Was ist eine Adaptive Sicherheitsrichtlinie?

Was ist eine adaptive Sicherheitsrichtlinie?

Eine adaptive Sicherheitsrichtlinie gestattet es Administratoren, sich schnell an die sich ständig ändernde Sicherheitslandschaft anzupassen, damit sie ihre Netzwerke mit minimalem Zeit- und Arbeitsaufwand schützen können. 

Normalerweise ist die typische Netzwerksicherheitsrichtlinie sehr statisch und weist folgende Richtlinienregelstruktur auf:

Regelnummer

Übereinstimmungskriterien für Quelldatenverkehr

Übereinstimmungskriterien für Zieldatenverkehr

Firewall-Maßnahme

Protokollierungsmaßnahme

IPS

1.000

Alle

MyCriticalServers

Zulassen

Protokollieren

Deaktivieren

Die Logik für jede Regel besteht darin, dass Netzwerkadministratoren für bestimmte Datenverkehrs-Übereinstimmungskriterien eine Reihe von Sicherheitsaktionen konfigurieren können.

Sicherheitsbetriebsumgebungen sind jedoch selten statisch. Netzwerkrichtlinien, die Sie unter normalen Bedingungen durchsetzen möchten, können sich stark von den Netzwerkrichtlinien unterscheiden, die Sie durchsetzen möchten, wenn das Netzwerk gerade angegriffen wird oder bereits angegriffen wurde und das Sicherheitsteam versucht, die kompromittierten Ressourcen zu identifizieren und zu isolieren.

 

Herausforderungen statischer Netzwerksicherheitsrichtlinien

Ein statisches Richtlinienmodell stellt erhebliche betriebliche Herausforderungen bei der Anpassung an Sicherheitsbedrohungen dar. Wenn ein Sicherheitsteam beispielsweise erkennt, dass das Netzwerk angegriffen wird, geschieht Folgendes:

  1. Es muss zunächst Tausende von Regeln in der Regeltabelle nacheinander verarbeiten, um zu bestimmen, wie diese Regeln angepasst werden müssen.
  2. Es nimmt Änderungen an einer Vielzahl von Regeln vor und überträgt diese auf die Firewall-Richtlinien. Die kostbare Zeit des Sicherheitsadministrators wird also für Regeländerungen aufgewendet, anstatt sich auf die Isolierung und Verteidigung des Netzwerks gegen Angriffe zu konzentrieren.
  3. Es vermeidet das Risiko von Unterbrechungen für einige der geschäftskritischen Services. Die Wahrscheinlichkeit dafür ist in dieser Phase aufgrund des hohen Volumens von ungeplanten Änderungen ziemlich hoch.
  4. Sobald die Bedrohung isoliert oder gemindert wurde, setzt das Team alle Regeln wieder auf das normale Profil zurück. Die Wahrscheinlichkeit von Fehlern, Serviceausfällen usw. ist also auch hier gegeben.

Es ist von entscheidender Bedeutung, dass die Cybersicherheitsteams sowohl normale Szenarien als auch Szenarien für Angriffsvorsorgemaßnahmen simulieren, um eine bessere Sicherheitsstrategie zu formulieren.

 

Was sind dynamische Richtlinienmaßnahmen?

Junos Space Security Director bietet eine innovative Funktion namens „Dynamische Sicherheitsrichtlinien“, um den Workflow zur Erstellung verschiedener Sicherheitsmaßnahmen, die das Team unter verschiedenen Umgebungsbedingungen umsetzen kann, im Voraus zu vereinfachen. Security Director nutzt ein Richtlinien-Framework zu Benutzerabsichten, das Richtlinien zur dynamischen Anpassung an die sich verändernden Bedingungen ermöglicht.

Threat Level - Pointed at Disable Service Access

Der Workflow für dynamische Richtlinienmaßnahmen enthält die folgenden Schritte:

  • Erstellung verschiedener benutzerdefinierter Umgebungsvariablen, die verschiedene Regeln beeinflussen.
  • Verwendung bedingter Evaluatoren basierend auf diesen Variablen in den Netzwerksicherheitsrichtlinien.
  • Voraberprobung verschiedener Profile, um sicherzustellen, dass die Regelfunktionen wie geplant greifen.
  • Wenn eine Änderung in der Umgebungsbedingung erkannt wird, wird der Wert der Variablen entsprechend der aktuellen Risikosituation geändert.
  • Automatische Berechnung der Änderungen an den relevanten Regeln und erforderliche Übertragung der Änderungen an das gesamte Netzwerk nach Genehmigung des Netzwerkadministrators.

Mit dynamischen Richtlinienmaßnahmen fügt die Regeltabelle eine neue Umgebungsbedingungsspalte hinzu und sieht jetzt wie folgt aus:

Regelnummer

Übereinstimmungskriterien für Quelldatenverkehr

Übereinstimmungskriterien für Zieldatenverkehr

Umgebungsbedingung

Firewall-Maßnahme(n)

Andere Maßnahmen

1.000

Alle

MyCriticalServers

ThreatLevel=Green
ThreatLevel=Yellow

ThreatLevel=Red

Zulassen
Zulassen

Verweigern

Protokollieren
Protokollieren
IPS_STD_PROFILE
Protokollieren

Vorteile dynamischer Richtlinienmaßnahmen

✓ Simplifizierte Erstellung von Sicherheitsmaßnahmen

✓ Verringerte Bedrohungsreaktionszeit

✓ Verminderte Wahrscheinlichkeit manueller Fehler

✓ Reduzierte Geschäftsrisiken durch die Rationalisierung des Sicherheitsbetriebs

Administratoren können im Voraus verschiedene Sicherheitsmaßnahmen für das Sicherheitsteam erstellen, um diese beim Testen des Systemverhaltens unter verschiedenen Umgebungsbedingungen zu verwenden.

Die Bedrohungsreaktionszeit wird verringert, sodass Administratoren Sicherheitsbedrohungen schnell korrigieren können. In kritischen Situationen müssen Administratoren sich auf die Identifizierung der Angriffe konzentrieren. Mit den konfigurierten Umgebungsvariablen können sie die Regeltabelle schnell anpassen.

Die Wahrscheinlichkeit manueller Fehler wird reduziert, insbesondere bei kritischen Ereignissen, wenn eine große Anzahl von Firewall-Richtlinienregeln bearbeitet werden müssen. Durch die Rationalisierung des Sicherheitsbetriebs lassen sich auch Geschäftsrisiken für normale und dynamische Bedingungen verringern.

 

Ressourcen