MITRE-ATT&CK-Framework und -Evaluierungen verstehen – Teil 2

(Hinweis: In Teil 1 haben wir uns das MITRE-ATT&CK-Framework näher angeschaut und erklärt, wie Sicherheitsprodukte auf ihre Wirksamkeit und Effizienz bei der Erkennung von Bedrohungen geprüft werden. Werfen Sie doch einen Blick hinein, falls noch nicht geschehen.)

Da Cyberangriffe in praktisch allen Bereichen zunehmen, war es noch nie so wichtig, Ihr Sicherheitskonzept auf dem Laufenden zu halten. Doch für CISOs ist es alles andere als leicht, bei den vielen verschiedenen Cybersecurity-Produkten den Überblick zu behalten. Wie können Sie sicherstellen, dass Sie genau das bekommen, wofür Sie bezahlen? Wir haben ein paar wichtige Tipps für Sie zusammengestellt:

  • Seien Sie vorsichtig bei einer hohen Zahl an nicht erkannten Bedrohungen, Verzögerungen und Konfigurationsänderungen: Viele Anbieter behaupten, dass ihre Tools eine hohe Erkennungsrate aufweisen, doch tatsächlich wurden viele der Ereignisse außerhalb des normalen Workflows identifiziert. Das bedeutet, dass auch Ihre Mitarbeiter über ihren regulären Workflow hinausgehen müssten, um diese Ereignisse zu erkennen. Anbieter mit vielen Konfigurationsänderungen sahen es als notwendig an, ihre Erkennungsfunktionen mitten im Test zu modifizieren. Versuchen Sie zu verstehen, ob diese Änderungen nachvollziehbar sind oder ob die Anbieter hier für den Test getrickst haben.
  • Seien Sie vorsichtig bei einer großen Anzahl an Telemetriedaten und wenigen Daten zu den Methoden: Anbieter, die mit ihren vielen Telemetriedaten prahlen, aber nur wenig zur Methode angeben, nutzen ein Tool, das keine automatisierte Zuordnung von Ereignissen bietet. Das bedeutet, dass Ihre Mitarbeiter dies manuell tun müssen oder dass es bei der Verknüpfung der einzelnen Punkte zu signifikanten Verzögerungen und Ungenauigkeiten kommen könnte. Verzögerungen führen zu längeren Reaktionszeiten und das bedeutet wiederum mehr Risiken.
  • Seien Sie vorsichtig bei Anbietern, die ihre eigenen Bewertungssysteme erfinden: Wir haben schon viele Anbieter gesehen, die schlechte Ergebnisse mit Statistiken und Zahlen zu verschleiern versuchen, die sie in einem guten Licht darstellen, aber in Wahrheit völliger Unfug sind. Angaben wie „Kontext pro Meldung“ und „100%ige Erkennung“ (wenn bei genauem Hinsehen klar wird, dass manche Bedrohungen einfach übersehen wurden) sind unsinnig. Lesen Sie das Kleingedruckte.

Capture Client und das MITRE-ATT&CK-Framework

Capture Client von SonicWall basiert auf SentinelOne, einer Technologie, die einen erstklassigen autonomen Endpoint-Schutz mit Next-Gen-Antivirenlösung, EDR (Endpoint Detection and Response, Erkennung von Bedrohungen auf Endgeräten und Einleitung angemessener Reaktionen) und Deep Visibility bietet. SentinelOne nimmt seit 2018 an den MITRE-ATT&CK-Evaluierungen teil und gehörte 2022 zu den Top-Performern (Emulation der Bedrohungsgruppen Wizard Spider und Sandworm). Hier ein kurzer Überblick darüber, warum SentinelOne einen besseren Schutz vor Angriffen gewährleistet als alle anderen Anbieter.

  1. Autonomer Schutz stoppt und neutralisiert Attacken unverzüglich
    Sicherheitsteams wünschen sich Lösungen, die sich genauso schnell weiterentwickeln wie die Methoden der Cyberkriminellen. Bei der MITRE-Evaluierung wird getestet, wie schnell die Produkte der Anbieter erkannte Ereignisse analysieren und eine automatisierte Problembehebung durchführen, um Systeme zu schützen.
    100%iger Schutz: (9 von 9 MITRE-ATT&CK-Tests)
    Quelle: www.sentinelone.com
  2. Am besten ist es, wenn Bedrohungen auf der Grundlage von Analysen erkannt werden
    Werden Bedrohungen mittels Analysen erkannt, handelt es sich um kontextbezogene Erkennungen, die auf Basis einer großen Menge an Daten erzielt werden und sich sowohl auf Techniken als auch auf Taktiken beziehen.
    100%ige Erkennungsrate: (19 von 19 Angriffsschritten)
    99 % – höchste Rate an analysebasierter Bedrohungserkennung: (108 von 109 erkannten Ereignissen)
    Quelle: www.sentinelone.com
  3. Verzögerungen bei der Erkennung von Bedrohungen beeinträchtigen die Cybersecurity-Effektivität
    Bei der Erkennung und Neutralisierung von Angriffen spielt Zeit eine kritische Rolle. Organisationen, die das Risikozeitfenster verkleinern möchten, sollten Funktionen zur Echtzeiterkennung und automatisierten Problembehebung in ihr Sicherheitsprogramm integrieren.
    100 % Echtzeit (0 Verzögerungen)
    Quelle: www.sentinelone.com
  4. Eine hohe Transparenz stellt sicher, dass keine Bedrohung unbemerkt bleibt
    Transparenz ist ein wichtiger Baustein von EDR-Funktionen und eine zentrale Kennzahl im Rahmen der MITRE-Engenuity-Tests. Um zu verstehen, was im Netzwerk passiert und Bedrohungen präzise aufzuspüren, müssen Cybersicherheitstechnologien umfassende Einblicke ermöglichen. Die Daten müssen sehr genau sein und Aufschluss darüber geben, was passiert ist, wo es passiert ist und von wem diese Ereignisse ausgingen – unabhängig von Geräteverbindung oder ‑typ.

Fazit

Die MITRE-Engenuity-ATT&CK-Evaluierungen sorgen für eine dringend benötigte Transparenz im EDR-Bereich. Die unabhängigen Tests sind extrem wichtig für die Sicherheitsbranche. Mitarbeiter oder Verantwortliche im Sicherheitsbereich sollten über die alleinige Nutzung von Zahlen hinausgehen und einen ganzheitlichen Blick darauf werfen, welche Anbieter eine hohe Transparenz und Erkennungsrate ermöglichen und dabei gleichzeitig ihre Sicherheitsteams entlasten. Diese produktorientierten Grundsätze orientieren sich an den MITRE-Engenuity-Zielen:

  1. Transparenz und Umfang von EDR-Funktionen sind absolut kritisch: Wirklich gute EDR-Lösungen sind in der Lage, Daten mithilfe der Cloud wirtschaftlich und in großem Umfang zu nutzen und Zusammenhänge herzustellen. Alle relevanten Daten sollten erfasst werden – es sollten keine oder zumindest nur sehr wenige übersehen werden –, um dem SecOps-Team umfassende Transparenz zu bieten. EDR-Lösungen sind auf umfangreiche Daten sowie die Erfassung sämtlicher Ereignisse angewiesen. Dies sind absolute Mindestvoraussetzungen und stellen eine wichtige MITRE-Engenuity-Kennzahl dar.
  2. Maschinell erstellter Kontext bzw. maschinell erzeugte Korrelationen sind unerlässlich: Korrelationen bedeuten, Zusammenhänge zwischen atomaren Datenpunkten herzustellen. Vorzugsweise wird eine Korrelation durch Maschinen und in Maschinengeschwindigkeit erzeugt, sodass Analysten keine wertvolle Zeit damit verlieren, Daten manuell zu verknüpfen. Darüber hinaus sollten Korrelationen für den Fall, dass sie benötigt werden, über einen langen Zeitraum in ihrem Originalkontext zugänglich sein.
  3. Die Konsolidierung von Warnmeldungen ist das A und O: „Fokus auf das Wesentliche“ ist nicht immer einfach für SOC- und moderne IR-Teams, die es mit einer regelrechten Informationsüberflutung zu tun haben. Anstatt Warnmeldungen zu jedem Telemetriedatensatz im Rahmen eines Vorfalls zu erhalten und bereits viel beschäftigte SOC-Teams weiter zu überlasten, sollten Sie eine Lösung wählen, die Datenpunkte automatisch in konsolidierten Warnmeldungen gruppiert. Idealerweise sollte die Lösung zusammenhängende Aktivitäten in zentralen Warnmeldungen zusammenführen, die Informationen auf Kampagnenebene bereitstellen. Dies reduziert den manuellen Aufwand, wirkt Alert-Fatigue entgegen und hat den Vorteil, dass wesentlich weniger Kenntnisse nötig sind, um auf Meldungen zu reagieren. All das bietet dem SOC deutliche Vorteile in Form von kürzeren Eindämmungszeiten und insgesamt reduzierten Reaktionszeiten.

Wenn Sie die erstklassigen Erkennungs- und Sicherheitsfunktionen von Capture Client aus erster Hand erleben möchten, klicken Sie hier und laden Sie die kostenlose Testversion herunter.

Wie die Supply-Chain-Strategien von SonicWall Wartezeiten verkürzen

Das Jahr 2022 sieht für Cybersicherheitskunden nicht besonders rosig aus. Einerseits warnen offizielle Stellen, Journalisten und Sicherheitsexperten davor, dass Angriffsflächen größer werden, die Cyberkriminalität zunimmt und Sie Ihr Sicherheitskonzept eigentlich schon gestern hätten upgraden sollen. Andererseits beklagen Anbieter von Cybersicherheitslösungen, dass die Komponenten, die Sie zum Schutz Ihrer Systeme benötigen, erst in einigen Monaten wieder vorrätig sein werden.

In manchen Fällen muss man sogar bis 2023 warten – wie können Sie da sicherstellen, dass Ihre Organisation gegen aktuelle Cyberbedrohungen gewappnet ist?

„Wenn Sie nächstes Jahr eine Firewall möchten, rufen Sie die anderen an. Wenn Sie nächste Woche eine möchten, rufen Sie uns an.“

Für SonicWall-Kunden sieht die Sache ganz anders aus. Die Produkte sind auf Lager, wenn sie gebraucht werden, und die Lieferzeit beträgt nur einen Bruchteil der Zeit im Vergleich zu anderen Anbietern.

Aktuell bearbeitet SonicWall 95 % der Aufträge innerhalb von 3 Tagen.

Vor der Pandemie waren solche Lieferzeiten hervorragend – heute sind sie so gut wie unmöglich. Noch erstaunlicher ist: Wir können diese Lieferzeiten bieten, obwohl wir so viele Aufträge haben wie noch nie. In letzter Zeit konnten wir 33 % neue Kunden gewinnen und den Umsatz mit Neukunden um 45 % steigern – nicht zuletzt durch die Einführung unserer Gen-7-Produktlinie und dank außergewöhnlicher Ergebnisse in unabhängigen Tests sowie zahlreicher Branchenauszeichnungen.

Um zu begreifen, warum das eine so große Leistung ist, lassen Sie uns einen Blick darauf werfen, warum solche Lieferzeiten heute eher die Ausnahme als die Regel sind.

Anhaltend angespannte Lieferketten

Bei der COVID-19-Pandemie spricht man oft von einem Dominoeffekt. Doch wenn es um die Fertigung und Lieferung geht, passt die Bezeichnung „Erdbeben“ wesentlich besser, da die unvorhersehbaren Nachbeben deutlich größere Auswirkungen verursachen als das ursprüngliche Ereignis.

So haben alle Bereiche mit Materialknappheit, gestiegenen Kosten und Lieferschwierigkeiten zu kämpfen. Knapp 94 % der Fortune-1000-Unternehmen berichten von pandemiebedingten Unterbrechungen der Lieferkette.

In einer Welt, in der nur wenige Dinge dort produziert werden, wo sie letztlich gekauft werden, ist die Lieferung einer der wichtigsten Schritte in der Lieferkette. Seefrachttransporte verzögern sich aktuell um zwölf Wochen oder mehr – und diese Verzögerungen nehmen nur noch weiter zu, da Verbraucher mehr kaufen und die Engpässe so schlimmer werden.

Im Hafen von Los Angeles wurden letztes Jahr mehr Container abgefertigt als in allen Jahren davor, wobei die Rekordzahl von 13 % übertroffen wurde. Für März 2022 liegen aktuell zwar noch keine Zahlen vor, doch sowohl im Januar als auch im Februar 2022 wurden neue Rekorde verzeichnet, was darauf hindeutet, dass die Zahl dieses Jahr noch höher liegen könnte.

Diese enorme Menge bringt nie da gewesene Herausforderungen mit sich: Der New York Times zufolge steckten in den letzten Monaten Containerschiffe durchschnittlich eine Woche in Häfen fest. Das ist eine Zunahme von 4 % verglichen mit dem Gesamtjahr 2021 und eine Zunahme von 21 % seit Beginn der Pandemie.

Auf dem Festland sieht die Containersituation nicht viel besser aus: Berichte von kilometerlangen Staus bei Zügen sind keine Seltenheit und in Speditionsunternehmen fehlt es an knapp 80.000 Mitarbeitern.

Obwohl alle Branchen betroffen sind, ist die weltweite Chipknappheit für Sicherheitsanbieter und andere Techunternehmen besonders kritisch. Viele Unternehmen sind einfach nicht in der Lage, die nötigen Produkte zu liefern und die Sicherheitsanforderungen ihrer Kunden zu erfüllen.

Die Geheimwaffe von SonicWall: vorausschauende Planung

Mit diesen Problemen haben alle zu kämpfen. Doch was genau wurde dagegen unternommen? Wie es aussieht, nicht viel. Anfang 2022 befragte das Beratungsunternehmen AlixPartners 3.000 CEOs zu diesem Thema. Das Ergebnis: Nur weniger als die Hälfte implementierte längerfristige Maßnahmen, um die Supply-Chain-Herausforderungen zu bewältigen. Der Großteil setzte auf kurzfristige Lösungen.

SonicWall konnte deswegen so erfolgreich sein, weil sich das Unternehmen von Anfang an diesem Trend widersetzte. Aktuell besteht das Ziel darin, sicherzustellen, dass jedes bestellte Produkt auf Lager und versandfertig ist. Dazu musste SonicWall viele interne Abläufe ändern und auch die Zusammenarbeit mit Lieferanten sowie den Produktversand anpassen – ein Prozess, der schon vor einiger Zeit begann.

Vor mehr als 18 Monaten bemerkte das operative Team bei SonicWall, dass sich die Lieferzeiten verlängerten. Diese Veränderung war anfangs kaum merklich: Lieferanten konnten den ursprünglich vereinbarten Termin nicht einhalten und die Lieferungen verzögerten sich um ein oder zwei Wochen. Zwar teilten die Lieferanten zu diesem Zeitpunkt nicht offiziell mit, dass sich die Lieferzeiten verlängern. Diese Verzögerungen reichten jedoch aus, um das Supply-Chain-Management-Team von SonicWall zu warnen.

In dieser Phase plante das Unternehmen rund sechs bis neun Monate im Voraus. Als Reaktion auf die zunehmenden Verzögerungen wurde dieser Zeitraum auf circa zwölf Monate verlängert, für manche Produkte auch auf 16 Monate. Durch diese Strategie konnte sichergestellt werden, dass Partner und Kunden im Fall, dass ein Teil der Lieferkette überstrapaziert oder unterbrochen wird, möglichst wenig davon betroffen sind.

Gleichzeitig begann SonicWall, mit seinen Lieferanten betroffene Komponenten zu identifizieren und Produkte in kurzer Zeit anzupassen (ohne Abstriche bei der Performance oder den Funktionen zu machen), um vorrätige Teile nutzen zu können. Dies hat nicht nur Vorteile für die Produktion, sondern reduziert auch die Wahrscheinlichkeit, dass eine werkseitige Verzögerung den Prozess in irgendeiner Phase beeinträchtigt.

Auch bei der Lieferung hat SonicWall eine flexible Lösung gefunden. Weil sich die Zeit von der Abholung der Produkte im Lager eines Lieferanten bis zur Ankunft in einem SonicWall-Lager von vier Wochen auf acht bis zwölf Wochen verlängerte, halten Supply-Chain-Manager kontinuierlich Ausschau nach Häfen, die in zwei bis drei Monaten wahrscheinlich am wenigsten überlastet sein werden. Und wenn es schwierig ist, Lagercontainer zu finden oder einen Transport zeitnah zu buchen, werden Produkte bei Bedarf auch auf dem Luftweg versandt.

Während viele unserer Wettbewerber Schwierigkeiten haben, ihre Auftragsbücher zu füllen, konnten wir mit diesen Maßnahmen einen guten Bestand an Produkten aufbauen und Kunden die benötigten Lösungen dann liefern, wenn sie diese brauchen. Falls Ihr aktueller Anbieter von Sicherheitslösungen Lieferschwierigkeiten hat, wenden Sie sich an einen SonicWall-Experten – dann können Sie Ihre neue Lösung schon heute in einer Woche in Betrieb nehmen.

BEC-Angriffe: das steckt hinter der 26-Milliarden-USD-Betrugsmasche

Warum sollten Cyberkriminelle Verschleierungstools nutzen, mehrstufige Cyberangriffe planen, Endpunkte verschlüsseln und um die Höhe des Lösegelds feilschen – wenn sie einfach nur nach dem Geld fragen müssen? Genau das ist das Konzept hinter Business-E-Mail-Compromise (BEC) – einer Art von Cyberangriffen, die in den letzten Jahren dramatisch zugenommen hat.

Das Internet Crime Complaint Center (IC3) der US-Regierung, das diese Angriffe seit 2013 beobachtet, bezeichnet BEC als 26-Milliarden-USD-Betrugsmasche – obwohl diese Zahl vor dem Hintergrund steigender Angriffszahlen und der zunehmenden Nutzung von E-Mails während der Pandemie wahrscheinlich schon veraltet ist.

Während aufsehenerregende Ransomware-Angriffe nach wie vor die Schlagzeilen beherrschen, sind BEC-Attacken für deutlich höhere Verluste verantwortlich. Zum Beispiel verursachten BEC-Angriffe im Jahr 2020 allein in den USA einen Schaden in Höhe von 1,8 Milliarden USD und machten schätzungsweise 40 % der cyberkriminellen Schäden weltweit aus.

Die Anatomie eines BEC-Angriffs

Auch wenn BEC-Angriffe als eine Art Phishing-Angriffe betrachtet werden, nutzen sie weder schädlichen Code noch bösartige Links. Stattdessen kommt hier Social Engineering zum Einsatz. Diese Angriffe richten sich speziell an Organisationen, die rechtmäßige Überweisungsanfragen bearbeiten und bei denen fast immer hochrangige Führungskräfte für die Compliance zuständig sind.

Laut dem von SonicWall gesponserten Osterman-Whitepaper How to Deal with Business Email Compromise (So werden Sie mit Business-E-Mail-Compromise fertig) nutzen BEC-Akteure kostenlose Services wie Gmail, um E-Mail-Adressen zu erstellen, die den Adressen hochrangiger Führungskräfte zum Verwechseln ähnlich sind. In selteneren Fällen verschaffen sie sich mittels Phishing-Angriffen oder anderer Mittel Zugang zu den tatsächlichen E-Mail-Konten leitender Angestellter.

Image describing phishing

Oben sehen Sie eine BEC-E-Mail, die ich erhalten habe. Beachten Sie, wie der Verfasser einen Eindruck von Wichtigkeit und Dringlichkeit wecken will – die Nachricht scheint vom CEO von SonicWall zu kommen, obwohl sie von außerhalb des Unternehmens stammt. Bei dieser Nachricht handelt es sich um einen ziemlich plumpen Versuch. Meist sind solche E-Mails sprachlich und vom gesamten Erscheinungsbild wesentlich besser gemacht.

Sobald der Angreifer über eine authentische E-Mail-Adresse verfügt, nutzt er Social-Engineering-Taktiken, um das Opfer aufzufordern, entweder eine Zahlung einer gültigen Rechnung auf sein eigenes Bankkonto zu veranlassen, eine gefälschte Rechnung zu begleichen oder ein Gehalt eines Angestellten auf ein kriminelles Bankkonto zu überweisen.

Da diese betrügerischen E-Mails ein Gefühl der Dringlichkeit vermitteln und von einem CEO, einem CFO oder einem anderen hochrangigen Angestellten zu kommen scheinen, sind die Opfer meist sehr darum bemüht, den Anfragen so schnell wie möglich nachzukommen. Wenn sich Mitarbeiter auf diese Weise hereinlegen lassen, verliert das Unternehmen eine große Summe Geld und der Cyberkriminelle freut sich über ein weiteres erfolgreiches Geschäft.

Wie häufig sind BEC-Angriffe?

BEC-Angriffe wurden in jedem US-Bundesstaat sowie in 177 Ländern auf der ganzen Welt registriert. Dem jüngsten IC3-Bericht zufolge wurden knapp 20.000 dieser Angriffe allein im Jahr 2020 gemeldet – die Dunkelziffer ist wahrscheinlich höher, wenn man bedenkt, dass vier von fünf Organisationen laut der Osterman-Studie 2021 von mindestens einem BEC-Angriff betroffen waren. Beim Mittelstand (500 bis 2.500 E-Mail-Nutzer) stieg diese Zahl sogar auf neun von zehn Unternehmen.

Schlimmer noch: Knapp 60 % der befragten Organisationen gaben an, Opfer eines erfolgreichen oder fast erfolgreichen BEC-Angriffs geworden zu sein. Bei einem erfolgreichen Angriff entstand ein enormer Schaden für das betroffene Unternehmen: Durch die direkten und indirekten Kosten lagen die finanziellen Auswirkungen erfolgreicher BEC-Angriffe insgesamt bei 114.762 USD. Zwar sind die direkten Kosten für das einzelne Unternehmen durchaus signifikant. Dennoch sind sie oft zu gering, als dass sie Hilfe von Strafverfolgungsorganen und Versicherungsunternehmen erwarten könnten.

BEC-Angriffe lassen sich durchaus stoppen (aber vielleicht nicht so, wie Sie denken).

Viele andere Angriffe nutzen bösartige Links und schädlichen Code, die von Anti-Malware-Lösungen und sicheren E-Mail-Gateways aufgespürt werden können. Aber die Social-Engineering-Taktiken, die bei BEC-Angriffen zum Tragen kommen – besonders solche, bei denen eine legitime E-Mail-Adresse genutzt wird –, werden von diesen Lösungen oft nicht entdeckt.

Obwohl drei Viertel der Befragten meinen, dass der Schutz vor diesen Angriffen einen hohen Stellenwert für sie hat, setzen viele von ihnen immer noch vorwiegend auf Technologien, die nie dafür konzipiert wurden, BEC-Angriffe zu stoppen.

Es gibt nicht viel, was Sie tun können, um zu verhindern, zu den 80 % (Tendenz steigend) der Unternehmen zu gehören, die jedes Jahr von BEC-Angriffen betroffen sind – aber es gibt viele andere Maßnahmen, die Sie treffen können, um Ihre Organisation vor finanziellen Schäden zu schützen. Im Wesentlichen gibt es drei wichtige Säulen: Personen, Prozesse und Technologien.

Technologien sind Ihre erste Verteidigungslinie gegen BEC-Angriffe. Viele Lösungen kommen mit dem Versprechen, BEC-Angriffe abzuwehren, doch ihre Effektivität variiert deutlich. Für einen bestmöglichen Schutz sollten Sie eine Lösung wählen, die BEC-Angriffe blockiert und gleichzeitig Mitarbeitern Unterstützung und Orientierung bietet.

Ist Ihnen im oben aufgeführten Beispiel die Meldung aufgefallen, die den Empfänger warnt, dass die E-Mail von außerhalb der Organisation gesendet wurde? Solche Warnmeldungen mögen zwar simpel sein, aber sie können den Unterschied machen: Ist der BEC-Versuch erfolgreich oder wird die E-Mail vom Empfänger geprüft und gelöscht?

Besonders in Unternehmen, die immer noch auf traditionelle Sicherheitstechnologien setzen, ist die Schulung von Mitarbeitern unerlässlich, um einen zusätzlichen Schutz zu gewährleisten. Angestellte sollten sensibilisiert werden, nach gespooften E-Mail-Adressen, untypischer Grammatik und Syntax sowie ungewöhnlich dringlichen Nachrichten Ausschau zu halten.

Im Falle besonders raffinierter Versuche sollte es genau definierte Prozesse für den Fall geben, dass eine BEC-E-Mail in den Posteingang gelangt und vom Empfänger nicht als solche erkannt wird. Es gibt einige Maßnahmen, die oft eine erfolgreiche letzte Verteidigungslinie gegen BEC-Angriffe bilden, zum Beispiel Out-of-Band-Bestätigungen oder die Vorgabe, dass Anfragen zur Änderung der Bankverbindung durch mehrere Personen geprüft werden müssen.

Ransomware lauert überall

 Dass sich Ransomware auf dem Vormarsch befindet, ist kein Geheimnis. Im SonicWall Cyber Threat Report 2022 meldeten die Bedrohungsexperten des SonicWall Capture Labs 623,3 Millionen Ransomware-Angriffe weltweit, was einer Zunahme von 105 % gegenüber dem Vorjahr entspricht. Viele Branchen sahen sich mit einem drei- oder gar vierstelligen Anstieg konfrontiert, darunter Behörden (+ 1.885 %), Healthcare (+ 755 %) und Bildung (+ 152 %).

Falls Ihre Organisation von solchen Angriffen bisher verschont blieb, könnten Sie versucht sein, Ransomware als ein seltenes Phänomen abzutun, das nichts mit Ihnen zu tun hat. Vor zehn Jahren wäre man damit vielleicht noch gut gefahren, aber heute berührt Ransomware jeden Aspekt unseres Lebens.

Um aufzuzeigen, wie weit Ransomware verbreitet ist und wie sie unser aller Leben beeinflussen kann, haben wir uns einen fiktiven Tag ausgedacht, der auf jeden Geschäftsreisenden zutreffen könnte. Stellen Sie sich Folgendes vor:

Um 07:00 Uhr in der Früh klingelt der Wecker Ihres Apple iPhones. Ein neuer Tag beginnt. Nach einer Dusche mit Avon-Duschlotion schlüpfen Sie in Ihre Guess-Hose und Ihren Blazer von Boggi Milano. Sie schnappen sich Ihre Tasche von Kenneth Cole und machen sich auf den Weg.

Auf Ihrer Fahrt in Ihrem Honda Passport schalten Sie Ihren Lieblings-Sportpodcast ein und hören sich die Spielzusammenfassung der San Francisco 49ers vom letzten Abend an. Sie sind so vertieft darin, dass Sie fast vergessen zu tanken. Sie nehmen sich noch eine Cola mit für den Fall, dass Sie etwas länger auf Ihren Flug warten müssen.

Am Flughafen angekommen, checken Sie ein und suchen sich einen ruhigen Platz, an dem Sie ungestört arbeiten können. Sie haben Glück: Die Lounge ist leer. Sie packen Ihre Bose-Ohrhörer aus und streamen Radiohead auf Ihrem Laptop, während Sie auf das Boarding warten.

Ihr Flug verläuft ohne Zwischenfälle und am Hartsfield-Jackson International ist fast genauso wenig los wie am Cleveland Hopkins International. Nach dem ganzen Hin und Her könnten Sie aber etwas zu essen vertragen. In Terminal A gibt es einen McDonald’s und Sie bestellen sich einen Cheeseburger.

Es war ein langer Tag, aber der Abend ist noch jung und Sie überlegen, etwas zu unternehmen. Auf Ihrem Weg zum Ritz Carlton überlegen Sie es sich anders: Sie stoppen bei Barnes and Noble, nehmen sich einen Comic und eine Packung SweeTarts mit und freuen sich auf einen ruhigen, gemütlichen Abend.

Laut Fernsehprogramm läuft ein NBA-Spiel im TV, aber es beginnt erst um 21:00 Uhr. So haben Sie ein paar Minuten Zeit, sich in Kronos einzuloggen und schon mal mit der Kostenabrechnung anzufangen. Sie gönnen sich noch eine warme Dusche, ziehen sich Ihren Schlafanzug an und schlüpfen in Ihre Hausschuhe. Nachdem Sie morgen noch einen langen Tag mit vielen Meetings vor sich haben, wird es langsam Zeit fürs Bett.

Drei neue Firewalls mit dreimal höherer Performance sowie drei leistungsstarke Updates

Massive Verbesserung beim Firewall-(3x), Threat-Prevention-(3x) und TLS-Durchsatz (>6x)

Letztes Jahr hat die Cyberkriminalität nie da gewesene Ausmaße erreicht, insbesondere im Hinblick auf hoch entwickelte Bedrohungen wie Ransomware. Allein bis Mai registrierte SonicWall 226,3 Millionen Ransomware-Angriffe – eine Zunahme von 116 Prozent im Vergleich zum Vorjahr. Auch andere Angriffsformen wie Cryptojacking, verschlüsselte Bedrohungen und IoT-Attacken sind auf dem Vormarsch.

SonicWall entwickelt kontinuierlich seine Boundless-Cybersecurity-Plattform weiter, um sicherzustellen, dass Kunden jederzeit Zugriff auf die neuesten Lösungen, Services, Tools und Technologien haben. Und weil Cyberkriminelle immer dreister und gewiefter werden, konzentrieren sich unsere neuesten Releases insbesondere darauf, die Geschwindigkeit, Sicherheitseffizienz und Bedrohungsprävention zu optimieren. Auf diese Weise helfen wir Organisationen, ihre mobilen Mitarbeiter auf kosteneffektive Weise zu schützen.

Neben Ergänzungen zu unseren beliebten NSa– und NSsp-Next-Generation-Firewall-Reihen umfasst unser optimiertes Boundless-Cybersecurity-Konzept auch neue und aktualisierte Tools und Services.


Neue Next Generation Firewalls

Die drei neuen SonicWall Firewalls NSa 4700, NSa 6700 und NSsp 13700 bieten einen dreimal höheren Threat-Protection-Durchsatz und ermöglichen es großen Unternehmen und anderen Organisationen so, die Sicherheit ohne Abstriche bei der Performance zu erhöhen.

Sie alle unterstützen den neuesten TLS-1.3-Verschlüsselungsstandard für eine bessere Performance und Sicherheit und sind mit SonicOS 7.0.1 ausgestattet: Dieses Betriebssystem kommt mit einer modernen Benutzererfahrung, erweiterten Sicherheitskontrollen und Geräteansichten sowie kritischen Netzwerk- und Managementfunktionen.

Und das ist nicht alles: Weil die Appliances mit der leistungsstarken SonicWall Capture ATP-Sandbox inklusive patentierter Real-Time Deep Memory Inspection™-Technologie ausgestattet sind – die beim „Advanced Threat Detection“-Zertifizierungstest Q1/2021 von ICSA Labs 100 Prozent der möglichen Punkte erreichte –, können Sie sicher sein, dass Ihr Netzwerk von einer der besten Threat-Protection-Lösungen auf dem Markt geschützt wird.

SonicWall NSa 4700 und NSa 6700: Diese Firewalls bieten in mittelgroßen Netzwerken eine dreimal höhere Performance bei der Bedrohungsabwehr sowie mit die höchste Portdichte ihrer Klasse bei geringeren TCO. Die NSa 4700 erreicht einen Firewall-Durchsatz von 18 GBit/s (vs. 6 GBit/s für die NSa 4650), die NSa 6700 sogar 36 GBit/s (verglichen mit 12 GBit/s für die NSa 6650). Die NSa 4700 und NSa 6700 wurden mit besonderem Augenmerk auf eine hohe Skalierbarkeit konzipiert, sodass Sie Millionen Nutzer auf sichere Weise verbinden können. Die 6700er-Appliance unterstützt sowohl 40-G- als auch 25-G-Konnektivität für einen Multi-Gigabit-Bedrohungsschutz.

SonicWall NSsp 13700: Diese High-End-Firewalls unterstützen auf sichere Weise Millionen verschlüsselter Verbindungen. Sie helfen, Engpässe zu vermeiden, und bieten Unternehmen, Serviceprovidern, Behörden und MSSPs einen ultraschnellen Bedrohungsschutz, der selbst den anspruchsvollsten Anforderungen dynamischer Organisationen gerecht wird. Die verbesserte Skalierbarkeit und hohe Portdichte (einschließlich 100-, 40-, 25- und 10-GbE-Ports) der NSsp 13700 ermöglichen es Ihrem Unternehmen, ohne Probleme zu wachsen und sich stärker zu vernetzen.


Neue und aktualisierte Lösungen


Sonicwall Capture Labs Portal:
Dieses Portal bietet einen kostenlosen und zentralisierten Zugriff auf Sicherheitsnews und Informationen, die von den Threat-Research-Teams von SonicWall zusammengetragen werden. Dank echtzeitnaher Updates erhalten User einen Überblick über die weltweite Hackeraktivität und können so in kürzester Zeit feststellen, ob sie Maßnahmen treffen müssen, um sich vor neuen Bedrohungen, Angriffsvektoren und Schwachstellen zu schützen.

Das SonicWall Capture Labs Portal bietet auch eine Reihe leistungsstarker Threat-Research-Tools, mit denen Benutzer Bedrohungsinformationen, Daten zu CVEs, IP-Reputation und URL-Reputation sowie SonicWall-Datenbanken mit Produktinformationen von einer zentralen Oberfläche aus durchsuchen können.

SonicWall NSM 2.3: Dank leistungsstarker neuer Funktionen vereinfacht der Network Security Manager (NSM) 2.3 die Implementierung und Verwaltung verteilter Netzwerke. Mit den intuitiven und selbstgesteuerten neuen Workflows können Sie sichere SD-WAN-Netzwerke und Application-Routing-Services von einem zentralen Ort aus über sämtliche Sites hinweg implementieren, bereitstellen und verwalten.

Dank eines Templates können Hunderte Standorte mithilfe einer einzigen automatischen Template-Konfiguration eingerichtet werden. Somit entfällt eine manuelle Konfiguration für jeden Standort. Schließlich können Netzwerkadministratoren mithilfe der wizardbasierten VPN-Set-up- und Monitoring-Tools und eines wiederholbaren selbstgesteuerten Workflows unabhängig von ihren Kenntnissen schnell und fehlerfrei Site-to-Site-Verbindungen herstellen. Dieses Feature bietet auch einen Überblick über die Aktivitäten, den Sicherheitsstatus und die Performance der gesamten VPN-Umgebung.

SonicWall Analytics 3.1: Diese Lösung verbessert die Netzwerktransparenz und das Reporting über Sicherheitsgeräte, Nutzer, VPN-Verbindungen etc. hinweg. Das Mitarbeiterverhalten lässt sich in Kategorien wie „produktiv“ und „unproduktiv“ einteilen, sodass Nutzer die Produktivität ihres Teams optimieren können.

Analytics 3.1 bietet eine umfassende, einheitliche und transparente Übersicht über die Webanwendungs- und Internetnutzung ihrer Mitarbeiter. Auf diese Weise wissen Sie jederzeit, ob riskante Anwendungen aufgerufen werden, wie viel Bandbreite (von wem) genutzt wird und ob die Aktivitäten während oder außerhalb der Arbeitszeit stattfinden.

Cloud Edge 1.1: Mit speziellen Funktionen zur Prüfung des Gerätezustands können Sie sicherstellen, dass nur Geräte mit bestimmten Attributen eine Verbindung zum Netzwerk herstellen. Das Update umfasst auch Funktionen zur Kontrolle des Netzwerkverkehrs: Diese sorgen dafür, dass für Ressourcen eine Layer-3- und Layer-4-Zugriffskontrolle basierend auf Benutzergruppen, IP-Adressen, Ports und Netzwerkprotokollen durchgesetzt wird.

Wenn Sie mehr über die neuen Produkte und Verbesserungen von SonicWall erfahren möchten, werfen Sie einen Blick auf die offizielle Pressemitteilung, kontaktieren Sie einen SonicWall-Sicherheitsexperten oder klicken Sie, falls vorhanden, auf die jeweiligen Produktnamen, um weiterführende Informationen zu den neuen oder aktualisierten Lösungen zu erhalten.

 

Braucht Ihr Netzwerk einen Türsteher?

Stellen Sie sich vor, Sie machen einen Club auf. Sie nehmen sich den besten Innenarchitekten, kaufen den besten Wodka und stellen den besten Barmann ein, den Sie finden können. Ihr Club wird mit großem Erfolg eröffnet und entwickelt sich sofort zur angesagtesten Location in der ganzen Stadt.

Nach einem Monat ist alles vorbei und Sie müssen Ihren Laden schließen. Wie sich später herausstellt, war es keine gute Idee, jeden hereinzulassen.

Das gilt doppelt und dreifach, wenn es um Ihr Netzwerk und die Cybersicherheit geht. Könnten Sie gut schlafen, wenn Ihr Unternehmen keinerlei Einblick in einen Bereich hätte, der häufig Probleme und Compliance-Risiken verursacht? Wohl eher nicht. Leider gibt es noch viele Organisationen, die sich keine allzu großen Gedanken über die Prüfung ihres verschlüsselten Datenverkehrs machen und sich dabei offensichtlich in Sicherheit wiegen.

Lassen Sie uns aber erst einmal einen Blick darauf werfen, was verschlüsselte Bedrohungen überhaupt sind: Einfach gesagt, lässt sich mittels SSL (Secure Sockets Layer) ein verschlüsselter Tunnel für die sichere Datenübertragung über eine Internetverbindung erstellen. TLS (Transport Layer Security) ist eine neuere, sicherere Version von SSL.

TLS und SSL bieten handfeste Vorteile für die Sicherheit von Websitzungen und Internetverbindungen. Dennoch nutzen Cyberkriminelle diese Verschlüsselungsstandards zunehmend, um beispielsweise Malware, Ransomware und Zero-Day-Angriffe zu verbergen. Schätzungen zufolge sind heute 35 Prozent der Bedrohungen verschlüsselt – Tendenz steigend (Quelle: Gartner).

Wenn es um die zuverlässige Überprüfung des SSL- und TLS-Datenverkehrs zur Erkennung bösartiger Cyberangriffe – speziell mit Deep Packet Inspection (DPI) – geht, fürchten viele Organisationen einen Anstieg der Komplexität, oder sie sind sich einfach nicht der Notwendigkeit bewusst, ihre Daten zu scannen. Diese Haltung ist extrem gefährlich, da herkömmliche Sicherheitslösungen weder die nötige Funktionalität noch die Leistung besitzen, um Cyberangriffe, die das Firmennetz via HTTPS-Verkehr erreichen, zu erkennen, zu inspizieren und zu neutralisieren.

Wenn wir auf unser Beispiel mit dem Club zurückkommen, hätte ein Türsteher mit großer Wahrscheinlichkeit die erfolgreiche Fortführung des Lokals ermöglicht und Ihnen eine schmerzvolle Schließung aufgrund mangelnder oder nicht vorhandener Kontrollen erspart.

In gleicher Weise kann eine gründliche Prüfung des verschlüsselten Verkehrs den Unterschied zwischen einer erfolgreichen Erkennung und Blockierung von Bedrohungen und den katastrophalen Folgen eines erfolgreichen Cyberangriffs bedeuten. Das ist besonders vor dem Hintergrund ständig zunehmender, verschlüsselter Bedrohungen wichtig.

Stellen Sie sich vor, Ihr Club hätte einen Dresscode. Egal ob Sie modische Ausgehkleidung oder Jackett und Krawatte vorschreiben würden – ohne einen Türsteher hätten Sie keine Möglichkeit, die Einhaltung zu überwachen. Und was noch schlimmer ist: Da niemand die Mäntel kontrolliert, würden Sie auch nicht erfahren, ob einer der Gäste unter seinem khakifarbenen Trenchcoat vielleicht ein Eishockey-Trikot oder ein T‑Shirt mit einer unangemessenen Botschaft trägt.

So ähnlich verhält es sich auch mit einer Content-Filtering-Lösung und dem verschlüsselten Verkehr. Mittlerweile treffen 80 bis 90 Prozent des Datenverkehrs über verschlüsselte Verbindungen mit HTTPS ein. Veraltete Content-Filtering-Lösungen liefern dabei komplett verfälschte Ergebnisse (Quelle Google-Transparenzbericht). Sie sind nur begrenzt effizient, wenn es darum geht, die Ziel-Webseite zu identifizieren und zu entscheiden, wie mit potenziellen Bedrohungen umgegangen werden soll. Da Sie nicht sehen können, was sich unter der Oberfläche abspielt, laufen Sie Gefahr, dass sich Bedrohungen unbemerkt Eintritt verschaffen.

In gleicher Weise sind Sandboxing-Lösungen bei verschlüsselten Bedrohungen nur von begrenztem Nutzen. Gelingt es einem Hacker, eine verschlüsselte Verbindung zwischen dem Controller des Bedrohungsakteurs und einem Endpunkt herzustellen, kann er Dateien hin- und herübertragen – inklusive zusätzlicher Malware. In den meisten Fällen haben Unternehmen eine einzige Sandboxing-Lösung, die alle Dateien auf böswilligen Code scannt, bevor sie ins Netzwerk gelassen werden.

Bei verschlüsselten Verbindungen ist die Sandboxing-Lösung allerdings nutzlos, da ein Zugriff auf die Dateien, die zwischen einem C2-System und dem Endpunkt übertragen werden, nicht möglich ist. Die Lösung erkennt zwar den verschlüsselten Datenverkehr zwischen zwei IPs, kann die Dateien aber nicht inspizieren.

Um noch mal auf das Beispiel mit dem Club zurückzukommen: Stellen Sie sich Ihren Türsteher als einen erfahrenen Profi vor, der die Szene seit 20 Jahren kennt und potenzielle Randalierer auf eine Meile Entfernung wittert. Wenn Sie keinen Security-Mitarbeiter am Eingang haben, der sofort erkennt, wer zu einer Gefahr für sich selbst und andere werden kann, steht Ihr Lokal buchstäblich jedem offen. Denn für andere, die nicht darin geübt sind, Problemgäste zu erkennen, sehen Troublemaker wie alle anderen aus – bis es zu spät ist.

Und manchmal geht es nicht nur darum, wer in den Club (oder ins Netzwerk) hineinkommt, sondern wer hinausgeht. Viele Sicherheitslösungen bieten zwar Schutz vor Datenverlust, aber durch die Verschlüsselung bleibt der Datenraub oft unentdeckt. Angreifer können – egal ob sie zum Unternehmen gehören oder von außerhalb kommen – private oder vertrauliche Daten stehlen, ohne dass jemand davon Wind bekommt. Sobald sie genügend Informationen gesammelt haben, setzen sie dann Ransomware ein, um ihre Opfer zu erpressen.

Herkömmliche Gateway-Appliances, die keine Datenentschlüsselung unterstützen oder bei denen die Funktion nicht aktiviert ist, können diesen Datenverkehr nicht inspizieren. Dabei gehen die Risiken weit über Trojaner, Ransomware und Malware hinaus. Das Herausschleusen vertraulicher Daten kann schnell zu Compliance-Problemen und der Verletzung von Vorgaben wie z. B. HIPAA, PCI oder DSGVO führen.

Wurde Ihr Club geschlossen, weil Gäste beim Verlassen des Lokals mit Getränken erwischt wurden oder weil Mitarbeiter dabei beobachtet wurden, wie sie Flaschen herausschmuggeln? Das Problem hier ist, dass nicht nur Ihre Gäste und Mitarbeiter etwas Verbotenes tun, auch Sie verstoßen gegen Gesetze. Und manchmal können die Strafen für die Nichteinhaltung gesetzlicher Vorschriften – egal, ob es sich um lokale Verordnungen für Kneipen oder staatliche Compliance-Vorgaben für große Unternehmen handelt – existenzbedrohend sein oder zu einer Schließung führen.

In beiden Fällen ist die Lösung die gleiche: Sie brauchen einen furchtlosen und effizienten Wächter, der intelligent genug ist, zu wissen, wen er hineinlässt und wen er draußen lässt, und dabei so geschickt agiert, dass es nicht zu langen Warteschlangen vor der Tür kommt.

Wenn Sie mehr darüber erfahren wollen, was Sie brauchen, um den verschlüsselten Datenverkehr in Ihrem Unternehmen zu überprüfen, dann klicken Sie hier und registrieren Sie sich für das aktuelle Mindhunter-Webinar „Braucht Ihr Netzwerk einen Türsteher?“ am 21. April um 09:00 Uhr CET.

Die neuen Betriebssysteme SonicWall SonicOSX 7.0 und SonicOS 7.0 zeichnen sich durch Transparenz und Einfachheit aus

Unternehmen begrüßen die digitale Transformation, die ihnen die Geschäftstätigkeit jederzeit und allerorts ermöglicht. Flexible Arbeitszeiten und verteilte Unternehmensstandorte und die daraus resultierende Proliferation von Anwendungen und Daten stellen Unternehmen jedoch vor eine große Sicherheitsherausforderung.

Wachsende Unternehmen müssen ihre Sicherheitseinrichtungen über mehrere verschiedene Standorte hinweg proaktiv verwalten: am Hauptsitz, an Software Defined Branches (SD-Branches), an externen Rechenzentren oder in einer Vielzahl von Cloudspeicherorten. Diese Standorte sind keine Silos – der Austausch von Anwendungen und Daten erfolgt dynamisch und zwingt Unternehmen dazu, ihre Sicherheitsmaßnahmen entsprechend anzupassen.

Die physischen und virtuellen SonicWall Firewalls liefern High-Performance-Security für eine Vielzahl von Unternehmen. Der Schutz all dieser Sicherheitsvektoren erfordert darüberhinaus die Fähigkeit, die richtigen Sicherheitsrichtlinien konsequent auf den richtigen Netzwerkkontrollpunkt anzuwenden – wobei berücksichtigt werden muss, dass einige Sicherheitsausfälle auf ineffektive Richtlinien oder Fehlkonfigurationen zurückzuführen sind.

Um eine effektive Bereitstellung von Richtlinien zu gewährleisten, benötigen Unternehmen eine dynamische Transparenz über das gesamte Netzwerk hinweg. Sie benötigen einen grenzenlosen Sicherheitsansatz für ihr Network Security Policy Management.

Die SonicOS- oder SonicOSX-Architektur bildet den Kern jeder physischen und virtuellen SonicWall-Firewall, einschließlich der TZ, NSa, NSv und NSsp Series. Unsere Betriebssysteme nutzen unsere patentierten Reassembly-Free Deep Packet Inspection® (RFDPI) und die zum Patent angemeldete Real-Time Deep Memory Inspection™ (RTDMI) Technologie mit Single-Pass-Prüfsystem und geringer Latenz und bieten Unternehmen branchenweit bewährte Effektivität, sicheres SD-WAN, Echtzeitvisualisierung, schnelles Virtual Private Networking (VPN) und andere robuste Sicherheitsfeatures.

Die neuesten Firewalls der TZ570/670 Series werden unter dem brandneuen SonicOS 7.0 Betriebssystem ausgeführt, das erweiterte Sicherheitsfunktionen, ein vereinfachtes Richtlinienmanagement sowie kritische Netzwerk- und Managementfunktionen für verteilte Unternehmen mit Next-Gen SD-Branches sowie kleine und mittlere Unternehmen bietet.

Mit der Einführung von SonicOSX 7.0 und SonicOS 7.0 setzt das SonicOS Betriebssystem neue Maßstäbe in puncto Benutzerfreundlichkeit. Die von Grund auf neu konzipierte Architektur des SonicOSX 7.0 bietet eine Unified Policy-Engine, die eine integrierte Verwaltung verschiedener Sicherheitsregeln für Firewalls der Enterprise-Klasse, wie z. B. SonicWall Firewalls der NSsp und NSv Series, ermöglicht.

Dieses OS-Upgrade bietet auch Multi-Instance-Unterstützung auf NSsp -Firewalls. Multi-Instance ist die nächste Generation der Multi-Tenancy-Lösung, bei der jeder Mandant mit dedizierten Rechnerressourcen isoliert wird, um einen Ressourcenmangel zu vermeiden

Zudem bietet SonicOSX 7 eine Unified Policy-Engine für die Bereitstellung von L3- bis L7-Kontrollen in nur einer Regelbasis auf jeder Firewall und bietet Administratoren einen zentralen Ort für die Konfiguration von Richtlinien. Das Betriebssystem kommt mit einer neuen Benutzeroberfläche, die einen völlig neuen Ansatz unterstützt: das User-First (UX) Design. Die webbasierte Benutzeroberfläche des SonicOSX Betriebssystems präsentiert aussagekräftige Visualisierungen von Bedrohungsinformationen und zeigt Handlungsaufforderungen für die Konfiguration kontextbezogener Sicherheitsregeln an, was durch einfaches Zeigen und Klicken optimal vereinfacht wird.

Die neue Benutzeroberfläche ist nicht nur benutzerfreundlicher ausgeführt, sondern auch optisch attraktiver als die klassische Version. Die Firewall ist in einer Ansicht überschaubar dargestellt, in der dem Benutzer Informationen über die Effektivität der verschiedenen Sicherheitsregeln präsentiert werden. Der Benutzer kann auf nahtlose Weise vordefinierte Regeln für Gateway-Antivirus, Anti-Spyware, Content-Filtering, Intrusion-Prevention, Geo-IP-Filtering und Deep-Packet Inspection von verschlüsseltem Verkehr bedarfsgerecht anpassen. Mit der Unified Policy-Engine bietet SonicWall eine optimierte Benutzererfahrung mit weniger Konfigurationsfehlern und kürzeren Implementierungszeiten, was insgesamt zu einem besseren Sicherheitslevel beiträgt.

Mithilfe der Unified Policy-Engine sind Unternehmen in der Lage, den dynamischen Datenverkehr, der eine Firewall passiert, zu steuern. Zudem bietet sie Transparenz und Einblick in die unterschiedlichen Richtlinien, die sich auf Gateway-Virenschutz, Anti-Spyware, Inhaltsfilterung, Eindringungsverhütung, Geo-IP-Filterung, Deep-Packet-Inspection von verschlüsseltem Datenverkehr und mehr auswirken. Somit können Verwaltungsaufgaben vereinfacht, Konfigurationsfehler reduziert und die Implementierungszeiten verkürzt werden, was insgesamt zu einem besseren Sicherheitslevel beiträgt.

Weitere Informationen finden Sie auf www.sonicwall.com/sonicos

SonicWall SD-Branch und Switches definieren die Filialen-Konnektivität neu

Infolge der COVID-19-Pandemie mussten sich Unternehmen auf eine neue Geschäftsnormalität umstellen. Alle Organisationen — von kleinen Unternehmen bis hin zu großen Konzernen — setzen auf mehr Mobilität, Cloud-Anwendungen und Telearbeit. Die Einführung all dieser Änderungen setzt jedoch auch entsprechende Anpassungen im Bereich der Netzwerksicherheit voraus. SonicWall unterstützt Unternehmen und ihre grenzenlosen Belegschaften mit der Einführung von Secure SD-Branch und SonicWall Switches. Secure SD-Branch und SonicWall Switches sorgen für eine sichere Konnektivität in Filialen und Zweigstellen und sind auch für den weiteren Wandel und zukünftige Security-Herausforderungen gewappnet.

SonicWall Secure SD-Branch

Die SonicWall Secure SD-Branch Lösung sichert die Konnektivität und transformiert die Benutzererfahrung in den Filialen und Zweigstellen von verteilten Unternehmen durch die Bereitstellung einer integrierten Plattform, die Software-Defined Local Area Network (SD-LAN), Software-Defined Wide Area Network (SD-WAN) und Sicherheit für verteilte Unternehmen kombiniert. Des Weiteren ermöglicht diese Lösung eine einheitliche Transparenz und Bedrohungserkennung. Mit dieser Plattform können Filialen jeder Größenordnung und Anzahl günstigere Verbindungen für die Konnektivität mit dem Unternehmenssitz und anderen Filialen nutzen, BYOD (Bring Your Own Device) aktivieren, SaaS-Anwendungen einsetzen und ihre Lösung problemlos mit einer steigenden Anzahl mobiler Geräte skalieren. Secure SD-Branch lässt sich mittels Zero-Touch Deployment schnell an Ihren Filialen einrichten und über eine zentrale Benutzeroberfläche kontrollieren, wodurch Implementierung, Verwaltung und Fehlerbehebung drastisch vereinfacht werden.

Eine typische SonicWall SD-Branch Lösung beinhaltet eine Mid- bis High-End-Firewall, wie die NSsp oder NSa, die im Datencenter oder in der Unternehmenszentrale implementiert wird. Anschließend wird die Mid- bis High-End-Firewall, z. B. eine NSa/TZ, in den verschiedenen Filialen und Zweigstellen installiert. Alle SonicWall Next-Generation-Firewalls bieten integrierte SD-WAN-Fähigkeiten ohne Aufpreis. SonicWall Switches arbeiten nahtlos mit diesen Firewalls zusammen, um die kabelgebundene Konnektivität von Geräten, wie IoT-Geräte und IP-Telefone, zu erweitern. Access Points werden ebenfalls mit dem Switch verbunden, um WLAN-Konnektivität für Smartphones und andere Mobilgeräte bereitzustellen. SonicWall Capture Client sorgt für die Endpunktsicherheit dieser mobilen Geräte, während SonicWall Cloud App Security Schutz für Cloud-Anwendungen wie Office 365 bereitstellt. Das gesamte Netzwerk kann durch das SonicWall Capture Security Center (CSC) über eine zentrale Benutzeroberfläche verwaltet werden.

Die neuen SonicWall Switches

Ein integraler Bestandteil jeder SD-Branch Lösung ist der SonicWall Switch, der High-Speed-Switchfunktionalität mit unübertroffener Performance und einfacher Verwaltbarkeit verbindet. Ein einheitliches Sicherheitslevel, hohe Portdichte, Power over Ethernet (PoE)-Optionen und Multi-Gigabit-Leistung machen diesen Switch ideal für die Einbindung von SD-Branch bei Unternehmen jeder Größenordnung. Mit dem SonicWall Switch wird eine reibungslose digitale Transformation ermöglicht und Sie können mit der sich konstant ändernden Netzwerk- und Security-Landschaft Schritt halten.

Der SonicWall Switch wird komplett durch die Firewall verwaltet: Administratoren können den Switch über das CSC von einer zentralen Benutzerfläche aus verwalten. Dadurch wird ein einfaches Management mit einheitlicher Verwaltung, Berichterstellung und Analytik im gesamten SonicWall Security Ökosystem ermöglicht.

Die Switches bieten 10-Gigabit-Ports und arbeiten nahtlos mit SonicWall Firewalls der nächsten Generation und SonicWave Access Points (AP) zusammen, um ein End-to-End-Multi-Gigabit-Netzwerk zu schaffen. Des Weiteren enthalten die Switches Gigabit-Ethernet-Ports für den Betrieb von Geräten wie APs, VOIP-Telefone und IP-Kameras.

Die Switches sind in sieben Modellen mit verschiedenen PoE-Optionen zu erschwinglichen Preisen erhältlich. Sie sind vollgepackt mit nützlichen Funktionen und bieten trotzdem einen kompakten Formfaktor und ein energieeffizientes Design.

Die Switches sind Zero-Touch Deployment-fähig und lassen sich somit schnellstens in weltweit verteilte Filialen und Zweigstellen einbinden. Mit einer End-to-End-Security-Lösung können Sie Compliance-Prüfungen problemlos bestehen und Betriebskosten senken.

SonicWall Secure SD-Branch und SonicWall Switches ermöglichen einen umfassenden Bedrohungsschutz für Ihre stets weiter verteilte Belegschaft bei gleichzeitiger Senkung der TCO. Weitere Informationen zu unseren Lösungen finden Sie auf www.sonicwall.com

Sicherheit für Telearbeiter durch erweiterte Endpunkttransparenz und -kontrolle

Wenn uns die anhaltende Pandemie etwas gelehrt hat, dann, dass Telearbeit zur neuen Normalität werden könnte. Diese Entwicklung erfordert größte Vorsicht seitens der IT-Führungskräfte, denn die Erweiterung der Grenzen des Unternehmens geht mit neuen Risiken einher und könnte die Wirksamkeit standardmäßiger Sicherheitskontrollen untergraben. Organisationen müssen dafür sorgen, dass Mitarbeiter per Fernzugriff arbeiten können, ohne durch die schier unzähligen komplexen Bedrohungen beeinträchtigt zu werden. Das ist grundlegende Voraussetzung zum Erreichen von Kontinuität und Sicherheit. Lässt sich beides gleichzeitig realisieren?

Sehen wir uns an, wie die SonicWall Capture Client 3.0 Endpunktlösung Unternehmen bei der Bewältigung dieser Herausforderungen helfen kann.

Reduzierung der Angriffsfläche durch Content-Filtering

Die meisten Malware-Bedrohungen werden über Websites oder Links in E-Mails eingeschleust. Als Transportmittel können betrügerische oder auch echte Websites genutzt werden. Mit Capture Client 2.0 konnten Endpunkte bisher nur vor bekannten bösartigen Websites geschützt werden.

Doch in der neuen Capture Client 3.0 Lösung werden jetzt umfassende, client-basierte Content-Filtering-Services eingesetzt. Mit den neuen Fähigkeiten, wie Inspektion des HTTP- und HTTPS-Datenverkehrs, granulare Richtlinien für die Genehmigung und Blockierung von Verkehr, Ausnahmen für vertraute Anwendungen und Blacklists für nicht vertraute Anwendungen, können Administratoren ihre netzwerkbasierten Content-Filtering-Services leicht auf ihre netwerkexternen Benutzer ausdehnen.

Risikominderung durch umfassende Informationen über Schwachstellen in Anwendungen

Für Telearbeit werden meist viele verschiedene Produktivitäts- und Kollaborationsanwendungen benötigt, u. a. Slack und Zoom. Oft verwenden Mitarbeiter auch weitere Tools, die möglicherweise nicht vom Unternehmen verwaltet werden. In jedem dieser Fälle werden Bedrohungsakteure gezielt nach anfälligen Anwendungsversionenin den Benutzerendpunkten suchen. Dazu kommt das Patching, das, wie wir nur zu gut wissen, seit jeher eine Schwachstelle ist.

Mit Application Vulnerability Intelligence liefert Capture Client nicht nur Informationen über Anwendungsschwachstellen, sondern Echtzeit-Visualisierung der Anwendungen und aller damit verbundenen Schwachstellen. Administratoren können damit die zu patchenden Anwendungen priorisieren und sogar Prozesse, die von nicht autorisierten Anwendungen gestartet werden, auf eine Blacklist setzen.

Nutzung von Active Directory-Eigenschaften für granulare Richtlinienzuweisungen – überall

Ein weiterer Aspekt der Telearbeit ist eine explosionsartige Zunahme der Nutzung von Cloud-Diensten wie O365 und Azure Active Directory (AD). Unternehmen wenden häufig granulare Richtlinien an, die auf den mit Benutzern und Geräten verbundenen AD-Eigenschaften basieren (z. B. haben Marketingbenutzer Zugriff auf soziale Netzwerke und IT-Administratoren haben Zugriff auf modernste Tools). Capture Client unterstützt jetzt auch auf diesen Eigenschaften basierende granulare Richtlinienzuweisungen, wie z. B. Gruppenmitgliedschaft, wobei es keine Rolle spielt, ob das Directory lokal oder in der Cloud gehostet wird.

Erweiterter Serverschutz mit Linux-Unterstützung

Der Umzug in die Cloud geht mit einer verstärkten Nutzung von Linux-basierten Workloads einher, die vor Malware-Bedrohungen geschützt werden müssen. Capture Client 3.0 bietet jetzt Unterstützung für den SentinelOne Linux Agent, um Antivirus-Fähigkeiten der nächsten Generation auch auf Linux Server auszudehen.

Leichtere Verwendung der Tools

Darüber hinaus wurde mit Capture Client 3.0 auch die Benutzerfreundlich durch mehrere Neuerungen optimiert, darunter:

  • Ein neues Benachrichtigungszentrum zur Prüfung ausstehender Meldungen.
  • Benutzerdefinierbare Meldungen mit konfigurierbaren Prioritätsstufen
  • Ein verbessertes und erweitertes Dashboard mit umsetzbaren Informationen
  • Ein vereinfachtes Multi-Mandanten-Dashboard für MSSPs
  • Mehr Benachrichtigungen für Endbenutzer, einschließlich einer Benachrichtigung bei Abtrennung eines Endpunkts vom Netzwerk

Mit Capture Client 3.0 können Unternehmen ihre Telearbeitsplätze unbesorgt auf noch mehr Mitarbeiter ausweiten. Unternehmen erhalten damit nicht nur eine erhöhte Transparenz, sondern auch eine reduzierte Angriffsfläche und erweiterte Standardschutzeinrichtungen für externe Endpunkte — all das über einen schlanken, einheitlichen Client.

SonicWall Firewall,vom NetSecOPEN Laboratory zertifiziert, erhält einen perfekten Score für Sicherheitswirksamkeit gegen private CVEs (Common Vulnerabilities and Exposures)

Sicherheitsbewusste Kunden stehen bei der Bewertung von Security-Anbietern und ihren Next-Generation-Firewall-Angeboten vor schwierigen Entscheidungen. Zur Erleichterung der Entscheidungsfindung und Verbesserung der Transparenz im Cybersecurity-Markt gab NetSecOpen bekannt, dass SonicWall einer von nur vier in seinem NetSecOPEN Test Report 2020 zertifizierten Security-Anbietern ist.

Die SonicWall Nsa 4650 Firewall wurde am InterOperability Laboratory der University of New Hampshire mit 465 kombinierten Public and Private Common Vulnerability and Exposure (CVE) Schwachstellen getestet und erzielte eine 100%ige Sicherheitswirksamkeit gegenüber allen privaten CVEs, die im Test verwendet wurden – also CVEs, die NGFW-Anbietern nicht bekannt sind. Unter Berücksichtigung der Ergebnisse des öffentlichen CVE-Tests erzielte SonicWall einen Score von 99 %.

„Durch diesen direkten Vergleich wird den Käufern von Security-Produkten eine Validierung der unter realen Bedingungen erzielten Leistung und Sicherheitseffektivität von voll konfigurierten Next-Generation-Firewalls geboten“, erklärte Atul Dhablania, Senior Vice President und Chief Operating Officer von SonicWall in seiner offiziellen Ankündigung.

Testen von Firewalls unter realen Bedingungen

Die Messung und Bestimmung, ob die geprüften Firewalls wirklich die vom Anbieter versprochene Leistung erbringen, ist für Security-Experten oft sehr schwierig. NetSecOPEN nutzt einen offenen Standard, anhand dessen verschiedene Permutationen von realen Testbedingungen simuliert werden können.. Solche Testergebnisse liefern einen unwiderlegbaren Nachweis, der dem Käufer eine klare und schlüssige Produktentscheidung ermöglicht.

SonicWall gehört zu den Ersten, die in einem derumfassendsten und strengsten Benchmark-Tests für NGFWs hervorragend abgeschnitten haben. Im NetSecOPEN Test Report werden für die SonicWall NSa 4650 NFGW folgende Ergebnisse aufgeführt:

  • Erhält eine der branchenweit höchsten Bewertungen für Sicherheitseffektivität
  • Blockiert 100 % der Angriffe gegen alle im Test verwendeten privaten Schwachstellen
  • Blockiert 99 % aller privaten und öffentlichen Angriffe
  • Zeigt eine schnelle Performance, die laut NetSecOPEN Messungen 3,5 Gbps beim Bedrohungsschutz und bis zu 1,95 Gbps bei SSL-Entschlüsselung und Inspektionsdurchsatz beträgt
  • Beweist, dass ihre extrem hochleistungsfähige und skalierbare Enterprise Security-Plattform die Sicherheits-, enormen Datenmengen- und Kapazitätsanforderungen der größten Rechenzentren bewältigen kann
 

 

Firewall-Testmethoden, Messwerte

Leistungskennzahlen (KPI) wie Durchsatz, Latenz und andere Messgrößen (siehe unten) sind wichtige Werte für die Bestimmung, ob ein Produkt akzeptiert werden kann oder nicht. Diese KPIs wurden bei den NetSecOPEN-Tests aufgezeichnet. Für die Tests wurden die standardmäßig empfohlenen, für die meisten Anwendungsfälle typischen Firewall-Konfigurationen und Sicherheitsfunktionen verwendet.

KPI BEDEUTUNG ERKLÄRUNG
CPS TCP Verbindungen pro Sekunde CPS TCP Verbindungen pro Sekunde Misst die durchschnittlich etablierten TCP-Verbindungen pro Sekunde in der Haltephase. Beim „TCP/HTTP(S) Connection Per Second“-Benchmarking-Testszenario wird die Leistungskennzahl für die durchschnittlich pro Sekunde gleichzeitig hergestellten und beendeten TCP-Verbindungen ermittelt.
TPUT Throughput TPUT Throughput Misst den durchschnittlichen Layer-2-Durchsatz innerhalb der Haltephase sowie durchschnittliche Pakete pro Sekunde innerhalb desselben Zeitraums. Der Wert des Durchsatzes wird in Kbit/s angegeben.
TPS Application Transactions Per Second TPS Application Transactions Per Second Misst die durchschnittlich erfolgreich abgeschlossenen Anwendungstransaktionen pro Sekunde in der Haltephase.
TTFB Time to First Byte TTFB Time to First Byte Misst das Minimum, Maximum und Mittel der Zeit bis zum ersten Byte. TTFB ist die zwischen dem Senden des SYN-Pakets vom Client und dem Empfang des ersten Bytes der Anwendungsdaten vom geprüften Gerät/System verstrichene Zeit. Die TTFB SOLLTE in Millisekunde angegeben werden.
TTLB Time to Last Byte TTLB Time to Last Byte Misst das Minimum, Maximum und Mittel der Reaktionszeit bis zum letzten Byte in der Haltephase. Die Latenz wird am Client gemessen und wäre in diesem Fall die Zeit, die vom Senden einer GET-Anfrage vom Client bis zum Empfang der vollständigen Antwort vom Server verstreicht.
CC Concurrent TCP Connections CC Concurrent TCP Connections Misst die durchschnittlichen gleichzeitig offenen TCP-Verbindungen in der Haltephase.

Bedeutung einer transparenten Prüfung

Bevor eine geschäftskritische Kaufentscheidung getroffen wird, die für die Cyber-Abwehr einer Organisation von zentraler Bedeutung ist, haben die Entscheidungsträger wahrscheinlich unzählige Tage mit Due-Diligence-Prüfungen verbracht. Diese Prüfungen sind meist mit umfangreichen Anbieterrecherchen verbunden, wobei Analystenmeinungen und -einsichten gelesen, verschiedene Online-Foren und Communities aufgesucht und Peer-Empfehlungen eingeholt werden. Am wichtigsten ist jedoch das Auffinden von zuverlässigen Prüfungsanbietern, die als Leitfaden für die Kaufentscheidung herangezogen werden können.

Leider kann das Auffinden solcher Prüfungsergebnisse schwierig sein, da die meisten Prüfungsanbieter und deren Methoden nicht exakt definiert sind oder nicht den etablierten offenen Standards und Kriterien für Tests und Benchmarking der Leistung von NGFWs folgen.

Angesichts der Tatsache, dass Kunden sich für eine Validierung der von Anbietern vorgebrachten Leistungsmerkmale häufig auf Prüfungen von Dritten verlassen, hat sich SonicWall im Dezember 2018 NetSecOPEN angeschlossen. NetSecOPEN ist die erste Organisation dieser Branche, die sich auf die Schaffung offener, transparenter Standards für Netzwerksicherheitsprüfungen konzentriert – Standards, die von der Internet Engineering Task Force (IETF), einem ihrer Gründungsmitglieder, angenommen wurden.

SonicWall schätzt NetSecOPEN für seinen Ruf als unabhängige Organisation für das Prüfen und Validieren von Produkten. Wir unterstützen die IETF-Initiative, offene Standards und Benchmarking-Methoden zur Messung der Leistung von Netzwerksicherheitsgeräten.

Als beitragendes Mitglied arbeitet SonicWall aktiv mit NetSecOPEN und anderen Mitgliedern zusammen, um wiederholgenaue, einheitliche Testverfahren, Parameter, Konfigurationen, Messungen und KPIs zu definieren, zu optimieren und zu etablieren, um der Definition von NetSecOPEN für einen fairen und angemessenen Vergleich aller Netzwerksicherheitsfunktionen gerecht zu werden. Für Unternehmen bedeutet das eine vollständige Transparenz in Bezug auf Anbieter von Cybersecurity-Produkten und die Leistung ihrer Produkte.