c8d7e07e83500eac0c996009

IT-Sicherheit auf der Rennstrecke

Mehr als die Hälfte der Unternehmen in Deutschland (rund 53 Prozent) sind in den…
Tb W190 H80 Crop Int 60c948299ec6ed8114ef0acdb6b25f11

SonicWall mit neuer Technologie: Real-Time Deep Memory Inspection

SonicWall hat mit einer neuen Capture Cloud Engine hunderte Malware-Varianten…
Tb W190 H80 Crop Int F051567a083a625588e986bd0718b3d0

DriveLock Managed Endpoint Protection

Cyberangriffe beschränken sich schon lange nicht mehr auf das Netzwerk und die…
Tb W190 H80 Crop Int A605e9036e052c4e524e16631e127d63

Endian UTM Mercury 50: Skalierbare Netzwerksicherheit für den Remote-Einsatz

Endian UTM Mercury 50 gestattet für ein kleines Budget Hochleistungsdurchsatz und…
Tb W190 H80 Crop Int 0585afa5d97ff8c6d1669002374e37e3

Übersichtliche Dashboards für die Web Application Firewall

Airlock, das Security-Produkt des Schweizer Softwareentwicklers Ergon Informatik AG,…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security