Hier geht es nicht um Clickbait, sondern noch mal um eine ganz nüchterne Betrachtung und Einschätzung, welchen Nutzen der klassische Perimeter, VPN und AntiVirus bei der Bedrohungslage der letzten Jahre noch hat. Vom normalen AntiVirus habe ich noch nie viel gehalten, es war immer die Wahl zwischen Not und Elend, welches mehr (Sicherheits-)Probleme geöffnet als die Produkte geschlossen haben. Beim Perimeterschutz hat der Wandel der Zeit dafür gesorgt, dass dessen Effektivität zum Schutz von Benutzer Endgeräte deutlich an Stellenwert verloren hat. Client-VPN’s sind ebenso zu einem immer größeren Sicherheitsproblem geworden und immer häufiger das Einfallstor für Angreifer.
Nach wie vor ist eMail neben dem Client-VPN eines der größten Einfallstore für Schadcode, jedoch hat sich der Schadcode selbst sehr geändert bzw. wird eMail als erster Schritt genutzt, um an Zugangsdaten zu kommen. Wo es früher noch als pdf, Office Dokumente oder Bilder getarnte Dateien waren, sind es heute immer mehr HTML, JS oder Links die zur Infektion eines Endgerät genutzt werden, wenn es nicht um Phishing geht. Als vor Jahren die AntiVirus Scanner auf den Mailgateways nicht mehr ausreichten, kamen die Sandboxen auf, die Anhänge in virtuellen Maschinen testeten und das Verhalten bewerteten. In den letzten Jahren hat auch hier die Detektion von Schadcode immer mehr abgenommen und die Funde in den Anhängen werden immer weniger. Die Angreifer haben sich darauf eingestellt und ihr Vorgehen entsprechend angepasst. Das gleiche gilt für den AntiVirus auf dem Endpoint, die Zeiten der Angriffe mit ausführbaren Schadcode sind schon lange vorbei und die dateilosen Angriffe sind mit über 75 Prozent das Mittel der Wahl aktueller Angriffe und über diese Angriffe muss man sich Gedanken machen. Angreifer nutzen erbeutete oder gestohlene Zugangsdaten und Systemtools auf dem Endgerät, wie zum Beispiel die PowerShell auf Windows Systemen. Dass der normale AntiVirus die PowerShell des eigenen Systems als Schadcode einstuft, ist wohl eher unwahrscheinlich und auch nicht gewünscht, denn die PowerShell ist eine wichtige Systemkomponente. Was aber allen Angriffen gemein ist, ist das Verhalten des Systems bzw. das Verhalten des Angreifers, auf dem der Angriff stattfindet. Hier gibt es viele Indikatoren, die ein Gesamtbild ergeben und einen Angriff entdecken und das völlig unabhängig davon, ob Schadcode auf einem System eingesetzt wird oder nicht. Alleine dieser Tatsache ist es geschuldet, dass der normale AntiVirus tot ist und keinen wirklichen Nutzen bei der Cybersicherheit mehr hat. Da nützt es auch nichts, dass die AV-Hersteller von früher es irgendwie versuchen Verhaltensanalyse mit zu integrieren. Der Zug ist abgefahren, denn ihnen fehlt schlicht und einfach die jahrelange Erfahrung und die Datengrundlage der Hersteller von moderner Schutzsoftware und die entsprechenden Teams aus Analysten in diesem Bereich. Diese Deviziete können sie nicht mehr aufholen, weil sie viel zu lange in den alten Denkmustern gefangen waren oder vielleicht auch immer noch sind.
Ein kleiner Exkurs, weg vom AntiVirus, verdeutlicht das. Mit dem Aufkommen der Virtualisierung haben die Hersteller von Backup Software versucht, die VM’s ganz klassisch wie physikalische Systeme zu sichern und zu träge waren, sich an die rasch ändernden Rahmenbedingungen anzupassen. Anbieter, die damals neu auf dem Markt waren, aber VM’s und Virtualisierung verstanden haben, sind heute die Marktführer und eben nicht mehr CA oder Symantec. Genau das Beispiel lässt sich auch auf die Endpoint Security anwenden.
Es ist von essentieller Bedeutung, dass Verhalten der Endgeräte zum Schutz vor Cyberattacken heranzuziehen und zusätzlich andere Indikatoren in die multidimensionale Sicherheitsstrategie einzubeziehen und somit ein umfassendes Lagebild zu erhalten, um auf dieser Grundlage Angriffe zu erkennen. Dieser Ansatz ist heute der effektivste Schutz bei den Endgeräten und dabei spielt es keine Rolle, ob es ein Client oder ein Server ist. Das gilt auch für Container Hosts, Webserver oder Web Gateways. Angriffe im Kontext eines umfassenden Lagebilds zu erkennen ist der Ansatz, um sich nach dem Stand der Technik vor Angriffen zu schützen. Zur multidimensionalen Sicherheitsstrategie gehört es ebenso, die passive Sicherheit zu stärken. Eine sichere Authentifizierung, ein Zero Trust Modell, eine Segmentierung und ein aktueller Softwarestand von Betriebssystem und Applikationen sind wichtige Bausteine in der Sicherheitsstrategie. Ein weiterer Punkt ist das Backup, welches resistent gegen Cyberangriffe implementiert werden muss.
Ein weiterer sehr wichtiger Punkt ist der Schutz des Perimeters, der sich “früher” sehr eindeutig definieren ließ. Es war die Schnittstelle zwischen dem lokalen Netzbereich und dem Internet auf Basis ganz klarer Grenzen. Daher war es nur logisch, diese Schnittstelle entsprechend hochzurüsten, um die Geräte im lokalen Netz zentral zu schützen. Das hat auch über viele Jahre hinweg erfolgreich für alle Geräte funktioniert. Applikationskontrolle, IDS/IPS, URL-Filter usw. haben ihre Dienste gut verrichtet. Jedoch ist der eindeutig definierte Perimeter für eine Vielzahl an Geräten sehr diffus geworden. Mobiles Arbeiten, Cloud-Dienste, Apps und immer mehr mobile Geräte haben dazu geführt, dass man heute den Perimeter für diese Geräte individuell definieren muss. Auf dem Campus ist der Benutzer mit seinen Geräten in einer am Perimeter hochgerüsteten Umgebung von Sicherheitssystemen, im Homeoffice reicht dann auch eine Fritz!Box als Synonym eines einfachen Routers mit zustandsbehafteten Paketfiltern und NAT eines beliebigen Herstellers. Nichts gegen eine Fritz!Box, das ist ein gutes Produkt, was seinen Job tut, aber es ist ein Router und keine NextGen Firewall mit allen möglichen Security Services. Auch selbst wenn sie es wäre, die Clients sind auch in irgendwelchen öffentliche WLAN’s oder in mobilen Netzen, wie LTE oder 5G. Daher ist der neue Perimeter das Endgerät selbst und muss in der Lage sein, sich selbst zu schützen, und es braucht einen Schutz, der ortsunabhängig funktioniert, dies am besten noch in der Kombination eines sicheren Remote Zugriffs auf interne Ressourcen des Unternehmens ohne eine der Sicherheit entgegenwirkende Netzwerkkopplung eines VPN’s. Auch hier muss ein Umdenken stattfinden, was sich an die geänderten Rahmenbedingungen anpasst. Um es deutlich zu machen, geht es hier um den Perimeterschutz der Endgeräte der Benutzer. Der Einsatz von NextGen Firewalls mit all ihren Funktionen zum Schutz von Datacentern, Services, Produktionsanlagen, Gebäudetechnik und anderer Infrastruktur, wird hier nicht mal ansatzweise in Frage gestellt, der Fokus ist der Endpoint des “normalen” Benutzers. Diese Endpoints sind mobil und in allen möglichen Netzen, die einen Zugang zum Internet bieten – nicht mehr, aber auch nicht weniger. Dieser Zugang bietet aber keinen Schutz und genau um diesen muss man sich selbst kümmern. Vielleicht mag der erste Gedanke hier sein, dass man ein Full-Tunnel VPN zur zentralen Firewall aufbaut und den ganzen Traffic des Clients mit einer NextGen Firewall untersucht. Dies mag sich vielleicht erst mal gut anhören, aber es ist auch irgendwie ein Konzept aus den 90ern, was heute gar keinen Sinn ergibt. In diesem Fall verdoppelt sich der Traffic des Client, denn dieser muss auf derselben Leitung rein und raus. Selbst bei Anbindungen jenseits von 1Gbps, ist diese schnell am Limit, denn bei Consumer Anschlüssen von VDSL250 oder FTTH sind diese so leistungsstark, dass nur wenige verbundene Clients reichen, die Bandbreite des HQ auszuschöpfen. Aber das ist nur ein Punkt, der gegen diesen Ansatz spricht. Durch die Zentralisierung des Zugangs wird der Client dem Vorteil beraubt, bei Zugriff auf Cloud-Dienste das aus seiner Region bzw. seines Providers optimale Datacenter des Dienstanbieters anzusprechen. Was nicht unbedingt die beste User Experience sein dürfte, wenn man alles zwangszentriert. Auch hier braucht es einen anderen Ansatz, den aktuellen Rahmenbedingungen gerecht zu werden und einen entsprechend modernen Ansatz zu wählen. Das ganze Thema wird wesentlich einfacher, je mehr Legacy Applikationen man los wird. Der Weg, den es einzuschlagen gilt, sind Webapplikationen, RestAPI’s usw. der Clients kommuniziert per https mit seinem zentralen Dienst. Dies gilt auch für die Verwaltung des Client selbst, der Client kommuniziert mit einem in der Cloud betriebenen Dienst und kann darüber komplett verwaltet werden, in Software Deployment und Wartung. Auch hier sind die Zeiten der internen Systeme am HQ lange vorbei. Wenn es Probleme mit einem Clients gibt, hat man diesen nie im HQ, sondern der Client ist unterwegs und der Benutzer braucht dringend Hilfe. Daher macht auch hier nur ein Service in der Cloud Sinn, zudem sich der Client automatisch per Standardprotokoll verbindet und es keinen Tunnel oder gar einen Zugriff vom Deployment Server zum Client braucht. Denn das ist auch etwas, was Konzeptionell aus den 90ern stammt und mit moderner IT nichts mehr zu tun hat. Je mehr man über dieses Thema nachdenkt, kommt man zu dem Schluss, dass das Gesamtkonzept Endpoint neu gedacht werden muss. Die Entwicklung auf Seiten des Endpoints hat gleichzeitig indirekten wie auch direkten Einfluss auf das On Premises Datacenter. Auch hier gibt es neue Anforderungen, angefangen bei modernen Konzepten bis hin zu Anforderungen durch den Gesetzgeber (NIS2 & Co.) sowie Zertifizierungen oder andere Regularien. Jedoch würde dies alles das Volumen des Beitrags sprengen und der Fokus ist in diesem Artikel der Endpoint. Natürlich haben wir uns als salutec auch Gedanken gemacht, wie man Mobilität, Flexibilität und IT-Sicherheit so gestalten kann, dass diese den aktuellen und noch kommenden Anforderungen gerecht werden kann. Das Ergebnis spiegelt sich direkt in den bei uns aus diesen Überlegungen heraus gesetzten Produkten wider, wie Crowdstrike, Proofpoint, Fortinet, zScaler oder NinjaOne. Diese gilt es sinnvoll und passend mit ihren verschiedenen Optionen und Varianten in das individuelle Gesamtkonzept der IT-Sicherheit mit all den Rahmenbedingungen, Anforderungen und natürlich auch anderen Lösungen einzufügen. Ziel ist es hier ein Konzept zu entwickeln, bei dem das Ganze mehr ist, als die Summe seiner Teile.