Was stimmt nicht mit meiner Next-Generation Firewall (NGFW)?

Technisch auf dem neuesten Stand, aber leider mit dem falschen Ansatz – so Thorsten Rosendahl von Cisco zur derzeitigen Situation von NGFWs.

Laut Thorsten Rosendahl, Consulting Engineer bei Cisco, funktionieren die meisten Next-Generation Firewalls (NGFW) exakt so, wie sie beworben werden. Obwohl rein technisch nichts an den heutigen NGFWs auszusetzen ist, ist der strategische Ansatz falsch. 

Die meisten aktuellen Lösungen kombinieren klassische Paket-Filterung mit Application Control und einem rudimentärem Intrusion Prevention System (IPS). 

Thorsten Rosendahl,
Consulting Engineer,
Cisco

Auch wenn diese Fähigkeiten immer noch wichtig sind, wurden die traditionellen NGFWs nicht zur Bekämpfung von Advanced Threats oder Advanced Persistent Threats (APT) entworfen. Sie wurden in einer Zeit entwickelt, in der sich Angriffe noch nicht durch geschickte Tarnung unbemerkt in Unternehmensnetzwerke eingeschlichen haben und dort durch geschickte Tarnung so lange unbemerkt blieben, bis es zu spät war. 

Zwar seien NGFWs auch weiterhin ein wichtiger Bestandteil zum Schutz der Unternehmen, jedoch nicht zur Bekämpfung derartig fortgeschrittener Bedrohungen, so Rosendahl.

Der folgende Meinungsbeitrag von Thorsten Rosendahl beschäftigt sich mit der Rolle von NGFWs im Hinblick auf die heutigen Bedrohungen und mit Wegen, wie Unternehmen damit umgehen sollten. Dabei geht es darum, wie sie Kontext herstellen, Sicherheitslücken schließen sowie Advanced Threats bewerten und mit diesen umgehen können.

Was stimmt nicht mit meiner NGFW?

Die modernen, ausgeklügelten Bedrohungen treten in unzähligen Arten und Formen auf. Die Branche sieht sich heutzutage mit Angriffen konfrontiert, mit denen sie vor einigen Jahren nie gerechnet hätte. 

Traditionelle Netzwerk-Sicherheitsstrategien, die diese Bedrohungen bekämpfen sollen, entstehen meist aus der Verknüpfung vieler verschiedener Technologien, was die Sache wiederum sehr komplex macht. Diese Komplexität kann zu Sicherheitslücken führen, die von den Angreifern ausgenutzt werden.

NGFWs spielen zwar auch weiterhin eine zentrale Rolle beim Schutz von Unternehmen – sie wurden jedoch nicht dafür programmiert, Advanced Threats zu adressieren. Um mit diesen fertig zu werden, waren Unternehmen gezwungen, sich nach neuen Abwehrmechanismen und komplexeren Ansätzen umzusehen.

Mit neuen Methoden gegen aktuelle Bedrohungen

Next-Generation Firewalls müssen sich weiterentwickeln, um in einer Welt mit dynamischen Bedrohungen zu bestehen. Dafür ist auf Unternehmensseite ein Umdenken hinsichtlich des Sicherheitslevels notwendig, das Firewalls abdecken sollten. Eine NGFW muss beispielsweise in der Lage sein, multivektorbasierte Bedrohungen aufzuspüren, damit sich Sicherheitslücken schließen lassen. 

Auch sollten sie komplexeren Bedrohungen den Kampf ansagen. Um diesen Anforderungen gerecht zu werden, muss eine Next-Generation Firewall Funktionen enthalten, die die folgenden drei strategischen Imperative umfasst:

1. Umfassender Überblick:

Um Bedrohungen von heute entgegenzutreten, müssen Sicherheitsverantwortliche einen umfassenden Überblick über sämtliche Anwender, Geräte, Betriebssysteme, Anwendungen, virtuelle Maschinen, Verbindungen und Dateien innerhalb des Netzwerks bekommen. 

Ziel ist es, ihnen eine holistische, kontextbezogene Übersicht in Echtzeit zu ermöglichen, damit verdächtiges Verhalten schneller entdeckt werden kann – und zwar noch während des eigentlichen Angriffes. Diese Transparenz bildet die Grundlage für gestreamte oder automatisierte Abwehrreaktionen. Zusätzlich sollte die Angriffsfläche durch URL-Filter sowie umfassende Einblicke in und Steuerung von Anwendungen verringert werden.

2. Bedrohungen in Mittelpunkt:

Entscheidend ist, dass integrierte Abwehrmechanismen das gesamte Angriffskontinuum – also vor, während und nach einem Angriff – abdecken. Dieser bedrohungsfokussierte Ansatz sollte ein Next-Generation Intrusion Prevention System (NGIPS) mit den Funktionen von Advanced Maleware Protection (AMP) enthalten, die idealerweise von einer unabhängigen Drittpartei regelmäßig überprüft werden. 

Da fortschrittliche Malware speziell darauf ausgerichtet ist, Schnappschuss-Sicherheitsmechanismen gezielt zu überwinden, ist es wenig überraschend, dass dies auch oftmals gelingt. Unternehmen brauchen deshalb Technologien, die ihre Umgebung nicht nur zu bestimmten Zeitpunkten scannen und die erkannten Bedrohungen bekämpfen. 

Zum anderen müssen sie aber auch kontinuierliche Analysen beispielsweise dazu nutzen, Dateien, die in der Vergangenheit als sicher eingestuft wurden, später als gefährlich zu markieren und eine Wiederherstellung des Ursprungszustands zu ermöglichen.

3. Plattform-basierte Verwaltung:

IT-Experten stehen heute unter enormem Druck, einerseits die Komplexität ihrer Infrastruktur zu reduzieren und die Betriebskosten möglichst gering zu halten, andererseits jedoch die bestmögliche Verteidigungsmechanismen vorzuhalten, um mit den sich ständig ändernden Gefahren von außen fertig zu werden. 

Plattform-basiert aufgestellt zu sein heißt heute, eine vereinfachte Architektur zu nutzen und somit weniger sicherheitsrelevante Geräte verwalten und einsetzen zu müssen. Um den aktuellen Bedingungen gerecht zu werden, muss eine NGFW erprobte Firewall-Funktionsweisen, ein führendes IPS und moderne Advanced Malware Protection in einem einzelnen Gerät verbinden. 

Sie muss sehr skalierbar sein und durch offene Programmierschnittstellen (APIs) viele verschiedene Zugangspforten absichern, etwa Zweigstellen, das Internet, physische und virtuelle Datenzentren.

Damit Next-Generation Firewalls relevant bleiben, müssen sie auf Sicherheits-mechanismen der nächsten Generation setzen.

Weil immer mehr Unternehmen die Möglichkeiten des Internet of Everything (IoE) und des Internet of Things (IoT) bestmöglich nutzen wollen, wird sich die Anzahl und Art der verschiedenen Angriffspunkte weiter erhöhen. Dies stellt wiederum Unternehmen und ihre Sicherheitsverantwortlichen vor neue Herausforderungen.

Unternehmens-Netzwerke entwickeln sich kontinuierlich weiter. Deshalb müssen Sicherheitslösungen eingesetzt werden, die mit den dynamischen Bedrohungen der Umwelt umgehen können. 

Damit Next-Generation Firewalls relevant bleiben, müssen sie auf Sicherheitsmechanismen der nächsten Generation setzen, die einen verbesserten Überblick bieten, die Bedrohungen in den Mittelpunkt stellen und Plattform-basiert arbeiten. 

Dabei ist jeder der drei genannten Imperative eine Voraussetzung für Unternehmen, wenn sie ihren Sicherheitsbereich dauerhaft solide aufstellen wollen. Nur so können sie sich an verändernde Bedürfnisse anpassen und über das gesamte Angriffskontinuum hinweg geschützt bleiben, also vor, während und nach einem Angriff.

Über den Autor:
Thorsten Rosendahl ist Senior Consultant und Security Advisor bei Cisco. Sein Verantwortungsbereich umfasst die Region Zentraleuropa.

Folgen Sie SearchNetworking.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Dezember 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Firewalls

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close