2017 kündigte die Aruba-Netzwerkabteilung von Hewlett Packard Enterprise das Aruba 360 Secure Fabric an, eine umfassende Netzwerksicherheitslösung. Diese Lösung schützt das Unternehmensnetzwerk um 360 Grad vor Bedrohungen von außerhalb und innerhalb des Netzwerks in einem sich ständig ändernden Sicherheitsbereich, mit dem Aufkommen von drahtlosen Geräten und Cloud-Diensten.
Die Lösung basiert auf mehreren Schlüsselkomponenten. Erstens ist es eine sichere und vertrauenswürdige Infrastruktur. Aruba-Netzwerkgeräte wurden von Anfang an im Hinblick auf maximale Sicherheit entwickelt. Moderne Controller können den Netzwerkverkehr unter Berücksichtigung der DPI-Funktion (Deep Packet Inspection) mit hoher Geschwindigkeit (bis zu 100 Gbit / s) verarbeiten. Damit verbunden ist das spezielle Protokoll Advanced Monitoring (AMON), das eine große Menge unterschiedlicher Informationen zwischen den WLAN-Controllern und dem Steuerungssystem übertragen soll und als zusätzliche Informationsquelle für Sicherheitssysteme dient.
Die nächste Komponente der Aruba 360-Fabrik ist das Aruba ClearPass-Infrastrukturzugriffskontrollsystem, das zur Familie der Softwareprodukte unter dem Namen Network Access Control (NAC) gehört. Dieses Produkt verdient eine eingehende Prüfung und wir planen, ihm eine separate Artikelserie zu widmen. Lassen Sie uns zunächst untersuchen, warum es unter modernen Bedingungen unmöglich ist, sich ausschließlich auf den Umfang der Netzwerksicherheit zu verlassen und woher der Bedarf an SIEM-Systemen stammt.
Der Sicherheitsbereich basiert auf der umfassenden Integration von Partnerlösungen an der Schnittstelle zu ungesicherten Netzwerken und dem DMZ-Segment. Hierbei handelt es sich um Geräte, die Firewalling, Signaturanalyse übertragener Daten, Arbeit mit verschlüsseltem Datenverkehr, kryptografische Prüfung usw. bereitstellen.
Für Angreifer ist es schwierig, die oben genannten klassischen Sicherheitssysteme zu überwinden, die den Umfang von Unternehmensnetzwerken schützen. Daher wählen sie häufig einen anderen Ansatz für Angriffe. Ein Angriff kann auf der Grundlage der Einführung und Verbreitung von Schadcode durch die Ausrüstung der Mitarbeiter des Unternehmens aufgebaut werden. Ein legitimer Benutzer kann sein Unternehmensgerät verlieren oder unbeaufsichtigt lassen und eine Verbindung zu unsicheren öffentlichen WiFi-Netzwerken herstellen. Eine weitere häufige Option zum Erstellen eines Startpunkts für einen Angriff besteht darin, dem Benutzer einen falschen Link oder einen böswilligen E-Mail-Anhang zu senden, mit dem Sie den bösartigen Code anschließend auf den Computer eines legitimen Benutzers injizieren können. In letzter Zeit sehen wir immer häufiger Beispiele für böswillige Aktionen mit IoT-Geräten, deren Hauptschwächen die „Standardeinstellungen“ und alte Software mit bekannten Sicherheitslücken sind (zum Beispiel installiert kaum jemand Patches auf IP-Kameras unter Windows 95 oder MS DOS).
Manchmal kann ein Mitarbeiter einer Organisation zum Angreifer werden und wertvolle Unternehmensdaten zum Zwecke der Erpressung oder des kommerziellen Gewinns sammeln. Im vergangenen Jahr wurden Ransomware wie WannaCry und Pyetya aktiv verbreitet. Vor dem Aufkommen der sich selbst verbreitenden Ransomware wurde Malware auf drei Arten verbreitet: durch Herunterladen von Websites, per E-Mail oder von physischen Medien wie bösartigen USB-Geräten. Um ein Gerät oder System mit einem Ransomware-Programm zu infizieren, war daher bis zu dem einen oder anderen Grad eine Beteiligung des Menschen erforderlich.
Angreifer haben gelernt, Social-Engineering-Techniken anzuwenden, und in Zukunft werden sich diese Fähigkeiten nur noch verbessern. Laut Analysten werden nur 26% der Probleme gelöst, wenn sich ein Unternehmen ausschließlich auf Technologie zur Behebung von Sicherheitslücken stützt. Wenn Organisationen nur Richtlinien zur Lösung von Sicherheitsproblemen verwenden, werden nur 10% der Probleme beseitigt. und wenn sie nur Benutzerschulungen verwenden - nur 4%. Daher müssen alle drei Sicherheitsaspekte insgesamt kontrolliert werden. Hinzu kommt ein akuter Mangel an qualifiziertem IT-Personal, das Informationen zu Netzwerkereignissen so schnell wie möglich verarbeiten und ein eindeutig korrektes Urteil über den Sicherheitsstatus fällen kann.
In diesem Fall können die sogenannten SIEM-Systeme (Security Information and Event Management) Abhilfe schaffen, die eine Vielzahl von Informationssicherheitsereignissen erfassen und den Network Security Centern (SOC) helfen, Ereignisse zu analysieren und Berichte zu erstellen. Aber selbst sie können, wie sich herausstellte, aufgrund der Komplexität der Informationsverarbeitung durch Menschen und der großen Anzahl von Fehlalarmen nicht das vollständige Bild vermitteln. Laut einem
Analysebericht für kleine Unternehmen mit einem Einkommen von weniger als 100 Millionen US-Dollar dauert die Untersuchung des Vorfalls etwa 10 Minuten. In Unternehmen mit einer Mitarbeiterzahl von 1.001 bis 5.000, in 26 Unternehmen von 85 Befragten kann die Untersuchung des Vorfalls zwischen 20 Minuten und einer Stunde dauern. Die wichtigsten Schlussfolgerungen aus diesen Statistiken können sein, dass die Untersuchung von Sicherheitsvorfällen alle verfügbaren Humanressourcen erschöpfen kann, wenn jeder Analyst so viel Zeit mit der Untersuchung eines Sicherheitsvorfalls verbringt und 10 oder mehr solcher Vorfälle vorliegen.
Laut demselben Bericht können SIEM-Systeme bis zu 10.000 Ereignisse pro Minute erzeugen, die Fehlalarme enthalten und manchmal eine sofortige Personalanalyse erfordern. Die Trennung eines Signals vom Rauschen ist bei SIEM-Systemen kein leeres Wort. In diesem Fall können Systeme mit künstlicher Intelligenz Sicherheitsabteilungen helfen. Fortsetzung folgt!