Was ist „Defense in Depth“? | Mehrstufige Sicherheit

Defense in Depth bezieht sich auf eine Cybersicherheitsstrategie, bei der mehrere Produkte und Verfahren zum Schutz eines Netzwerks eingesetzt werden.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Defense in Depth definieren
  • Erläutern, welche Produkte und Praktiken, die in einem mehrschichtigen Sicherheitsansatz verwendet werden
  • Defense in Depth und Integrated Security gegenüberstellen

Link zum Artikel kopieren

Was ist „Defense in Depth“?

„Defense in Depth“ (DiD) ist eine Cybersicherheitsstrategie, die mehrere Sicherheitsprodukte und -verfahren einsetzt, um das Netzwerk, die Websites und die Ressourcen eines Unternehmens zu schützen. Der Begriff „Defense in Depth“ wird manchmal synonym mit dem Begriff „Layered Security“ verwendet, da er Sicherheitslösungen auf mehreren Sicherheitsebenen (physische, technische und administrative) umfasst, um Angreifer daran zu hindern, in ein geschütztes Netzwerk oder eine lokale Ressource einzudringen.

Ursprünglich bezeichnete Defense in Depth eine militärische Strategie, bei der eine Verteidigungslinie geopfert wurde, um die gegnerischen Kräfte aufzuhalten. Trotz des ähnlichen Namens hat dieser Ansatz nichts mit dieser Sicherheitsstrategie zu tun; hier arbeiten mehrere Produkte zusammen, um Angreifer und andere Bedrohungen in Schach zu halten.

Warum ist Defense in Depth notwendig?

Der Leitgedanke einer Defense in Depth-Strategie ist die Vorstellung, dass ein einzelnes Sicherheitsprodukt ein Netzwerk nicht vollständig vor allen möglichen Angriffen schützen kann. Die Implementierung mehrerer Sicherheitsprodukte und -praktiken kann helfen, Angriffe zu erkennen und zu verhindern, sobald sie auftreten, sodass Unternehmen eine breite Palette von Bedrohungen wirksam bekämpfen können. Dieser Ansatz wird immer wichtiger, je weiter Unternehmen ihre Netzwerke, Systeme und Nutzer skalieren.

Ein weiterer Vorteil der Layered Security ist die Redundanz. Wenn ein externer Angreifer eine Verteidigungslinie ausschaltet oder eine Insider-Bedrohung einen Teil des Unternehmensnetzwerks kompromittiert, können andere Sicherheitsmaßnahmen den Schaden für das gesamte Netzwerk begrenzen und bekämpfen. Gibt es dagegen nur ein einziges Sicherheitsprodukt, entsteht ein Single Point of Failure. Wird dieses Produkt kompromittiert, kann das gesamte Netzwerk oder System in Mitleidenschaft gezogen oder beschädigt werden.

Welche Sicherheitsprodukte werden bei Defense in Depth eingesetzt?

Defense in Depth-Strategien variieren zwar je nach den Bedürfnissen eines Unternehmens und den verfügbaren Ressourcen, umfassen aber in der Regel ein oder mehrere Produkte der folgenden Kategorien:

Physische Sicherheitskontrollen schützen IT-Systeme, Unternehmensgebäude, Rechenzentren und andere physische Vermögenswerte vor Bedrohungen wie Manipulation, Diebstahl oder unbefugtem Zugriff. Dazu gehören verschiedene Arten von Zugriffskontrollen und Überwachungsmethoden wie Sicherheitskameras, Alarmsysteme, ID-Kartenscanner und biometrische Sicherheitssysteme (z. B. Fingerabdruckleser, Gesichtserkennungssysteme usw.).

Technische Sicherheitskontrollen umfassen die Hardware und Software, die zur Verhinderung von Datenschutzverletzungen, DDoS-Angriffen und anderen Bedrohungen für Netzwerke und Anwendungen erforderlich sind. Zu den gängigen Sicherheitsprodukten auf dieser Ebene gehören unter anderem Firewalls, sichere Web-Gateways (SWG), Systeme zur Erkennung und Prävention von Eindringlingen (IDS/IPS), Technologien zur Browserisolierung, Software zur Endpunkt-Erkennung und -Reaktion (EDR), Software zur Prävention von Datenverlusten (DLP), Web Application Firewalls (WAF) und Anti-Malware-Software.

Administrative Sicherheitskontrollen beziehen sich auf die von Systemadministratoren und Sicherheitsteams festgelegten Richtlinien, die den Zugriff auf interne Systeme, Unternehmensressourcen und andere sensible Daten und Anwendungen kontrollieren. Sie können auch Schulungen zum Sicherheitsbewusstsein umfassen, um zu gewährleisten, dass Nutzer eine gute Sicherheitshygiene praktizieren, Daten vertraulich behandeln und vermeiden, dass Systeme, Geräte und Anwendungen unnötigen Risiken ausgesetzt werden.

Welche Sicherheitspraktiken werden bei Defense in Depth eingesetzt?

Zusätzlich zu Sicherheitsprodukten und -richtlinien müssen Unternehmen starke Sicherheitspraktiken implementieren, um das Risiko für ihre Netzwerke und Ressourcen zu begrenzen. Dazu können eine oder mehrere der folgenden Maßnahmen gehören:

Zugriff nach dem Least-Privilege-Prinzip bedeutet, dass Nutzer nur auf die Systeme und Ressourcen zugreifen dürfen, die sie für ihre Rolle benötigen. Das minimiert das Risiko für den Rest des Netzwerks, sollten die Anmeldeinformationen eines Nutzers kompromittiert werden und ein unbefugter Nutzer versuchen, einen Angriff auszuführen oder auf sensible Daten zuzugreifen.

Die Multi-Faktor-Authentifizierung (MFA) erfordert, wie der Name schon sagt, mehrere Formen der Authentifizierung, um die Identität eines Nutzers oder Geräts zu überprüfen, bevor der Zugriff auf ein Netzwerk oder eine Anwendung gewährt wird. MFA umfasst in der Regel eine strenge Passworthygiene (d. h. komplexe, schwer zu erratende und häufig geänderte Passwörter), die Einrichtung strenger Kontrollen für Geräte und die Überprüfung der Identität über externe Geräte und Tools (z. B. die Eingabe eines Verifizierungscodes von einem Mobilgerät).

Verschlüsselung schützt sensible Daten vor dem Zugriff durch Unbefugte oder böswillige Dritte. Informationen werden verborgen, indem Klartext (für Menschen lesbare Informationen) in Chiffretext (zufällig generierte Kombinationen von Buchstaben, Zahlen und Symbolen) umgewandelt wird.

Netzwerksegmentierung trägt dazu bei, die Gefährdung interner Systeme und Daten durch Anbieter, Auftragnehmer und andere externe Nutzer zu begrenzen. Durch die Einrichtung getrennter drahtloser Netzwerke für interne und externe Nutzer können Unternehmen beispielsweise sensible Informationen besser vor Unbefugten schützen. Die Netzwerksegmentierung kann Sicherheitsteams auch dabei helfen, Insider-Bedrohungen einzudämmen, die Verbreitung von Malware einzuschränken und Datenvorschriften einzuhalten.

Verhaltensanalyse kann dabei helfen, abnormale Traffic-Muster und Angriffe sofort zu erkennen. Dazu wird das Verhalten des Nutzers mit einer Basislinie normalen Verhaltens verglichen, die in der Vergangenheit beobachtet wurde. Alle Anomalien können Sicherheitssysteme dazu veranlassen, böswilligen Traffic umzuleiten und Angriffe zu verhindern.

Zero Trust-Sicherheit ist eine Sicherheitsphilosophie, die viele der oben genannten Konzepte bündelt. Dabei wird davon ausgegangen, dass Bedrohungen bereits innerhalb eines Netzwerks vorhanden sind und kein Nutzer, Gerät oder Verbindung standardmäßig als vertrauenswürdig eingestuft werden sollte.

Dies sind nur einige der Praktiken, die in einem Layered Security-Ansatz eingesetzt werden sollten. Da sich immer neue Angriffsarten entwickeln, die Schwachstellen in bestehenden Sicherheitsprodukten ausnutzen, müssen sie durch neue Produkte und Strategien unterlaufen werden.

Wie unterscheidet sich Layered Security von Integrated Security?

Eine effektive Defense in Depth-Strategie erfordert nicht nur Layered Security-Kontrollen, sondern auch Integrated Security-Praktiken. Obwohl diese Begriffe ähnlich klingen, haben sie eine leicht unterschiedliche Bedeutung:

  • Layered Security bezieht sich, wie oben beschrieben, auf die Verwendung mehrerer Sicherheitsprodukte und -praktiken, um ein Unternehmen gegen ein breites Spektrum von physischen und Cyber-Bedrohungen zu schützen.
  • Integrated Security sorgt dafür, dass mehrere Sicherheitsprodukte zusammenarbeiten, um Bedrohungen besser erkennen und bekämpfen zu können. Eine Sicherheitsstrategie kann auf mehreren Ebenen angesiedelt, aber nicht integriert sein, während eine integrierte Security-Strategie von Natur aus auf mehreren Ebenen angesiedelt ist.

Stellen Sie sich Layered Security wie eine Rüstung vor, die von mehreren Anbietern bezogen wurde. Einige Rüstungsteile können neuer oder hochwertiger sein als andere. Obwohl der Träger vor vielen Arten von körperlichen Schäden geschützt ist, kann es Lücken zwischen verschiedenen Rüstungsteilen oder Schwachstellen geben, so dass der Träger an diesen Stellen verwundbarer für Angriffe ist.

Im Gegensatz dazu ist Integrated Security wie ein maßgeschneiderter Schutzanzug. Er mag aus verschiedenen Teilen (Sicherheitskontrollen) bestehen, aber sie sind alle von Natur aus so konzipiert, dass sie den Träger gemeinsam schützen – ohne Lücken oder Schwachstellen zu hinterlassen.

Bei der Konfiguration von Cybersicherheitslösungen ist der Kauf mehrerer Sicherheitsprodukte von einem einzigen Anbieter jedoch nicht immer eine Garantie dafür, dass ein Unternehmen die Vorteile eines integrierten Ansatzes nutzen kann. Mehr zu diesem Thema finden Sie unter „Die Zukunft der Sicherheit von Webanwendungen“.

Wie hilft Cloudflare Unternehmen bei der Defense in Depth?

Die Integrated Security Suite von Cloudflare ist so konzipiert, dass sie von anderen Sicherheits- und Performance-Produkten lernt und nahtlos mit diesen zusammenarbeitet. So blockiert Cloudflare Bot Management für sich allein effektiv böswillige Bot-Aktivitäten, erhält aber in Kombination mit der Cloudflare WAF zusätzliche Funktionen, mit denen Kunden Anfragen, die automatisiert aussehen und andere Identifikatoren auslösen, dynamisch blockieren können.

Die gemeinsame Nutzung von Bedrohungsdaten ist auch eine entscheidende Komponente des Defense in Depth-Ansatzes von Cloudflare. Mit Millionen von Internetwebsites in seinem riesigen globalen Netzwerk – das sich über 275 Standorte erstreckt – kann Cloudflare Erkenntnisse aus Traffic-Mustern gewinnen und die Verteidigung gegen neue und aufkommende Bedrohungen verbessern.