Sicherheitslücken klaffen, Ransomware-Attacken sind Alltag, Angriffe auf kritische Infrastruktur häufen sich. Gäbe es doch einen Ritter in schimmernder Rüstung, der all diese Übel niederringt! Auf ihrer Online-Hausmesse Check Point Exchange (CPX) 360 legte die israelische Security-Größe in zahlreichen Vorträgen dar, dass es aus ihrer Sicht nur einen Anbieter gibt, der dieser Heldenrolle gerecht werden kann – natürlich Check Point selbst. Daneben brachte die CPX mehrere spannende Neuheiten und auch ein paar amüsante Überraschungen.
„Autos sind vernetzt, Smart Homes sind vernetzt, das gesamte Gesundheitssystem ist vernetzt. Die Steuerung unserer Infrastrukturen, Versorgungseinrichtungen, all das ist mit dem Internet verbunden, ganz zu schweigen von der Telekommunikation, dem Finanzwesen, der Industrie und natürlich unserem täglichen Leben.“ So umriss Gil Shwed, Gründer und CEO von Check Point, bei seiner Auftakt-Keynote zur Check Point Exchange 360 Anfang Februar die aktuelle Angriffsfläche.
Vor zwei Jahren seien 60 Prozent unseres Lebens von vernetzter IT abhängig gewesen, heute seien es bereits 90 Prozent, Tendenz steigend. Er mahnte: „Wir müssen das unbedingt sicher halten“ – zumal 2021 eines der „herausforderndsten Jahre im Hinblick auf Cyberangriffe“ gewesen sei, von Ransomware bis Log4Shell. Hier gelte es, auf die optimale verfügbare Technik zu setzen: „Die zweitbeste Security wird Ihnen Datenverluste bescheren“, so Shwed.
Absicherung
Diesem Horrorszenario stellte er das hauseigene Portfolio gegenüber: die Netzwerk-Security-Familie Quantum, CloudGuard für die Cloud- und Harmony für die Endpoint-Sicherheit sowie InfinityVision für das Management und die ThreatCloud für die Aggregation von Threat Intelligence (Bedrohungsinformationen). Damit sei Check Point „der einzige Anbieter“, der erstklassige Sicherheit garantieren könne, wie Shwed betonte – und die übrigen Sprecher in ihren Vorträgen eifrig wiederholten.
Shwed verwies auf eine namentlich nicht genannte Behörde mit 8.000 Beschäftigten, die bereits bei der Erstinstallation von Check Points Endpunktsicherheit die Malware einer fortschrittlichen Angreifergruppe auf einem Administrationsrechner entdeckte – doch kaum eine Woche später habe man die Bedrohung beseitigen, die Security-Software auf die 8.000 Endpunkte verteilen und alle vier Netzwerke schützen können.
Große Bedeutung kommt dabei laut Shwed dem Thema KI und Threat Intelligence zu. Für Letzteres sorge die ThreatCloud, ergänzt um die Erkenntnisse des CPR-Teams (Check Point Research). Für die Auswertung der Informationen nutze Check Point mehr als 30 KI-Technologien. Damit erziele man eine 99,8-prozentige Erfolgsquote bei der Erkennung unbekannter Malware, die Endpoint-Security-Anwenderschaft erhalte ihre auf über 300 Indikatoren überprüften Dateien in unter 1,5 Sekunden.
Neuerung
Als „größte Revolution in der Netzwerksicherheit“ bezeichnete Gil Shwed die neue Familie der Quantum-LightSpeed-Firewalls. Die Vorstellung der Produktneuheiten übernahm der VP Product Management Itai Greenberg: Die Quantum-LightSpeed-Appliances kommen je nach Größe auf einen Durchsatz von 250 bis 800 Gbit/s in einem Gerät. Dabei liege die Latenz bei nur drei Mikrosekunden – wichtig für Einsatzfälle in der Finanzindustrie. Im Verbund sollen die Geräte sogar den Gesamtwert von 3 Tbit/s Performance erzielen.
Gera Dorfman, VP Network Security, erläuterte, wie dieser Performance-Sprung möglich war: Quantum Lightspeed nutzt die von Nvidia entwickelte ASIC-Technik. Die Firewall verlagert dazu
Stateful-Inspection-Aufgaben auf Nvidias ConnectX-SmartNIC-Netzwerkkarten, um Engpässe bei der Security-Performance zu vermeiden. Dabei wird laut Dorfman das erste Paket jeder Verbindung gemäß Security-Richtlinie überprüft.
Zulässigen Traffic reicht die Firewall dann an die Nvidia-Netzwerkkarten durch, sodass die Verarbeitung nachfolgender Pakete direkt ASIC-beschleunigt auf der SmartNIC erfolgen kann. Dorfman betonte, Check Point nutze dazu ausschließlich Standard-APIs und Standard-ConnectX-Technik. Die Accelerator-Engines könnten alle Schichten erfassen, also einschließlich der Content-Security – es handelt sich also quasi um Content-Switching direkt auf der Firewall.
Itai Greenberg gab zudem einen Ausblick auf die Integration von SD-WAN-Funktionalität in die Quantum Security Gateways. Auch Gartners SASE-Architektur (Secure Access Service Edge) sieht ein Verschmelzen von Security und SD-WAN vor. Die Gateways sollen in Kürze erhältlich sein und dann unterschiedliche WAN-Links gleichzeitig bedienen können.
Mit Quantum IoT Protect wiederum will Check Point eine autonome Zero-Trust-Zugangskontrolle für den Schutz von IoT-Umgebungen (Internet of Things) ermöglichen. Die Geräte sollten IoT-Assets automatisch im Netzwerk erkennen und auf der Basis von KI-Modellen ebenso automatisch IoT-Zugriffsrichtlinien definieren und durchsetzen können. Eine weitere Neuerung bei der Netzwerksicherheit: CloudGuard FWaaS (Firewall as a Service) soll in Zusammenarbeit mit AWS ebenfalls bald auf den Markt kommen.
Auf der Endpoint-Security-Seite ist der wesentliche Fortschritt, dass die Harmony-Produktlinie neben den Produkten Endpoint, Mobile, Browse, Connect (mit FWaaS, Web Security, SASE und Zero Trust) nun auch den Baustein E-Mail umfasst. Die Basis dafür liefert die Akquisition des E-Mail-Security-Spezialisten Avanan vom letzten Sommer. Damit schütze das Harmony-Portfolio nun vor Ransomware und anderer Malware ebenso wie vor Phishing und Passwortverlust, so Greenberg.
InfinityVision, Check Points Lösung für das zentralisierte Security-Management, umfasst nun laut dem Check-Point-Manager neben dem Infinity Portal für Threat Prevention vier neue integrierte Views (Ansichten): Logs and Events, MDR/MPR (Managed Detection/Prevention and Response), Assets und DLP-Policies (Data Leakage Prevention). Auf der Roadmap seien weitere vier Views: Users (also Intrusion Detection und Prevention), XDR/XPR (Extended Detection/Prevention and Response), MSP (Managed Services Provider) und Access Policies (Zugriffsrichtlinien). Eine spannende Neuheit: Es gibt nun Infinity-Bundles für KMUs und MSPs. Sie bestehen aus dem Quantum Spark Gateway, Harmony Email & Collaboration sowie Harmony Endpoint & Mobile. Lizenziert werde das Angebot pro Nutzer, so Greenberg, zudem sei es „MSP-ready“.
Echtzeit-Verteidigung
Eine Reihe weiterer interessanter Vorträge befasste sich mit Einzelaspekten des Check-Point-Portfolios. Dan Wiley, Head of Incidence Response und Chief Security Advisor bei Check Point, stellte Infinity MDR vor: Mit diesem Managed Services erhalte ein Anwenderunternehmen eine sofortige Abwehr sowie Empfehlungen für Produkte von Check Point wie auch von Drittanbietern. Der Einsatz von APIs ermögliche den schnellen Einstieg in dieses Angebot und somit in die Echtzeit-Verteidigung einer IT-Umgebung.
Peter Sandkuijl, VP Engineering EMEA, erläuterte das Prinzip Zero Trust anhand eines Flughafens: Hier gibt es Bereiche mit klar gestaffelten Zugriffsrechten, von der allgemein zugänglichen Gepäckabgabe über den gesicherten Bereich hinter den Personenkontrollen und das Gate bis zum Flugzeug selbst – sowie, für wenige privilegierte Nutzer, das Cockpit. Und er erklärte, warum das nötig ist: „Der Mensch ist sehr gut darin, Hintertüren zu finden.“
An einem Beispiel veranschaulichte Sandkuijl, warum Supply-Chain-Angriffe so ein großes Risiko darstellen: British Airways musste 2019 eine Strafe zahlen, da bösartiger JavaScript-Code personenbezogene Daten abgezogen hatte. Der Hintergrund: Die Original-App umfasste nur 143 Zeilen Code, mit allen Abhängigkeiten ergaben sich aber 188.936 Zeilen Code aus 45 verschiedenen Paketen.
Auflockerung
Zur Auflockerung zwischen all den Bedrohungsszenarien, Fach- und Produktvorträgen hatte Check Point zur CPX nicht nur Interviews mit Olympiasieger Usain Bolt und Star-Trek-Legende George Takei eingeplant: Es gab zwischendurch auch immer wieder amüsante kleine Videoclips zu sehen, die bekannte Fernsehgenres ins Security-Terrain umbogen. Mein persönlicher Favorit: ein Clip namens „60 Seconds“ – eine Parodie auf das Nachrichtenmagazin „60 Minutes“ des US-Fernsehsenders CBS – zum Thema: „Der Mann, der ‚Passwort‘ als Passwort wählte“.
Dass sich Fachvortrag und amüsante Präsentation auch zusammenführen lassen, demonstrierte Maya Horowitz, ihres Zeichens VP Research bei Check Point, mit ihrem herrlichen Vortrag „Hacking Like a White Hat Witch“ („Hacken wie eine White-Hat-Hexe“): Sie nutzte die Welt der Harry-Potter-Romanreihe, um „ein paar der magischsten Cyberangriffe des Jahres 2021“ zu diskutieren. Dazu zählte sie den Banking-Trojaner Pag Cashback, der per kompromittierter Android-App Geld von Bankkonten abzog, ohne dass der Nutzer dies bemerken konnte. Einen Angriff auf den Zugverkehr im Iran wie auch auf Ziele in Syrien konnte Check Point der Angreifergruppe Indra zuordnen, offenbar eine Gruppe iranischer Regimegegner. PDF-Schwachstellen erlaubten die Erstellung bösartiger Kindle-E-Books – Check Point meldete dies an Amazon, sodass der Anbieter die Lücke schließen konnte.
Ransomware wiederum betrifft laut Maya Horowitz inzwischen jeden Monat 5,7 Prozent aller Organisationen – somit eine von 17. Erschwerend hinzu komme letzthin doppelte Erpressung (per Exfiltration von Interna) oder gar dreifache Erpressung (also ein Ausdehnen der Ransomware-Forderungen auf Kunden des kompromittierten Unternehmens). „Datenexfiltration ist der X-Factor oder der Golden Snitch der Ransomware-Angriffe“, so Harry-Potter-Fan Horowitz.
Den Angriff auf Lockheed Martin, zugeschrieben der chinesischen Angreifergruppe APT31, nannte sie einen „Jian“-Angriff, also ein zweischneidiges Schwert: Check Point habe ermittelt, dass der eingesetzte Exploit zur Microsoft-Schwachstelle CVE-2017-0005 ursprünglich aus dem Arsenal der „Equation Group“ (also der NSA) stammt. Die NSA habe den Exploit wohl zuvor gegen APT31 eingesetzt, diese habe ihn entdeckt und dann für eigene Angriff genutzt – ein zweischneidiges Schwert eben.
Zusammenfassung
Gil Shweds Company präsentierte sich auf der Check Point Exchange 360 mit einer Fülle von Zahlen, Fakten und Neuerungen – sowie mit einem Messaging, das Marketiers wohl „Hard Sell“ nennen würden – als Retter in der digitalen Not. Zugleich machte die Veranstaltung klar, dass auch das umfangreichste und integrierteste Security-Portfolio auf dem aufbaut, das quer durch die Branchen heute das Wirtschaftsleben vorantreibt: Datenanalysen – im Fall der Security eben eine umfassende und aktuelle Threat Intelligence. Anders formuliert: Hinter jedem erfolgreichen Ritter in schimmernder Rüstung steht eine Hexe mit weißem Hut, die ihm wichtige Informationen einflüstert.
Lust auf mehr Artikel dieser Art? Nichts leichter als das! Einfach hier den IT Info 2 Go Newsletter abonnieren! (Achtung: Double-Opt-in wg. DSGVO! Es kommt also eine E-Mail mit Link zur Bestätigung, deshalb bitte ggf. Spam-Ordner checken!)
(Dieser Beitrag erschien erstmals in LANline 04/2022.)
Bild: Check Point Software Technologies
IT Info 2 Go 