Proaktive und intelligente IT-Sicherheit für KMU

Proaktive und intelligente IT-Sicherheit für KMU

Artikel erschienen in IT Magazine 2019/03
Seite 2

Effektive Firewall- und Netzwerkkonfiguration

Es muss berücksichtigt werden, dass IPS, Sandboxing und alle anderen Schutzmassnahmen der Firewall nur effektiv gegen Datenverkehr sind, der die Firewall auch tatsächlich passiert – und sie greifen nur dann, wenn geeignete Durchsetzungs- und Schutzrichtlinien auf die Regeln angewendet werden, die den Datenverkehr steuern. Um die Verbreitung wurmartiger Angriffe in einem Netzwerk zu verhindern, sollten daher die folgenden Best Practices befolgt werden:
• Grundlage für Next-Gen-IT-Schutz ist eine hochleistungs­fähige Next-Gen Firewall IPS Engine inklusive Sandboxing-­Lösung.
• Die Angriffsfläche soll so weit wie möglich reduziert werden, indem alle Regeln zur Port-Weiterleitung geprüft und alle nicht unbedingt notwendigen offenen Ports konsequent entfernt werden. Jeder offene Port stellt ein potentielles Sicherheitsrisiko für ein Netzwerk dar. Der externe Zugriff auf das interne Netzwerk sollte nach Möglichkeit über VPN erfolgen und keine Port-Weiterleitung haben.
• Offene Ports müssen ordnungsgemäss geschützt werden, indem auf Regeln zur Steuerung dieses Datenverkehrs ein geeigneter IPS-Schutz angewendet wird.
• Sandboxing-Technologie sollte für Web- und E-Mail-Datenverkehr vorhanden sein, um sicherzustellen, dass alle verdächtigen aktiven Dateien von Web-Downloads sowie E-Mail-­Anhänge hinreichend auf schädliches Verhalten analysiert werden, bevor sie ins Netzwerk gelangen.
• Das Risiko lateraler Bewegungen innerhalb des Netzwerks kann minimiert werden, indem LANs in kleinere, isolierte Zonen oder VLANs unterteilt werden, die von der Firewall geschützt und miteinander verbunden sind. Wichtig ist die Anwendung geeigneter IPS-Richtlinien auf die Regeln, über die der Datenverkehr gesteuert wird, der diese LAN-Segmente passiert. So wird verhindert, dass Exploits, Würmer und Bots sich zwischen LAN-Segmenten verbreiten.
• Die automatische Isolation infizierter Systeme ist sehr effektiv. Wenn eine Infektion eintritt, muss eine moderne IT-Security-­Lösung in der Lage sein, kompromittierte Systeme schnell zu erkennen und bis zu ihrer Bereinigung automatisch oder durch manuelles Eingreifen zu ­isolieren.

LANs segmentieren zur Mini­mierung lateraler Bewegungen

Im letzten Jahrzehnt haben sich Hacker ein grosses Repertoire an automatisierten Angriffen zugelegt, das in Kombination mit bekannten Schwachstellen zum Einsatz kam. Das Ziel waren schnelle Angriffe, die Schutzmechanismen im Netzwerk und am Endpoint umgehen. Aktuelle Cyberattacken legen allerdings sehr viel mehr Wert auf individualisierte und manuelle Angriffe, vor allem auf Netzwerke. Einmal über immer wieder vernachlässigte Standard-Sicherheitsregeln, wie schwache Passwörter, im System, versuchen die Eindringlinge, auf Admin-Ebene so viel Herrschaft über ein System zu erlangen wie möglich, bevor sie wirklich losschlagen. Und genau hier kommt der klassischen Firmen-Firewall eine ganz neue Rolle zu: Leider operieren viele Unternehmen mit einer flachen Netzwerk-Topologie – alle Endpoints sind mit einem gemeinsamen Switch Fabric verbunden. Diese Topologie beeinträchtigt den Schutz, da sie eine einfache laterale Bewegung und Verbreitung von Netzwerkangriffen innerhalb des Local Area Network ermöglicht und die Fire­wall keine Transparenz oder Kontrolle über den Datenverkehr erhält, der den Switch durchläuft.
Vorherige Seite  
Seite 2 von 4
Nächste Seite

Neuen Kommentar erfassen

Kommentare werden vor der Freischaltung durch die Redaktion geprüft.
Anti-Spam-Frage Wieviele Zwerge traf Schneewittchen im Wald?
Antwort
Name
E-Mail
NEWSLETTER ABONNIEREN
Abonnieren Sie unseren täglichen Newsletter mit den wichtigsten ICT-Meldungen
SWISS IT MAGAZINE - AUSGABE 2019/06
Schwerpunkt: Datenschutz - Ein Jahr nach der DSGVO-Einführung
• Ein Jahr DSGVO und die Schweiz
• Datenschutz als zentrales Thema für Wirtschaft und Recht
• Interview: "Privatsphäre heisst nicht, etwas verstecken zu müssen"
• Marktübersicht: Datenschutz-Audits für KMU
Zum Inhaltsverzeichnis
SPONSOREN & PARTNER