Anzeige
ANWENDUNG18. November 2014

87 Zweigstellen: APT-Monitoring bei der amerikanischen Bremer Bank

dizus/bigstock.com
dizus/bigstock.com
Perimeterangriffe sind zur Nebensache geworden: Die eigentlichen Gefahren lauern – so Security-Insider – im Netzwerk der Banken und Versicherer selber. Das Stichwort heißt: Advanced Persistent Threats. Eine Bedrohung, die durch BYOD noch mehr befeuert wird. So auch bei der amerikanischen Bremer Bank, die ein Verfahren für die Klassifizierung und das Monitoring von 4.200 Geräten in 87 Zweigstellen suchte.

Ein Praxisbericht von Sandeep Kumar, Principal Solution Marketing Manager bei ForeScout.

Neben der Zugriffskontrolle für unternehmenseigene Geräte, Gäste und Geschäftspartner wollte die Bremer Bank (häufig „Bremer“ genannt) durch kontinuierliches Monitoring und laufende Problembehebung ihre Abwehr gegen die wachsende Zahl von Advanced Persistent Threats (APT) verstärken. Gesucht wurde eine “agentenlose Lösung“, die der Bank die Migration von ihrer bestehenden komplizierten 802.1X-Infrastruktur ermöglicht. Sie sollte:

1. eine eingriffsfreie Installation und eingriffsfreien Betrieb ermöglichen,
2. sich leicht in das vorhandene Cisco-Netzwerk der Bremer Bank integrieren lassen
3. Out-of-Box-Funktionalität zur automatischen Identifikation von Geräten, Usern und Software bieten und
4. flexible Policy-Aktionen sowie Alerts und Berichterstattung liefern.

Bremer Bank -
Bremer Financial Corporation
Die Bremer Financial Corporation ist ein regionales Finanzunternehmen mit einem Umsatz von 8,7 Milliarden US$, das sich im gemeinsamen Besitz der Otto Bremer Foundation und der eigenen Mitarbeiter befindet. Das 1943 von Otto Bremer gegründete Unternehmen ist in Minnesota, North Dakota und Wisconsin tätig und bietet Produkte und Dienstleistungen in den Bereichen Bankwesen, Investment, Treuhand und Versicherungen.
Die Bank beschäftigt in ihren 87 Zweigstellen und Niederlassungen etwa 1.900 Mitarbeiter und hat etwa 4.200 Endgeräte im Einsatz, Server nicht eingeschlossen.
Die Bremer verwendeten bis dato eine 802.1X-NAC-Implementierung zur Kontrolle der Zugriffe von unternehmens- und benutzereigenen Geräten. Diese Lösung erforderte jedoch umfangreichen Support, war störungsanfällig und lieferte zahlreiche „false positives“ (falsche Alarme). Die IT hatte erhebliche Probleme mit der Implementierung und Wartung dieses Systems, das die Definition zahlreicher Ausnahmen erforderte, insbesondere für Zweigstellen. Die Implementierung spezielle Software-Agents und verursachte Aufwand und Kosten für das Management der 802.1X-Supplicants. Zudem führte sie immer wieder zu Ausfällen.

Um diese Probleme zu beheben, begann das Team der Bremer nach einer neuen NAC-Lösung zu suchen. Dabei sollte der Verwaltungsaufwand verringert werden, die Ausfallsicherheit zunehmen und auch die Benutzerfreundlichkeit sollte besser werden.

Nach dem Evaluierungsverfahren, an dem die Experten für Infrastruktursicherheit, Netzwerktechniker, IT-Architekten und das IT-Sicherheitsteam beteiligt waren, wählte Joseph Thornell, Netzwerkarchitekt und Vice President of Engineering bei der Bremer, ForeScout CounterAct als neue NAC-Lösung für das Unternehmen aus. Ausschlaggebend für diese Entscheidung seien die leichte Installation, die Managementfähigkeiten der Lösung und die Robustheit des Systems gewesen.

„Wir benötigten ein flexibles und zuverlässiges Verfahren, um unsere Unternehmens-Assets identifizieren und gleichzeitig sicheren Zugriff für die Geräte von Mitarbeitern und Gästen ermöglichen zu können“, so Thornell. „Zudem war uns eine hohe Benutzerfreundlichkeit wichtig – umso mehr, als unsere vorherige Lösung bei den Anwendern viel Frustration ausgelöst hatte. Die neue Lösung musste somit in der Lage sein, den negativen Eindruck zurechtzurücken, den die ursprüngliche Lösung hinterlassen hatte. ForeScout erfüllte diese Anforderungen, und so entschieden wir uns sehr schnell.“

Ein wesentlicher Faktor für die Entscheidung zur Implementierung der neuen Lösung war die Fähigkeit, IT-Abteilungen umfassende Sichtbarkeit und Transparenz der Geräte zu verschaffen, die sich mit dem Netzwerk verbinden. Das agentenlose Verfahren, die flexiblen Gästemanagement-Funktionen und die Segmentierungsoptionen der Lösung stellten für die Bank überzeugende Vorteile dar. Ein Alleinstellungsmerkmal war zudem die „ControlFabric“-Technologie von ForeScout, die nahtlose Integrationen mit anderen Sicherheitslösungen ermöglicht, was erheblich zu der Kaufentscheidung beitrug.

In der Praxis

Die Bremer Bank ersetzte ihre bisherige 802.1X-Lösung. CounterACT unterstützt derzeit alle Cluster der regionalen Zweigstellen und wird im Hauptsitz der Bank zentral verwaltet. Die Bank verwendet zu Zeit eine Appliance für 4.000 Geräte und ist dabei, eine für 10.000 Geräte zu implementieren, die demnächst ans Netz gehen soll.

Laut Thornell ist ForeScout in der Lage, das Inventar ausgesprochen exakt zu verfolgen, sodass sich die IT auf andere Aufgaben konzentrieren kann. Zudem kann die Bremer mithilfe dieser Funktionalität ältere Software auf den Systemen ermitteln, was besonders beim kürzlichen Umstieg weg von Windows XP sehr hilfreich war.

Erstellung und Durchsetzung von Richtlinien

Die Amerikaner verwenden das IAM-System auch, um Sicherheitsrichtlinien für das ganze Unternehmen zu erstellen, und Sicherheitsregeln für BYOD- und mobile Geräte durchzusetzen, indem unautorisierte Anwendungen ermittelt, mit Beschränkungen belegt oder geblockt werden. Eine weitere Richtlinie dient dazu, Betriebssysteme sowie persönliche und mobile Geräte zu klassifizieren. So können fremde Geräte und Schadgeräte blockiert werden und ihnen wird der Zugriff auf das Netzwerk und die sensiblen IT-Ressourcen verwehrt. Auch nutzt die Bank die IPS-ähnlichen Bedrohungserkennungsmechanismen, um Malware-Angriffe auf die Netzwerke abzuwehren. Zudem werde Hardware und Software (zum Beispiel Adobe Flash) überprüft: So kann verhindert werden, dass sich nicht aktualisierte, mit Risiken behaftete Programme mit dem Netzwerk verbinden.

Automatisierung, Zeit- und Kostenersparnisse

 „Die Asset-Klassifizierung verläuft nun wesentlich schneller“, berichtet Thornell. „Die Support-Mitarbeiter können unternehmenseigene und fremde Assets sofort erkennen und ein System neu klassifizieren. Im Vergleich zu unserer alten 802.1X-Infrastruktur spart uns die neue Lösung Zeit, Energie und Arbeit.“

Autor Sandeep Kumar ist Principal Solution Marketing Manager bei ForeScout
Autor Sandeep Kumar ist Principal Solution Marketing Manager bei ForeScout
Ein wichtiger Punkt: Die Helpdesk-Mitarbeiter der Bremer haben nun eine genaue Übersicht über die User und Endgeräte. Damit kostet sie die Diagnose von Problemen wesentlich weniger Zeit und Mühe.

Die Bank plant, mithilfe der ControlFabric-Technologie weitere Sicherheitslösungen zu integrieren, darunter Tenable Schwachstellenanalysen, Mobile Device Management (MDM) zur Kontrolle mobiler Geräte von Mitarbeitern und Gästen, VMware und RSA Data Loss Prevention (DLP). Die Bank will eine Richtlinie für Endgeräte-Monitoring unter Nutzung von Windows Server Update Services (WSUS) implementieren, um die Patch-Level überprüfen und Berichte erstellen sowie Probleme manuell beheben zu können. Zudem soll die Richtlinie erweitert werden, um direkte Updates sowie WSUS-gestützte Updates zu ermöglichen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert