EVAS: Endpoint Visibility erhöht die Sicherheit – eine neue Rolle für NAC?

News

EVAS: Endpoint Visibility erhöht die Sicherheit – eine neue Rolle für NAC?

Shamus McGillicuddy

Network Access Control, kurz NAC, hat einen schlechten Ruf. In den letzten Jahren hat NAC vor allem durch fehlgeschlagene Deployments und zu striktes Durchsetzen der Regeln für Schlagzeilen gesorgt. Mehr als nur ein CEO stellte plötzlich fest, dass sein Laptop dank des neuen NAC-Systems der IT-Abteilung keinen Zugriff mehr aufs Unternehmensnetzwerk hatte.

Nun scheinen sich die Dinge allerdings wieder zu ändern: Laut diverser Experten regeln NAC-Lösungen nicht mehr nur den Zugriff aufs Netzwerk. Stattdessen geht es darum, Endpunkte im System sichtbar zu machen und kontext-basierte Sicherheit zu ermöglichen. Geht es nach den Forschern der Enterprise Strategy Group (ESG), dann entwickeln sich NAC-Lösungen in eine neue Art von Sicherheitssystemen namens „Endpoint Visibility, Access und Security“ (EVAS). Diese Plattformen liefern kontext-basierte Sicherheit, füttern andere Plattformen mit Informationen und ermöglichen zudem, definierte Richtlinien durchzusetzen.

Laut vieler Experten regelt NAC künftig mehr als nur den Zugriff aufs Netzwerk.

Frühe NAC-Lösungen überprüften die angeschlossenen Geräte um sicherzustellen, dass diese nicht von Malware infiziert und durch passende Sicherheitslösungen geschützt wurden. Erst wenn die Endgeräte diese Tests erfolgreich überstanden hatten, durften sie auf das Netzwerk zugreifen. Spätere Lösungen checkten zudem den Patch-Zustand installierter Software und die Konfiguration der Systeme. Nun entwickeln sich NAC-Systeme zu EVAS-Plattformen, um die gestiegenen Anforderungen an kontext-basierter Sicherheit erfüllen so zu können, so Jon Oltsik, Senior Principal Analyst bei ESG. Laut dem Analysten bewegen sich Cisco, Juniper Networks, ForeScout und Bradford Networks in diese Richtung.

EVAS unterscheidet sich laut Oltsik durch zwei neue Funktionen. Diese Plattformen integrieren sich in Sicherheits- und Richtliniensysteme und adressieren mehr Endpunkte als nur die traditionellen PCs, auf die frühe NACs fokussiert waren.

„EVAS ist darauf ausgerichtet, sich in die bestehende Infrastruktur einzubinden, egal ob es sich um MDM (Mobile Device Management), Identitäts- und RADIUS-Server oder andere Dienste handelt. Die Lösungen liefern Informationen für Analysen oder bieten eine zentrale Anlaufstelle, um Richtlinien durchzusetzen“, so der Analyst. „EVAS ist zudem bereit für die nächste Generation an Endgeräten, nicht nur für PCs. Die Lösungen kommen mit mobilen Endpunkten, anderen IP-Geräten (darunter Druckern, Kontrollsysteme, medizinische Geräte oder andere Komponenten im Netzwerk) klar und geben den IT-Verantwortlichen eine konkrete Übersicht. EVAS kann diese Geräte finden und relevante Informationen liefern.“

Unternehmen hätten bereits jetzt eine große Anzahl an Analysen zur Verfügung, beispielsweise von Sicherheitssystemen, Lösungen zum Sammeln von Systeminformationen, Paket- oder Netzwerk-Flow-Analysen, so Oltsik. Was den Sicherheitsverantwortlichen fehlt, sind Details über den Unterbau dieser Daten.

„Wenn Sie sehen wollen, wer welches Gerät genutzt hat, welche Aktivitäten durchgeführt wurden und wie der entsprechende Endpunkt zu diesem Zeitpunkt konfiguriert war, dann fehlen oftmals viele dieser Informationen oder sie sind schwer zu sammeln“, sagt der Analyst. „EVAS agiert als Mittler, erleichtert das Sammeln der Informationen und kann weitere Details liefern.“ EVAS kann zudem Richtlinien durchsetzen, etwas, das reinen Analyseplattformen verwehrt bleibt.

Endpoint-Sichtbarkeit versus Zugriffskontrollen: Neuer Name oder neue Technik?

NAC entwickelt sich nicht zwangsläufig in ein neues Produkt, meint dagegen Chris Rodriguez, ein Industrieanalyst für Netzwerksicherheit bei Frost & Sullivan. Allerdings wurden die Lösungen in den letzten Jahren um zahlreiche neue Funktionen erweitert. Das liegt vor allem daran, dass Kunden neue Einsatzzwecke finden, die über einfache Zugriffskontrollen hinausgehen.

Die Bezeichnung EVAS sei „ein Versuch, die Vorteile von NAC passender zu vermitteln“, sagt Rodriguez. Es ist zudem der Versuch, die negative Reputation zu bereinigen, die den NAC-Markt infolge mehrere gescheiterter Deployments in den letzten Jahren plagt. Dieser Ruf sei, so Rodriguez, nicht mehr angebracht.

„Kunden sagen immer wieder, dass sie mit NAC-Lösungen deutlich mehr sehen können, als mit anderen Management-Systemen für Endpunkte – und sie sehen mehr als nur die unternehmenseigenen Geräte“, sagt der Analyst. „Sie sehen zusätzlich die Systeme der Mitarbeiter sowie Endpunkte, die keine Agenten unterstützen. Dazu gehören beispielsweise Kontrollsysteme oder Lösungen zum Überwachen von Healthcare-Geräten.

EVAS kontrollieren Endpunkte, aber keine Daten

Obwohl mehr Transparenz und Kontext wichtig sind, ist sich nicht jeder sicher, dass der Endpunkt das beste Element zum Sammeln der Informationen ist. John Kindervag, Principal Analyst bei Forrester Research, sagt, dass Sicherheitsanbieter sich auf den Bereich konzentrieren sollen, der wirklich wichtig ist – die Daten.

„Ich stimme zu, dass wir mehr Transparenz brauchen, allerdings nicht am Endpunkt. Wir brauchen es deutlich näher an den Daten, da es zu viele Endpunkte im Netzwerk gibt. Wir können sie nicht kontrollieren“, sagt Kindervag. „Wir müssen uns die Komponente ansehen, die wir kontrollieren können, die Daten.“

Um die eigenen Informationen zu schützen, müssten Unternehmen den kompletten Traffic überwachen und inspizieren. Dieses Vorgehen zeigt ihnen, was mit den einzelnen Daten geschieht. Sich nur darum zu sorgen, wer Zugriff auf das Netzwerk hat, sieht Kidnervag als Zeitverschwendung.

„Der Datenverkehr ist das einzig Wertvolle. Der Traffic zeigt uns, was auf den Endpunkten passiert. Dieser Ansatz lässt sich deutlich einfacher skalieren“, so Kindervag. „Es geht nicht um Dinge, die ins Netzwerk eindringen. Wir müssen das aus unseren Köpfen kriegen. Die Perimeter-Überwachung ist tot – daran müssen wir uns gewöhnen.“

Laut Kindervag schafft eine Endpunkt-basierte Kontrolle zudem ein falsches Gefühl der Sicherheit.

„Ja, jeder der in unserem Netzwerk ist, darf dort auch sein. Lassen Sie die Leute durch die Vordertür kommen. Lassen Sie jeden herein, aber behalten Sie die Daten im Auge. Wenn jemand versucht, diese anzurühren oder zu kopieren, dann sollten Sie sich Sorgen machen. Wenn Sie sich auf die Daten fokussieren, werden sie zunächst wahrscheinlich mehr Endpunkten sehen. Sie dürfen aber nicht der Fehlannahme unterliegen, dass Sie das Problem am Endpunkt lösen können.“

Kindervag und Forrester Research versuchen seit einigen Jahren, das Zero-Trust-Modell in Unternehmen populärer zu machen. Dabei gilt, dass jeder Traffic innerhalb des Unternehmens nicht vertrauenswürdig ist und untersucht werden muss. Selbst wenn zugelassene Nutzer mit richtlinienkonformen Endpunkten auf das Netzwerk zugreifen, besteht die Gefahr, dass Daten abfließen. Deswegen müssen Unternehmen den Datenverkehr überwachen, statt sich darauf zu fokussieren, wer und was auf das Netzwerk zugreift.

Hersteller von NAC/EVAS-Lösungen sind sich nicht sicher, ob sie zu diesem Zero-Trust-Ansatz beitragen.

„Nehmen wir beispielsweise an, dass Sie eine Richtlinie verlangen, bei der eine Personal Firewall aktiv sein muss, die ein bestimmtes Patch-Level voraussetzt und bei der eine Lösung zur Data Loss Prevention (DLP) auf dem Endpoint installiert und aktiv sein muss,“ sagt Scott Gordon, Chief Marketing Officer bei ForeScout. „Unser System kann diese Vorgaben dynamisch vor und nach dem Zugriff aufs Netzwerk überprüfen. Falls Data Loss Prevention (DLP) zwar installiert aber nicht aktiv ist, dann besteht das Risiko, dass die DLP-Managementlösung dies nicht erkennt und denkt, dass alles in Ordnung ist.“ Eine NAC/EVAS-Plattform könne dagegen feststellen, dass DLP auf dem Endpunkt nicht aktiv ist und das DLP-System anweisen, das den Agenten anzuschalten, so Gordon.


Ihre Meinung zum Artikel Kommentar

Teilen
Kommentare

    Ergebnisse

    Tragen Sie zu dem Gespräch bei

    Alle Felder sind erforderlich. Kommentare werden unterhalb des Artikels erscheinen.