Was ist eigentlich... Security Fabric und Synchronised Security?

Schon lange werben die großen IT-Sicherheitshersteller wie Fortinet oder Sophos um die Gunst der Kunden. Seit Jahren stagniert der Markt im Bereich der Endpoint Security und die Hersteller kämpfen um jeden Vertragsabschluss. Man kann hier schon von einer Verdrängungsstrategie reden, indem die Hersteller mit großzügigen Nachlässen und besonderen Angeboten für einen Herstellerwechsel werben.

Doch die Endpoint Security ist längst nicht mehr das Flaggschiff der Hersteller. In den letzten Jahren wurde vermehrt die komplette Marketingflotte der Hersteller auf das Thema Firewall, bzw. Next-Gen Firewall gelenkt. Einfache Firewallregeln auf der Grundlage von IP Netzen und Ports waren gestern. Advanced Thread Protection, Web Application Firewall und Anwendungskontrolle finden sich inzwischen in jedem noch so schönen Datenblatt. Man sollte meinen, dass alle bestens geschützt sind.

Seit einigen Monaten erleben wir jedoch, dass alle diese Errungenschaften nicht wirklich gegen die neuartigen Bedrohungen helfen. Also was macht man an dieser Stelle als Hersteller? Richtig – Es wird ein neues Produkt bzw. Dienstleistung entwickelt, die wir unter vielen Begriffen kennen. Zero Day Protection bzw. Sandboxing sind hier nur zwei gängige Begriffe. Vorerst gaben sich die Hersteller hier mit Cloudbasierten Lösungen zufrieden. Die weltweiten Umsätze gaben den Herstellern Recht, dass diese auf das richtige Pferd gesetzt haben. Diese Rechnung hat man allerdings ohne den deutschen Markt gemacht. Auch wenn Cloud Computing ein Dauerbrenner in jeder Fachzeitschrift ist, sind aus unseren Erfahrungen die deutschen Unternehmen nicht besonders Cloud affin. Auch hier bemerken wir den Wandel, dass immer mehr Hersteller auch lokale Sandbox Lösungen anbieten, bzw. am entwickeln sind.

Doch was hat dies mit den Worten Security Fabric bzw. Synchronised Security zu tun?

Immer mehr Lösungen wollen an einer zentralen Stelle administriert bzw. konfiguriert werden. Der deutsche Mittelstand verfügt nicht über die benötigten Ressourcen, um eine ganze IT-Abteilung mit unzähligen Fachbereichen zu betreiben. Eine immer größer werdende Anzahl an Lösungen soll möglichst einfach an einer zentralen Stelle administriert werden. Doch dies ist nur ein Aspekt der oben genannten Begriffe. Der Trend der IT-Sicherheitshersteller geht inzwischen dahin, dass alle IT-Sicherheitslösungen miteinander kommunizieren und sich untereinander über aktuelle Bedrohungen austauchen können. Die Zukunft wird dahin gehen, dass die Endpoint Protection der Firewall mitteilt, dass der Rechner kompromittiert ist und die Firewall jegliche Kommunikation des Clients blockt, sowie die anderen Geräte im Netzwerk „warnt“.

Die Schlagwörter „Security Fabric“ von Fortinet bzw. „Synchronised Security“ von Sophos werden wir in Zukunft daher wohl öfters lesen bzw. hören.

Wozu ist eine Sandbox überhaupt gut?

Gerade in der heutigen Zeit, wo die Kommunikation über das Internet geradezu unabdinglich geworden ist, ist es wichtiger denn je, dass eine Firma über das Internet nicht nur erreichbar ist, sondern auch vor den Bedrohungen aus dem Internet geschützt wird.

Die klassische E-Mail ist immer noch eine der beliebtesten Angriffspunkte, ist diese doch am einfachsten zu erreichen. Die Methoden von Schadsoftware und Angriffen sind dagegen immer raffinierter geworden.

Um das Netzwerk und die Firmendaten zu schützen, werden verdächtige Dateien erst einmal in die Sandbox geschickt um dort analysiert zu werden. Da ist dann nicht nur ein Virenscanner aktiv, sondern es wird auch eine Verhaltensanalyse durchgeführt. Dadurch kann die verdächtige Datei untersucht werden, ob sie auch wirklich tut, was sie behauptet, ohne unerwünschte Zusatzinhalte mitzubringen, wie bei dem trojanischem Pferd aus der Mythologie. Das alles, bevor die Datei überhaupt im lokalen Firmennetzwerk angekommen ist. Man kann das mit einer kontrollierten Sprengung einer Bombe in einem gesicherten Bereich vergleichen.

Was ist der Vorteil einer lokalen Sandbox gegenüber einer cloudbasierten Lösung?

Eine lokale Sandbox hat mehrere Vorteile. Die Dateien müssen nicht an einen Server im Internet geschickt werden, das spart Zeit und Bandbreite. Außerdem wird es dadurch einfacher Datenschutzrichtlinien umzusetzen, da keine Daten an Dritte übermittelt werden. Es bleibt alles im Firmennetzwerk. Gerade Firmen die darauf angewiesen sind, dass ihre Daten besonders geschützt werden, sehen den Vorteil, wenn die Daten nicht an Dritte zur Analyse geschickt werden. Man behält zudem volle Kontrolle über die Daten und kann genau bestimmen, wie sich die Sicherheitslösung verhalten soll.

Ob die Anschaffung einer Sandbox-Schutzlösung nötig ist, muss letztendlich jeder Unternehmer für sich entscheiden. Das hängt von vielen Faktoren ab, wie groß das Unternehmen ist, wie stark das Firmennetzwerk geschützt werden muss und ob eine solche Anschaffung sich überhaupt rechnen würde.

Ein Mehrwert ist definitiv vorhanden. Eine Sandboxanalyse von Daten ergänzt durchaus vorhandene Antivirus-, Firewall- und Endpoint Protection-Lösungen. Keine Einzellösung bietet einen 100% sicheren Schutz, aber durch das Schichtenmodell der gängigen Sicherheitsplattformen reduziert sich die Angriffsfläche eines Unternehmens immens.