Mehr Sicherheit für die verteilten Systeme der Finanzbranche – Alle Endpunkte dezentral im Blick

Nicht erst seit der Covid-19-Pandemie dominieren verteilte Systeme die Netzwerke der Finanzbranche. Doch hat die Komplexität der Netzwerkumgebungen in den letzten Jahren dermaßen zugenommen, dass es vielen Administratoren praktisch nicht mehr möglich ist, diese effektiv zu überwachen. Denn: hierzu setzen viele Finanzunternehmen nach wie vor auf traditionelle Endpunktlösungen. Die wurden ursprünglich für zentralisierte Netzwerk-Systeme entwickelt. Überwachung, Management und Schutz in dezentralen Umgebungen ist mit ihrer Hilfe nur schwer möglich. Verteilte Systeme benötigen Lösungsansätze, die auf dezentralen Konzepten beruhen – wie agentenbasierte Lösungen, die auf einer Linearketten-Architektur aufbauen.

von Stefan Molls, RVP, Product SME – Risk & Security bei Tanium

In den meisten Finanzunternehmen sind verteilte Systeme mittlerweile Standard – und dies nicht erst seit den Maßnahmen zur Eindämmung des Corona-Virus und dem damit verbundenen rasanten Anstieg des Anteils der Arbeit im Homeoffice. Ihre Filialnetze erstrecken sich häufig über mehrere Staaten. In ihren Netzwerken operiert meist eine Vielzahl von Sicherheitsteams, sind verschiedenste Endgeräte mit den unterschiedlichsten Sicherheitsstandards integriert. Hinzu kommt: an ihren Endpunkten machen neben den stationären Rechnern im Büro mobile Endgeräte – unternehmenseigene wie private Smart Phones, Laptops und Tablets, die mal On- und mal Offline sind – einen immer größeren Anteil aus.

Eine komplexe Ausgangslage für Administratoren, die die Endpunktsicherheit solch eines vielfältigen, lebendigen Netzwerkes in seiner Gesamtheit sicherzustellen haben.”

Alle an das Netzwerk angeschlossenen physischen und virtuellen Geräte, alle Hard- und Software, zu registrieren, zu inventarisieren, zu managen, zu überwachen und abzusichern, stellt für sie eine immense Herausforderung dar – die sie heutzutage in der Mehrzahl der Fälle praktisch nicht bewältigen können. Häufig schaffen sie es nicht einmal mehr, alle angeschlossenen Endgeräte aufzuspüren, geschweige denn diese zu identifizieren oder gar ihren Patch-Status zu ermitteln. Viele fürchten den organisatorischen und technischen Aufwand. Vor allem aber: den Tagesbetrieb ihres Netzwerkes durch Patch-Routinen zu stören, vielleicht sogar ungewollt einen Ausfall herbeizuführen. Eine 2019 von Tanium hierzu durchgeführte globale Umfrage unter CIOs und CISOs ergab, dass 81 Prozent aller IT-Entscheider schon mindestens einmal vor einem wichtigen Update zurückgeschreckt sind – aus Rücksicht auf die Aufrechterhaltung des Tagesgeschäfts.

Die Folge: Sicherheitslücken werden nicht rechtzeitig oder überhaupt nicht geschlossen.”

Gerade für Finanzunternehmen ein ernstes Problem, das es möglichst rasch zu beheben gilt. Denn auch 2020 waren sie weltweit Angriffsziel Nr. 1, wenn es um Cyberattacken ging – so der kürzlich erschienene X-Force Threat Intelligence Index von IBM Security – und nicht geschlossene Sicherheitslücken an den Endpunkten eines der zentralen Einfallstore ihrer Angreifer.

Traditionelle Lösungen nicht effektiv genug

Der Grund für die Zurückhaltung der Administratoren: bei verteilten Systemen stoßen traditionelle Endpunktlösungen, die auf zentralisierte Systeme ausgelegt sind, rasch an ihre Grenzen. Die den Lösungen zur Verfügung stehenden Daten liegen nur in Silo-Form vor, sind meist Stunden, Tage oder sogar Wochen alt. Die Sichtbarkeit aller Assets und angeschlossenen Endgeräte kann so nicht gewährleistet werden – schon gar nicht in Echtzeit und der Detailtiefe, die Administratoren benötigen, um ein Netzwerk wirklich umfassend und effektiv im Auge zu behalten. Hierunter leiden auch das Patch-Management und die IT-Sicherheit. Für jedes Update müssen alle erforderlichen Informationen zunächst mühsam händisch zusammengetragen werden. Meist dauert es mehrere Wochen, bis eine Sicherheitslücke geschlossen ist. Ein Problem, mit dem nicht nur die Finanzbranche zu kämpfen hat. Laut dem State of Endpoint Security Risk-Report des Ponemon Institutes von 2020 brauchen Unternehmen im Schnitt 97 Tage, um einen Patch zu übernehmen, zu testen und zu installieren. Gegen kreative, moderne Bedrohungen, die sich gegen verteilte Systeme richten – gar gegen Zero-Day-Exploits – haben Administratoren mit traditionellen Lösungen deshalb kaum eine Chance. Effektive, umfassende, proaktive Threat Detection oder Incident Response ist mit ihnen nicht möglich. IT-Sicherheitsspezialisten bräuchten Stunden, allein um die einzelnen Log-Dateien der angeschlossenen Endgeräte zu sammeln – bevor sie diese analysieren, auswerten und mit der eigentlichen Jagd nach Sicherheitslücken oder verdächtigen Anomalien beginnen könnten.

Agenten – ein Endpunktlösungsansatz mir problematischer Vergangenheit

Nun gibt es schon länger einen automatisierten Lösungsansatz, mit dem Administratoren auch verteilte Systeme effektiv im Blick behalten können: Agenten – eine spezielle Software, die es dem IT-Team ermöglicht, auch fluide Endpunkte eines Netzwerkes umfassend zu ermitteln und in Echtzeit automatisiert zu überwachen.

Hierzu werden zunächst auf allen bereits bekannten Endgeräten Agenten installiert.”

Diese sammeln Informationen über dessen Hard- und Software. Außerdem suchen sie innerhalb ihres Subnetzes nach bislang unbekannten weiteren Endgeräten. Hierzu listen sie zunächst diejenigen MAC- und IP-Adressen auf, die dem Endgerät bereits als vergeben bekannt sind. Anschließend fragen sie bei allen Adressen an, die sich zwischen zweien der bereits bekannten Adressen befinden und deshalb theoretisch ebenfalls belegt sein müssten. Auf diese Weise entdeckte Geräte erhalten dann wieder einen eigenen Agenten und das Spiel beginnt von Neuem. So lassen sich nicht nur verborgene Endpunkte aufspüren.

Auch Details zur Hard- und Software, zur Konfiguration und zur Datennutzung sowie zu etwaigen Wechselwirkungen lassen sich so entdecken.”

Lange Zeit bereitete die Nutzung von Agenten Administratoren jedoch Probleme. Die Netzwerkperformance wurde durch die verwendete Lösungs-Architektur übermäßig belastet. Mittlerweile gibt es für dieses Problem aber eine Lösung: Agenten, die über eine Linearketten-Architektur operieren.

Linearketten-Architektur als Ausweg

Bislang kam bei Agenten meist eine Speichen- oder Baum-Architektur zum Einsatz. Der Nachteil beider Ansätze: sie operieren zu zentralisiert. Bei der einen Variante der Datenübertragung werden Informationen über einen zentralen Hub verschickt, bei der anderen über ein zentrales Kabel. Eine Belastung für das Netzwerk, die zu Performancerückgängen oder sogar dessen Ausfall führen kann. Mit einer Linearketten-Architektur kann dies nicht passieren. Denn hier erfolgt die Informationsweitergabe nicht zentralisiert.

Stattdessen werden alle Endpunkte in die Datenübertragung involviert.”

Jeder an einem Endpunkt sitzende Agent wird vom Server regelmäßig über den aktuellen Stand aller ihm nahestehenden Endpunkte informiert. Diese Informationen ermöglichen es dem Agenten eines Endpunktes, sich automatisch mit dem Agenten eines anderen Endpunktes zu verbinden, um Informationen zu empfangen; und mit einem anderen Agenten eines anderen Endpunktes, um Informationen weiterzugeben. Die so zusammengeschlossenen Agenten, beziehungsweise Endpunkte, beginnen dann, lineare Ketten zu formen. Um nun eine Anfrage oder Aktion zu jedem Endpunkt im gesamten Netzwerk zu transferieren, muss der Server bei dieser Architektur die Information nur noch einer kleinen Zahl von Endpunkten, die am Anfang solcher Ketten liegen, senden und dann die Antworten aller Kettenglieder am Ende der Ketten in Empfang nehmen. Eine Architektur also, die einen deutlich ressourcenschonenderen Einsatz von Agenten erlaubt.

Die Einsatzmöglichkeiten: Patch-Management, Threat Detection und Incident Response

Das System ermöglicht es, dass Agenten Patches automatisiert an alle Endgeräte verteilen und installieren – ohne dass begrenzte Netzwerkressourcen, wie der firmeninterne Server oder der Cache-Server, zu stark belastet werden.

Auch Threat Detection und Incident Response profitieren. Durch die umfassende Sichtbarkeit kann effektiver nach Indikatoren von Kompromittierung, nach Anomalien, gesucht werden. Außerdem erleichtert die erhöhte Sichtbarkeit forensische Untersuchungen. Denn nun können an verdächtigen Endgeräten alte und Echtzeit-Daten jederzeit rasch und unkompliziert miteinander verglichen werden. So werden Incident-Response-Teams in die Lage versetzt, schnell und gezielt für mehr Sicherheit zu sorgen.

Das Aufspüren, Untersuchen und Korrigieren von Bedrohungen an den Endpunkten verteilter Systeme kann so deutlich effektiver als bislang gehandhabt werden.”

Gerade für die Finanzbranche, die immer stärker auf verteilte Systeme setzt, sind agentenbasierte Endpunktlösungen, die auf einer Linearketten-Architektur aufbauen, deshalb ein mehr als interessanter Ansatzpunkt, um ihr Netzwerk wieder in den Griff zu bekommen. Ihre Administratoren können automatisiert für mehr Sichtbarkeit – und Sicherheit – im gesamten Netzwerk sorgen, ohne sich Gedanken um eine Überlastung ihrer Netzwerkressourcen und einen möglichen Ausfall mitten im Tagesgeschäft machen zu müssen.Stefan Molls, Tanium