Interview mit Thorsten Henning, Palo Alto Networks

„Next Generation Firewall" für die IT-Sicherheit

Thorsten Henning, Engineering-Manager bei Palo Alto Networks, spricht über die größten IT-Gefahren und die Abwehrmöglichkeiten sowie das neue Konzept der „Next Generation Firewall“, das anstatt wie herkömmlich die Ports die Applikationen kontrolliert und so die Sicherheit verbessern soll.

  • Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks

Das Jahr 2014 war ein Jahr mit riesigen Sicherheitspannen in der IT. Der Handelskette Target wurden die Daten von über 70 Mio. Kunden entwendet – und auch Home Depot und Staples oder der Bank JP Morgan ging es nicht viel besser. Die russische Hackergruppe Cybervor erbeutete im August über 1,2 Milliarden Profildaten von schlecht armierten Websites. Die Reihe bedenklicher Pannen ist lang.

Dazu kommen alarmierende Sicherheitslücken wie Bad-USB-Flaw, Heartbleed, Shellshock oder Poodle. Sie sorgten ebenso für Schlagzeilen und schlaflose Nächte bei den Netzwerk- und Systemadministratoren wie RAM-Scraper und Ransomware-Attacken. Parallel dazu wuchsen die Sicher­heitsprobleme weiter, da die Mitarbeiter immer mehr mobile Geräte nutzen.

Gegen diese Bedrohungen setzt Palo Alto Networks ein neues Konzept der „Next Generation Firewall“, das anstatt wie herkömmlich die Ports die Applikationen kontrolliert und so die Sicherheit verbessert. Mit Thorsten Henning, Engineering-Manager bei diesem Hersteller, diskutierten wir über die größten Gefahren und die Abwehrmöglichkeiten.

Herr Henning, welches sind die eklatantesten neuen Sicherheitsbedrohungen, mit denen Unternehmen im Jahr 2015 Jahr konfrontiert werden – und wie können sie sich darauf vorbereiten?
Thorsten Henning:
Im letzten Jahr gab es einen Anstieg bei „Malvertising“-Angriffen – kürzlich waren Yahoo und AOL betroffen. Diese Bedrohungen gehen zurück auf gut organisierte, mit Finanzmitteln ausgestattete und sachverständige Cyberkriminelle. Diese verschleiern ihre Spuren sehr gut und können sich innerhalb eines Netzwerks bewegen, um Zugriff auf wichtige Daten zu erhalten. Für das nächste Jahr erwarten wir, dass die Angreifer diese Techniken ver­feinern werden. Sie werden legitime, aber auch immer verschachteltere Mittel einsetzen, um weit gestreute Angriffe zu starten.
Wir gehen davon aus, dass mehr und mehr Angriffe authentische Geschäftsprozesse nutzen werden – anstelle der sonst aufwändigen Schritte zur Ver­breitung von Malware. Das gibt dem Angreifer mit minimalem Aufwand den Zugriff auf potentiell Millionen von Benutzern und macht den Angriff
effektiver. Gängige Dateitypen wie PDF- und Office-Dokumente werden immer häufiger für gezielte Angriffe herangezogen werden. Sie werden – als Bestandteil der gewohnten IT-Umgebung – viel eher von Benutzern geöffnet und erzielen so eine größere Wirkung.
Insbesondere wird es aber auch mehr Angriffe auf Rechenzentren geben. Viele Unternehmer glauben, dass es reicht, die Netzwerkgrenze und die Endpunkte zu sichern, während das RZ selbst nicht effektiv geschützt werden müsse. Das ist aber nicht der Fall. Die Landschaft verändert sich – und die zunehmende Virtualisierung des RZ hat auch Auswirkungen auf die Sicherheit. Zusätzliche Sicherheitsmaßnahmen müssen es also vor einem katastrophalen Angriff schützen.

Was sind die größten Fehler bei der IT-Sicherheit, die IT-Chefs machen? Wird sich hier etwas ändern?
Henning:
Der größte Fehler ist zu denken, dass seine IT nicht gehackt oder angegriffen wird. Jedes Unter­nehmen kann getroffen werden – egal wie groß oder klein es ist. Robuste Schutzmaßnahmen sind also unverzichtbar. Angreifer stehlen oft auch Daten, die fälschlich als nicht relevant betrachtet werden, um diese später in spezialisierteren Angriffen zu nutzen oder das Netz angeschlossener Kunden oder Partnern des Unternehmens zu infiltrieren.
IT-Chefs, die sich der Gefahr eines Cyberangriffs bewusst sind, konzentrieren sich zu häufig auf nur die Erkennung. Auch wenn das natürlich wichtig ist, müssen sie die Ressourcen zwischen Erkennung und Sanierung sowie Prävention besser verteilen. Die Erkennung und Behebung allein ist eine schlechte Antwort auf die heutigen Bedrohungsszenarien, die letztlich zu katastrophalen Ergebnissen führen kann – zumal der Großteil der IT-Angriffe heute bereits aktiv technisch verhindert werden kann.

Gibt es spezielle Schwachstellen und Bedrohungen für Backend-Anwendungen auf das Power System i – und dementsprechend besondere Sicherheitsvorkehrungen?
Henning:
Spezialisierte Angriffe, die auf das Betriebssystem abzielen, sind recht selten und tatsächlich aufwendig. Allerdings bedienen sich solche Angriffe aus einem großen Baukasten mit Tools um Schwachstellen in den Hostapplikationen und Datenbanken auszunutzen oder die Daten auf der Seite des Client-Systems zu beschaffen.
Ein aktueller Schadcode Namens Emotet kann beispielsweise von einem infizierten Client aus einfach über Netzwerk-Sniffing Daten auffangen, die mit dem Host ausge-
tauscht werden.
Da AS/400-Anwendungen über viele Jahre lang betrieben werden und auf der Netzwerkseite die Kommunikationsprotokolle selten Authentifizierungs- und Verschlüsselungsmechanismen aufweisen, sind die übertragenen Daten meist nahezu im Klartext zu lesen.

Sehen Sie noch besondere Stärken dieser Serverplattform in puncto Sicherheit? Immerhin galt die AS/400 lange Zeit als das „Fort Knox“ für Rechenzentren...
Henning:
Die Sicherheit des Netzes steht und fällt mit der gesamtheitlichen Betrachtung aller Komponenten. Auch wenn der Host selbst durchaus als sicher betrachtet werden kann, haben Angreifer heute schon ein brei-tes Methodenspektrum, um aus solchen Umgebungen die gewünschten Daten zu beschaffen. Auch Denial of Service-Angriffe auf das Netzwerk können dazu führen, dass AS/400-Anwendungen nicht mehr genutzt werden können.
Außerdem haben Malware-Kampagnen wie Wirelurker gezeigt, dass auch als sicher geltende Plattformen wie Apples OSX und iOS zunehmend in den Focus geraten – und Angriffe je­derzeit passieren können. Das zeigt, dass eine Segmentierung zwischen verschiedenen Netzbereichen, beispielsweise Clients, Frontend-Server und Backend-Hosts, unbedingt auch unter Anwendung leistungsstarker Bedrohungserkennungsmechanismen erfolgen muss.
Auf Applikation- und Benutzerebene bedarf es deshalb Richtlinien, die zum Beispiel den Zugriff auf den Tivoli Sto-rage Manager oder die DB2-Datenbank nur einem legitimierten Anwenderkreis ermöglichen.
Welche neuen Herausforderungen können wir bei der Erkennung erwarten?
Henning: Wir erwarten für 2015, was bereits für 2014 galt: Erkennung und Beseitigung allein reichen nicht. Wer nur Erkennung betreibt, ist be-reits auf dem falschen Weg. Wer für Tausende von Euro pro Tag seine Systeme sa­niert, weiß nur was passiert ist – aber bekommt nichts von dem zurück, was gestohlen wurde.
Deshalb wird Funktionalität von „Intrusion Prevention System“ und Firewall auch im RZ noch mehr verschmelzen als dies ohnehin schon der Fall ist.
2015 wird der Wechsel auf eine integrierte Plattform, die „alles erledigt“, attraktiver werden. Solch eine Lösung erfordert keine Benutzerinteraktion und kann überall eingesetzt werden, im Rechenzentrum oder in der Cloud.

Was sind die größten neuen Sicherheitsherausforderungen bei der Verwaltung mobiler Geräte?
Henning:
2015 könnte das Jahr der mobilen Malware werden. Schon heute finden unsere Forscher alle 20 Minuten neue mobile Malware. Wir erwarten, dass mobile Malware genauso gezielt agieren wird wie Malware auf dem PC. Es wird nicht zu breit gestreuten Ausbrüchen von mobiler Malware kommen, weil es dann einfach wäre, den Schadcode zu finden, wenn alle - auch die Malware-Forscher - eine Kopie davon haben.
Mobile Malware wird viel mehr Potential haben als bisherige Malware. Es gibt für sie weitaus mehr Ressourcen (einschließlich Netzwerk, Unterneh­mensdaten und Sensor- und Erfassungsfunktionen) als für Malware auf dem PC. So sind über selbst einfache Smartphones alle Möglichkeiten gegeben, große Datenmengen zu sammeln und - z.B. später über das Mobilfunknetz - zu versenden, Fotos und Videos aufzuzeichnen, Telefonate abzuhören und dafür zu sorgen, dass Schadcode weiter und tiefer in die Unterneh-mensnetze eingeschleppt wird.
Das Auffinden mobiler Malware ist sehr schwierig, wenn es nicht entsprechende Möglichkeiten zur Erkennung und Prävention gibt – vor allem mit all den BYOD-Geräten im Firmennetz. Eine fortschrittliche Endpunkt-Sicherheitslösung ist zwingend notwendig – und könnte 2015 die Sicher­heitslösung schlechthin werden. Der wirksamste Schutz ist immer Technologie, die in der Lage ist, die sich ständig weiterentwickelnden Angriffe abzuwehren, selbst wenn der Schadcode nie zuvor gesichtet wurde.

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok