Sie ist eine der grossen Herausforderungen an der Schnittstelle von Netzwerk und Security: die richtige Netzwerk-Segmentierung. Wenn immer mehr IT-, aber auch OT- und IoT-Geräte auf ein Netzwerk zugreifen, ist es umso wichtiger, die Zugriffsrechte so zielgerichtet wie möglich definieren zu können. Das bedeutet einerseits viel Aufwand. Andererseits sind gewisse Unternehmen auch auf flache Netzwerke angewiesen – beispielsweise Krankenhäuser, die möglichst einfach Geräte wie Dialysepumpen ansteuern können müssen. Die Device-Visibility-Lösung Forescout reduziert den Verwaltungsaufwand deutlich und sorgt gleichzeitig auch in flachen Strukturen für Sicherheit.

 

Dynamische Segmentierung ohne Software-Agenten

Ursprünglich im Bereich Network Access Control tätig, hat sich Forescout zum absoluten Spezialisten für Gerätetransparenz und -kontrolle entwickelt. Das Tool erkennt Geräte von mehr als 6000 Herstellern und stuft sie automatisch gemäss vordefinierten Policies ein. «Wird beispielsweise ein Laptop angeschlossen, soll dieser mit dem Applikationsserver kommunizieren können. Eine Kamera oder ein Drucker hingegen sind sicherheitstechnische Schwachstellen und benötigen diesen Zugriff nicht», erklärt Roger Ghelardini, Geschäftsleitungsmitglied der Belsoft Infortix AG. Im Gegensatz zu Konkurrenzprodukten funktioniert die Erkennung auch agentenlos.

Mit der Forescout-Lösung reicht es also aus, selbst oder anhand von Templates ein Regelwerk zu definieren. Das Tool segmentiert das Netzwerk anschliessend dynamisch, ohne dass eine spezifische Architektur aufgebaut werden muss. «Das spart beim Aufbau, aber vor allem bei der Betreuung eines Netzwerks enorm viele Ressourcen», so Ghelardini. «Zugleich erhöht es die Sicherheit, da sich Forescout am Zero-Trust-Modell orientiert und sämtliche nicht benötigte Kommunikation blockiert.»

Deshalb setzen nicht nur namhafte Grossunternehmen wie Siemens, Novartis, HSBC oder Sony sondern, auch zahlreiche mittelständische Unternehmen auf die Softwarelösung von Forescout.

 

Überprüfung von Patches oder Compliance

Forescout belässt es aber nicht bei der Segmentierung des Netzwerks. Es kontrolliert die angeschlossenen Geräte und kann durch bidirektionale Kommunikation gewisse Bedingungen prüfen und einfordern, bevor es den Zugriff auf die benötigten Ressourcen freigibt. So kann es etwa Geräte mit veralteten Software-Versionen in einem Quarantäne-Netz isolieren und – je nach Einstellung – sogar vollautomatisch die aktuellen Patches installieren. Möglich ist auch die Überprüfung der Device Compliance im Hinblick auf Richtlinien wie PCI, SWIFT, GDPR, oder HIPAA.

Stark weiterentwickelt hat Forescout insbesondere die Erkennung von TCP-basierten IoT- und OT-Geräten. Deren Handhabung ist auch für grössere Unternehmen oft eine Herausforderung, da einerseits die Verbreitung – etwa in der Gebäudeautomation oder bei Produktionsmaschinen – rasant zunimmt, andererseits aber erfahrene IT-Fachpersonen fehlen, die sich damit auskennen. Mit einer automatisierten Lösung kann dieser Engpass beseitigt werden.

 

Warnsystem für Fehlkonfiguration

Eine weitgehende Automatisierung birgt natürlich immer ein gewisses Risiko, weiss auch Roger Ghelardini: «Bei einer Fehlkonfiguration oder einer nicht vorhergesehenen Interpretation der Policies könnten Kommunikationswege blockiert werden, die vom Gerät eigentlich benötigt werden.» Forescout hat deshalb ein integriertes Warnsystem entwickelt. Dieses erkennt, wenn eine gewisse Menge von Geräten von einer Policy-Änderung betroffen sind und weist den Administrator darauf hin. So können unerwünschte Auswirkungen erkannt und verhindert werden.

Die Belsoft Infortix AG erarbeitet gemeinsam mit ihren Kunden Use Cases und führt die Implementierung von Forescout durch. «Die Einrichtung und die richtige Konfiguration benötigen anfangs etwas Aufwand», erklärt Roger Ghelardini. «Dafür reduziert sich der Betreuungsaufwand dank der weitgehenden Automatisierung anschliessend gegen Null – ganz nach dem Motto ‘fire and forget’.»

Möchten Sie mehr darüber erfahren, wie Sie dank Forescout Ressourcen einsparen und Ihre Netzwerksicherheit erhöhen können? Dann kontaktieren Sie uns!

Pin It on Pinterest

Registrieren Sie sich für unseren Newsletter

Möchten sie in regelmässigen Abständen Informationen zu Promotionen, Events oder Best Practices erhalten, dann zögern sie nicht und registrieren sie sich für unseren Newsletter.

Anrede:
E-Mail:
Vorname:
Nachname:
Ich interessiere mich für:
Ich melde mich an für: