87 Zweigstellen: APT-Monitoring bei der amerikanischen Bremer Bank
Ein Praxisbericht von Sandeep Kumar, Principal Solution Marketing Manager bei ForeScout.
Neben der Zugriffskontrolle für unternehmenseigene Geräte, Gäste und Geschäftspartner wollte die Bremer Bank (häufig „Bremer“ genannt) durch kontinuierliches Monitoring und laufende Problembehebung ihre Abwehr gegen die wachsende Zahl von Advanced Persistent Threats (APT) verstärken. Gesucht wurde eine “agentenlose Lösung“, die der Bank die Migration von ihrer bestehenden komplizierten 802.1X-Infrastruktur ermöglicht. Sie sollte: 1. eine eingriffsfreie Installation und eingriffsfreien Betrieb ermöglichen,2. sich leicht in das vorhandene Cisco-Netzwerk der Bremer Bank integrieren lassen
3. Out-of-Box-Funktionalität zur automatischen Identifikation von Geräten, Usern und Software bieten und
4. flexible Policy-Aktionen sowie Alerts und Berichterstattung liefern.
Bremer Financial Corporation
Die Bank beschäftigt in ihren 87 Zweigstellen und Niederlassungen etwa 1.900 Mitarbeiter und hat etwa 4.200 Endgeräte im Einsatz, Server nicht eingeschlossen.
Um diese Probleme zu beheben, begann das Team der Bremer nach einer neuen NAC-Lösung zu suchen. Dabei sollte der Verwaltungsaufwand verringert werden, die Ausfallsicherheit zunehmen und auch die Benutzerfreundlichkeit sollte besser werden.
Nach dem Evaluierungsverfahren, an dem die Experten für Infrastruktursicherheit, Netzwerktechniker, IT-Architekten und das IT-Sicherheitsteam beteiligt waren, wählte Joseph Thornell, Netzwerkarchitekt und Vice President of Engineering bei der Bremer, ForeScout CounterAct als neue NAC-Lösung für das Unternehmen aus. Ausschlaggebend für diese Entscheidung seien die leichte Installation, die Managementfähigkeiten der Lösung und die Robustheit des Systems gewesen.
„Wir benötigten ein flexibles und zuverlässiges Verfahren, um unsere Unternehmens-Assets identifizieren und gleichzeitig sicheren Zugriff für die Geräte von Mitarbeitern und Gästen ermöglichen zu können“, so Thornell. „Zudem war uns eine hohe Benutzerfreundlichkeit wichtig – umso mehr, als unsere vorherige Lösung bei den Anwendern viel Frustration ausgelöst hatte. Die neue Lösung musste somit in der Lage sein, den negativen Eindruck zurechtzurücken, den die ursprüngliche Lösung hinterlassen hatte. ForeScout erfüllte diese Anforderungen, und so entschieden wir uns sehr schnell.“
Ein wesentlicher Faktor für die Entscheidung zur Implementierung der neuen Lösung war die Fähigkeit, IT-Abteilungen umfassende Sichtbarkeit und Transparenz der Geräte zu verschaffen, die sich mit dem Netzwerk verbinden. Das agentenlose Verfahren, die flexiblen Gästemanagement-Funktionen und die Segmentierungsoptionen der Lösung stellten für die Bank überzeugende Vorteile dar. Ein Alleinstellungsmerkmal war zudem die „ControlFabric“-Technologie von ForeScout, die nahtlose Integrationen mit anderen Sicherheitslösungen ermöglicht, was erheblich zu der Kaufentscheidung beitrug.
In der Praxis
Die Bremer Bank ersetzte ihre bisherige 802.1X-Lösung. CounterACT unterstützt derzeit alle Cluster der regionalen Zweigstellen und wird im Hauptsitz der Bank zentral verwaltet. Die Bank verwendet zu Zeit eine Appliance für 4.000 Geräte und ist dabei, eine für 10.000 Geräte zu implementieren, die demnächst ans Netz gehen soll.
Laut Thornell ist ForeScout in der Lage, das Inventar ausgesprochen exakt zu verfolgen, sodass sich die IT auf andere Aufgaben konzentrieren kann. Zudem kann die Bremer mithilfe dieser Funktionalität ältere Software auf den Systemen ermitteln, was besonders beim kürzlichen Umstieg weg von Windows XP sehr hilfreich war.
Erstellung und Durchsetzung von Richtlinien
Die Amerikaner verwenden das IAM-System auch, um Sicherheitsrichtlinien für das ganze Unternehmen zu erstellen, und Sicherheitsregeln für BYOD- und mobile Geräte durchzusetzen, indem unautorisierte Anwendungen ermittelt, mit Beschränkungen belegt oder geblockt werden. Eine weitere Richtlinie dient dazu, Betriebssysteme sowie persönliche und mobile Geräte zu klassifizieren. So können fremde Geräte und Schadgeräte blockiert werden und ihnen wird der Zugriff auf das Netzwerk und die sensiblen IT-Ressourcen verwehrt. Auch nutzt die Bank die IPS-ähnlichen Bedrohungserkennungsmechanismen, um Malware-Angriffe auf die Netzwerke abzuwehren. Zudem werde Hardware und Software (zum Beispiel Adobe Flash) überprüft: So kann verhindert werden, dass sich nicht aktualisierte, mit Risiken behaftete Programme mit dem Netzwerk verbinden.
Automatisierung, Zeit- und Kostenersparnisse
„Die Asset-Klassifizierung verläuft nun wesentlich schneller“, berichtet Thornell. „Die Support-Mitarbeiter können unternehmenseigene und fremde Assets sofort erkennen und ein System neu klassifizieren. Im Vergleich zu unserer alten 802.1X-Infrastruktur spart uns die neue Lösung Zeit, Energie und Arbeit.“
Ein wichtiger Punkt: Die Helpdesk-Mitarbeiter der Bremer haben nun eine genaue Übersicht über die User und Endgeräte. Damit kostet sie die Diagnose von Problemen wesentlich weniger Zeit und Mühe.Die Bank plant, mithilfe der ControlFabric-Technologie weitere Sicherheitslösungen zu integrieren, darunter Tenable Schwachstellenanalysen, Mobile Device Management (MDM) zur Kontrolle mobiler Geräte von Mitarbeitern und Gästen, VMware und RSA Data Loss Prevention (DLP). Die Bank will eine Richtlinie für Endgeräte-Monitoring unter Nutzung von Windows Server Update Services (WSUS) implementieren, um die Patch-Level überprüfen und Berichte erstellen sowie Probleme manuell beheben zu können. Zudem soll die Richtlinie erweitert werden, um direkte Updates sowie WSUS-gestützte Updates zu ermöglichen.
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/6392
Schreiben Sie einen Kommentar