Anonim
Gorodenkoff / Shutterstock

Potenzielle Angriffe, Sicherheitslücken in Bezug auf Software und Plattform, Malware und Konfigurationsfehler können eine ernsthafte Bedrohung für Unternehmen darstellen, die private, vertrauliche oder proprietäre Daten schützen möchten. Glücklicherweise machen es verschiedene Technologien - allgemein bekannt als Unified Threat Management (UTM) - einfach, virtualisierte und / oder Appliance-basierte Tools zu verwenden, um eine gründliche und umfassende Sicherheitsabdeckung zu gewährleisten.

In Kombination mit regelmäßigen Updates, Überwachungs- und Verwaltungsdiensten sowie wichtigen Sicherheitsforschungs- und Nachrichtendaten können Unternehmen mithilfe von UTM und einer soliden Sicherheitsrichtlinie Schutzmaßnahmen ergreifen, um mit dieser Vielzahl von Bedrohungen fertig zu werden.

Was steckt hinter einem einheitlichen Bedrohungsmanagement?

Die Geschichte der Informationssicherheit und der Palliativtechnologien reicht bis in die 1980er Jahre zurück, als die Elemente der Perimetersicherheit (durch Firewalls und Screening-Router) und des Malware-Schutzes (hauptsächlich in Form früher Antivirentechnologien) verfügbar wurden. Im Laufe der Zeit, als sich Bedrohungen in ihrer Komplexität und Leistungsfähigkeit weiterentwickelten, wurden andere Elemente zur Sicherung von Geschäfts- oder Organisationsnetzwerken und -systemen verfügbar, um solchen Dingen entgegenzuwirken. Dazu gehören E-Mail-Prüfungen, Dateiprüfungen, Phishing-Schutz sowie Whitelists und Blacklists für IP-Adressen und URLs.

Von Mitte der 1990er Jahre bis zum ersten Jahrzehnt des 21. Jahrhunderts gab es eine unglaubliche Verbreitung von Einzellösungen, um bestimmten Arten von Bedrohungen wie Malware, IP-basierten Angriffen, verteilten Denial-of-Service-Angriffen (DDoS) und Rogue-Angriffen entgegenzuwirken Websites mit Drive-by-Downloads. Dies führte zu einem Ansturm von Softwarelösungen und Hardware-Appliances, die darauf ausgelegt waren, einzelnen Bedrohungsklassen entgegenzuwirken. Leider kann eine Sammlung von Single-Focus-Sicherheitssystemen nicht anders, als eine konsistente und kohärente Koordination zu vermissen.

Leider ist dies nicht in der Lage, Hybridangriffe zu erkennen und zu mildern, die mit einer in einem Tweet oder einer E-Mail-Nachricht eingebetteten unerwünschten URL beginnen, mit einem Drive-By-Download fortzufahren, wenn auf diese URL zugegriffen wird, und erst dann richtig loszulegen, wenn ein Keylogger heimlich installiert wird arbeitet mit zeitgesteuerten Übertragungen erfasster Daten von einem Backdoor-Uploader zusammen. Schlimmer noch, viele dieser Anwendungen sind webbasiert und verwenden Standard-HTTP-Portadressen. Daher müssen Inhalte und Aktivitäten auf höherer Ebene überprüft werden, um unerwünschte Einflüsse bei der Arbeit zu erkennen und ihnen entgegenzuwirken.

Einfach ausgedrückt, besteht die Grundvoraussetzung von UTM darin, leistungsfähige, angepasste Verarbeitungs-Computerarchitekturen zu erstellen, die große Mengen an Netzwerkverkehr mit oder nahe der Kabelgeschwindigkeit verarbeiten, untersuchen und (falls erforderlich) blockieren können. Dieselben Daten, die nach IP-Adressen oder URLs auf der schwarzen Liste durchsucht werden müssen, müssen auf Malware-Signaturen überprüft, gegen Datenverlust geschützt und überprüft werden, um sicherzustellen, dass Protokolle, Anwendungen und Daten zulässig und harmlos sind. Deshalb bündeln typische UTM-Lösungen normalerweise eine Vielzahl von Funktionen, darunter:

  • Proxy-Dienste blockieren die Offenlegung von Details zu internen IP-Adressen in Netzwerken und untersuchen die Kommunikation und Datenübertragung auf Anwendungsebene.
  • Stateful Packet Inspection unterscheidet legitime Netzwerkkommunikation von verdächtigen oder bekannten böswilligen Kommunikationsformen.
  • Deep Packet Inspection ermöglicht die Überprüfung des Datenteils oder der Nutzlast von Netzwerkpaketen. Diese Funktion schützt nicht nur vor Malware, sondern ermöglicht auch Datenprüfungen, um den Verlust klassifizierter, proprietärer, privater oder vertraulicher Daten über Netzwerkgrenzen hinweg zu blockieren. Diese Art von Technologie wird als Data Loss Prevention (DLP) bezeichnet. Die DPI-Technologie unterstützt auch alle Arten der Inhaltsfilterung.
  • Die Echtzeit-Paketentschlüsselung nutzt spezielle Hardware (die im Wesentlichen Softwareprogramme in Form von Hochgeschwindigkeitsschaltungen zur Durchführung komplexer Datenanalysen reproduziert), um eine eingehende Prüfung bei oder in der Nähe von Netzwerkkabelgeschwindigkeiten zu ermöglichen. Auf diese Weise können Unternehmen selbst auf verschlüsselte Daten Steuerelemente auf Inhaltsebene anwenden und diese Daten auf Richtlinieneinhaltung, Malware-Filterung und mehr überprüfen.
  • Die E-Mail-Bearbeitung umfasst das Erkennen und Entfernen von Malware, das Filtern von Spam und das Überprüfen von Inhalten auf Phishing, bösartige Websites sowie IP-Adressen und URLs, die auf der Blacklist stehen.
  • Intrusion Detection and Blockage beobachtet eingehende Datenverkehrsmuster, um DDoS-Angriffe zu erkennen und darauf zu reagieren, sowie differenziertere und böswilligere Versuche, die Netzwerk- und Systemsicherheit zu verletzen oder unbefugten Zugriff auf Systeme und Daten zu erhalten.
  • Die Anwendungssteuerung (oder -filterung) überwacht verwendete Anwendungen - insbesondere webbasierte Anwendungen und Dienste - und wendet Sicherheitsrichtlinien an, um zu verhindern, dass unerwünschte oder nicht autorisierte Anwendungen Netzwerkressourcen verbrauchen oder unbefugte Zugriffe auf (oder Übertragungen von) Daten ausführen.
  • Mit Virtual Private Network (VPN) oder RAS-Geräten können Remotebenutzer sichere private Verbindungen über öffentliche Netzwerkverbindungen (einschließlich Internet) herstellen. Die meisten Organisationen verwenden solche Technologien, um den Netzwerkverkehr vor dem Abhören zu schützen, während er vom Absender zum Empfänger geleitet wird.

Moderne UTM-Geräte bieten all diese Funktionen und mehr, indem sie schnelle, leistungsstarke Spezialnetzwerk-Schaltkreise mit Allzweck-Computereinrichtungen kombinieren. Die benutzerdefinierten Schaltkreise, die den Netzwerkverkehr detaillierten und sorgfältigen Analysen und einer intelligenten Verarbeitung aussetzen, verlangsamen die Übertragung nicht. Es kann jedoch verdächtige oder fragwürdige Pakete aus dem laufenden Datenverkehr entfernen und sie an Programme und Filter übergeben. Im Gegenzug können diese Agenturen komplexe oder komplexe Analysen durchführen, um Angriffe zu erkennen und abzuwehren, unerwünschte oder böswillige Inhalte herauszufiltern, Datenverluste zu verhindern und sicherzustellen, dass die Sicherheitsrichtlinien für den gesamten Netzwerkverkehr gelten.

Unified Threat Management-Anbieter

UTM-Geräte sind in der Regel spezielle Netzwerkgeräte, die sich an der Netzwerkgrenze befinden und die Verbindungen zwischen internen und externen Netzwerken über Hochgeschwindigkeitsverbindungen zu Dienstanbietern oder Kommunikationsunternehmen herstellen.

Standardmäßig koordinieren UTM-Geräte alle Aspekte der Sicherheitsrichtlinie, sodass sie einen konsistenten und kohärenten Satz von Checks and Balances für eingehenden und ausgehenden Netzwerkverkehr anwenden. Die meisten UTM-Gerätehersteller bauen ihre Appliances so auf, dass sie mit zentralisierten, webbasierten Verwaltungskonsolen arbeiten. Auf diese Weise können Netzwerkverwaltungsunternehmen UTM-Geräte für ihre Clients installieren, konfigurieren und warten. Alternativ können zentralisierte IT-Abteilungen diese Funktion für sich übernehmen. Ein solcher Ansatz stellt sicher, dass dieselben Überprüfungen, Filter, Kontrollen und Richtlinienerzwingungen für alle UTM-Geräte gleichermaßen gelten, und vermeidet die Lücken, die durch die Integration mehrerer unterschiedlicher Lösungen (separate Firewalls, E-Mail-Appliances, Inhaltsfilter, Virenprüfprogramme usw.) entstehen können.

Auswahl der besten UTM-Anbieter

Gartner meldete im Jahr 2017 einen Umsatz von 2, 18 Mrd. USD für den UTM-Markt. Er geht davon aus, dass dieser Markt in absehbarer Zukunft parallel zu den IT-Gesamtinvestitionen weiter wachsen wird (Sätze im Bereich von 2 bis 5% gelten für die meisten Volkswirtschaften, sind jedoch für führende Volkswirtschaften höher wie die BRIC-Staaten).

Erfahrene Käufer suchen nach Funktionen wie den im vorherigen Abschnitt beschriebenen (ausgeklügelte Firewalls mit Deep Packet Inspection, Erkennung und Verhinderung von Eindringlingen, Anwendungskontrolle, VPN, Inhaltsfilterung, Schutz vor Datenverlust / Datenlecks, Malware-Schutz usw.). Heutzutage suchen Käufer auch nach folgenden Merkmalen:

  • Unterstützung anspruchsvoller Virtualisierungstechnologien (für virtuelle Clients und Server sowie virtualisierte Implementierungen für UTM-Appliances selbst)
  • Endpoint-Steuerelemente, die Unternehmens-Sicherheitsrichtlinien für Remotegeräte und deren Benutzer durchsetzen
  • Integrierte drahtlose Controller zur Konsolidierung des verdrahteten und drahtlosen Datenverkehrs auf demselben Gerät, zur Vereinfachung der Implementierung und Durchsetzung von Sicherheitsrichtlinien und zur Reduzierung der Netzwerkkomplexität

Schließlich müssen fortschrittliche UTM-Geräte auch flexible Architekturen unterstützen, deren Firmware problemlos aktualisiert werden kann, um neue Mittel zum Filtern und Erkennen einzubeziehen und auf die sich ständig ändernde Bedrohungslandschaft zu reagieren. UTM-Hersteller betreiben im Allgemeinen große, fortlaufende Sicherheitsteams, die neu auftretende Bedrohungen so schnell wie möglich überwachen, katalogisieren und darauf reagieren und Kundenorganisationen warnen und anleiten, um unnötige Risiken und Bedrohungen zu vermeiden.

Einige der bekanntesten Namen in der Computerbranche bieten ihren Kunden UTM-Lösungen an, aber nicht alle Angebote sind gleich. Suchen Sie nach Lösungen von Unternehmen wie Cisco, Netgear, SonicWall und Juniper. Sie werden mit Sicherheit Angebote finden, die die richtige Mischung aus Funktionen und Steuerelementen sowie Größen-, Geschwindigkeits- und Kostenmerkmalen bieten, um Ihre Sicherheitsanforderungen zu erfüllen, ohne Ihr Budget zu sprengen.

IT-Infosec-Zertifizierungen für UTM

Wie ein Besuch der regelmäßigen Umfrage zu Zertifizierungen für Informationssicherheit bei SearchSecurity bestätigt, sind derzeit mehr als 100 aktive und fortlaufende Anmeldeinformationen in diesem breiten Feld verfügbar. Nicht alle richten sich jedoch direkt oder explizit an UTM. Während es keine Qualifikation gibt, die sich ausschließlich mit diesem Aspekt der Informationssicherheit befasst, umfassen die folgenden bekannten Zertifizierungen die Berücksichtigung dieses Themas in ihren Prüfungszielen oder den damit verbundenen allgemeinen Kenntnissen, die die Kandidaten beherrschen müssen:

  • ISACA-zertifizierter Auditor für Informationssysteme (CISA)
  • Cisco-Sicherheitszertifizierungen: CCNA-Sicherheit, CCNP-Sicherheit, CCIE-Sicherheit
  • Juniper-Sicherheitszertifizierungen: JNCIS-SEC, JNCIP-SEC, JNCIE-SEC, JNCIA-SEC
  • (ISC) 2 Certified Information Systems Security Professional (CISSP)
  • SANS GIAC Certified Incident Handler (GCIH)
  • SANS GIAC Windows-Sicherheitsadministrator (GCWN)
  • Globales Zentrum für öffentliche Sicherheitszertifizierungen (CHPP und CHPA Level I-IV)

Von diesen Referenzen bieten die allgemeinen Elemente wie CISA, CISSP, CHPP / CHPA und die beiden SANS GIAC-Zertifizierungen (GCIH und GCWN) eine unterschiedliche Abdeckung der Grundprinzipien für DLP und der Best Practices für dessen Anwendung und Verwendung im Kontext einer klar definierten Sicherheitsrichtlinie. Von diesen sind CISSP und CISA die fortschrittlichsten und anspruchsvollsten Zertifikate. Andererseits konzentrieren sich die Anmeldeinformationen von Cisco und Juniper mehr auf die Details bestimmter Plattformen und Systeme derjenigen Anbieter, die für die Bereitstellung funktionierender UTM-Lösungen entwickelt wurden.