Eine Betrachtung von Jürg Fischer,
CEO Sunworks GmbH
Wenn Sie heute die IT-Sicherheitslage Ihres Unternehmens analysieren, stellen Sie sicher einige wesentliche Punkte fest. Einerseits hat die Virenproblematik massiv abgenommen, andererseits die
Spam-, Phishing- und Spyware-Problematik massiv zugenommen. Auf der einen Seite bieten nahezu alle Hersteller leistungsstarke Firewalls mit Unified Threat Management (UTM) und
Remote-VPN oder
SSL-VPN an, lassen aber VPN-Verbindungen zu, welche sich hinter der Firewall verbinden und somit zu einer Gefahr im internen Netzwerk werden. Verändert haben sich also das Verhalten und die Möglichkeiten der Benutzer sowie die Komplexität der Anbindungen. Um heute allen Wünschen der Benutzer, aber auch der Sicherheitsverantwortlichen und dem Management zu entsprechen, ist eine vielschichtige Security Strategie notwendig. Wichtige Überlegungen sind dabei die Kenntnis der Verwundbarkeit Ihrer Unternehmung und deren Betriebs-Abläufe.In unserer Betrachtung auf dem Weg zum sicheren Netzwerk beginnen wir mit den mobilen Benutzern, den Road Warriors. Gehen wir davon aus, dass alle Notebooks mit Personal
Firewalls und
Antivirus-Lösungen ausgerüstet sind, so können wir uns um die Datensicherheit und -konsistenz kümmern. Damit bei einem Diebstahl keine Firmendaten in falsche Hände gelangen, setzen wir eine Festplattenverschlüsselung ein. Diese wird mit einem Zertifikat initiert, welches auf einem Security Token gespeichert wird und somit nun auf einfache Weise beim Starten des Notebooks verwendet werden kann. Für den sicheren Mailverkehr entscheiden wir uns für eine Mailverschlüsselung, welche über eine Policy mit einer zentralen Verwaltung genau regelt, welche Mails verschlüsselt werden.
Auswahlkriterien können dabei Domänen, Empfängeradressen, Gruppen, Formate oder Inhalte sein. Sie möchten natürlich überall Zugriff auf ihre Businessdaten haben. Da eine Anbindung via VPN heute sehr einfach und dennoch sicher realisiert werden kann, und auch Optionen über Remote-VPNs oder aber aus dem Internetcafé, beispielsweise via SSL-VPN, realisierbar sind, entscheiden wir uns für den kombinierten Ansatz um alle Wünsche ohne erhöhten finanziellen Aufwand abzudecken. Somit muss sichergestellt werden, dass eine sichere Authentisierung, zum Beispiel mit
Security Tokens oder Smartcards, verwendet wird, da eine Zweifaktor-Authentifizierung in jedem Fall sicherer als ein Passwort ist. Damit ist auch ein gesicherter Zugriff vom Internetcafé möglich. Für den Austausch der Daten stehen uns leistungsstarke Lösungen zur Verfügung, welche dem Benutzer transparent eine end-to-end-Verschlüsselung anbieten. Damit gehen auch bei Paketen, die abgefangen werden, keine firmenrelevante Daten verloren. Sobald sich der Road Warrior nun ins Firmen-netzwerk verbindet, muss zuerst überprüft werden ob sein Notebook die aktuellen Antivirus-Definitionen enthält, ob er Trojaner oder Spyware hat und ob die aktuellen Security Patches der Hersteller installiert sind. Falls dieser Test negativ ausfällt, wird der Zugang des Notebooks via Policy und
Network Access Protection in eine Quarantäne geleitet und erst nach erfolgter Säuberung oder Installation der Patches erfolgt der Zugang ins produktive Netzwerk. Mit diesen Massnahmen setzen wir die Security-Policies um und ermöglichen den Benutzern einen einfachen und sicheren Zugang ins Firmennetzwerk Mit welchen Möglichkeiten schützen wir das Firmen-LAN oder die Anbindungen an den verschiedenen Standorten? Wir nutzen dazu UTM-Firewalls, setzen aber auch zusätzliche Komponenten ein um Performance-Ansprüchen zu genügen, damit wir in grösseren Umgebungen nicht an die Leistungsgrenzen stossen und dadurch den Datenverkehr verlangsamen. .
Um Angriffe und Malware aus dem Internet zu verhindern, vertrauen wir auf
Intrusion Prevention Lösungen, welche als zusätzliche Aufgabe den Inhalt unserer IP-Pakete analysieren um fehlerhafte Pakete oder Dienste wie P2P oder IM ins Netzwerk hinein oder aus dem Netzwerk heraus effizient zu verhindern.Auch im Netzwerk muss verhindert werden, dass sich beliebige PCs (Notebooks von Mitarbeitern, externen Consultants, Lieferanten, …) via DHCP-Server eine TCP/IP-Adresse ergattern und dann im Netzwerk aktiv werden. Das kann durch die Kontrolle der DHCP-Server oder eine 802.1x-Authenfiizierung bereits auf dem Switch (Cisco NAC), über welchen sich der PC ins LAN verbindet, durchgesetzt werden.Innerhalb des Firmennetzwerks arbeiten wir ebenfalls mit einer Smartcard-Authentifizierung für den Domänen-Login und einer Mail- und Festplatten-verschlüsselung. Um sensitive Daten zusätzlich zu schützen, können wir diese auch auf dem Server verschlüsseln und über eine Policy definieren, wer diese für welchen Empfänger oder welche Gruppe verwenden darf. Eine solche Policy sollte natürlich auch eine für den Benutzer transparente Möglichkeit beinhalten, eine verschlüsselte Datei via Mail verschlüsselt zu übertragen, die nur von berechtigten Personen geöffnet werden kann.Nun haben wir einen grossen Teil der Aspekte beleuchtet, es bleibt noch das Reporting oder die Auswertung. Dazu stehen uns sogenannte Vulnerability-Scanner zur Verfügung, um unsere System nach Schwachstellen zu durchsuchen. Die gefundenen, gefährdeten Systeme werden über einen Report, welcher den aktuellen Compliance-Anforderungen entsprechend generiert wird, erkannt und in den Vulnerability-Process der IT-Abteilung zur Reparatur eingebunden. Diese Reports helfen auch, kleine Audits zu jedem Zeitpunkt zu generieren und Auskunft über den „Gesundheitszustand“ unseres Netzwerkes zu bekommen.
Diese Vision realisieren Sie bereits heute mit Sunworks. Rufen Sie uns an für eine unverbindliche Terminvereinbarung.
