Sergey Nivens - Fotolia
Warum Security-Regelwerke meist nicht funktionieren
Unternehmen sind heute meist zu komplex, um in Regeln abgebildet zu werden. Es existieren zu viele Variablen und wechselnde Bedingungen. Das geht zu Lasten der Sicherheit.
Unternehmen stecken große Summen in ihre digitale Transformation. Diejenigen, die umsichtige Investments in ihre technischen Systeme tätigen – Investments, die dabei helfen, effizientere und agilere Unternehmen aufzubauen – werden in Zukunft erfolgreich sein. Und diejenigen, die diesen Invest nicht machen? Sie werden wahrscheinlich nicht überleben.
Erfolg werden zunehmend diejenigen Unternehmen haben, die es schaffen, sich schneller von traditionellen, manuellen und veralteten Ansätzen des Technologie-Managements zu lösen und dazu übergehen, neue Denkweisen zu übernehmen. Dabei geht es nicht nur um die Unternehmens-, sondern auch um die Sicherheitstechnologien, die in Organisationen insbesondere dann eingesetzt werden, wenn es um die Anwendung regelbasierter Policies geht.
Über zwei Jahrzehnte lang funktionierten Regeln, die zur Verbesserung der Datensicherheit erstellt wurden, durchaus bis zu einem gewissen Grad. Allerdings war die Aufrechterhaltung eines funktionierenden Security-Regelwerks zu einem Teil Wissenschaft, teils Kunst und zum Teil schlicht eine Frage des Budgets, denn es brauchte ganze Teams von sehr fähigen Profis, um diese zu koordinieren und zu optimieren. Denn im Wesentlichen sind Regeln nicht skalierbar.
Wie regelbasierte Richtlinien meist funktionieren
Nehmen wir einen beispielhaften Ablauf: Die für die Security Policy zuständigen Teams erstellen Regeln, die versuchen vorherzusagen, wie ein Mitarbeiter ein bestimmtes System nutzen wird, aber auch, welche Pfade bearbeitete Daten innerhalb der Firma nehmen werden, wie Systeme und Anwendungen idealerweise funktionieren sollten, wie der Netzwerk-Traffic fließen sollte, und so weiter. Der Aufbau solcher Regelsätze bestimmt bis heute, wie die Branche Intrusion-Detection-Systeme, Firewalls, End-Point-Anti-Malware, Web-Sicherheitsapplikationen, Data-Leak-Schutz und vieles mehr organisiert. In der Folge finden sich diese Regeln überall.
Viele dieser alten, regelbasierten Sicherheitsstrategien versuchten vorherzusagen, wie Anwender ihre Systeme nutzen werden. Als aber ebendiese Systeme immer komplexer wurden und die Zahl der Anwendungsbereiche und die Datenmengen stiegen, wurde ihre Nutzung aussichtslos. Heute gibt es unendliche Kombinationsmöglichkeiten an potenziellen Szenarien, die berücksichtigt werden müssen. Es ist einfach zu kompliziert geworden, jede mögliche Kombination vorherzusagen, damit Regeln effektiv funktionieren können.
Die Herausforderungen bei Policies
Dadurch ergeben sich weitreichende Probleme für Unternehmen. Ein denkbares Szenario zeigt sich beispielsweise beim Zugriff von Nutzern auf ein bestimmtes System: Eine regelbasierte Policy erlaubt dem Nutzer den Zugriff, die andere verweigert ihn. Abhängig von der Reihenfolge, in der die Regeln ausgelöst werden, wird dem Anwender der Zugriff somit entweder zunächst gewährt und anschließend verweigert oder direkt verweigert. Die immer komplexer werdende Menge an Regeln und den daraus resultierenden Abhängigkeiten ist so kompliziert, dass sie fehleranfällig wird.
Die Herausforderungen im Zusammenhang mit Policies sind mehr als nur ein kleines Ärgernis, sondern ein ernstes Problem: Die Vielzahl dieser so generierten Warn- und Fehlermeldungen, überwältigen die Sicherheitsanalysten und IT-Manager in den Unternehmen und fluten ihre Bildschirme mit falschen Warnmeldungen, den sogenannten „False Positives“.
Die Analysten versuchen wiederum, die Vielzahl dieser Meldungen zu durchdringen und zu verarbeiten. Sie sammeln alle erzeugten Warnmeldungen und integrieren sie in ihre Sicherheitsinformations- und Ereignis-Managementsysteme. Sie versuchen festzustellen, wo möglicherweise Daten fließen, wo sie es nicht sollten, um Hinweise auf Sicherheitsverletzungen zu identifizieren und um Muster und Anomalien erkennen zu können, die überprüft werden sollten. In der Realität ist es allerdings so, dass einfach zu viel los ist, als dass es möglich wäre, daraus Schlüsse ziehen zu können – es kostet schlichtweg zu viel Zeit.
Warum Richtlinien nicht immer funktionieren
Warum versagen diese Policies? Weil Unternehmen heutzutage zu komplex sind, als dass sie in Regeln adäquat abgebildet werden könnten. Die Beschaffenheit der Unternehmenssicherheit, Infrastruktur, Anwendungen und Datenflüsse sowie die möglichen Handlungen von Angreifern und mutwilligen oder fahrlässigen Insidern sind einfach zu komplex, um in Regeln abgebildet werden zu können. Es gibt zu viele Variablen und wechselnde Bedingungen.
Das Versagen von Regeln kann ein ernsthaftes Risiko für die Sicherheitsbestrebungen eines Unternehmens darstellen. Ob Netzwerküberwachung, Tools zum Schutz vor Datenverlust oder andere Sicherheitstechnologien – Analysten werden die Schwellenwerte der Systeme tendenziell auf lächerlich niedrige Werte einstellen, um die Flut an regelbasierten Warnmeldungen einzudämmen. Oder sie schalten die Alarme komplett aus und bringen das System in den reinen Monitor-Modus, wodurch die IT Infrastruktur und Daten einem unnötigen Risiko ausgesetzt werden. Unternehmen, die versuchen, angemessene regelbasierte Schwellenwerte einzuhalten, verschwenden die Zeit ihrer Analysten damit, Gespenstern nachzujagen – Situationen, die riskant aussehen, es aber nicht sind – während echte Angreifer aufgrund des Lärms unentdeckt bleiben.
Daten richtig schützen
Die Herausforderung mit denen Unternehmen konfrontiert werden, betreffen also im Grunde nicht den Sicherheitsanalysten, sondern die Policies selbst und die regelbasierten Tools. Egal wie talentiert und intelligent der Analyst auch sein mag, es ist einfach nicht möglich, Schritt zu halten. Deshalb ist ein Umdenken notwendig. Das bedeutet nicht, dass die Regeln einfach nur immer strenger oder ausgeklügelter werden müssen. Es bedeutet, dass sich die Herangehensweise ändern und ein neuer Ansatz verfolgt werden muss – ein Ansatz, der sich auf die Daten selbst konzentriert und nicht auf Regeln, die den Anwender „erziehen“. Das Mantra ist einfach: sämtliche Daten schützen und niemandem vertrauen.
„Das Versagen von Regeln kann ein ernsthaftes Risiko für die Sicherheitsbestrebungen eines Unternehmens darstellen.“
Richard Agnew, Code42
Mit diesem neuen Ansatz wird der Schwerpunkt eines Datensicherheitssystems grundlegend verlagert – von der Prävention auf den Schutz der Daten. Er beruht auf der Annahme, dass alle Daten gleich wichtig sind. Vertriebskanäle, Prognosen, Wettbewerbskampagnen, Kundeninformationen, Produkt-Roadmaps, Prototypenbezeichnung – all das ist sensibles geistiges Eigentum und somit schützenswert.
Dieser zukunftsfähige Ansatz von Datensicherheit beruht auf der Erkenntnis, dass man Vorsicht walten lassen muss – auch gegenüber den Mitarbeitern, denen man grundsätzlich natürlich lieber blind vertrauen möchte. Mit anderen Worten, der DLP-Software der nächsten Generation ist es egal, ob ein Mitarbeiter ein vertrauenswürdiger Benutzer ist oder nicht. Diese Software arbeitet auf Datenebene, verfolgt und überwacht alle Datenaktivitäten und kennzeichnet Anomalien, während sie sämtliche Kopien aller Dateien für einen schnellen Zugriff und eine ebensolche Analyse aufbewahrt. Erst wenn Anomalien entdeckt wurden, untersucht der Analyst weiter.
Es sollte klar sein, dass Unternehmen keine Zeit mehr dafür haben, prädiktive Regeln manuell zu erstellen und zu verwalten. Und – und das ist vielleicht noch wichtiger -, dass Unternehmen, die sich nicht von Policy-basierten Sicherheitssystemen verabschieden, nicht nur hinter ihren Wettbewerbern zurückbleiben werden, sondern weitaus anfälliger für alle möglichen Arten von Risiken sein werden, als die Unternehmen, die sich auf den Schutz ihrer Daten konzentrieren.
Über den Autor:
Richard Agnew ist Vice President EMEA bei Code42.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.