Prognose 2016: Interne IT-Netzwerke als feindliche Umgebungen gestalten
Vorhersage
Ich prognostiziere, dass im Jahr 2016 das neue IT-Sicherheitsparadigma, das darauf basiert, interne Unternehmensnetzwerke so zu betrachten und zu gestalten, als seien sie eine feindselige Umgebung, an Bedeutung gewinnen wird.
Gegenwaertiger Stand der Dinge
Durch die Implementierung von Next-Generation-Firewalls waren die Begrenzungswände unserer IT-Netzwerke noch nie so robust. Dadurch wird es für Kriminelle immer schwieriger, durch das Stürmen der Mauern in Netzwerke einzudringen.
Dieses Sicherheitsmodell, das auf der Befestigung des Perimeters basiert, ist seit vielen Jahren vorherrschend, hat sich jedoch, ähnlich wie die berühmte Maginot-Linie, als mangelhaft erwiesen. Cyberkriminelle sind zu alten Techniken zurückgekehrt und umgehen einfach die Verteidigungsmauer.
Der primäre Mechanismus hierfür besteht darin, das ins Visier zu nehmen, was viele Sicherheitsexperten spöttisch als das schwächste Glied in der Sicherheitskette bezeichnen – den Menschen. Und im Jahr 2015 kamen bösartige E-Mails (Phishing) wieder in Mode.
Dabei kommen verschiedene Methoden zum Einsatz. In angehängte Dokumente eingebetteter Schadcode, Anweisungen in der E-Mail zum Klicken auf einen Link, der zu einer Website führt, die Code in den Browser des Benutzers einschleust, oder alternativ gefälschte Websites mit dem Erscheinungsbild bekannter Anmeldeseiten.
Unabhängig von der Taktik sind die Ergebnisse die gleichen: Der Kriminelle fasst im Netzwerk Fuß.
Ja, wir können Benutzerschulungen und -sensibilisierung einsetzen, die sich als wirksam erwiesen haben, um die Anzahl erfolgreicher Phishing-Angriffe zu reduzieren, aber es genügt ein einziger Benutzerfehler. Ein Klick, ein Moment der Ablenkung und der Kriminelle ist im Netzwerk.
Und wir können nicht länger unbedingt dem Benutzer die Schuld geben. Mit der explosionsartigen Verbreitung sozialer Medien gibt es im Internet eine Fülle interessanter Informationen, die Kriminelle nutzen können, um ihren E-Mail-Spear-Phishing-Angriff sorgfältig zu recherchieren und gezielt zu bekämpfen.
Das ist nur ein Problem.
Der Netzwerkumfang selbst wird durch die Einführung von Cloud-Technologien und die explosionsartige Verbreitung mobiler Geräte immer unschärfer. Ganz zu schweigen von der böswilligen und nicht böswilligen Insider-Bedrohung.
Ich könnte in dieser Richtung weitermachen, aber ich wollte darauf hinweisen, dass das gehärtete Sicherheitsperimetermodell nicht funktioniert. Schlimmer noch: Dieses Modell hat interne Netzwerke entstehen lassen, die auf Vertrauensbeziehungen basieren. Die wichtigste Annahme ist, dass den Menschen im Netzwerk vertraut werden kann.
Sobald Kriminelle im Netzwerk sind, nutzen sie diese Vertrauensbeziehungen gegen uns aus. Mittlerweile ist es trivial, Privilegien auszuweiten, Zugriffskontrollen zu umgehen, administrative Rechte zu fälschen, sich seitlich und letztendlich horizontal immer weiter durch die Vertrauenskette nach oben zu den „Kronjuwelen“ der Daten zu bewegen.
Ein neues Sicherheitsparadigma
Im Jahr 2016 wird sich ein neues Sicherheitsparadigma durchsetzen, das darauf basiert, das interne Netzwerk als feindselige Umgebung zu betrachten und zu gestalten. Dieses Modell basiert auf der Annahme „Assume Breach“. Das mag negativ klingen, wird aber mehrere Vorteile gegenüber der traditionellen Denkrichtung haben.
Erstens werden Netzwerke unter Berücksichtigung der Eindämmung von Sicherheitsverletzungen konzipiert. Implizite, fest verankerte Vertrauensbeziehungen und Privilegien werden abnehmen und die Mikrosegmentierung von Netzwerken und Anwendungs-Sandboxing wird zunehmen.
Zweitens werden Unternehmen zu einer fein abgestuften Kontrolle aller Geräte übergehen, die sich mit dem Netzwerk verbinden. Den Geräten selbst wird nicht implizit vertraut. Nur identifizierten und bekannten Geräten – vollständig verschlüsselt, authentifiziert, autorisiert und im richtigen „Zustand“ – wird der Zugriff gestattet – und auch dann nur auf sorgfältig verwaltete „unprivilegierte“ Mikrosegmente des Netzwerks.
Drittens wird sich der Sicherheitsschwerpunkt wieder vom Perimeter auf das interne Netzwerk verlagern. Der Schwerpunkt liegt darauf, was innerhalb des Netzwerks geschieht und wer was tut. Die Nutzung von Grundlagen der „normalen Aktivität“ von Geräten und Benutzern sowie biometrischer Verhaltenstechnologien wird zunehmen.
Dies sind die logische Konsequenz des neuen IT-Sicherheitsparadigmas, von dem ich glaube, dass es im Jahr 2016 und darüber hinaus an Bedeutung gewinnen wird.