IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Transformation World
19.10.17 - 20.10.17
In Heidelberg

Security ConceptDer Netzwerkverkehr war früher leichter zu verwalten. Ports und Protokolle korrelierten direkt mit den entsprechenden Anwendungen. Das Blockieren eines Ports bedeutete das Blockieren einer Anwendung. Die Natur von Anwendungen hat sich zwischenzeitlich jedoch massiv verändert.

Sie sind immer schwieriger exakt zu identifizieren und spielen immer selten nach den „Regeln“. Ports lassen sich nicht mehr Anwendungen zuordnen, IP-Adressen sind nicht bestimmten Benutzern zugeordnet, ebenso nicht Pakete bestimmten Inhalten.

Wie kann ein Unternehmen das Netzwerk dennoch effektiv schützen und Bedrohungen, die zunehmend mit Ausweichstrategien arbeiten, verhindern? Palo Alto Networks schlägt Unternehmen vor die App-ID-Technologie zur Identifizierung von Anwendungen einzusetzen.

Anwendungen sicher betreiben mit App-ID

„Für mehr Sicherheit ist eine detaillierte Kontrolle und eine umfassende Sichtbarkeit auf der Ebene der einzelnen Anwendungen erforderlich. Die App-ID-Technologie zur Identifizierung von Anwendungen ist eine native Funktion auf Next-Generation-Firewalls. App-ID ermöglicht es Unternehmen, sich auf einen anwendungsorientierten Ansatz zu verlagern, anstatt auf Port- und Protokoll-basierte Richtlinien zu setzen“, erklärt Martin Zeitler, Senior Manager Systems Engineering bei Palo Alto Networks. „Ein anwendungsorientierter Ansatz hilft bei der genauen Identifizierung aller Anwendungen, die das Netzwerk durchqueren. Auf diese Weise kann die erfolgreiche Durchführung von Cyberangriffen vereitelt und das Netzwerk wirksam verteidigt werden.“

App-ID wendet mehrere Klassifizierungsmechanismen auf den Verkehrsstrom im Netz an: Anwendungssignaturen, Decodierung von Anwendungsprotokollen, Entschlüsselung (falls erforderlich) und Heuristiken. Ziel ist es, die Anwendungen genau zu identifizieren. Und das erfolgt unabhängig von Port, Protokoll, Verschlüsselung (SSH oder SSL) oder möglichen Ausweichmanövern.

App-ID ist immer aktiv und überwacht kontinuierlich die Anwendungsfunktionen, um zu sehen, ob sich etwas verändert. Dies lässt sich auf viele Szenarien anwenden, etwa beim Standard-Screen-Sharing während einer Videokonferenz ebenso wie beim Fernzugriff auf einen Desktop-PC. Die Informationen über jede Anwendungsnutzung und damit verbundene Risiken (z.B. bekannte Schwachstellen, Malware-Übertragung und potenzieller Missbrauch) liefern entscheidende Informationen für das Sicherheitsteam. Diese dienen zum Erstellen und Durchsetzen effizienter Zugriffsberechtigungen und -richtlinien für die jeweilige Anwendung.

Die folgenden vier Argumente sprechen nach Meinung von Palo Alto Networks für die Implementierung von App-ID auf einer Next-Generation-Firewall:

1) Umfassende Sichtbarkeit der Anwendungen. App-ID sorgt für eine umfassende Sichtbarkeit der Anwendungen im Netzwerk. Der Benutzer bekommt vermittelt, welche Anwendungen verwendet werden, wie häufig und für welchen Zweck.

Durch die Nutzung von App-ID im Application Command Center sowie anderen Reports und Protokollen lassen sich bestimmte Aktivitätsmuster und Verhaltensweisen identifizieren. So können zum Beispiel die Top-Anwendungen, die im Unternehmen verwendet werden, oder die Top-Bedrohungen, die in das Netzwerk durch bestimmte Anwendungen eingeführt werden, erfasst werden. Die Berichte zur Anwendungssichtbarkeit und -nutzung sind leicht verständlich und können der Geschäftsführung zur Verfügung gestellt werden. Dadurch wird ein stärkeres Sicherheitsbewusstsein über die IT-Abteilung hinaus geschaffen. Sicherheitsrichtlinien können durchgesetzt werden, um erwünschte Anwendungen zu betreiben, überwachen und anzupassen, aber unerwünschte Anwendungen zu blockieren.

2) Reduzierung der Angriffsfläche. App-ID ermöglicht es Unternehmen, eine granulare Kontrolle über Anwendungen und deren Funktionen auszuüben. Sanktionierte Anwendungen und bekannter Verkehr sind genehmigt, während alle restlichen Aktivitäten streng kontrolliert und bei Bedarf blockiert werden. Zum Beispiel kann ein Unternehmen ausschließlich sanktionierte Office-365-Benutzerkonten zulassen oder die Nutzung von Slack für Instant Messaging erlauben, aber die Übertragung von Dateien blockieren. Erlaubter Verkehr wird auf Bedrohungen und sensible Daten gescannt. Explizit erlaubt werden nur die Anwendungen, die für den Geschäftsbetrieb erforderlich sind, die Nutzung aller anderen wird unterbunden. Dies reduziert unternehmensweit die potenzielle Angriffsfläche.

3) SaaS-Traffic und sensible Daten schützen. Angesichts der Produktivitätsvorteile nimmt die Akzeptanz für die Nutzung von SaaS-Anwendungen (Software als Service) weiterhin schnell zu. Viele Unternehmen haben mittlerweile Initiativen für die Sicherheit von SaaS-Anwendungen etabliert. Allerdings stellt ein umfangreicher Einsatz von SaaS eine Herausforderung für IT-Teams dar, da dann sensible Daten in den Händen des SaaS-Betreibers liegen.

Eine Next-Generation-Firewall kann die Klassifizierungsfunktionen von App-ID nutzen, um Reports über die Nutzung von SaaS-Anwendungen mit detaillierten Statistiken zu versorgen: auf welche SaaS-Anwendungen zugegriffen wird, wer darauf zugreift und welche Bedrohungen bestehen. Dazu gehören Daten wie die „Top Ten“ Bedrohungen, die von SaaS-Anwendungen eingeführt wurden und schädliche Dateien, die zu oder von den SaaS-Anwendungen übertragen wurden. Ebenfalls abrufbar sind Benutzer, die mit bestimmten SaaS-Anwendungen verbunden sind, sowie alle Aktivitäten, die blockiert wurden. Kommt etwa Box.com zum Einsatz, können diese Informationen beispielsweise in einer einzigen Richtlinie konfiguriert werden. Damit lässt sich zum einen der Zugriff für authentifizierte Benutzer ermöglichen. Zum anderen kann die Entschlüsselung auf den verschlüsselten SSL-Verkehr angewandt werden, um die Benutzer- und Dateiaktivität zu bestimmen (z.B. Hochladen, Herunterladen oder beides). App-ID erfasst auch, ob bekannte oder unbekannte Bedrohungen oder Malware übertragen werden und blockiert diese.

4) Rechenzentrum schützen. App-ID arbeitet „anwendungsbewusst“ und bietet damit die Grundlage für Richtlinienentscheidungen im Rechenzentrum (RZ), so dass nur die richtigen Personen Zugang zu den entsprechenden Anwendungen haben. Durch die genaue Identität von Anwendungen (z.B. Oracle, SAP, MS SQL) als Grundlage für die RZ-Sicherheitsrichtlinie gewinnt die IT eine bessere Kontrolle über den Verkehr. So können Anwendungen wie FTP (File Transfer Protocol), die verwendet werden können, um sensible Daten zu übertragen, ebenso kontrolliert werden wie die Ausführung von DNS (Domain Name System) und Microsoft RPC (Remote Procedure Call). Das „Positive Control“-Überwachungsmodell von App-ID ermöglicht es Unternehmen, eine Liste der im Rechenzentrum zulässigen Anwendungen zu definieren und alles andere zu verweigern. Anwendungen, die nicht ausdrücklich erlaubt sind, werden gesperrt und weitere Untersuchungen zugewiesen. Wenn ein Angreifer es schafft, in das RZ-Netzwerk einzudringen, kann App-ID in Kombination mit der User-ID-Identifizierung die seitliche Bewegungsfähigkeit einschränken und verhindern, dass der Angreifer Daten exfiltriert. Dies erfolgt, indem die Anwendungsnutzung auf der Grundlage von Benutzergruppen exakt begrenzt wird.

www.paloaltonetworks.com
 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet