Agentenlose Sicherheit für das IoT

Durch die Vernetzung von mehr und mehr Endgeräten sehen sich Unternehmen neuen Herausforderungen bei der IT-Security entgegengestellt. Das Internet der Dinge optimiert zwar einerseits Produktionsvorgänge und sorgt dabei für eine effizientere Nutzung von Ressourcen, andererseits vergrößerst sich mit jedem weiteren Endpunkt die potentielle Angriffsfläche für Hacker-Attacken.

Ein besonderes Risiko geht dabei von Geräten aus, die sich nicht gezielt über Sicherheitssoftware absichern lassen. Diese können von Cyberkriminellen als Einfallstor für das Unternehmensnetz genutzt oder als Teil eines Botnets für gezielte DDoS-Angriffe missbraucht werden.

Der US-amerikanische Sicherheitsanbieter ForeScout will mit seiner agentenlosen CounterACT-Appliance eine Lösung zur Absicherung von IoT-Geräten im Unternehmensnetz liefern. Die ForeScout-Manager Brian Gumbel, Senior Vice President, Worldwide Commercial Sales, und Manager Markus, Regional Sales Manager, erläutern im Gespräch mit com! professional die Funktionsweise der Lösung.

com! professional: Herr Gumbel, wie lautet ihre Einschätzung zur allgemeinen Gefahrenlage, speziell im Hinblick auf IoT-Lösungen?

Brian Gumbel: Die Gefahrenlage spitzt sich zunehmend zu, unabhängig vom jeweiligen lokalen Standort. Die IoT-Security repräsentiert dabei für viele Firmen und Organisationen die größte Gefahrenquelle. Gleichzeitig bieten IoT-Strukturen für Hacker eine riesige Angriffsfläche, um Netzwerke zu infiltrieren.

All diese IoT-Geräte haben IP-Adressen und damit auch direkt oder indirekt Zugang zum Internet. Aktuell gibt es weltweit etwa sechs Milliarden Geräte mit Netzzugang, Schätzungen zufolge soll diese Zahl in absehbarer Zeit noch auf 20 – 30 Milliarden steigen. Auf 90 Prozent dieser Geräte lässt sich jedoch keine Agenten- oder Sicherheits-Software zur Verwaltung installieren. Das ist ein riesiges Problem und eine riesige Herausforderung für die IT-Security von nahezu allen Unternehmen und Organisation - egal ob groß oder klein. So sehen sich Unternehmen aller Branchen, das Gesundheits- und Finanzwesen sowie Regierungen denselben Gefahren gegenübergestellt.

com! professional: Abhilfe für dieses Problem soll nun ja Forescout CounterACT schaffen. Wie funktioniert diese Lösung und welchen Funktionsumfang bietet sie?

Gumbel: Mit Forescout CounterACT, das wir seit nunmehr 16 Jahren entwickeln, wollen wir diesem Problem begegnen. Dabei handelt es sich um eine IoT-Security-Plattform, die im Wesentlichen drei Aspekte abdeckt: See, Control, Orchestrate.

Wir bieten unseren Kunden zunächst Sichtbarkeit (See) als Schlüsselfunktion. Dies erlaubt Unternehmen, sämtliche mit ihrem Netzwerk verbundenen Geräte zu identifizieren. Dabei spielt es keine Rolle, um welche Art von Gerät es sich handelt und welches Betriebssystem zum Einsatz kommt. Sei es nun eine Überwachungskamera, ein Netzwerkdrucker, eine Telefonanlage, ein Smart TV oder dergleichen. Solange das Gerät über eine IP-Adresse verfügt und über das Netzwerk verbunden ist, kann Forescout CounterACT es ausfindig machen. Die Lösung arbeitet agentenlos, es ist also keine zusätzliche Software auf den Geräten zur Verwaltung notwendig.

Dies erlaubt beispielsweise einem Krankenhaus, neben den üblichen Geräten wie etwa den PCs und Notebook der Verwaltung auch sämtliche BYOD-Geräte von angestellten Ärzten und Technikern sowie natürlich alle medizinischen Geräte mit Netzanschluss zu identifizieren. Erst hierdurch ist eine saubere automatische Klassifizierung und Verwaltung aller Geräte in der Netzwerkumgebung möglich.

Nachdem nun alle Geräte im Netzwerk ausgemacht sind, gilt es diese zu verwalten (Control). Hierzu segmentiert CounterACT das Netzwerk und bildet separate virtuelle LANs (VLAN). So kann etwa festgelegt werden, dass ein verbundenes medizinisches Gerät keinen Zugang zu Netzwerkbereichen erhält, die es nicht benötigt, wie beispielsweise SAP-Server oder Finanzdatenbanken, etc. Sollte ein Gerät dennoch versuchen, auf kritische Bereiche zuzugreifen, kann die Technologie dieses Gerät entweder blockieren und einen Administrator alarmieren oder das Gerät in einen Quarantänebereich verschieben. Und falls es sich bei der Anfrage um ein Neugerät handelt, das den Zugang zu diesen Bereichen ohnehin erhalten soll, kann über unsere Lösung auch die Berechtigung hierzu erstellt werden. Die Überwachung der Geräte und der einzelnen Zugangsrechte erfolgt dabei komplett automatisiert.

Abschließend geht es noch um Orchestrierung der IT-Security. Viele Unternehmen haben sich im Laufe der Zeit unterschiedliche Sicherheitslösungen von verschiedenen Anbietern angeschafft, die leider nicht optimal miteinander arbeiten können. ForeScout bietet mit der Management Konsole „Orchestration Engine“, die über 80 verschiedene Sicherheitslösungen am Markt unterstützt, die Möglichkeit, sämtliche anfallenden Alarmmeldungen koordiniert zu verarbeiten.

com! professional: CounterACT soll ja bald in einer neuen Version starten. Welche Neuerungen wird das Release umfassen?

Gumbel: In Zusammenarbeit mit AWS erlaubt CounterACT nun auch erstmals, seinen Kunden Sichtbarkeit für die Cloud anzubieten. Unternehmen können damit etwa herausfinden, auf welcher Hardware ihre Daten bei Amazon verarbeitet werden. Speziell im Bereich Sichtbarkeit arbeiten zudem wir beständig daran, die Genauigkeit der Lösung zu verbessern. Aktuell erkennt CounterACT standardmäßig 1.000 verschiedene Technologien und Hersteller.

com! professional: Ist CounterACT vorwiegend für größere Unternehmen interessant oder profitieren selbst kleine Unternehmen von der Lösung?

Gumbel: Ja, prinzipiell schon. CounterACT lässt sich sowohl in großen Konzernen mit Millionen von IP-Adressen einsetzen, als auch in mittleren und kleinen Unternehmen mit wenigen Endpunkten. Intern arbeiten wir mit verschiedenen Sales- und Support-Teams, die sämtliche Segmente des Marktes abdecken und auf die Belange unserer Kunden eingehen.

com! professional:  Speziell bei kleineren Unternehmen spielt der Installation- und Administrationsaufwand eine große Rolle. Wie einfach lässt sich CounterACT handhaben?

• 

   

  Markus Auer, Regional Sales Manager bei ForeScout

  Quelle:

  ForeScout

Markus Auer: Dank Autoklassifizierung und großer Out-of-the-box-Erkennung ist unsere Lösung sehr einfach zu implementieren. Dies ist eine unserer größten Stärken.

Beispielsweise hat in Deutschland ein Kunde mit einem Monitoring-Bedarf von rund 15.000 Geräten etwa vier Tage für eine komplette Implementierung benötigt. Dabei handelte es sich um eine ganzheitliche Lösung mitsamt aller genannter Funktionalitäten (Sichtbarkeit, Kontrolle und Orchestrierung). Erste Ergebnisse liegen aber bereits nach wenigen Stunden vor, sobald die Verbindung zu ersten Informationsquellen steht.

com! professional:  Wie viele Kunden in Deutschland setzen bereits auf CounterACT?

Auer: In Deutschland zählen wir aktuell über 50 Kunden. Die Spanne reicht von mittelgroßen Unternehmen bis hin zu globalen Konzernen mit Zentralen in Deutschland und weltweiten Zweigstellen. Global hat ForeScout etwa 2.200 Enterprise-Kunden. Der Vertrieb erfolgt dabei über ein Partnernetzwerk.

com! professional:  In jüngster Vergangenheit gab es vermehrt Angriffe durch kompromittierte IoT-Geräte, wie etwa die Attacke auf den Web-Dienstleister Dyn im vergangenen Jahr. Wie kann man solchen Angriffen aus dem IoT entgegenwirken?

Gumbel: Zunächst sollten sich Unternehmen um die Basics bei der IT-Sicherheit kümmern. So sollten etwa bei IP-Kameras die standardmäßigen Login-Daten mit sicheren Kennwörtern ausgetauscht werden. Dadurch können diese Geräte nicht mehr mit einfachen Mitteln tausendfach infiziert und in Botnetzen zusammengeschaltet werden.

com! professional: Gibt es noch etwas, das Sie hinzufügen möchten?

Gumbel: Bislang sicherten wir vor allem den Büro und Verwaltungs-Bereich von Unternehmen ab. Seit einigen Monaten steigt nun aber auch die Nachfrage zur Absicherung weiterer Bereiche, wie etwa Rechenzentren, die Cloud, oder aber Operational Technology. Vor allem Operational Technology sehen wir als eine unserer größten Wachstumsoptionen. Dank unserer Lösung haben Unternehmen die Möglichkeit, ihre Legacy-Systeme kontrolliert mit dem Netzwerk zu verbinden und abzusichern. Dabei handelt es sich um kritische Systeme aus den Bereichen Autobau, Öl und Gas oder Elektrizität sowie auch um SCADA-Umgebungen oder alte Mainframes, die noch in manchen Unternehmen im Einsatz sind.

Viele Unternehmen sehen sich gezwungen, diese Systeme mit dem Netzwerk zu verbinden. Der Umstieg auf neue Infrastruktur ist jedoch viel zu kostenintensiv. Daher werden beständig „dumme“ Legacy-Systeme über verschiedene Wege mit dem Unternehmensnetz verbunden. Dies erhöht allerdings mehr und mehr die Verwundbarkeit der Unternehmens-IT.