everythingpossible - stock.adobe
Die 9 wichtigsten Elemente der Netzwerksicherheit
Netzwerksicherheit ist keine Universalstrategie. Erfahren Sie mehr über die verschiedenen Segmente der Netzwerksicherheit, wie sie sich überschneiden und miteinander interagieren.
Die IT hat sich beträchtlich verändert. Sie hat sich von einer Client-Server-Infrastruktur zu einer Umgebung entwickelt, die von der digitalen Transformation angetrieben wird, die die Interaktion von mobilen Geräten, Cloud-Ressourcen – wie SaaS und IaaS – und IoT verstärkt.
Diese Innovationen haben die Möglichkeiten der Kommunikation von Menschen und Geräten erheblich erweitert. Was jedoch unverändert bleibt, ist der Umstand, dass das Netzwerk, unabhängig von seiner Form, die Einsatzfähigkeit und Integrität der Netzwerkressourcen schützen muss.
Weltweit geben IT-Unternehmen pro Jahr mehr als 20 Milliarden US-Dollar (circa 20,3 Milliarden Euro) für Hardware und Software in Form der unterschiedlichsten Netzwerksicherheitskomponenten aus. Untersuchungen von Doyle Research und Security Mindsets sagen voraus, dass diese Ausgaben bis 2024 fast 25 Milliarden Dollar (circa 25,4 Milliarden Euro) erreichen werden.
Dutzende von Anbietern konzentrieren sich auf spezielle Sicherheitsfunktionen. Die meisten großen Unternehmen nutzen mehrere dieser Anbieter und verschiedene Elemente der Netzwerksicherheit, um ihre Sicherheitsstrategie und Abwehrmaßnahmen zu stärken.
Da Netzwerk- und Sicherheitsintelligenz sich in die Cloud verlagert, passen die Anbieter ihre Netzwerksicherheitsfunktionen ständig weiter an. Es sind neue Produktkategorien für die Netzwerksicherheit entstanden, die sich in dem Maße verändern werden, wie die Anbieter von einem Hardware-Appliance- zu einem As-a-Service-Geschäftsmodell übergehen.
Neben neuen Produkttypen, virtuellen Appliances und der Nutzung von Cloud-Diensten zur Ausführung von Netzwerksicherheitsfunktionen wird man auf dem Markt auch in Zukunft die Integration zusätzlicher Funktionen zur Unterstützung von IoT, Software-defined WAN (SD-WAN) und KI beobachten können.
Was man unter Netzwerksicherheit versteht
Die einfache Definition von Netzwerksicherheit ist eine beliebige Kombination von Hardware- und Softwareprodukten, die auf Layer 3 und 4 – der Vermittlungs- beziehungsweise Transportschicht – des OSI-Stacks arbeiten. Deren primäre Funktion besteht darin, den Zugriff auf das Unternehmensnetzwerk und in das Netzwerk eingebundene Ressourcen zu verwalten. Netzwerksicherheit fungiert als eine Art Türsteher, der autorisierten Benutzern den Zugang erlaubt und unbefugten Zugriff verhindert sowie alle Versuche, in das Netzwerk einzudringen, um Schaden anzurichten oder Daten zu kompromittieren, erkennt und unterbindet.
Bei der Netzwerksicherheit gibt es keine Patentlösung, da sie in der Regel aus verschiedenen Komponenten besteht. Folgend werden wir neun Elemente der Netzwerksicherheit und ihre Rolle in einer Sicherheitsstrategie erläutern. Bitte beachten Sie, dass sich diese Komponenten nicht gegenseitig ausschließen, denn viele Funktionen und Technologien in den Angeboten der einzelnen Anbieter überschneiden sich.
1. Netzwerk-Firewall
Firewalls sind die erste Verteidigungslinie bei der Netzwerksicherheit. Diese Netzwerkanwendungen oder -geräte überwachen und kontrollieren den Fluss des ein- und ausgehenden Netzwerk-Traffics zwischen einem vertrauenswürdigen internen Netzwerk und nicht vertrauenswürdigen externen Netzwerken. Der Netzwerk-Traffic wird auf Grundlage von Status, Port und Protokoll überprüft, wobei Filterentscheidungen sowohl basierend auf vom Administrator festgelegten Sicherheitsrichtlinien als auch anhand von statischen Regeln getroffen werden.
Firewalls lassen sich je nach zugrunde liegender Technologie in Unterkategorien einteilen, zum Beispiel Proxy, Stateful Inspection, Deep Inspection oder Next Generation. Next-Generation Firewalls (NGFW) übernehmen alle Aufgaben anderer Firewalls, ergänzen dies jedoch um eine Überprüfung auf Anwendungsebene und Intrusion-Prevention-Systemen (IPS). Zudem nutzen sie Threat Intelligence außerhalb der Firewall.
Laut Doyle Research und Security Mindsets bilden Firewalls das größte Einzelsegment des Marktes für Netzwerksicherheit. Im Jahr 2019 machten Firewalls jeglicher Kategorie etwa 40 Prozent der Ausgaben für Netzwerksicherheit aus, was etwa acht Milliarden US-Dollar (circa 8,1 Milliarden Euro) entspricht.
Bekannte Anbieter: Check Point Software, Cisco, Genua, Juniper Networks, Lancom und Palo Alto Networks.
2. Intrusion Prevention System
Netzwerk-IPS sind Softwareprodukte, die ein permanentes Monitoring der Netzwerk- oder Systemaktivitäten ermöglichen und diese auf Anzeichen von Richtlinienverstößen, Abweichungen von üblichen Sicherheitsverfahren oder böswilligen Aktivitäten untersuchen.
Sie protokollieren, warnen und reagieren auf erkannte Probleme. IPS-Produkte vergleichen aktuelle Aktivitäten anhand einer Liste von Signaturen, von denen bekannt ist, dass sie Bedrohungen darstellen. Sie können zudem alternative Erkennungsmethoden anwenden – etwa Protokollanalyse, Anomalie- und Verhaltenserkennung oder Heuristik –, um verdächtige Netzwerkaktivitäten und Schadsoftware zu entdecken. Komplexere IPSes nutzen Threat Intelligence und Machine Learning, um die Genauigkeit zu erhöhen.
Obwohl viele IPS-Funktionen in NGFWs und UTM-Appliances (Unified Threat Management) integriert wurden, macht der IPS-Markt immer noch 10 Prozent der Ausgaben für Netzwerksicherheit aus.
Bekannte Anbieter: Alert Logic, Check Point Software, Cisco, McAfee und Trend Micro.
3. Unified Threat Management
Ein UTM-Produkt integriert mehrere Networking- und Netzwerksicherheitsfunktionen in einer einzigen Appliance und bietet gleichzeitig ein konsolidiertes Management. UTM-Geräte müssen Netzwerk-Routing, Firewalling, Netzwerk-Intrusion-Prevention und Gateway-Virenschutz umfassen. Sie bieten im Allgemeinen viele weitere Sicherheitsanwendungen wie VPN, Remote-Zugriff, URL-Filterung und Quality of Service (QoS). Eine einheitliche Verwaltung dieser Funktionen ist erforderlich, da die konvergente Plattform darauf ausgelegt ist, die Gesamtsicherheit zu erhöhen und gleichzeitig die Komplexität zu verringern.
UTM-Geräte eignen sich am besten für KMUs sowie für Filial- und Remote-Standorte. UTM-Produkte stellen mit Ausgaben in Höhe von über fünf Milliarden US-Dollar (circa 5,1 Milliarden Euro) die zweitgrößte Kategorie im Bereich Netzwerksicherheit dar.
Bekannte Anbieter: Barracuda Networks, Fortinet, SonicWall, Sophos und WatchGuard.
4. Advanced Network Threat Prevention
Produkte für Advanced Network Threat Prevention führen eine signaturlose Malware-Erkennung auf Netzwerkebene durch, um Cyberbedrohungen und -angriffe zu entdecken, die moderne Malware und persistenten Remote Access einsetzen. Diese Produkte nutzen Heuristik, Codeanalysen, statistische Analysen, Emulation und Machine Learning, um verdächtige Dateien zu kennzeichnen und in eine Sandbox zu sperren. Sandboxing – die Isolierung einer Datei vom Netzwerk, damit sie ausgeführt werden kann, ohne andere Ressourcen zu gefährden – hilft, Malware auf Grundlage ihres Verhaltens und nicht durch Fingerprinting zu identifizieren.
Der Vorteil von Tools für Advanced Network Threat Prevention liegt in ihrer Fähigkeit, Malware zu erkennen, die über ausgeklügelte Evasion- oder Obfuscation-Funktionen (Ausweich- oder Verschleierungsfunktionen) verfügt, sowie neue Malware aufzuspüren, die bisher nicht identifiziert wurde. Darüber hinaus validieren sie Bedrohungsinformationen und weisen auf kritische Indikatoren für eine Gefährdung hin, die für zukünftige Untersuchungen und Threat Hunting genutzt werden können.
Produkte für Advanced Network Threat Prevention machen mit etwa 10 % des Netzwerksicherheitsmarktes einen ähnlichen Anteil wie der IPS-Markt aus.
Bekannte Anbieter: Check Point Software, FireEye, Forcepoint, Palo Alto Networks und Symantec.
Neue Netzwerksicherheitskategorien
Die vier folgenden Elemente der Netzwerksicherheit – Network Access Control (NAC), Cloud Access Security Broker (CASB), DDoS-Mitigation und Network Behavior Anomaly Detection (NBAD) – schlagen bei den Ausgaben laut Doyle Research und Security Mindsets mit jeweils weniger als einer Milliarde US-Dollar (circa eine Milliarde Euro) zu Buche. Zusammengenommen machen sie allerdings ungefähr 11 Prozent des Gesamtmarktes aus, und es handelt sich bei allen um Wachstumskategorien.
5. Network Access Control
NAC ist ein Ansatz für die Netzwerkverwaltung und -sicherheit, der die Netzwerk-Visibility und das Zugriffsmanagement unterstützt. Er besteht aus Richtlinien, Verfahren, Protokollen, Tools und Anwendungen, die festlegen, einschränken sowie regulieren, was eine Person oder eine Komponente in einem Netzwerk machen beziehungsweise nicht tun darf. NAC-Produkte ermöglichen konformen, authentifizierten und vertrauenswürdigen Endpunktgeräten und -knoten den Zugriff auf Netzwerkressourcen und -infrastruktur.
Für nicht konforme Geräte kann NAC den Netzwerkzugriff verweigern, sie unter Quarantäne stellen oder den Zugriff einschränken und so verhindern, dass unsichere Knoten das Netzwerk infizieren.
Bekannte Anbieter: Aruba Networks, Cisco, Forescout Technologies, Fortinet und Pulse Secure.
6. Cloud Access Security Broker
CASBs sind On-Premises- oder Cloud-basierte Stellen zur Durchsetzung von Sicherheitsrichtlinien für den Zugriff auf Cloud-Anwendungen und die Datennutzung. CASBs fungieren als Schnittstelle zwischen mobilen Benutzern, internen IT-Architekturen und Umgebungen von Cloud-Anbietern. Somit ermöglichen sie es einem Unternehmen, den Geltungsbereich seiner Sicherheitsrichtlinien, insbesondere was den Datenschutz betrifft, auf die Public Cloud auszudehnen.
Zu den CASB-Funktionen gehören Authentifizierung, Geräte-Profiling, Auditing, Malware-Erkennung und -Prävention, Data Loss Prevention (DLP), Datenverschlüsselung und Protokollierung. Der Vorteil von CASBs besteht darin, dass sie Einblicke in die Nutzung von Cloud-Anwendungen auf verschiedenen Cloud-Plattformen ermöglichen und eine nicht zulässige Nutzung identifizieren können. Dies ist besonders in regulierten Branchen wichtig.
Bekannte Anbieter: Bitglass, McAfee, Microsoft, Netskope, Symantec und Zscaler.
7. DDoS-Mitigation
Bei DDoS-Mitigation handelt es sich um eine Reihe von Härtungstechniken, -prozessen und -Tools, die ein Netzwerk, ein Informationssystem oder eine IT-Umgebung in die Lage versetzen, den Auswirkungen von DDoS-Angriffen auf Netzwerke standzuhalten oder sie abzuschwächen.
DDoS-Mitigation-Maßnahmen erfordern typischerweise eine Analyse des zugrunde liegenden Systems, Netzwerks oder der Umgebung auf bekannte und unbekannte Sicherheitsschwachstellen, auf die ein DDoS-Angriff abzielt. Dazu muss man erstens durch Traffic-Analyse festlegen, was normale Bedingungen sind. Zweitens muss man die Möglichkeit haben, eingehenden Traffic zu identifizieren, um menschlichen Datenverkehr von menschenähnlichen Bots und gekaperten Webbrowsern zu unterscheiden.
Bei DDoS-Mitigation kommen Verbindungs-Tracking, IP-Reputationslisten, Deep Packet Inspection (DPI), Blocklisting, Allowlisting oder Rate Limiting zum Einsatz, um den Traffic zu filtern und Angriffe zu entschärfen. In vielen Fällen lassen Unternehmen ihre DDoS-Mitigation-Anforderungen von spezialisierten Service-Providern abdecken, aber die größten Unternehmen betreiben DDoS-Mitigation intern.
Bekannte Anbieter: Cloudflare, F5 Networks, Imperva, Pulse Secure, NetScout und Radware.
8. Network Behavior Anomaly Detection
NBAD-Produkte bieten ein Echtzeit-Monitoring des Netzwerkverkehrs hinsichtlich Abweichungen von der normalen Aktivität, Trends oder Ereignissen. Die Tools ergänzen herkömmliche Perimeter-Sicherheitssysteme durch ihre Fähigkeit, Bedrohungen zu erkennen und verdächtige Aktivitäten zu stoppen, die unbekannt sind oder speziell entwickelt wurden, um übliche Erkennungsmethoden zu umgehen. Wenn NBAD-Produkte ungewöhnliche Aktivitäten entdecken, generieren sie einen Alarm, der Details liefert, und leiten ihn zur weiteren Analyse weiter.
Damit NBAD möglichst effektiv arbeitet, muss es eine Baseline des normalen Netzwerk- oder Benutzerverhaltens über einen bestimmten Zeitraum hinweg erstellen. Nachdem es bestimmte Parameter als normal festgelegt hat, kann NBAD dann jede Abweichung von einem oder mehreren dieser Parameter kennzeichnen.
Bekannte Anbieter: AT&T Cybersecurity, Cisco, Flowmon Networks, IBM Security und LogRhythm.
Netzwerk- und Sicherheitskonvergenz
Die Elemente von Netzwerksicherheit und Networking-Funktionalität überschneiden sich immer mehr. Beispielsweise bieten viele Netzwerk-Provider Sicherheitsfunktionen an, und Sicherheits-Provider bieten Networking-Funktionalität an. Dies lässt sich insbesondere bei SD-WAN und Software-defined Branch beobachten.
9. SD-WAN-Sicherheit
Erweiterte Netzwerksicherheitsfunktionen werden zunehmend in SD-WAN-Produkte integriert. SD-WAN-Sicherheit überträgt Sicherheitskomponenten wie Firewalls, IPSes, Malware-Erkennung, Inhaltsfilterung und Verschlüsselung auf SD-WANs, um zu gewährleisten, dass die Sicherheitsrichtlinien des Unternehmens auf allen Ebenen durchgesetzt werden. SD-WAN-Sicherheit bietet die Möglichkeit, den Traffic zu überwachen und abzusichern, der direkt ins Internet geht, zum Beispiel SaaS und IaaS, und der einen zunehmenden Anteil der WAN-Bandbreite von Filialstandorten ausmacht.
SD-WAN-Sicherheit existiert neben dem Markt für Netzwerksicherheit, da SD-WAN einen eigenen Markt mit mehreren Anbietern darstellt.