ForeScout CounterACT
19.06.2017, 08:22 Uhr
Agentenlose Sicherheit für das IoT
ForeScout will mit CounterACT eine flexible Lösung für die IoT-Sicherheit bereitstellen. Im Interview erläutern Senior Vice President Brian Gumbel und Regional Sales Manager Markus Auer die Funktionsweise der Appliance.
Durch die Vernetzung von mehr und mehr Endgeräten sehen sich Unternehmen neuen Herausforderungen bei der IT-Security entgegengestellt. Das Internet der Dinge optimiert zwar einerseits Produktionsvorgänge und sorgt dabei für eine effizientere Nutzung von Ressourcen, andererseits vergrösserst sich mit jedem weiteren Endpunkt die potentielle Angriffsfläche für Hacker-Attacken.
Ein besonderes Risiko geht dabei von Geräten aus, die sich nicht gezielt über Sicherheitssoftware absichern lassen. Diese können von Cyberkriminellen als Einfallstor für das Unternehmensnetz genutzt oder als Teil eines Botnets für gezielte DDoS-Angriffe missbraucht werden.
Der US-amerikanische Sicherheitsanbieter ForeScout will mit seiner agentenlosen CounterACT-Appliance eine Lösung zur Absicherung von IoT-Geräten im Unternehmensnetz liefern. Die ForeScout-Manager Brian Gumbel, Senior Vice President, Worldwide Commercial Sales, und Manager Markus, Regional Sales Manager, erläutern im Gespräch mit com! professional die Funktionsweise der Lösung.
Online PC: Herr Gumbel, wie lautet ihre Einschätzung zur allgemeinen Gefahrenlage, speziell im Hinblick auf IoT-Lösungen?
Brian Gumbel: Die Gefahrenlage spitzt sich zunehmend zu, unabhängig vom jeweiligen lokalen Standort. Die IoT-Security repräsentiert dabei für viele Firmen und Organisationen die grösste Gefahrenquelle. Gleichzeitig bieten IoT-Strukturen für Hacker eine riesige Angriffsfläche, um Netzwerke zu infiltrieren.
All diese IoT-Geräte haben IP-Adressen und damit auch direkt oder indirekt Zugang zum Internet. Aktuell gibt es weltweit etwa sechs Milliarden Geräte mit Netzzugang, Schätzungen zufolge soll diese Zahl in absehbarer Zeit noch auf 20 – 30 Milliarden steigen. Auf 90 Prozent dieser Geräte lässt sich jedoch keine Agenten- oder Sicherheits-Software zur Verwaltung installieren. Das ist ein riesiges Problem und eine riesige Herausforderung für die IT-Security von nahezu allen Unternehmen und Organisation - egal ob gross oder klein. So sehen sich Unternehmen aller Branchen, das Gesundheits- und Finanzwesen sowie Regierungen denselben Gefahren gegenübergestellt.
Online PC: Abhilfe für dieses Problem soll nun ja Forescout CounterACT schaffen. Wie funktioniert diese Lösung und welchen Funktionsumfang bietet sie?
Gumbel: Mit Forescout CounterACT, das wir seit nunmehr 16 Jahren entwickeln, wollen wir diesem Problem begegnen. Dabei handelt es sich um eine IoT-Security-Plattform, die im Wesentlichen drei Aspekte abdeckt: See, Control, Orchestrate.
Wir bieten unseren Kunden zunächst Sichtbarkeit (See) als Schlüsselfunktion. Dies erlaubt Unternehmen, sämtliche mit ihrem Netzwerk verbundenen Geräte zu identifizieren. Dabei spielt es keine Rolle, um welche Art von Gerät es sich handelt und welches Betriebssystem zum Einsatz kommt. Sei es nun eine Überwachungskamera, ein Netzwerkdrucker, eine Telefonanlage, ein Smart TV oder dergleichen. Solange das Gerät über eine IP-Adresse verfügt und über das Netzwerk verbunden ist, kann Forescout CounterACT es ausfindig machen. Die Lösung arbeitet agentenlos, es ist also keine zusätzliche Software auf den Geräten zur Verwaltung notwendig.
Dies erlaubt beispielsweise einem Krankenhaus, neben den üblichen Geräten wie etwa den PCs und Notebook der Verwaltung auch sämtliche BYOD-Geräte von angestellten Ärzten und Technikern sowie natürlich alle medizinischen Geräte mit Netzanschluss zu identifizieren. Erst hierdurch ist eine saubere automatische Klassifizierung und Verwaltung aller Geräte in der Netzwerkumgebung möglich.
Nachdem nun alle Geräte im Netzwerk ausgemacht sind, gilt es diese zu verwalten (Control). Hierzu segmentiert CounterACT das Netzwerk und bildet separate virtuelle LANs (VLAN). So kann etwa festgelegt werden, dass ein verbundenes medizinisches Gerät keinen Zugang zu Netzwerkbereichen erhält, die es nicht benötigt, wie beispielsweise SAP-Server oder Finanzdatenbanken, etc. Sollte ein Gerät dennoch versuchen, auf kritische Bereiche zuzugreifen, kann die Technologie dieses Gerät entweder blockieren und einen Administrator alarmieren oder das Gerät in einen Quarantänebereich verschieben. Und falls es sich bei der Anfrage um ein Neugerät handelt, das den Zugang zu diesen Bereichen ohnehin erhalten soll, kann über unsere Lösung auch die Berechtigung hierzu erstellt werden. Die Überwachung der Geräte und der einzelnen Zugangsrechte erfolgt dabei komplett automatisiert.
Abschliessend geht es noch um Orchestrierung der IT-Security. Viele Unternehmen haben sich im Laufe der Zeit unterschiedliche Sicherheitslösungen von verschiedenen Anbietern angeschafft, die leider nicht optimal miteinander arbeiten können. ForeScout bietet mit der Management Konsole „Orchestration Engine“, die über 80 verschiedene Sicherheitslösungen am Markt unterstützt, die Möglichkeit, sämtliche anfallenden Alarmmeldungen koordiniert zu verarbeiten.
Einblicke in die Amazon-Cloud
Online PC: CounterACT soll ja bald in einer neuen Version starten. Welche Neuerungen wird das Release umfassen?
Gumbel: In Zusammenarbeit mit AWS erlaubt CounterACT nun auch erstmals, seinen Kunden Sichtbarkeit für die Cloud anzubieten. Unternehmen können damit etwa herausfinden, auf welcher Hardware ihre Daten bei Amazon verarbeitet werden. Speziell im Bereich Sichtbarkeit arbeiten zudem wir beständig daran, die Genauigkeit der Lösung zu verbessern. Aktuell erkennt CounterACT standardmässig 1.000 verschiedene Technologien und Hersteller.
Online PC: Ist CounterACT vorwiegend für grössere Unternehmen interessant oder profitieren selbst kleine Unternehmen von der Lösung?
Gumbel: Ja, prinzipiell schon. CounterACT lässt sich sowohl in grossen Konzernen mit Millionen von IP-Adressen einsetzen, als auch in mittleren und kleinen Unternehmen mit wenigen Endpunkten. Intern arbeiten wir mit verschiedenen Sales- und Support-Teams, die sämtliche Segmente des Marktes abdecken und auf die Belange unserer Kunden eingehen.
Online PC: Speziell bei kleineren Unternehmen spielt der Installation- und Administrationsaufwand eine grosse Rolle. Wie einfach lässt sich CounterACT handhaben?
Markus Auer: Dank Autoklassifizierung und grosser Out-of-the-box-Erkennung ist unsere Lösung sehr einfach zu implementieren. Dies ist eine unserer grössten Stärken.
Beispielsweise hat in Deutschland ein Kunde mit einem Monitoring-Bedarf von rund 15.000 Geräten etwa vier Tage für eine komplette Implementierung benötigt. Dabei handelte es sich um eine ganzheitliche Lösung mitsamt aller genannter Funktionalitäten (Sichtbarkeit, Kontrolle und Orchestrierung). Erste Ergebnisse liegen aber bereits nach wenigen Stunden vor, sobald die Verbindung zu ersten Informationsquellen steht.
Online PC: Wie viele Kunden in Deutschland setzen bereits auf CounterACT?
Auer: In Deutschland zählen wir aktuell über 50 Kunden. Die Spanne reicht von mittelgrossen Unternehmen bis hin zu globalen Konzernen mit Zentralen in Deutschland und weltweiten Zweigstellen. Global hat ForeScout etwa 2.200 Enterprise-Kunden. Der Vertrieb erfolgt dabei über ein Partnernetzwerk.
Online PC: In jüngster Vergangenheit gab es vermehrt Angriffe durch kompromittierte IoT-Geräte, wie etwa die Attacke auf den Web-Dienstleister Dyn im vergangenen Jahr. Wie kann man solchen Angriffen aus dem IoT entgegenwirken?
Gumbel: Zunächst sollten sich Unternehmen um die Basics bei der IT-Sicherheit kümmern. So sollten etwa bei IP-Kameras die standardmässigen Login-Daten mit sicheren Kennwörtern ausgetauscht werden. Dadurch können diese Geräte nicht mehr mit einfachen Mitteln tausendfach infiziert und in Botnetzen zusammengeschaltet werden.
Online PC: Gibt es noch etwas, das Sie hinzufügen möchten?
Gumbel: Bislang sicherten wir vor allem den Büro und Verwaltungs-Bereich von Unternehmen ab. Seit einigen Monaten steigt nun aber auch die Nachfrage zur Absicherung weiterer Bereiche, wie etwa Rechenzentren, die Cloud, oder aber Operational Technology. Vor allem Operational Technology sehen wir als eine unserer grössten Wachstumsoptionen. Dank unserer Lösung haben Unternehmen die Möglichkeit, ihre Legacy-Systeme kontrolliert mit dem Netzwerk zu verbinden und abzusichern. Dabei handelt es sich um kritische Systeme aus den Bereichen Autobau, Öl und Gas oder Elektrizität sowie auch um SCADA-Umgebungen oder alte Mainframes, die noch in manchen Unternehmen im Einsatz sind.
Viele Unternehmen sehen sich gezwungen, diese Systeme mit dem Netzwerk zu verbinden. Der Umstieg auf neue Infrastruktur ist jedoch viel zu kostenintensiv. Daher werden beständig „dumme“ Legacy-Systeme über verschiedene Wege mit dem Unternehmensnetz verbunden. Dies erhöht allerdings mehr und mehr die Verwundbarkeit der Unternehmens-IT.