Angreifer denken nicht in Silos, Unternehmen schon – so in etwa lautet eine verbreitete Weisheit in der Security Szene, und bisher ist es trotz aller Bemühungen augenscheinlich noch nicht gelungen, diesen Zustand zu überwinden. Insbesondere in einer Unternehmens-IT mit hybriden Multicloud-Umgebungen, in denen Microservices über Container Plattformen orchestriert werden und Legacy Applikationen auf Serverless-Dienste treffen, muss über Sicherheit noch einmal gründlich nachgedacht werden.
Die moderne IT ist zwar geprägt von hoher Komplexität, bietet hinsichtlich Sicherheit aber auch Chancen. Ansätze wie Immutable Infrastructure, Everything-as-Code und DevSecOps ermöglichen – und fördern es sogar –, Sicherheit bereits in frühen Phasen der Entwicklungszyklen einzubeziehen („Shift-Left“) und einige klassische Fehlerquellen zu vermeiden. Dennoch wächst die Menge der Security Funktionen weiter und der Mangel an entsprechend qualifizierten Fachkräften verschärft die Situation. Schon vor Jahren wurden Themen wie z.B. SIEM1 oder XDR2 als Lösungen für ultimative Integrierbarkeit vorgeschlagen. Eine ähnliche Vision wird nun mit dem Cybersecurity Mesh beschrieben, jedoch angepasst an aktuelle Gegebenheiten.
Die Erkenntnis, dass es Unternehmen schwer haben, mit der Geschwindigkeit der technischen Evolution mitzuhalten, ist nicht neu, insbesondere im Bereich der Cybersicherheit. Neue Angriffsmuster und -techniken verhelfen in immer kürzer werdenden Abständen kriminellen Akteuren zu kostspieligen und teilweise verheerenden Erfolgen. Gleichzeitig vergrößern neue Trends und Technologien stetig den Raum der Möglichkeiten für Angreifer, neue Schwachstellen entdecken und ausnutzen zu können.
Neben den regulären Innovationszyklen münden neuartige Bedrohungen nicht selten in einer bunten Vielfalt an Security-Lösungen verschiedener Hersteller, sowie neuen Ideen für Managed Services. Allein hier die Übersicht zu behalten, welche Abkürzung wofür steht und wo es Überschneidungen und echte Unterschiede gibt, ist eine Herausforderung. Noch komplizierter wird es, wenn eine bereits ausgewählte Landschaft von Tools und Services auf die eigenen Bedürfnisse konditioniert und miteinander harmonisiert werden muss – schließlich möchten die wenigsten Analysten im Notfall unterschiedliche Dashboards, Tools oder APIs einsetzen und Daten manuell korrelieren müssen, um die Lage einschätzen zu können. Auch wenn von einigen Anbietern „Komplettpakete“ in Aussicht gestellt werden, existieren Lücken oder technische Limitationen – oder Unternehmen fürchten Lock-In Effekte und entscheiden sich somit für eine Multi-Vendor-Strategie.
Cloud Services, insbesondere die der großen Hyperscaler, sind kaum noch aus den heutigen IT-Landschaften wegzudenken, und immer häufiger verfolgen Unternehmen sogar Cloud-First-Ansätze. Auf Sicherheitsbedenken der Kunden reagieren die Cloud Service Provider (CSP) mit nativen Security Services, mehr oder weniger guten Integrationsmöglichkeiten, sowie Transparenz der eigenen Prozesse und Governance Anstrengungen. Nicht selten kommen mehrere CSPs zum Einsatz, aber neben den offensichtlichen Vorteilen sind auch alle Umgebungen separat, aber konsistent abzusichern, was die Komplexität der Gesamtarchitektur ansteigen lässt.
Notwendige Fragen zum technischen und organisatorischen Design müssen nun zunächst spezifisch an mehreren Stellen sowie zusätzlich auf einer übergeordneten Ebene beantwortet werden. Die hauseigenen Security Services der CSPs integrieren sich in der Regel gut innerhalb der eigenen Welt, bieten aber selten ein ausreichend hohes Maß an Interoperabilität und Kompatibilität oder erzeugen hohe Customizing-Aufwände. Um derartigen Problemen mit zeitgemäßen Mitteln begegnen zu können, hat sich längst ein ganzes Ökosystem spezialisierter Lösungen für Cloud-native Security Fragestellungen gebildet und wird beständig ausgebaut.
Verbreitete Lösungen wie z.B. CSPM3 /SSPM4 , CIEM5 oder CWPP6 ergänzen DevSecOps Tool- und Prozessketten, sowie Lösungen aus den Bereichen Application Security (z.B. DAST7 , RASP8 ) oder Detection & Response (z.B. XDR, SIEM/SOAR9). Die Liste der state-of-the-art Vokabeln ist natürlich bedeutend länger und wächst konstant. Definitionen lassen zum Teil großen Spielraum, sodass oft unklar ist, welche Plattform welche Features haben muss und welche nicht.
Auch seitens der Hersteller werden entsprechende Schwerpunkte, die zum eigenen Kompetenzprofil passen, mehr oder weniger stark akzentuiert, hinzugefügt oder gar ausgelassen bzw. ersetzt. Auf diese Art werden in der Enterprise-Landschaft Silos kreiert, in denen Fähigkeiten und Aufgaben einerseits mit Überschneidungen verortet sind, andererseits können aber auch kritische Lücken in der Abdeckung entstehen. Ganz zu schweigen von den nötigen Investments für Trainings der ohnehin rar gesäten Spezialisten-Teams. Ansätze zur Konvergenz verschiedener Lösungen, wie z. B. CNAPP10 oder SASE11, gehen in eine vielversprechende Richtung, vergrößern in ihren aktuellen Ausprägungen trotz Integrationsmöglichkeiten und Technologie-Allianzen diese Silos jedoch bestenfalls und bilden jeder für sich einen neuen, von sich selbst geprägten Mikrokosmos.
Gartner hat die Konsolidierung von Security Lösungen zu einem Top Security Trend für 2022 und 2023 erklärt und in dem Kontext auch einen neuen Namen dafür eingeführt: „Cybersecurity Mesh Architecture (CSMA)“. CSMA versteht sich als genereller Ansatz, um verteilte Funktionen als zusammensetzbare Einheiten betrachtet in ein vermaschtes Netz („Mesh“) zu überführen, das mit Hilfe von Threat Intelligence und Machine Learning informierte Analysen durchführt und Entscheidungen zu Reaktionen treffen bzw. vorschlagen kann. Ein Höchstmaß an Interoperabilität der Mesh-Teilnehmer ist dabei eine notwendige Voraussetzung. Gemäß Gartner’s aktueller Referenzarchitektur besteht ein Cybersecurity Mesh aus den folgenden vier Layern:
1. Security Analytics & Intelligence: In dieser übergeordneten Koordinationsschicht liegt das Wissenszentrum der CSMA. Hier werden alle Signale und andere relevante Daten verarbeitet und darauf basierende Entscheidungen über einen konsolidierten Management Layer an die jeweiligen Tools weitergereicht, an denen dann reaktive oder präventive Aktionen ausgelöst werden können. Mit AI/ML Verfahren soll sich dieser Layer dynamisch an die jeweiligen Gegebenheiten anpassen und mögliche Probleme prognostizieren.
2. Identity Fabric: Hier regeln umfassende Dienste kontextbasiertes IAM für User, Geräte und Services. Die Identity Fabric soll insbesondere Lifecycle-Management, Verzeichnisdienste, Authentifizierung, Identity Governance und adaptiven Zugriff umsetzen und dazu einen Integrationspunkt für die verteilten Einzelsilos (z. B. verschiedene IdPs12 , CIAM13 - und PAM14 - Systeme, etc.) bereitstellen.
3. Consolidated Policy, Posture & Playbook Management: Diese Schicht aggregiert übergreifende Security-Vorgaben (Policies & Postures) und Playbooks, sowie deren Übersetzung in spezifische Logik an den Zielsystemen (z. B. Ticketerstellung, Setzen einer Cloud-WAF Regel, Anordnen eines PenTests, etc.).
4. Consolidated Dashboards: Der Wunsch nach integrierter Sichtbarkeit über Sicherheits-Risiken, -Architekturen und -Ereignisse soll von dieser Schicht über konsolidierte Dashboards erfüllt werden. Basierend auf Analysen aus dem Intelligence Layer sollen mögliche Ereignisse außerdem bereits durch Trendanalysen vorausgesagt werden können, bevor Schaden entstehen kann.
Insgesamt soll also ein dynamisches, multidimensionales und hoch adaptives System aus Einzelsystemen entstehen, welches getrieben von großen Datenvolumina und AI/ML-Methoden zentrale Kontrolle und umfangreiche Visibilität bietet. Gleichzeitig kennt das Mesh die relevanten Spezifika seiner Komponenten und weiß deren Funktionen präzise einzusetzen. Heterogene, verteilte Umgebungen, wie z. B. die hybride Multicloud, sind als Use-Case somit prädestiniert für eine CSMA.
Nun stellt sich automatisch die Frage, ob nicht bereits ähnliche Zielbilder schon seit langem z. B. im Zusammenhang mit SIEM/SOAR, XDR oder auch Zero Trust kursieren. Der Vorschlag, Signalquellen in eine zentrale Instanz reporten zu lassen und durch Korrelationsmechanismen und ausgefeilte Analysen übergreifend Entscheidungen zu orchestrieren, hat in der Enterprise-Security von heute wenig Revolutionäres an sich. CSMA erhebt auch nicht den Anspruch, eine bahnbrechend neue Idee zu beschreiben. Es skizziert eher einen evolutionären Ansatz für eine offene Architektur und Konsolidierungsstrategie – und lässt dabei die Beobachtungen von den Entwicklungen der letzten Jahre einfließen.
Der Aufruf an Hersteller und Provider ist dabei, sich stärker an offenen Standards zu orientieren bzw. solche zu schaffen und die eigenen Angebote konsequenter auf Kollaboration auszurichten. Voraussetzung dafür sollte die Akzeptanz sein, dass man nicht in allen Disziplinen den Spitzenplatz belegen kann und Sicherheitsverantwortlichen dieser Umstand beim Erstellen von Entscheidungsvorlagen auch bewusst ist. Integrationsfähigkeit sollte kein notwendiges Übel, sondern fester Bestandteil einer Produktstrategie sein, statt z. B. reaktiv nachgerüstet zu werden.
Verteilte Einzellösungen sind in einer CSMA explizit erlaubt bzw. erwünscht, und die entsprechende Mannigfaltigkeit aus kommerziellen und Open-Source Produkten, der man in der Realität ohnehin begegnet, wird weniger als eine lästige Problemstellung z. B. für Parsing-Tools oder Use-Case Engineers dargestellt. Vielmehr wird eine positive Perspektive eingenommen, dort die beste Lösung für das jeweilige Problem einsetzen zu können, wo sie gebraucht wird, ohne unangenehme Kompromisse eingehen zu müssen. Dadurch entsteht nicht zuletzt auch ein gewisses Maß an Skalierbarkeit, nicht nur in technischer Hinsicht, ähnlich wie man es aus dem Microservice-Paradigma kennt.
Traditionell steht ein SIEM- und SOAR-Service, je nach Ausprägung ggf. aber auch ein XDR-System, im Mittelpunkt einer Enterprise Security Architektur. Je nach Hersteller liefern entsprechende Produkte und Services bereits Funktionen, wie sie vor allem im Intelligence- und Consolidated-Management-Layer beschrieben sind. Den Intelligence-Layer siedelt Gartner bei CSMA jedoch auf einer höheren Ebene an. CSMA versteht sich weniger als simpler Aggregationspunkt, sondern vielmehr als eine echte Dynamisierung in der Zusammenarbeit aller sicherheitsrelevanten Systeme und Funktionen – inklusive SIEM, CNAPP, SASE, XDR, etc. – und nicht etwa als deren Ersatz.
Praktischer Nutzen für Unternehmen
Offensichtlich ist CSMA keine Lösung, die man in einem Marketplace kaufen kann, sondern „mal wieder“ eine umfangreiche Transformationsreise, wie man es bereits von anderen Themen kennt. Es existiert aktuell kein bekannter Systemkomplex, der die komplette Vision einer CSMA abbilden kann. Manche Aspekte gehen jedoch Hand in Hand mit Best Practices, während bei anderen noch auf Reaktionen und Entwicklungen der Hersteller, Gremien, MSSPs15 und Communities gewartet werden darf. Insbesondere im Bereich der Lösungsanbieter bleibt es spannend abzuwarten, inwieweit offene Standards und echte Innovationen z. B. aus dem AI/ML Bereich Einzug erhalten werden, oder ob teilweise die bekannten Produkte lediglich mit neuen Begriffen tituliert werden.
Organisationen können die Grundideen von CSMA aber auch heute schon ohne hohe Investments in ihre Strategien integrieren und Initiativen entsprechend zukunftsgerichtet anreichern. So kann beispielsweise eine höhere Priorisierung von Interoperabilität Einzug in Governance Frameworks oder Anforderungsprofile zur Selektion von Produkten und Services halten. Die bisherige Tool-Landschaft kann hinsichtlich ihrer Tauglichkeit in Bezug auf CSMA-Prinzipien evaluiert werden und perspektivisch sind ggf. Replacements zu planen. Konvergente Systeme z. B. der Kategorie CNAPP sind bereits ein wichtiger Schritt in Richtung CSMA und können als Ausgangspunkt genutzt werden.
Dabei müssen aber hinsichtlich Zusammensetzbarkeit bzw. Modularisierung noch einige Lücken geschlossen werden, was in Teilen z. B. mit Managed Services oder individuellen Implementierungsleistungen möglich ist. Viele Unternehmen beschäftigen sich aktuell intensiv mit den Themen Zero Trust und DevSecOps, oder haben sie zumindest auf der Agenda. Beides kann mit moderatem Aufwand zumindest in die Richtung von CSMA dirigiert werden, bzw. folgt ohnehin in großen Teilen bereits den gleichen Prinzipien. Letztlich sollte bei jeder Art Modernisierungs-Roadmap der Sicherheitsarchitektur, insbesondere im Cloud Bereich, sichergestellt werden, dass sie in CSMA-freundliche Bahnen gelenkt wird. Bereits früh hier die richtigen Weichen zu stellen, kann später ggf. hohe Kosten und Aufwände sparen.
Das Design einer CSMA formuliert keine einfache Aufgabe, und es bleibt zum gegenwärtigen Zeitpunkt abzuwarten, wie konkrete Lösungsansätze aussehen werden. Unwahrscheinlich ist, dass es bald eine Single-Vendor Solution geben wird, die alle Komponenten in ihrer ultimativen Ausprägung liefern kann. Gartner hat auf der hauseigenen Security & Risk Management Summit 2023 bereits ein aktualisiertes Modell der CSMA angekündigt.
Die Expertinnen und Experten von Deloitte beobachten und analysieren derartige Entwicklungen und begegnen komplexen Problemen mit breit aufgestellten, interdisziplinären Teams. Die Expertise reicht dabei von der Strategie bis zum operativen Betrieb aus technischer und organisatorischer Sicht. Trotz Technologie-Partnerschaften mit z. B. Hyperscalern und Security Vendoren nimmt Deloitte grundsätzlich eine herstelleragnostische Haltung ein und bietet Mandanten daher unabhängige Leistungen bei Beratung, Implementierung und Betrieb. Über ein internationales Netzwerk aus Expertenteams und Delivery-Einheiten bietet Deloitte außerdem Managed Services an, die ein breites Spektrum von Cyber Security Funktionen abdecken, wie z.B. CNAPP, SOC, XDR oder PenTesting. Kontaktieren Sie uns dazu jederzeit gerne.
1 SIEM: Security Information and Event Management
2 XDR: Extended Detection and Response
3 CSPM: Cloud Security Posture Management
4 SSPM: SaaS Security Posture Management
5 CIEM: Cloud Infrastructure Entitlement Management
6 CWPP: Cloud Workload Protection Platform
7 DAST: Dynamic Application Security Testing
8 RASP: Runtime Application Self Protection
9 SOAR: Security Orchestration, Automation and Response
10 CNAPP: Cloud Native Application Protection Platform
11 SASE: Secure Access Service Edge
12 IdP: Identity Provider
13 CIAM: Customer Identity and Access Management
14 PAM: Privileged Access Management
15 MSSP: Managed Security Service Provider