Synchronized Security als neue Sicherheitsstrategie

Die wirksamste Endpoint-Security-Lösung und die beste Firewall helfen bei vielen aktuellen Cyber-Bedrohungen nicht, wenn sie nicht zusammenarbeiten, sondern jeweils als Insellösungen betrieben werden. Das sagen die Sicherheitsexperten von Sophos.

"Wir haben bereits 2015 damit begonnen, die Firewall mit dem Endpoint-Schutz kommunizieren zu lassen. Wenn der Endpoint einen Virus bemerkt oder feststellt, dass eine nicht erwünschte Webseite angesurft wird, kann die Firewall umgehend sämtliche Kommunikation mit dem betroffenen Client unterbinden. So kann dieser gar nicht mehr auf schützenswerte Informationen zugreifen. Außerdem können darüber keine Informationen mehr das Unternehmensnetzwerk verlassen."

Der Vorteil liege darin, dass der Administrator im Dashboard genau sieht, wo die Infektion aufgetreten ist und welcher Nutzer dafür verantwortlich war. Die Isolation dieses Clients muss jedoch nicht manuell durchgeführt werden, sondern wird ganz automatisch von der Sicherheitslösung übernommen. Der Admin überprüft im Anschluss lediglich den Vorfall, so Christoph Riese von Sophos. "Welche Maßnahmen dann ergriffen werden, entscheidet der Administrator ganz individuell."

Mit der XG Firewall V17 hat das Unternehmen diese Lösungsart auch auf die Applikationskontrolle ausgeweitet. "Damit können Einschränkungen nicht mehr auf Ports oder auf IP-Ebenen stattfinden, sondern sogar auf einzelne Nutzer oder bei Bedarf sogar auf einzelne Applikationen."

Die Herausforderung hierbei liege darin, dass die verschiedenen Apps noch sehr stark variieren und sich ständig verändern. "Es gibt Anwendungen wie etwa Skype, die extra dafür konzipiert wurden, von Next-Generation-Firewalls nicht erkannt zu werden. Skype ist in diesem Fall eine von den "guten" Apps. Daneben finden sich jedoch noch diverse andere Applikationen im Netzwerk, die dem Admin verschleiern wollen, was sie eigentlich vorhaben." so Riese weiter.

Neben stationären Geräten will Sophos diese Lösung künftig auch auf drahtlose Geräte ausweiten. "Sobald der Acces-Point merkt, dass ein infizierter Client im Netzwerk ist, wird dieser direkt daraus entfernt. Alternativ kann er auch in ein Quarantäne-Netzwerk verschoben werden. Der Zugriff zum Update-Server bleibt bestehen, während die weitere Kommunikation jedoch unterbunden ist", erklärt Riese.