Netzwerke, ForeScout, Fachartikel

Was verbindet Network Access Control mit mobiler Sicherheit?

Was verbindet Network Access Control mit mobiler Sicherheit?

Markus Auer, Regional Marketing Director DACH, ForeScout Technologies, Inc.

Seit selbst Kaffeemaschinen und Uhren sich mit Unternehmensnetzen verbinden können, hat sich für IT-Administratoren das Blatt endgültig gewendet. Der Schutz drahtloser Netze ist heute schwieriger denn je, weil die unterschiedlichsten Geräte Zugriff auf Netzwerke verlangen und deren Ressourcen nutzen möchten. Durch die Tendenz zu Bring-your-own-Device (BYOD) und Company-owned, Personally enabled (COPE)-Ansätzen werden neue Sicherheitskonzepte noch dringender erforderlich, den die Anzahl der Endgeräte erhöht sich dadurch weiter.

Drahtloser Zugang ist ein wichtiger Faktor, da er den Mitarbeitern mehr Flexibilität und größere Zufriedenheit am Arbeitsplatz verschafft und zu höherer Produktivität führen kann. Laut Gartner werden bis 2017 fast die Hälfte aller Unternehmen voraussetzen, dass ihre Mitarbeiter eigene Geräte zu beruflichen Zwecken nutzen [1]. Citrix zeigte in einer durchgeführten Umfrage, dass bereits 54 Prozent aller IT-Abteilungen mit Mitarbeitern konfrontiert sind, die eigene Tablets in die Arbeit mitbringen [2]. Angebotene Alternativen von Arbeitgebern werden nicht unbedingt übernommen. Angestellten werden diese ablehnen, sofern sie ihren Bedürfnissen nicht ausreichend entsprechen.

Diese Entwicklung kann als Modernisierung des Büroalltags betrachtet werden. Angesichts aller damit verbundenen Vorteile ist es unwahrscheinlich, dass Unternehmen den Trend ignorieren können. Doch es gibt einen Haken: Da mobile Geräte schwieriger zu verwalten sind, müssen die Unternehmen ihre Strategien für mobile Sicherheit überdenken.

Schritt halten mit der neuen Bedrohungslandschaft

Ein Problem, das mit diesem Trend einhergeht, ist der Verlust an Sichtbarkeit und Transparenz. Eine von IDG durchgeführte Umfrage ergab, dass mehr als 60 Prozent aller Unternehmen unzureichenden Überblick über die Geräte haben, die mit ihrem Netzwerk verbunden sind [3]. Nicht nur sind diese Geräte unsichtbar; die IT-Abteilungen haben auch ihre getätigten Aktionen im Netzwerk nicht mehr auf dem Schirm. Das Corporate Executive Board konstatiert, dass 40 Prozent der IT-Aktivitäten nicht auf dem Schirm der Netzwerkadministratoren sind. [4] Für die IT-Sicherheitsmanager wird es immer schwieriger zu gewährleisten, dass mobile Geräte und virtuelle Rechner den Sicherheits- und Konfigurationsstandards entsprechen.

Es bedarf einer adaptiven Sicherheitsstrategie, die alle Vorgänge und Geräte in einem Netzwerk einbezieht und auf Angriffe vorbereitet ist. Eine solche Strategie muss die Belastung für IT-Sicherheitsexperten verringern, indem Aufgaben automatisiert werden. Sicherheitstools müssen auf Schwachstellen reagieren und Informationen austauschen können. Um der großen Vielfalt von Endpunkten gerecht zu werden, müssen sicherheitsrelevante Aktionen automatisch erfolgen, aber dennoch flexibel und schnell anpassbar sein, um die Durchsetzung granularer Richtlinien für verschiedene Benutzergruppen zu erlauben.

Nutzer und Prozesse sollen auf Basis von unterschiedlichen Geräten, Standorten und Unternehmensposition individuell erkannt werden, um im Fall der Fälle einen digitalen Fingerabdruck konstruieren zu können. Selbst „unintelligente“ Geräte wie Drucker, die nur einen kleinen Footprint haben, müssen integriert und verwaltet werden.

Aufrüstung für mobile Sicherheit  

Eine effektive Methode für mobile Netzwerke besteht darin, die Regelkonformität von Geräten mittels Lösungen für Network Access Control (NAC) zu überprüfen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kritisiert in seinem Bericht „Die Lage der IT-Sicherheit in Deutschland 2014“, dass vielfach keine Netzwerkzugangskontrolle genutzt wird, und sieht Netzwerkzugangskontrolle als eine Technologie, die „ausschließlich autorisierten dienstlichen Endgeräten den Zugang zum internen Netzwerk ermöglicht“. [5] 



Das BSI fokussierte in seinem Bericht auf die gesamte IT-Infrastruktur in Deutschland und deren Veränderungen in den letzten Jahren. Next Generation NACs sind heute so ausgereift, dass sie zu einer grundlegenden Technologie für mobile Sicherheit werden können. Sie benötigen keine Agenten und müssen keine Zertifikate austauschen, um zwischen Freund und Feind zu unterscheiden. Vielmehr kann NAC die Regelkonformität eines Geräts automatisch überprüfen, sobald dieses versucht, eine Verbindung zum Netzwerk herzustellen.

Die meisten modernen Lösungen für Netzwerkanalysen können jede Verbindung validieren, ohne einen Client einzusetzen. Sie sind nicht auf den Standard 802.1X IEEE beschränkt, sondern unterstützen auch andere Authentifizierungssysteme wie Active Directory oder bestehende LDAP-basierte Systeme.

Eine wichtige Fähigkeit ist die Zusammenarbeit mit vorhandenen Sicherheitstools und insbesondere mit Lösungen für Mobile Device Management (MDM). Containerisierung ist eine gute Möglichkeit, Unternehmensdaten zu schützen, ohne persönlichen Daten auf privaten Geräten durchleuchten zu müssen. Mittels einer Plattform für Informationsaustausch lässt sich der Zustand eines Geräts detailliert überprüfen. Allerdings können MDM-Lösungen für sich allein nur diejenigen Geräte sehen, die bereits im System erfasst wurden. Wenn ein mobiles Gerät den Sicherheitsrichtlinien des Unternehmens nicht entspricht – weil es zum Beispiel durch einen Jailbrake modifiziert wurde oder kein Virenschutzprogramm installiert ist –, kann MDM nicht verhindern, dass es Zugang zum Netzwerk erhält, und das Gerät wäre somit eine potenzielle Bedrohung. Neben MDM können auch andere Sicherheitstools wie etwa Port-Scanner oder Firewalls mit NAC integriert werden.

Die Lösung geht über reine Go/No Go-Entscheidungen hinaus und erkennt, wie stark die Regeln verletzt werden. NAC-Lösungen unterstützen richtlinienbasiertes Enrollment mit Self-Provisioning: Sie helfen, mobile Geräte im Unternehmensnetz zu erfassen, und ermitteln automatisch, was der Benutzer tun muss, bevor der Zugang gewährt wird. Falls benötigte Software nicht mehr aktuell ist, kann ein automatisierter Heilungsprozess in Gang gesetzt werden. Das Monitoring endet nicht mit dem Login. Vielmehr werden die Geräte in periodischen Abständen sowie nach jeder erneuten Verbindungsaufnahme überprüft.

Moderne Netzwerkanalyse-Tools kommunizieren über Netzwerkprotokolle wie SNMP oder eine Befehlszeilenschnittstelle mit Netzwerkgeräten. Damit können Informationen von Routern, Switches oder Wireless Access Points eingeholt oder Zugangsbeschränkungen realisieren werden, etwa mittels VLAN-Änderungen, Platzierung von Zugriffssteuerungslisten, Port-Blockaden, virtuellen Firewalls oder WLAN-Blockaden. Die Interaktion mit anderen Tools über bereitgestellte Programmierschnittstellen (APIs) ermöglicht eine bidirektionale Anbindung, sodass Daten zwischen bereits vorhandenen Sicherheitstools und dem NAC-System ausgetauscht werden können. Ein weiteres Beispiel ist die Integration mit SIEM-Systemen (Security Information and Event Management), die eine NAC-Lösung nutzen kann, um Richtlinien umzusetzen.

Die Durchsetzung und Anpassung von Richtlinien erfordert wenig Aufwand. NAC ermöglicht eine zentrale Steuerung und gewährleistet so eine effiziente Implementierung und eine zuverlässige Durchsetzung der Richtlinien. Es ist nicht nötig, eine separate Abteilung für mobile Sicherheit zu schaffen. Die mobile Infrastruktur ist Teil der allgemeinen Unternehmensinfrastruktur.

Ein weiteres Argument für NAC ist die Einhaltung des Branchenstandards ISO 27001, der ein Rahmenwerk für die Kontrollen zur Einhaltung gesetzlicher Vorschriften in IT-Risikomanagement-Prozessen schafft. Netzwerkanalysen helfen Unternehmen, diesem Standard gerecht zu werden.

Verschiedene Umfragen des SANS [6] zeigen, dass Unternehmen die Fähigkeiten von NAC zu schätzen wissen, und eine wachsende Zahl der Befragten nutzt diese Technologie: waren es 2013 noch 27 Prozent, so sind es 2014 bereits 39 Prozent. Zudem ergab die SANS BYOD-Studie 2014, dass 32 Prozent der Teilnehmer planen, NAC in ihre Analyse- und Intelligence-Programme aufzunehmen.

Fazit

Mit NAC steht Unternehmen ein Tool zur Verfügung, mit dem sie vorhandene Sicherheitslösungen von Drittanbietern besser nutzen und mobile Geräte überwachen können, ohne die persönlichen Daten ihrer User zu durchleuchten. Sicherheit für mobile Geräte ist ein schmaler Grat, weil unverwaltete mobile Geräte zahlreiche Angriffsvektoren eröffnen und nur wenige Sicherheitsmechanismen existieren. Mobile Netzwerke gewinnen zunehmend an Bedeutung und bieten Unternehmen und Mitarbeitern große Vorzüge, die diese sich nicht entgehen lassen können. Die Freiheiten und Vorteile, die sie eröffnen, verlangen jedoch nach einem Sicherheitskonzept, das es ermöglicht, die Unternehmensrichtlinien durchzusetzen, ohne die privaten Daten der Benutzer zu kontrollieren. Mit Analysen des Netzwerkzugangs gewinnen Unternehmen Überblick über die Vorgänge in ihren Netzwerken und können nahezu in Echtzeit auf Bedrohungen reagieren, ohne dabei die Bloßstellung von Daten und Informationen zu riskieren.

Link zu ForeScout

[1] Gartner 2013 „Bring Your Own Device: The Facts and the Future“ http://www.gartner.com/newsroom/id/2466615 
[2] Citrix 2014 Mobility Report: BYOD http://de.slideshare.net/citrix/citrix-mobilityreportbyod2014 
[3] IDG State of IT Cyber Defense 2013 Maturity http://www.forescout.com/forms/idg-survey-state-of-it-cyber-defense-maturity/ 
[4] CEB Information 2013 Technology https://www.executiveboard.com/blogs/your-it-budget-may-be-40-higher-than-you-think/ 
[5] BSI „Die Lage der IT-Sicherheit in Deutschland“ https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2014.pdf?__blob=publicationFile  Dezember 2014, Seite 14
[6] SANS „Securing Personal and Mobile Device Use with Next-Gen Network Access Control“  www.sans.org/reading-room/whitepapers/analyst/analytics-intelligence-survey-2014-35507  2014, Seite 11