PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

10. gfo-Jahreskongress
25.10.17 - 26.10.17
In Düsseldorf

Google Analytics Summit 2017
09.11.17 - 09.11.17
In Hamburg

Data Driven Business 2017
13.11.17 - 14.11.17
In Berlin

ApplicationUnternehmen haben sich in den vergangenen Jahren beim Thema IT-Sicherheit auf das Netzwerk konzentriert. Doch heute müssen sie auch Anwendungen überprüfen, um neuartige Angriffe abzuwehren. Das ist einfacher gesagt als getan.

Im realen Leben wurden bereits zahlreiche Verbrechen durch die Aufzeichnungen von Sicherheitskameras aufgeklärt. Damit lässt sich eindeutig nachweisen, wer was getan hat – aber erst nachträglich, der Schaden ist bereits entstanden. Die Hoffnung, dass solche Sicherheitssysteme durch Abschreckung auch Verbrechen verhindern könnten, hat sich zumindest im realen Leben noch kaum erfüllt.

In der virtuellen Welt sieht die Lage kaum besser aus. So wird auch hier häufig erst nach einem Vorfall über die Log-Dateien ermittelt, was genau geschehen ist. Zumindest sind die aufgezeichneten Informationen sehr wertvoll für das Aufspüren und Schließen der ausgenutzten Sicherheitslücken. Doch auch wenn die Transparenz theoretisch immer mehr in Echtzeit möglich ist, bleiben die Unternehmen meist nur Zuschauer, wenn jemand in ihre Systeme eindringt und dort seine Schadprogramme verbreitet.

Herausforderungen für die Sicherheit

Das Problem besteht darin, dass Echtzeit-Transparenz – besonders auf der Anwendungsebene – häufig schwer in der Praxis umzusetzen ist. Gemäß der Studie F5 State of Application Security 2016 sagen 57 Prozent der Befragten, dass fehlender Einblick in den Application Layer ein hohes Sicherheitsniveau verhindert. Dies liegt oft daran, dass bei einer Erweiterung der Sicherheitsmaßnahmen vom OSI-Stack auf die Anwendungen deren Performance beeinträchtigt wird. Dabei ist gerade die Verbesserung der Application Performance ein wichtiges Ziel von Netzwerk-Investitionen – noch vor Security. Es gibt aber noch weitere Gründe für die fehlende Transparenz der Anwendungsebene:

  1. Herkömmliche Maßnahmen zur Netzwerksicherheit berücksichtigen nicht den Datenverkehr oberhalb des Layers 4 (TCP). Die Analyse der Anwendungsebene (Layer 7) erzeugt nämlich Latenz und erfordert mehr Ressourcen als der standardisierte Netzwerkverkehr. Daher verzichten die meisten Lösungen auf die Untersuchung des Application Traffic.
  2. Der Prozess des Schreibens auf eine Festplatte, ob lokal oder auf ein Remote-System im Netzwerk, erzeugt Latenz und verbraucht Ressourcen. Das richtige Logging von Transaktionen bei Web-Applikationen mit der notwendigen Tiefe und Breite an Daten benötigt daher Zeit sowie hohe Kapazitäten und beeinträchtigt daher die Performance der Anwendung. So analysieren viele Unternehmen die Anwendungsebene nur bei einem konkreten Vorfall.
  3. Eine Ende-zu-Ende-Verschlüsselung eignet sich zwar hervorragend zur Einhaltung von Compliance-Vorgaben. Doch gleichzeitig behindert sie Sicherheitslösungen bei der Untersuchung und Auswertung der Daten. Sie sind dann sozusagen blind für die Inhalte, ob schädlich oder legitim. Das bedeutet nicht, dass Unternehmen auf Verschlüsselung verzichten sollten, aber sie müssen sich den entsprechenden Folgen für die Transparenz bewusst sein.

Mögliche Lösungsansätze

So sind Ansätze zu entwickeln, welche die nötigen Einblicke gewähren, ohne die Performance deutlich zu beeinträchtigen oder den administrativen Mehraufwand zu erhöhen. Unternehmen sollten daher im ersten Schritt prüfen, ob ihre bereits eingesetzten Sicherheitslösungen Datenverkehr oberhalb des Layer 4 untersuchen und auswerten können – bis hin zur Anwendungsebene (Layer 7). Laut der erwähnten Studie kann einer der durchschnittlich 11 installierten Services die Anwendungsebene analysieren. Doch Unternehmen übersehen oft, dass manche genutzten Security-Lösungen ihre Anforderungen schon erfüllen.

Für das Logging lassen sich Datenspiegelungs-Funktionen in Load Balancing Services verwenden. Dabei leitet die Plattform kopierte Application Requests auf mehrere Backend-Server weiter. Hier wird dann ein Klon des Requests vollständig geloggt und untersucht, so dass die Echtzeit-Analyse keinen Einfluss auf die Antwortzeiten für die realen Nutzer hat. Auf die gleiche Weise lassen sich auch die Antworten prüfen. Da die Klone exakte Kopien sind, erhalten die Sicherheitsexperten die notwendige Transparenz für die Anwendungsebene, um sofort auf Vorfälle reagieren zu können.

Lösungen für das Problem der Verschlüsselung und Entschlüsselung basieren ebenfalls auf der Lastverteilung einer Application Delivery Platform. Durch das „Abladen“ oder „Terminieren“ von SSL/TLS-Dateien upstream der Backend-Anwendungen lässt sich verschlüsselter, eingehender Datenverkehr von Anwendungen in Echtzeit untersuchen. Dies ermöglicht eine proaktive Durchsetzung von Sicherheitsrichtlinien, die einen Angriff vom tieferen Eindringen in die Anwendungs-Infrastruktur abhalten können. Diese Plattformen wurden häufig unter Berücksichtigung von Sicherheit und Performance entwickelt. Das bedeutet, dass sie zur Entschlüsselung und der Untersuchung von Datenverkehr mit minimaler Latenz optimiert wurden. Daher mildern sie den Einfluss auf die User Experience.

Transparenz muss also nicht die Performance beeinträchtigen. Doch dazu sind in die Netzwerkarchitekturen Services zu integrieren, die in Echtzeit Einblicke in die Anwendungsebene ermöglichen. Und nur wenn sich diese Lösungen an die sich ständig verändernde Bedrohungslandschaft anpassen lassen, können Sicherheitsexperten und Entwickler Anwendungen vor Angriffen schützen.

 

GRID LIST
Tb W190 H80 Crop Int B105883123d2264a138f7eac7750dea8

McAfee integriert „Advanced Analytics“ für optimierte SOC-Effizienz

McAfee stellt neue Endpunkt- und Cloud-Lösungen vor. Diese nutzen die Geschwindigkeit und…
Tb W190 H80 Crop Int 4af3435e2cda495d376effd0fa1bcc7b

G DATA Business-Version 14.1

Angriffe durch Ransomware haben in diesem Jahr deutlich zugenommen – das haben die…
Tb W190 H80 Crop Int F051567a083a625588e986bd0718b3d0

Gigamon stellt Integrationen mit Splunk und Phantom vor

Gigamon Inc. (NYSE: GIMO), Anbieter von Traffic-Visibility-Lösungen, hat neue…
Deloitte

Deloitte-Hack: kryptografische Verfahren schützen vor Datenklau

Die Beratungsgesellschaft Deloitte wurde Opfer eines Hackerangriffs: Unbekannte Hacker…
Security Schloss

Neue Lösung für Endpoint Detection and Response (EDR)

Komplexe, zielgerichtete und andauernde Cybergefahren (Advanced Persistent Threats, APTs)…
Wellen Schloß

"Encrypted Waves" ermöglichen in Zukunft die Verschlüsselung

Für globale Unternehmen ist es schwierig, kritische und sensible Daten wirksam zu…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet