DE202023100576U1 - Cyber-Schutz für entfernte Netzwerke durch selektive Policy Durchsetzung in einem zentralen Netzwerk - Google Patents

Cyber-Schutz für entfernte Netzwerke durch selektive Policy Durchsetzung in einem zentralen Netzwerk Download PDF

Info

Publication number
DE202023100576U1
DE202023100576U1 DE202023100576.4U DE202023100576U DE202023100576U1 DE 202023100576 U1 DE202023100576 U1 DE 202023100576U1 DE 202023100576 U DE202023100576 U DE 202023100576U DE 202023100576 U1 DE202023100576 U1 DE 202023100576U1
Authority
DE
Germany
Prior art keywords
packet
policy
remote network
data structure
tunnel gateway
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE202023100576.4U
Other languages
English (en)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Centripetal Ltd
Original Assignee
Centripetal Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US17/669,093 external-priority patent/US11582191B2/en
Application filed by Centripetal Ltd filed Critical Centripetal Ltd
Publication of DE202023100576U1 publication Critical patent/DE202023100576U1/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Entferntes Netzwerk-Tunnel-Gateway, umfassend:
einen oder mehrere Prozessoren; und
Speicher, der Anweisungen speichert, die, wenn sie von dem einen oder den mehreren Prozessoren ausgeführt werden, das entfernte Netzwerk-Tunnel-Gateway veranlassen, zum selektiven Filtern von Verkehr, der von einem entfernten Netzwerk (720) kommt, durch Tunneln von Teilen dieses Verkehrs zu einem zentralen Netzwerk, um von dem zentralen Netzwerk gefiltert zu werden, das Folgende auszuführen:
Empfangen, durch ein entferntes Netzwerk-Tunnel-Gateway (725), einer Vielzahl von Paketen, die von dem entfernten Netzwerk kommen;
Ermitteln, durch das entfernte Netzwerk-Tunnel-Gateway (725) und für jedes Paket der Vielzahl von Paketen, mindestens eines Paket-Übereinstimmungs-Kriteriums, das mit jedem Paket assoziiert ist;
Testen durch das entfernte Netzwerk-Tunnel-Gateway (725) und für jedes Paket der Vielzahl von Paketen einer Policy-probabilistischen Datenstruktur für das ermittelte mindestens eine Paket-Übereinstimmungs-Kriterium, wobei die Policy-probabilistische Datenstruktur jede einer Vielzahl von Paket-Filterregeln einer Sicherheits-Policy repräsentiert;
basierend auf einer Ermittlung, dass ein erstes Paket-Übereinstimmungs-Kriterium eines ersten Pakets der Vielzahl von Paketen nicht in der Policy-probabilistischen Datenstruktur repräsentiert ist, Weiterleiten durch das entfernte Netzwerk-Tunnel-Gateway (725) des ersten Pakets in Richtung seines beabsichtigten Ziels ohne Tunneln des ersten Pakets zu dem zentralen Netzwerk (760); und
basierend auf einer Ermittlung, dass ein zweites Paket-Übereinstimmungs-Kriterium eines zweiten Pakets der Vielzahl von Paketen in der Policy-probabilistischen Datenstruktur repräsentiert ist, Tunneln, durch das entfernte Netzwerk-Tunnel-Gateway (725), des zweiten Pakets zu dem zentralen Netzwerk (760), wobei das zentrale Netzwerk (760) konfiguriert ist, das zweite Paket basierend auf der Vielzahl von Paket-Filterregeln der Sicherheits-Policy zu filtern.

Description

  • QUERVERWEIS AUF VERWANDTE ANWENDUNGEN
  • Diese Anmeldung ist eine Teilfortsetzung der US-Patentanmeldung Nr. 17/371,487 , eingereicht am 9. Juli 2021, die eine Fortführung der US-Patentanmeldung Nr. 17/194,886 , eingereicht am 8. März 2021, jetzt US-Patent Nr. 11,063,909 , ist, die eine Fortführung der US-Patentanmeldung Nr. 16/897,942 , eingereicht am 10. Juni 2020, jetzt US-Patent Nr. 10,944,721 , die eine Fortsetzung der US-Patentanmeldung Nr. 16/502,565 , eingereicht am 3. Juli 2019, jetzt US-Patent Nr. 10,715,493 , ist, deren Inhalt hiermit durch Bezugnahme in die vorliegende Anmeldung in vollem Umfang aufgenommen wird.
  • TECHNISCHES GEBIET
  • Die hierin beschriebenen Aspekte beziehen sich im Allgemeinen auf Computerhardware und Netzsicherheit. Insbesondere beziehen sich ein oder mehrere Aspekte der Offenbarung im Allgemeinen auf Computerhardware für einen effizienten Cyberschutz von entfernten Netzwerken.
  • HINTERGRUND
  • Netzwerksicherheit wird im fortschreitenden Informationszeitalter immer wichtiger. Netzwerk Bedrohungen/Angriffe können verschiedene Formen annehmen (z.B. unbefugte Anfragen oder Datenübertragungen, Viren, Malware, große Datenmengen, die darauf ausgelegt sind, die Ressourcen zu überlasten, und ähnliches). Viele dieser Bedrohungen nutzen das Internet, um auf die Computerressourcen/-anlagen von Unternehmen zuzugreifen und sie anzugreifen, wie folgt: Unbewegliche oder fixierte Unternehmens-Hosts wie Desktop-Computer, Server für Unternehmens-Anwendungen vor Ort oder in der Cloud, öffentlich zugängliche Webserver usw. können direkt an private TCP/IP-Netzwerke befestigt werden, die sich im Besitz von Unternehmen befinden und/oder von ihnen betrieben und verwaltet werden. Diese Unternehmens-Netzwerke sind wiederum direkt mit dem Internet verbunden, so dass (a) die geografisch verteilten privaten Netzwerke eines einzelnen Unternehmens und zugehörige bzw. assoziierte Anlagen über das Internet miteinander verbunden werden können; (b) die Hosts eines einzelnen Unternehmens auf andere öffentlich adressierte, im Internet angebundene Hosts zugreifen können (z.B. öffentliche Webserver und Anwendungsserver); und (c) andere im Internet angebundene Hosts auf die öffentlich zugänglichen Hosts des Unternehmens zugreifen können (z.B. E-Commerce-Webserver). Im Internet angebundene Hosts können jedoch auch Hosts aufweisen, die böswilligen Akteuren gehören, von ihnen betrieben oder anderweitig kontrolliert werden. Diese böswilligen Akteure nutzen das Internet nicht nur, um auf die öffentlich zugänglichen Hosts eines Unternehmens zuzugreifen und diese anzugreifen, sondern auch, um die privaten Ressourcen eines Unternehmens anzugreifen, wenn sie dazu in der Lage sind, z.B. wenn es ihnen gelungen ist, die Verteidigungsstrukturen am Netzwerkrand zu untergraben, die das Unternehmen zum Schutz seiner privaten Anlagen verwendet.
  • Ein konventioneller Ansatz für ein Unternehmen zum Schutz seiner fixierten/unbeweglichen netzwerkgebundenen Anlagen vor Bedrohungen aus dem Internet besteht darin, seine privaten Netzwerke an den Internetzugangspunkten zu sichern, die auch als Unternehmens-Netzwerkrand oder -Grenze bekannt sind. Das Unternehmen definiert eine Sicherheits-Policy, die festlegt, welcher Netzwerk-Verkehr die Grenze überschreiten darf, und zwar in beide Richtungen (z.B. von Hosts kommend, die direkt am oder innerhalb des Unternehmens-Netzwerks angebunden sind und für Internet-Hosts bestimmt sind, oder umgekehrt, von Internet-Hosts kommend und für Hosts bestimmt, die am Unternehmens-Netzwerk angebunden sind). Die Sicherheits-Policy wird von verschiedenen Einrichtungen durchgesetzt, die sich an oder in der Nähe der Internet-Zugangspunkte befinden, z.B. Netzwerk-Firewalls, Web-Proxys, SSL/TLS-Proxys, Intrusion-Prevention-Systeme (IPS), Intrusion-Detection-Systeme (IDS) (die out-of-band zur Verfügung gestellt werden können), Threat Intelligence Gateways (TIGs) und dergleichen. Diese Sammlung von Einrichtungen kann als Sicherheits-Stack oder Unternehmens-Netzwerksicherheits-Stack bezeichnet werden. Die Wirksamkeit des vom Sicherheits-Stack gebotenen Schutzes kann durch die Qualität, den Umfang und die Genauigkeit der Sicherheits-Policy des Netzwerks in Verbindung mit den Fähigkeiten der Einrichtungen bestimmt werden, die Policy effizient durchzusetzen, ohne die Leistung des Netzwerks auf ein inakzeptables Niveau zu verringern.
  • Der konventionelle Sicherheits-Stack eines Unternehmens ist jedoch möglicherweise nicht in der Lage, die mobilen Hosts/Geräte eines Unternehmens, wie z.B. die persönlichen mobilen Smartphones, tragbaren Tablets und tragbaren Desktops der Unternehmensnutzer, vor Bedrohungen aus dem Internet zu schützen. Dies liegt daran, dass solche Einrichtungen direkt mit dem Internet über Funkzugangsnetzwerke wie z.B. Mobilfunknetze und Wi-Fi-Netzwerke verbunden sein können. In solchen Szenarien können diese mobilen Einrichtungen direkt mit Internet-Hosts kommunizieren, ohne dass der zugehörige Netzwerkverkehr durch den Sicherheits-Stack des Unternehmens gefiltert wird. Daher können böswillige Internet-Hosts und -Akteure die mobilen Einrichtungen leicht angreifen und die mobilen Einrichtungen mit Malware infizieren oder auf andere Weise die Kontrolle über Ressourcen und Anwendungen auf den mobilen Einrichtungen erlangen. Darüber hinaus können die mobilen Einrichtungen als Einfallstore für böswillige Akteure dienen, um in das Unternehmens-Netzwerk einzudringen und die fixierten netzwerkgebundenen Anlagen des Unternehmens anzugreifen. Beispielsweise können die mobilen Einrichtungen des Unternehmens und/oder die Anwendungen, die auf den Einrichtungen gehostet werden, privilegierten und autorisierten Zugriff auf Server für Unternehmensanwendungen haben, die sich hinter dem Sicherheits-Stack befinden. Ein weiteres Beispiel ist, dass mobile Benutzer ihre mobilen Einrichtungen manchmal über einen Wi-Fi-Zugangspunkt direkt an das Unternehmens-Netzwerk anbinden. In beiden Fällen können die böswilligen Akteure direkten und ungehinderten Zugang zu den Anlagen des Unternehmens-Netzwerks erhalten. Die böswilligen Akteure können dann den Zugriff der mobilen Einrichtungen auf Anlagen hinter dem Sicherheits-Stack ausnutzen, um die Unternehmensanlagen anzugreifen.
  • Ein konventioneller Ansatz zur Sicherung der mobilen Anlagen eines Unternehmens besteht darin, (a) (sichere) Tunnel zwischen jeder mobilen Einrichtung des Unternehmens und einem Tunnel-Gateway zu konfigurieren, das sich hinter dem Sicherheits-Stack des Unternehmens befindet, und (b) den Großteil oder die gesamte Internetkommunikation der mobilen Einrichtungen durch den Tunnel zu senden. Wenn die Kommunikation das Tunnel-Gateway verlässt, kann die Kommunikation durch den Sicherheits-Stack des Unternehmens gesendet werden. Eine Sicherheits-Policy des Unternehmens kann auf die Kommunikation angewendet werden, während sie zu den Internet-Hosts unterwegs ist. Jede Kommunikation, die von den Internet-Hosts stammt, kann auf ähnliche Weise durch den Sicherheits-Stack gefiltert werden. Es gibt jedoch mehrere praktische Probleme mit diesem Ansatz, die dazu führen können, dass Unternehmen ihn nicht verwenden und/oder dass Benutzer von mobilen Einrichtungen ihn ablehnen, was dazu führen kann, dass ein Unternehmen mobile Einrichtungen und damit die netzwerkgebundenen Anlagen des Unternehmens nicht wirksam vor Bedrohungen aus dem Internet schützt.
  • Eine der größten Herausforderungen besteht in der Ineffizienz des Tunnelns des im Wesentlichen gesamten Internetverkehrs der mobilen Einrichtungen zurück zu den Tunnel-Gateways, so dass der Verkehr durch den Sicherheits-Stack gefiltert werden kann, um Kommunikationen zu erkennen, die mit Internet-Bedrohungen assoziiert sein könnten. Üblicherweise kommuniziert nur ein sehr kleiner Prozentsatz der Internetkommunikation, die von den mobilen Einrichtungen eines Unternehmens kommt, mit Internetbedrohungen, so dass nur dieser mit Bedrohungen assoziierte Verkehr gefiltert werden muss. Außerdem werden die Arbeitskräfte in den Unternehmen immer mobiler, und weil die Benutzer in den Unternehmen es vorziehen, ihre eigenen mobilen Einrichtungen (z. B, Smartphones) sowohl für die private als auch für die Arbeits-/Unternehmenskommunikation nutzen - ein Marktphänomen, das als „Bring your own device“ oder „BYOD“ bezeichnet wird - , kann es sich bei einem Großteil des Internetverkehrs einer mobilen Einrichtung um persönliche Kommunikation (z.B. Videos mit hoher Bandbreite) handeln, die (a) keine Bedrohung für das Unternehmen darstellt und (b) private Kommunikation ist, die der Benutzer nicht unnötigerweise den Sicherheits-Policies und Nutzungsrichtlinien des Unternehmens aussetzen möchte. Auch lokale Gesetze oder Vorschriften zum Schutz der Privatsphäre können eine Rolle dabei spielen, ob es dem Unternehmen erlaubt ist, diese persönliche Kommunikation zu filtern oder nicht. So können Ressourcen des Unternehmens-Netzwerks, die für die Sicherung des Datenverkehrs mobiler Einrichtungen verwendet werden, vergeudet werden. Darüber hinaus können die mobilen Einrichtungen viele Ressourcen, einschließlich Batteriestrom, verschwenden, indem sie unnötigerweise Datenverkehr verschlüsseln und tunneln, der legitim und/oder harmlos ist. Mit dem Einsatz der nächsten Generation von Mobilfunknetzen, die noch höhere Bandbreiten, einen noch höheren Bandbreitenverbrauch durch Anwendungen und einen noch höheren Ressourcenverbrauch durch mobile Einrichtungen bieten, ist zu erwarten, dass die Kosten und andere Ineffizienz der konventionellen Absicherung des Internetverkehrs mobiler Einrichtungen und der damit assoziierten Unternehmens-Netzwerke steigen und möglicherweise unerschwinglich werden.
  • Im Zusammenhang mit dem obigen Problem kann das Netzwerk eines einzelnen Unternehmens häufig eine Sammlung mehrerer geografisch verteilter privater Netzwerke sein, die über das Internet miteinander verbunden sind. Das Unternehmen kann seine Sammlung von Netzwerken organisieren, indem es eines oder mehrere der (größeren) privaten Netzwerke z.B. als „zentrale(s) Netzwerk(e)“, „Kernnetzwerk(e)“, „Rechenzentrumsnetzwerk(e)“ usw. und eines oder mehrere der verbleibenden (kleineren) privaten Netzwerke z.B. als ""entfernte(s) Netzwerk(e)", „Filialnetzwerk(e)“ usw. bezeichnet. Die Netzwerk-Architektur eines Unternehmens-Netzwerks, das als eine Sammlung von zentralen Netzwerken und zugehörigen dezentralen Netzwerken organisiert ist, kann als „Hub-and-Spoke“-Architektur bezeichnet werden.
  • Ein konventioneller Ansatz zur Gewährleistung der Netzwerkcybersicherheit über die Sammlung von zentralen und entfernten Netzwerken, die mit einem Unternehmen assoziiert sind, kann der Einsatz von Sicherheits-Stack(s) sein. Sicherheits-Stacks können in jedem der zentralen und entfernten Netzwerke eingesetzt werden. Eine Sicherheits-Policy des Unternehmens kann von dem/den Sicherheits-Stack(s) auf die Kommunikation zwischen Unternehmens-Hosts und Internet-Hosts angewendet werden. Es kann jedoch kostspielig sein, Sicherheits-Stacks in den entfernten Netzwerken einzusetzen. Ein Unternehmen könnte beispielsweise Hunderte von entfernten Niederlassungen haben, so dass der Einsatz von robusten Sicherheits-Stacks in jeder einzelnen entfernten Niederlassung unerschwinglich teuer sein könnte. Stattdessen können die Sicherheits-Stacks in den zentralen Netzwerken eingesetzt werden, und jeglicher Internet-Verkehr, der mit den entfernten Netzwerken assoziiert ist, kann (sicher) zu den zentralen Netzwerken getunnelt oder zurückgeschaltet (engl.: backhauled) werden. In dem/den zentralen Netzwerk(en) kann der Internet-Verkehr des/der entfernten Netzwerke(s) durch den Sicherheits-Stack des zentralen Netzwerks gesichert werden. Auf diese Weise können die entfernten Niederlassungen von den Vorteilen des robusten Sicherheits-Stacks des zentralen Netzwerks/der zentralen Netzwerke profitieren, wobei solche robusten Sicherheits-Stacks nicht in jeder einzelnen entfernten Niederlassung installiert werden müssen.
  • Das/die entfernte(n) Netzwerk(e) kann/können einen oder mehrere Host-Computer haben, die mit ihm/ihnen verbunden sind. Tunnel (wie z.B. sichere Tunnel) können zwischen jedem der entfernten Netzwerke und einem zentralen Netzwerk-Tunnel-Gateway konfiguriert werden, das sich innerhalb des zugehörigen zentralen Netzwerks befindet. Der zentrale Netzwerk-Tunnel-Gateway kann sich hinter dem Sicherheits-Stack des zugehörigen Unternehmens-Netzwerks befinden. Solche Tunnel können z.B. mit einer IPsec-Tunneltechnologie für virtuelle private Netzwerke (VPN) oder mit einer beliebigen anderen (sicheren) Tunneltechnologie implementiert werden. Der Großteil oder die gesamte Internetkommunikation des entfernten Netzwerks kann über das zentrale Netzwerk-Tunnel-Gateway/Terminal durch den Tunnel geleitet werden. Internet-Kommunikation, die das zentrale Netzwerk-Tunnel-Gateway innerhalb des zugehörigen Unternehmens-Netzwerks verlässt, kann durch den Sicherheits-Stack des Unternehmens geleitet werden. Eine Sicherheits-Policy des Unternehmens kann durch den Sicherheits-Stack auf die Kommunikation angewendet werden. Beispielsweise kann der Sicherheits-Stack des Unternehmens die Sicherheits-Policy des Unternehmens auf Internet-Kommunikation anwenden, die vom entfernten Netzwerk empfangen wird, während sie auf dem Weg zu den Internet-Hosts ist. Jede ansprechende Kommunikation, die von den Internet-Hosts stammt, kann in ähnlicher Weise durch den Sicherheits-Stack des Unternehmens gefiltert, an das zentrale Netzwerk-Tunnel-Gateway gesendet und zurück an das entfernte Netzwerk getunnelt werden.
  • Wie oben unter Bezugnahme auf die Erkennung von Internet-Bedrohungen in der Kommunikation mobiler Einrichtungen durch Tunneln des im Wesentlichen gesamten Datenverkehrs einer mobilen Einrichtung zur Filterung durch einen Sicherheits-Stack beschrieben, kann das Tunneln des im Wesentlichen gesamten Datenverkehrs eines entfernten Netzwerks durch einen Sicherheits-Stack in einem zentralen Netzwerk ineffizient sein. In der Regel kommuniziert nur ein sehr kleiner Prozentsatz der Internetkommunikation, die von einem oder mehreren entfernten Netzwerken eines Unternehmens kommt, mit Internet-Bedrohungen, und daher muss nur dieser mit Bedrohungen assoziierter Verkehr gefiltert werden. So können relativ große Mengen an Rechenressourcen und Netzwerkbandbreite verschwendet werden, indem unnötigerweise harmloser Datenverkehr in entfernten Netzwerken getunnelt und verarbeitet wird.
  • Ein weiterer Ansatz zur Gewährleistung der Netzwerk-Cybersicherheit in einer Sammlung von Netzwerken und Einrichtungen, die mit einem Unternehmens assoziiert sind, kann die Verwendung eines Secure Access Service Edge (SASE)-Frameworks sein. Ein SASE-Framework umfasst ein softwaredefiniertes Wide Area Network (SD-WAN), dass die verteilten Netzwerke und Einrichtungen des Unternehmens (z.B. Recheneinrichtungen, mobile Einrichtungen) miteinander verbindet. SD-WAN-Gateways können beispielsweise dazu verwendet werden, Daten über unterschiedliche private Netzwerke (z.B. über ein öffentliches Netzwerk wie das Internet) und Einrichtungen zu übertragen/zu empfangen, wobei ein SD-WAN-Controller für das Routing zwischen den Netzwerken eingesetzt wird. Ein SASE-Framework ermöglicht es außerdem, verschiedene Unternehmensanwendungen in der Cloud zu nutzen. Die Verfügbarkeit von Anwendungen in der Cloud kann den einfachen Zugriff über Netzwerke und persönliche Einrichtungen hinweg verbessern. Dies erlaubt es einem Cloud-basierten Netzwerk-Cybersicherheitssystem auch, die Sicherheits-Policy des Unternehmens nahtlos auf die Kommunikation zu/von den verteilten Netzwerken/Geräten anzuwenden, ohne den Datenverkehr an den Sicherheits-Stack eines zentralen Netzwerks zurückzuleiten.
  • Die Einbeziehung eines SASE-Rahmens kann jedoch eine wesentliche Umgestaltung der Netzwerk-Architektur des Unternehmens und die Außerbetriebnahme bereits implementierter Sicherheitslösungen erfordern. Daher kann dieser Ansatz kostenineffizient sein. Außerdem bieten die meisten Anbieter von SASE-Architekturen eine integrierte Lösung an, die verschiedene Unternehmensanwendungen und Cybersicherheitslösungen umfasst. Dies kann die Flexibilität einschränken, da ein Unternehmen es vorziehen kann, seine Anbieter für bestimmte Anwendungen auszuwählen. Ein SASE-Framework führt auch zu einem einzelnen Ausfallpunkt. Wenn die Verbindung zur Cloud ausfällt, kann dies dazu führen, dass Benutzer von allen vom SASE-Anbieter bereitgestellten Diensten ausgeschlossen werden.
  • Dementsprechend besteht die Notwendigkeit, die entfernten Netzwerke eines Unternehmens mit der Netzwerk-Sicherheits-Policy des Unternehmens effizient zu sichern und so die netzwerkgebundenen Anlagen des Unternehmens vor Bedrohungen aus dem Internet zu schützen.
  • ZUSAMMENFASSUNG
  • Im Folgenden wird eine vereinfachte Zusammenfassung dargestellt, die ein grundlegendes Verständnis einiger Aspekte der Offenbarung vermitteln soll. Es ist weder beabsichtigt, wesentliche oder kritische Elemente der Offenbarung zu identifizieren noch den Umfang der Offenbarung abzugrenzen. Die folgende Zusammenfassung stellt lediglich einige Konzepte der Offenbarung in vereinfachter Form dar, um der nachfolgenden Beschreibung voranzugehen. Im Folgenden werden Aspekte von Verfahren beschrieben, welche lediglich das Verständnis der beanspruchten Erfindung verbessern sollen.
  • Aspekte dieser Offenbarung beziehen sich auf die effiziente Sicherung mobiler Einrichtungen und/oder Unternehmens-Netzwerke vor Internet-Bedrohungen. Die mobilen Einrichtungen und/oder Unternehmens-Netzwerke können Kommunikationsverkehr (z.B. Internetverkehr, Verkehr mobiler Einrichtungen) identifizieren, der mit Internet-Bedrohungen assoziiert werden kann, und können nur solchen identifizierten Verkehr an Tunnel-Gateways zur Filterung durch einen Sicherheits-Stack des Unternehmens tunneln. Ein Unternehmens-Netzwerk kann zum Beispiel ein oder mehrere entfernte Netzwerke und zugehörige zentrale Netzwerke umfassen. Die entfernten Netzwerke können den Internet-Kommunikationsverkehr identifizieren, der mit Bedrohungen aus dem Internet assoziiert werden kann. Sobald die entfernten Netzwerke den Verkehr identifiziert haben, der potenziell mit Bedrohungen aus dem Internet verbunden ist, können die entfernten Netzwerke nur diesen identifizierten Verkehr an die Tunnel-Gateways der assoziierten zentralen Netzwerke tunneln, um ihn durch den Sicherheits-Stack der zentralen Netzwerke zu filtern. Auf diese Weise erhält das Unternehmens-Netzwerk des zentralen Netzwerks nur Verkehr, der wahrscheinlich gefiltert werden sollte, d. h. es ist unwahrscheinlich, dass das Unternehmens-Netzwerk des zentralen Netzwerks Verkehr erhält, der ohne Filterung und/oder andere weitere Verarbeitung erlaubt werden sollte. Auf diese Weise werden Rechenressourcen und Netzwerk-Bandbreitenkapazitäten eingespart, was zu einer Verringerung der Investitions- und Betriebskosten (englisch: capital and operating expenses, CAPEX und OPEX) führen kann, während die Sicherheit des gesamten Unternehmens-Netzwerks erhalten bleibt. Darüber hinaus ermöglicht dies im Wesentlichen die Nutzung der bestehenden Sicherheitsarchitektur des Unternehmens, ohne dass eine vollständige Neugestaltung erforderlich ist, wie dies bei der Migration zu einem SASE-Framework der Fall sein kann.
  • Bei der Identifizierung von Kommunikationen, die mit Internet-Bedrohungen assoziiert sind, können Datenbanken oder Datenstrukturen mit Informationen über Cyber-Bedrohungs-Aufklärungsberichte (englisch: Cyber-Threat-Intelligence CTI), genutzt werden, die von vielen CTI-Anbietern (englisch: Cyber-Threat-Intelligence Providers, CTIP) zur Verfügung gestellt werden. Diese CTI kann Indikatoren, oder Bedrohungsindikatoren, oder Indicators-of-Compromise (IoCs) aufweisen. Die CTI kann Internet-Netzwerkadressen - in Form von IP-Adressen, IP-Adressbereichen, L4-Ports und assoziierten L3-Protokolltypen, Domänennamen, URIs (engl.: uniform resource identifier) usw. - von Ressourcen aufweisen, die möglicherweise von Bedrohungsakteuren kontrolliert/betrieben werden oder die auf andere Weise mit bösartigen Aktivitäten assoziiert werden können. Die CTI-Indikatoren/Bedrohungsindikatoren können auch Identifikatoren für Zertifikate und assoziierte Zertifizierungsstellen aufweisen, die zur Sicherung einiger TCP/IP-Kommunikationen verwendet werden (z.B. X.509-Zertifikate, die vom TLS-Protokoll zur Sicherung von HTTP-vermittelten Sitzungen verwendet werden).
  • Um festzustellen, ob eine aktive Kommunikation mit einer Bedrohung aus dem Internet assoziiert werden kann, können die Pakete, aus denen sich die Kommunikation zusammensetzt, mit der Datenbank oder der Datenstruktur verglichen werden, die Bedrohungsindikatoren enthält, z.B. durch eine Paket-Filtereinrichtung, die Paket-Filterregeln anwendet, die aus der Datenbank der Bedrohungsindikatoren generiert wurden. Wird eine Übereinstimmung zwischen einem Wert für ein Paket und einem Bedrohungsindikator in der Datenbank oder Datenstruktur festgestellt, so kann mindestens eine aus einer Reihe von Schutzmaßnahmen oder Pakettransformationsfunktionen (PTF) auf das Paket angewendet werden. Diese Schutzmaßnahmen/PTFs können das Verwerfen bzw. Droppen eines Pakets, das Erlauben der Weitergabe eines Pakets an das vorgesehene Ziel, das Überwachen eines Pakets (was das Loggen und Erfassen des Pakets oder das Loggen und Weiterleiten des Pakets aufweisen kann), das Spiegeln eines Pakets an das vorgesehene Ziel und an eine andere Einrichtung des Netzwerks zur Überwachung oder zum Testen, das Umleiten eines Pakets, das Generieren eines entsprechenden Antwortpakets oder Ähnliches umfassen.
  • Die Schutzmaßnahmen/PTFs können zum Teil durch die Bedrohungsinformationen (englisch: threat intelligence data) oder Bedrohungsmetadaten bestimmt werden, die von der zugehörigen bzw. dem assoziierten CTIP, die den Indikator geliefert hat, bereitgestellt werden. Die CTIPs können ihre CTI-Indikatoren mit einem nicht-binären Bedrohungsrisikowert verknüpfen. Das Risiko eines Indikators kann z.B. als Wahrscheinlichkeit repräsentiert oder mit einer Wahrscheinlichkeit assoziiert werden, dass ein zugehöriges Paket oder eine Kommunikation eine Bedrohung oder einen Angriff umfasst. Solche Bedrohungsrisikowerte können bei der Bestimmung der Schutzmaßnahme/PTF, die auf das entsprechende Paket angewendet werden kann, berücksichtigt werden. Besteht beispielsweise ein Bedrohungsrisiko von nahezu 100 % für ein Paket, kann das Paket verworfen bzw. gedroppt werden, da es mit hoher Wahrscheinlichkeit eine Bedrohung oder einen Angriff umfasst. Das Paket kann auch geloggt, erfasst und den Behörden gemeldet werden, die auf die Bedrohung/den Angriff aufmerksam gemacht werden sollten. Wenn das Bedrohungsrisiko eines Pakets hingegen nahezu 0 % beträgt, kann dem Paket erlaubt werden, an seinem Ziel weiterzugehen, da es wahrscheinlich nicht Teil eines Angriffs ist. Ein anderes Beispiel: Liegt die Risikowahrscheinlichkeit eines Pakets bei 50 %, kann es erlaubt sein, das Paket bis zu seinem Ziel weiterzureichen, aber das Paket kann auch geloggt oder aufgezeichnet werden, oder das Risiko kann in einer Warnung an die zuständigen Behörden angegeben werden, die das Paket und die zugehörige Kommunikation weiter analysieren können, um festzustellen, ob das Paket/die Kommunikation Teil eines Angriffs war oder nicht. Die Abschätzung von Risikowerten und die Auswahl zugehöriger Maßnahmen/PTFs oder Netzwerkschutzmaßnahmen kann eine Funktion mehrerer Variablen sein, einschließlich Bedrohungs-Metadaten (z.B. Angriffstyp, Angriffsattribution und dergleichen), die von der zugehörigen CTIP bereitgestellt werden können, der Anzahl der CTIPs, die denselben Indikator geliefert haben, welche CTIP(s) den Indikator geliefert haben, der Zuverlässigkeit des Indikators, des geografischen Standorts des Absenders des Pakets, der Präferenzen der Administratoren des zugehörigen bzw. assoziierten zu schützenden Netzwerks und dergleichen.
  • Ein System zur Erstellung und Verwaltung von Policies (a) kann CTI und zugehörige Metadaten von einem oder mehreren CTIPs empfangen; (b) kann die Bedrohungsindikatoren aggregieren (z.B. zusammenführen und doppelte Informationen entfernen); (c) kann eine Paket-Filterregel für jeden Bedrohungsindikator erstellen; (d) kann alle Paket-Filterregeln in einer Policy sammeln; und (e) kann die Policy an teilnehmende Einrichtungen zur Durchsetzung von Policies wie Netzwerk-Firewalls und Threat Intelligence Gateways (TIGs) verteilen. In Schritt (c) beim Erstellen von Paket-Filterregeln kann jede Regel (1) Paket-Übereinstimmungs-Kriterien, z.B. Paare von Paketfeldern und -werten, wobei die Werte CTI-Indikatoren sind; und (2) eine Paket-Disposition oder Netzwerk-Schutzaktion oder PTF oder Regel-Aktion, die auf ein Paket angewendet werden soll, das den Kriterien der Regel entspricht, angeben. Die Syntax der Paket-Filterregel kann von der Einrichtung zur Durchsetzung der Policy festgelegt werden. Die Syntax kann die gleiche oder eine ähnliche sein wie die Syntax für kommerzielle Firewalls wie BSD PF oder iptables. Die Paketverfügungen/Aktionen/PTFs können durch eine Logik zur Erstellung von Policies spezifiziert werden, die, wie oben beschrieben, von CTIP gelieferte Bedrohungs-Metadaten, Administratorpräferenzen und Ähnliches berücksichtigen kann. Die Einrichtungen zur Durchsetzung von Policies können so konfiguriert sein, dass sie die von CTI abgeleiteten Policies für Kommunikationen, die mit mobilen Einrichtungen assoziiert sind, die mit Unternehmensnutzern assoziiert sind, mit dem Unternehmen assoziierten Remote-Netzwerken und/oder anderen mit dem Unternehmen assoziierte Geräten/Netzwerken durchsetzen (z.B. Geräte/Netzwerke, die mit Netzwerken und Anlagen kommunizieren können, die von dem Unternehmen betrieben und/oder verwaltet werden).
  • Der Umfang der von den CTI abgeleiteten Policies kann bei den offenbarten Verfahren und Systemen eine Rolle spielen. Um einen möglichst effektiven Schutz des Netzwerks zu gewährleisten, sollten die CTI von vielen unterschiedlichen unabhängigen CTIPs zur Ableitung der Policies verwendet werden. Da sich die CTIPs z.B. nach Angriffsarten, Marktsegmenten, Qualität der Bedrohungsmetadaten, Indikatortypen und Zuverlässigkeit unterscheiden können, gibt es möglicherweise nur sehr wenige Überschneidungen zwischen den von unabhängigen CTIPs gelieferten Indikatoren. Bei zwei Gruppen von Bedrohungsindikatoren, die von zwei unabhängigen CTIPs geliefert werden, kann die Schnittmenge der Gruppen relativ klein oder sogar Null sein. Um die besten Chancen zu haben, eine aktive Bedrohungskommunikation zu erkennen, sollten daher die CTI von so vielen unabhängigen CTIPs wie möglich zur Ableitung von Policies verwendet werden. Dies kann zu sehr großen Policies führen. Beispielsweise kann eine von CTI abgeleitete Policy, die aus vielen unabhängigen CTIPs erstellt wurde, fünf (5) Millionen Paket-Filterregeln umfassen. Das Ausmaß der Bedrohungen aus dem Internet nimmt jedoch weiterhin schnell zu, und dementsprechend produzieren die CTIPs immer mehr CTIs. Deshalb können Filtersysteme zur Zukunftssicherung so gestaltet werden, dass sie eine Steigerung um eine Größenordnung in der Größe der effektiven, von CTI abgeleiteten Policies bewältigen können, die zwischen 10 und 50 Millionen Paket-Filterregeln aufweisen.
  • Die Dynamik der CTI abgeleiteten Policies kann ebenfalls in die beschriebenen Verfahren und Systeme einfließen. Die CTI ändert sich ständig, weil böswillige Akteure zum Beispiel ständig und schnell neue Angriffe mit neuen Bedrohungsindikatoren entwickeln. Bedrohungsindikatoren können auch nach 60-180 Tagen „veralten“ und werden dann nicht mehr als riskant angesehen. Zudem können sich die CTIPs in der Häufigkeit ihrer CTI-Updates unterscheiden. Dementsprechend müssen die von der CTI abgeleiteten Policies häufig aktualisiert werden, um ihre Effektivität zu erhalten. In der Praxis kann die Häufigkeit der Verteilung von CTI abgeleiteten Policies wöchentlich, täglich oder stündlich sein.
  • Die Charakterisierung jeder Regel in einer Policy durch einen Indikator in den Übereinstimmungskriterien der Regel kann ebenfalls in die offenbarten Verfahren und Systeme einfließen. Diese Eigenschaft kann durch Tests ausgenutzt werden, um herauszufinden, ob die Paketdaten einer Regel in der Policy entsprechen, bevor die Policy durchsucht wird.
  • Aufgrund der Größe und Dynamik von CTI-Datenbanken kann der Einsatz von CTI zum Schutz von Netzwerken von einer Automatisierung sowohl bei der Erstellung von Policies als auch bei der Durchsetzung von Policies profitieren. Zur Automatisierung der Durchsetzung von Policies kann jede Netzwerk-Einrichtung, die Paket-Filterregeln auf den Datenverkehr im Netzwerk anwenden kann, wie z.B. eine Netzwerk-Firewall, potentiell die Funktion zur Durchsetzung der Policy ausführen. Für die Anwendung von CTI zum Schutz von Netzwerken ist es von Vorteil, wenn eine Einrichtung zur Durchsetzung von Policies in der Lage ist: (a) sehr große Policies, die aus Millionen von Paket-Filterregeln zusammengesetzt sind, auf den laufenden Netzwerkverkehr auf Hochgeschwindigkeits-Internetzugangsverbindungen (z.B. 10G) anzuwenden, ohne dass es zu signifikanten Latenzen oder Paketverlusten kommt (z.B. aufgrund von Pufferüberläufen, die durch große Latenzen verursacht werden); (b) Paket-Filterregeln mit unterschiedlichen Arten von Indikatoren in ihren Übereinstimmungskriterien anzuwenden, z.B. IP-Adressen, IP-Adressbereiche, 5-Tupel, Domainnamen, URIs, X.509 Zertifikaten und ähnlichem; (c) schnelles und häufiges Aktualisieren der aktuell durchgesetzten sehr umfangreichen Policy mit einer neuen sehr umfangreichen Policy ohne Verlust des Paketweiterleitungsdienstes oder der Sicherheit/des Schutzes; und (d) Loggen und Erfassen von Paketen, so dass die Kommunikation z.B. mit Hilfe von Security Information and Event Management (SIEM)-Anwendungen und Paket-Analyse-Anwendungen cyberanalysiert werden kann.
  • Ein möglicher Ansatz zum Schutz mobiler Einrichtungen und zugehöriger bzw. assoziierter Netzwerke mit von der CTI abgeleiteten Policies besteht darin, die Funktion zur Durchsetzung der Policy auf der mobilen Einrichtung des Endpunkts zu verorten. Betriebssysteme für mobile Einrichtungen wie Android weisen eine Netzwerk-Firewall-Funktion auf (z.B. iptables in Android), die von CTI abgeleitete Paket-Filterregeln auf den Verkehr anwenden kann, der von der mobilen Einrichtung des Endpunkts kommt und von ihr empfangen wird. Auch wenn iptables sowie konventionelle Netzwerk-Firewalls und so genannte „Next-Gen“-Firewalls mit der von CTI abgeleiteten Funktion zur Durchsetzung von Policies identifiziert werden können, wenn sie mit von CTI abgeleiteten Regeln konfiguriert sind, haben solche Firewalls in der Regel nicht alle der oben genannten Fähigkeiten eines Netzwerk-Gateways. Darüber hinaus verfügen konventionelle mobile Einrichtungen in der Regel nicht über ausreichende Prozessor- und Speicheranforderungen, um die Fähigkeiten eines Netzwerk-Gateways zu unterstützen. Außerdem minimieren mobile Einrichtungen in der Regel die Verarbeitungslast und damit den Stromverbrauch, um die in ihren Batterien gespeicherte Energie zu schonen. Daher ist dieser mögliche Ansatz, eine effektive Funktion zur Durchsetzung der Policy auf der mobilen Einrichtung zu verorten, möglicherweise nicht praktikabel.
  • Um die Probleme mit der begrenzten Verarbeitungskapazität und der Batterieschonung von mobilen Einrichtungen zu lösen, kann die Funktion zur Durchsetzung der Policy (z.B. ein TIG) mit dem Sicherheits-Stack an den Internet-Zugangspunkten des Unternehmens-Netzwerks bereitgestellt werden; und anstatt den gesamten Internet-Verkehr von jeder mobilen Einrichtung zu einem Tunnel-Gateway zu tunneln, das sich hinter dem Sicherheits-Stack befindet, könnte das System von jeder mobilen Einrichtung nur den Internet-Verkehr tunneln, der mit einer Paket-Filterregel in der von dem TIG durchgesetzten CTI-abgeleiteten Policy übereinstimmen könnte. Das System kann lokal auf jeder mobilen Einrichtung eine Logik ausführen, die effizient bestimmt, welche Internet-Verkehrspakete einer Paket-Filterregel in der Policy entsprechen, die vom (entfernten) TIG im Unternehmens-Netzwerk durchgesetzt wird.
  • Ein möglicher Ansatz für den Schutz entfernter Netzwerke und der zugehörigen bzw. assoziierten zentralen Netzwerke mit von der CTI abgeleiteten Policies besteht darin, sowohl die (von der CTI abgeleitete) Funktion zur Durchsetzung der Policy (z.B. ein TIG) als auch den Sicherheits-Stack des Unternehmens nicht nur in dem/den zentralen Netzwerk(en), sondern auch in den entfernten Netzwerken zu verorten. Wie bereits erwähnt, kann es jedoch als unerschwinglich teuer angesehen werden, eine Funktion zur Durchsetzung der Policy und einen Unternehmens-Sicherheits-Stack in den entfernten Netzwerken zu verorten. Dies gilt insbesondere für größere Organisationen, die viele kleinere entfernte Niederlassungen haben, bei denen die Kosten für die Implementierung und den Betrieb der Sicherheitsfunktionen unerschwinglich teuer sein könnten.
  • Eine Funktion zur Durchsetzung der Policy (z.B. TIG) kann zusammen mit einem Sicherheits-Stack am Internet-Zugangspunkt des zentralen Netzwerks bereitgestellt werden (z.B. so, dass der gesamte Internet-Verkehr im zentralen Netzwerk über die Funktion zur Durchsetzung der Policy und den Sicherheits-Stack laufen muss). Um die Kostenineffizienz, die mit der Bereitstellung einer Funktion zur Durchsetzung der Policy assoziiert sind, und eines Sicherheits-Stacks in jedem entfernten Netzwerk zu beheben, können die Funktion zur Durchsetzung der Policy und der Sicherheits-Stack im zentralen Netzwerk für den Schutz der entfernten Netzwerke verwendet werden. Anstatt den gesamten Internetverkehr von jedem entfernten Netzwerk an ein zentrales Netzwerk-Tunnel-Gateway zu tunneln, das hinter dem Sicherheits-Stack und der Funktion zur Durchsetzung der Policy des zentralen Netzwerks verortet ist, könnte jedes entfernte Netzwerk nur den Internet-verkehr tunneln, der einer Paket-Filterregel in der CTI-abgeleiteten Policy entspricht, die von der Funktion zur Durchsetzung der Policy des zentralen Netzwerks durchgesetzt wird. Der gesamte andere Internetverkehr kann den Tunnel umgehen und direkt mit dem Internet kommunizieren. Beispielsweise kann eine Einrichtung/Funktion des entfernten Netzwerk-Tunnel-Gateways, die sich an oder nahe der Grenze des entfernten Netzwerks zum Internet befindet, ein Ende des mit dem zentralen Netzwerk-Tunnel-Gateway verbundenen Tunnels abschließen und lokal eine Logik ausführen, die effizient bestimmt, welche Internet-Verkehrspakete einer Paket-Filterregel entsprechen, die in einer Policy enthalten ist, die von der (entfernten) Funktion zur Durchsetzung der Policy, die sich im zugehörigen zentralen Netzwerk befindet, durchgesetzt wird. Das entfernte Netzwerk-Tunnel-Gateway kann übereinstimmenden Verkehr in den Tunnel zum zentralen Netzwerk senden (z.B., wenn der Verkehr den Tunnel über das zentrale Netzwerk-Tunnel-Gateway verlässt). Bei dem entfernten Netzwerk-Tunnel-Gateway kann es sich um ein Netzwerk-Gerät oder eine andere Art von Recheneinrichtung (z.B. Desktop-Computer, Laptop-Computer, mobile Einrichtung usw.) handeln, die mit dem entfernten Netzwerk assoziiert ist.
  • Während verschiedene Beispiele hierin die Verwendung einer Datenstruktur in einer mobilen Einrichtung oder einem entfernten Netzwerk-Tunnel-Gateway beschreiben, um zu bestimmen, welcher Internetverkehr zu einem zentralen Netzwerk getunnelt werden soll (z.B. zur Durchsetzung der Policy in einer Funktion zur Durchsetzung der Policy und zur zusätzlichen Verarbeitung in einem Sicherheits-Stack), können die hierin beschriebenen Verfahren, Einrichtungen und Systeme auf jede Einrichtung oder jedes Netzwerk angewendet werden, das in der Lage ist, den Verkehr zu einem anderen Netzwerk mit Fähigkeiten zur Durchsetzung der Policy und/oder einem Sicherheits-Stack zu tunneln.
  • Um effizient zu bestimmen, welche Internetverkehrspakete einer Paket-Filterregel in der Policy entsprechen, kann jede Regel in einer von der CTI abgeleiteten Policy durch einen Bedrohungsindikator gekennzeichnet werden. Der Bedrohungsindikator kann als Übereinstimmungskriterium für eine Filterregel verwendet werden. Eine mobile Einrichtung und/oder ein entferntes Netzwerk-Tunnel-Gateway kann eine Datenstruktur verwenden, die jede Regel in einer Sicherheits-Policy durch ihren charakterisierenden Bedrohungsindikator repräsentiert, um zu bestimmen, ob ein Internet-Verkehrspaket einer Regel in der Policy entspricht. Um eine gesamte Policy zu repräsentieren, kann das System alle Indikatoren - IP-Adressen, Domänennamen, URIs, Zertifikats-IDs usw. - sammeln, die jede Regel in der Policy charakterisieren, und jeden dieser Indikatoren z.B. in eine Datenstruktur (z.B. eine probabilistische Datenstruktur) einfügen. - die jede Regel in der Policy charakterisieren, sammeln und jeden dieser Indikatoren z.B. in eine Datenstruktur (z.B. eine probabilistische Datenstruktur) einfügen. Die Datenstruktur kann getestet werden, um festzustellen, ob ein Element (z.B. eine IP-Adresse, ein Domänenname, eine URI, eine Zertifikats-ID usw.) ein Teil der Datenstruktur ist (z.B. ob das Element ein Teil von/in der Menge der Indikatoren ist, die zur Generierung der Datenstruktur verwendet werden). Die Datenstruktur kann von einem Policy-Management-Server generiert, an jede mobile Einrichtung und/oder jedes entfernte Netzwerk-Tunnel-Gateway verteilt und auf jeder mobilen Einrichtung und/oder jedem entfernten Netzwerk, das durch die Policy geschützt werden kann, gespeichert werden. Wenn die mobile Einrichtung und/oder das entfernte Netzwerk von einem Internet-Verkehrspaket kommt oder es empfängt, kann eine Computerlogik und/oder eine Anwendung auf der mobilen Einrichtung und/oder dem entfernten Netzwerk-Tunnel-Gateway jedes in dem Paket enthaltene Element extrahieren, das Bedrohungsindikatoren in der Datenstruktur entsprechen kann, wie z.B. eine IP-Adresse, ein Domänenname, eine URI, eine Zertifikats-ID usw., und kann die Datenstruktur testen, um festzustellen, ob ein solches Element ein Teil der Menge der Datenstruktur ist. Wenn der Test anzeigt, dass ein beliebiges Paketelement ein Teil des Satzes von Bedrohungsindikatoren ist, kann das Paket oder eine Kopie des Pakets an das Tunnel-Gateway (z.B. ein zentrales Netzwerk-Tunnel-Gateway) getunnelt werden, das sich im privaten Unternehmens-Netzwerk (z.B. einem zentralen Netzwerk) befinden kann. Beim Verlassen des Tunnel-Gateways kann das Paket an das TIG gesendet werden, das das Paket durch die Policy filtern kann, um festzustellen, welche Paket-Filterregel dem Paket entspricht. Wird die übereinstimmende Regel durch einen Policy-Test des TIG ermittelt, können die mit der Regel assoziiert(en) Aktion(en) oder PTF(s) auf das Paket angewendet werden, um das Netzwerk zu schützen. Wenn die Aktion(en) oder PTF(s) dazu führen, dass das Paket in Richtung Internet weitergeleitet wird, kann das Paket durch einen zugehörigen bzw. assoziierten Sicherheits-Stack laufen.
  • Die Datenstruktur ist vorzugsweise sowohl räumlich als auch zeitlich effizient. Der Speicher, der für die Speicherung des Satzes von Elementen oder Bedrohungsindikatoren, die die Regeln in der Policy charakterisieren, erforderlich ist, muss im Verhältnis zum verfügbaren Hauptspeicher der mobilen Einrichtung und/oder des entfernten Netzwerk-Tunnel-Gateways klein sein, und eine Zugehörigkeitstestfunktion und eine Elementeinfügungsfunktion müssen sowohl in der Theorie als auch in der Praxis schnell und effizient sein. Wie in der US-Patentanmeldung Nr. 16/399,700 beschrieben, die am 30. April 2019 eingereicht wurde und die hier durch Bezugnahme einbezogen ist, kann eine probabilistische Datenstruktur, die als Bloom-Filter bezeichnet wird, diese Kriterien erfüllen. Ein Bloom-Filter speichert platzeffizient die Elemente eines Satzes, fügt zeiteffizient Elemente in den Satz ein und kann zeiteffizient getestet werden, um festzustellen, ob ein Element ein Teil eines Satzes sein kann. Bloom-Filter werden durch eine Falsch-Positiv-Rate P parametrisiert, d. h. die Wahrscheinlichkeit, dass ein Test auf Zugehörigkeit zu einem Satz für ein Element „wahr“ ergibt, obwohl das Element in Wirklichkeit kein Teil des Satzes ist. Bei Bloom-Filtern ist die Falsch-Negativ-Rate gleich Null. Das heißt, wenn ein Test auf Zugehörigkeit zu einem Satz für ein Element den Wert Falsch ergibt, dann ist es sicher, dass das Element kein Teil des Satzes ist.
  • Ein Bloom-Filter kann von der mobilen Einrichtung und/oder dem entfernten Netzwerk-Tunnel-Gateway verwendet werden, um effizient zu bestimmen, ob ein Paketelement, wie z.B. eine IP-Adresse, ein Domänenname oder ein URI, das aus einem Internet-Verkehrspaket extrahiert wurde, ein Teil des Satzes aller Indikatoren ist, die jede der Regeln in der Policy charakterisieren. Beispielsweise kann ein Bloom-Filter mit einer Größe von etwa 9 MByte ausreichen, um alle IP-Adressen-, Domänennamen- und URL-Indikatoren in einer realen Policy zu speichern, die aus etwa fünf (5) Millionen Paket-Filterregeln besteht, die aus einer ähnlichen Anzahl (z.B. 5 Millionen) von CTIP-gelieferten Bedrohungsindikatoren abgeleitet wurden, wenn die Falsch-Positiv-Rate P = 10-3 oder eins zu tausend ist. Ein Bloom-Filter mit 5 Millionen Elementen kann schnell getestet werden (z.B. typischerweise in weniger als 1 Mikrosekunde), um festzustellen, ob ein bestimmtes Paketelement (z.B. IP-Adresse, Domänenname oder URL) ein Teil davon ist. Bei diesem oder jedem anderen Bloom-Filter variieren die Anforderungen an den Platz/Speicher und die Zeit für den Zugehörigkeitstest mit der Größe des Logarithmus von P; so führt z.B. eine Verringerung von P = 10-3 um den Faktor Tausend auf P = 10-6 oder eins zu einer Million nur zu einem Anstieg des Platz- und Zeitbedarfs um den Faktor 2 (z.B. auf etwa 18 MB für dieses Beispiel). Viele aktuelle mobile Smartphones und Low-End fixierte Recheneinrichtungen haben vielleicht 1-4 GB Hauptspeicher; ein beispielhafter Bloom-Filter von 9 MB kann also weniger als 1 % des Hauptspeichers belegen. Wenn die von der CTI abgeleitete Policy, gemessen an der Anzahl der darin enthaltenen Paket-Filterregeln oder Bedrohungsindikatoren, signifikant an Größe zunimmt, so dass die Größe des zugehörigen bzw. assoziierten Bloom-Filters zu einem Anliegen wird, kann die False-Positive-Rate erhöht werden, um die Größe des Bloom-Filters zu reduzieren.
  • Die Datenstruktur des Bloom-Filters, die im Folgenden mit „B/F“ abgekürzt werden kann, wird in der Beschreibung der Offenbarung verwendet, aber diese Wahl ist beispielhaft und in keiner Weise einschränkend oder begrenzend gemeint. Jede Datenstruktur mit ausreichender und ähnlicher Zeit- und Raumeffizienz zum Speichern eines Satzes von Elementen, zum Einfügen von Elementen in den Satz und zum Testen der Zugehörigkeit eines Elements zu einem Satz kann verwendet werden. Gegenwärtig entwickelt sich die probabilistische Datenstrukturtechnologie ständig weiter, wobei jeder neue Typ unterschiedliche und verbesserte Eigenschaften und Merkmale hat, z.B. Cuckoo-Filter, blockierte Bloom-Filter, XOR-Filter usw. Dies ermöglicht die Auswahl der besten Datenstruktur für ein bestimmtes Szenario. Ein Cuckoo-Filter hat beispielsweise eine ähnliche Zeit- und Raumeffizienz wie ein Bloom-Filter (B/F) und hat darüber hinaus die Fähigkeit, Elemente aus dem Satz effizient zu löschen oder zu entfernen - eine Fähigkeit, die ein Standard-Bloom-Filter nicht hat, obwohl Bloom-Filter-Varianten entwickelt wurden, die eine Löschfähigkeit unterstützen. Die Fähigkeit, Elemente eines Satzes effizient zu löschen, kann sich in einigen Anwendungen, Implementierungen und/oder Ausführungsformen als nützlich erweisen. Die Datenstruktur kann eine Insert()-Funktion zum Hinzufügen eines Elements zum Satz unterstützen, kann eine boolesche Member()-Funktion zum Testen der Satzzugehörigkeit eines Elements unterstützen und kann eine Delete()-Funktion zum Entfernen eines Elements aus einem Satz unterstützen. Die Datenstruktur kann probabilistisch sein und kann mit einer Falsch-Positiv-Rate P ungleich Null assoziiert sein.
  • Wenn der Test anzeigt, dass ein beliebiges Paketelement ein Teil des Satzes ist, wird festgestellt, dass das Paket eine Assoziierung zu einer Internetbedrohung hat. So kann ein mit einer Bedrohung assoziiertes Paket von der mobilen Einrichtung und/oder dem entfernten Netzwerk-Tunnel-Gateway an ein Tunnel-Gateway (z.B. ein zentrales Netzwerk-Tunnel-Gateway, ein mit einem Unternehmens-Netzwerk verbundenes Tunnel-Gateway) getunnelt werden, das hinter dem Sicherheits-Stack des assoziierten Unternehmens-Netzwerks verortet sein kann. Es gibt verschiedene Tunneling-Technologien und zugehörige Verfahren, die verwendet werden können, und in einigen Szenarien können die Tunneling-Technologien und -Verfahren zum Teil von den Arten des Schutzes und dem Grad der Effizienz abhängen, den das Unternehmen für seine mobile Infrastruktur und/oder seine entfernten Netzwerke möchte. In den nachstehenden detaillierten Beschreibungen werden einige beispielhafte Tunneling-Technologien verwendet; diese Tunneling-Technologien sind jedoch beispielhaft und in keiner Weise einschränkend oder begrenzend gemeint. Andere Tunneling-Technologien und -Verfahren können zur Verwirklichung der Erfindung verwendet werden, ohne den Rahmen der Offenbarung zu sprengen.
  • Das in dieser Offenbarung beschriebene beispielhafte Internetschicht/L3-Tunneling-Protokoll ist der IPsec-Tunnelmodus (RFC 1431). Der IPsec-Tunnelmodus kann den zu tunnelnden Paketverkehr verschlüsseln, den verschlüsselten Verkehr im Nutzlastteil von Transportschicht/L4-Paketen (entweder UDP- oder TCP-Protokoll) platzieren und die L4-Pakete in IP-Pakete einkapseln, in denen die IP-Adressfeldwerte die IP-Adressen der Endgeräte des Tunnels sind, die die Adressen der mobilen Einrichtung und des Unternehmens-Netzwerk-Gateways aufweisen können. Es können auch andere Internetschicht/L3-Tunneling-Protokolle verwendet werden, einschließlich IPin-IP (RFC 1203). Die mobilen Einrichtungen und/oder ein entferntes Netzwerk-Tunnel-Gateway und der getunnelte Verkehr können mit einem VPN assoziiert werden, so dass das assoziierte private Adressierungsschema des Unternehmens-Netzwerks verwendet werden kann, um den getunnelten Verkehr durch das private Unternehmens-Netzwerk zum TIG, Sicherheits-Stack und Internet zu leiten und/oder zu schalten. Eine beispielhafte Möglichkeit, dies zu tun, ist die Verwendung des L2TP-Protokolls in Kombination mit IPsec, bekannt als L2TP-over-IPsec oder L2TP/IPsec. L2TP/IPsec wird sowohl von Android als auch von iOS nativ unterstützt, was zwei beliebte Betriebssysteme für mobile Einrichtungen sind. In der folgenden Beschreibung können die genauen Details der Protokolle weggelassen werden, wenn von Tunneling die Rede ist. Der Fachmann kann die Details aus dem Kontext des jeweiligen Szenarios ableiten.
  • Die mobilen Einrichtungen können situativ mit einem Unternehmen assoziiert sein. Das bedeutet, dass die Einrichtungen je nach den Eigenschaften der aktuellen Kommunikation im „Unternehmensmodus“ oder im „persönlichen Modus“ oder in beiden betrieben werden können. Wenn beispielsweise eine mobile Einrichtung Internet-Bedrohungsdaten an das Unternehmens-Netzwerk tunnelt, kann die Einrichtung als Unternehmens-Host/Endpunkt-Anlage betrachtet werden, die an das Unternehmens-Netzwerk angebunden ist und daher im Unternehmensmodus arbeitet. Wenn die mobile Einrichtung den Internetverkehr nicht tunnelt, sondern direkt mit anderen Internet-Hosts/Endpunkten kommuniziert, wird sie nicht als Unternehmens-Host/Endpunkt-Anlage betrachtet und arbeitet daher im persönlichen Modus. Die mobile Einrichtung kann gleichzeitig in beiden Modi betrieben werden. So kann die Einrichtung beispielsweise gleichzeitig direkt mit einem nicht bedrohlichen/ harmlosen Internet-Host und indirekt mit einem Internet-Bedrohungshost über einen Tunnel kommunizieren. Die Einrichtung kann direkt mit einem Internet-Bedrohungshost kommunizieren, aber eine Kopie der Kommunikationspakete an das Unternehmen zurücktunneln. Pakete, die in das Unternehmens-Netzwerk getunnelt werden, oder kopierte Pakete, die in das Unternehmens-Netzwerk getunnelt werden, können überwacht werden, um Netzwerk Bedrohungen festzustellen oder zu analysieren. Solche Pakete können überwacht und cyber-analysiert werden, um festzustellen, ob es sich bei der Kommunikation um einen Angriff oder eine legitime/ harmlose Kommunikation handelt.
  • Der Prozess kann die Konfiguration mindestens einer mobilen Einrichtung und/oder eines entfernten Netzwerk-Tunnel-Gateways mit einer Logik oder einer Anwendung aufweisen, um einen Test der Policy auszuführen. Die Logik oder Anwendung kann von einem Unternehmensverwaltungsserver installiert werden. Die mobile Einrichtung kann ein Mobiltelefon, ein Tablet, einen Laptop oder eine mobile Netzwerk-Einrichtung, wie z.B. einen mobilen Hotspot, aufweisen. Das Unternehmens-Netzwerk kann mit einem TIG und einem Tunnel-Gateway konfiguriert sein.
  • Der Prozess kann die Konfiguration des entfernten Netzwerk-Tunnel-Gateways mit einer Logik oder einer Anwendung aufweisen, um einen Test der Policy auszuführen. Die Logik oder Anwendung kann von einem Unternehmensmanagement-Server installiert werden. Das zugehörige zentrale Netzwerk kann mit einem TIG und einem zentralen Netzwerk-Tunnel-Gateway konfiguriert sein.
  • Ein Server für die Erstellung und Verteilung von Policies (z.B. assoziiert mit einem System zur Erstellung und Verwaltung von Policies) kann CTI von mehreren CTIPs empfangen und eine von CTI abgeleitete Policy basierend auf den empfangenen CTI erstellen. Die von der CTI abgeleitete Policy kann eine Vielzahl von Regeln aufweisen. Der Verwaltungsserver kann eine Datenstruktur (z.B. Bloom-Filter B/F) erstellen, die auf einem Satz von Elementen basiert, die jede der mehreren Regeln repräsentieren. Eine solche Datenstruktur, im Folgenden TUNNEL-B/F genannt, kann die Bedrohungsindikatoren enthalten, die aus jeder Regel der Policy extrahiert wurden. Das System kann die Policy auf das TIG herunterladen und die Datenstruktur TUNNEL-B/F an jede mobile Einrichtung, die mit dem Unternehmens-Netzwerk assoziiert ist, und/oder an jedes entfernte Netzwerk-Tunnel-Gateway, das mit einem entsprechenden entfernten Netzwerk assoziiert ist, und an andere Netzwerkelemente, einschließlich des TIG, übertragen. Alternativ kann das TIG die Datenstruktur TUNNEL-B/F erstellen, nachdem es die von der CTI abgeleitete Policy von dem Server für die Erstellung und das Management der Verteilung von Policies empfangen hat, und dann die Datenstruktur TUNNEL-B/F an jede mobile Einrichtung und/oder jedes entfernte Netzwerk-Tunnel-Gateway übertragen.
  • Eine mobile Einrichtung kann eine Kommunikation mit einem Internet-Host einleiten. Die Werte des ausgehenden Pakets, wie IP-Adressen, Domänennamen und URIs, können auf Zugehörigkeit in der Datenstruktur TUNNEL-B/F getestet werden. Wenn die Prüfung der Zugehörigkeit den Wert „Wahr“ ergibt, kann das System das Paket in das Unternehmens-Netzwerk tunneln. Die Pakete können durch den TIG- und Sicherheits-Stack gefiltert werden. Jedes der nachfolgenden Pakete im Fluss der Kommunikation kann in das Unternehmens-Netzwerk getunnelt und durch den TIG- und Sicherheits-Stack gefiltert werden. Ergibt ein Zugehörigkeitstest den Wert „Falsch“, kann das System das Paket direkt an den Internet-Host weiterleiten, ohne das Paket an das Unternehmens-Netzwerk zu tunneln.
  • Beim Empfang eines getunnelten Pakets, das das Tunnel-Gateway verlässt, kann das Unternehmens-Netzwerk Pakete an das TIG weiterleiten. Das TIG kann die Policy auf jedes Paket anwenden. Wenn das TIG die passende Paket-Filterregel findet, kann es die der Regel entsprechende(n) Aktion(en)/PTF(s) auf das Paket anwenden. Eine Aktion/PTF kann z.B. das Paket verwerfen oder droppen oder das Paket an den Sicherheits-Stack zur weiteren Sicherheitsverarbeitung weiterleiten. Eine Aktion/PTF kann bewirken, dass ein Paket geloggt und erfasst wird, so dass das Paket und die assoziierte Kommunikation mit einer SIEM-Anwendung und/oder einer Paket-Analyse-Anwendung analysiert werden kann, um festzustellen, ob es sich bei der Kommunikation um eine Bedrohung oder einen Angriff handelt, oder ob die Kommunikation als harmlos eingestuft wird.
  • Ein Server für die Erstellung und Verteilung von Policies kann CTI von mehreren CTIPs empfangen und unterschiedliche, von der CTI abgeleitete Policies für unterschiedliche entfernte Netzwerke und/oder mobile Einrichtungen erstellen. Zum Beispiel kann ein entferntes Netzwerk der Unternehmens organisation, das vertrauliche Daten speichert/auf sie zugreift, eine höhere Sicherheitsanforderung haben als entfernte Netzwerke, die nicht auf die vertraulichen Daten zugreifen können. Daher kann die von der CTI abgeleitete Policy, die dem entfernten Netzwerk assoziiert ist, das vertrauliche Daten speichert/auf sie zugreift, strengere Regeln für die Paket-Übereinstimmung haben (z.B. breitere Paket-Übereinstimmungskriterien, strengere PTFs usw.). Auf der Grundlage der von der CTI abgeleiteten Policies kann der Server für die Erstellung und Verteilung von Policies (oder das TIG) unterschiedliche Datenstrukturen (z.B. Bloom-Filter) für die verschiedenen entfernten Netzwerke generieren.
  • Als ein Beispiel für das obige Konzept kann eine Unternehmens organisation eine Finanz- und eine Marketingabteilung haben, die beide in entfernten Niederlassungen verortet sein können. Die Finanzabteilung könnte ein höheres Sicherheitsbedürfnis haben als die Marketingabteilung, teilweise weil erstere Zugang zu sensiblen Bankdaten haben könnte, während letztere die Möglichkeit haben muss, frei auf Online-Inhalte zuzugreifen, die sich auf potenzielle Kunden beziehen. In einem solchen Fall könnte eine von der CTI abgeleiteten Policy (z.B. in Ausführungsform eines Bloom-Filters) für die Finanzabteilung mehr Regeln haben und/oder anderweitig strenger sein als eine von der CTI abgeleitete Policy für die Marketingabteilung.
  • Die Konfiguration unterschiedlicher von der CTI abgeleiteter Policies kann auch auf die Kommunikation mit mobilen Einrichtungen angewendet werden. So kann beispielsweise eine erste mobile Einrichtung, die für den Zugriff auf vertrauliche Daten freigeschaltet ist, höhere Sicherheitsanforderungen haben als eine zweite mobile Einrichtung, die nicht auf die vertraulichen Daten zugreifen kann. Folglich kann die von der CTI abgeleitete Policy, die mit der ersten mobile Einrichtung assoziiert ist, strengere Regeln für die Paket-Übereinstimmung haben (z.B. breitere Paket-Übereinstimmungs-Kriterien, strengere PTFs usw.). Auf Basis der von der CTI abgeleiteten Policies kann der Server für die Erstellung und Verteilung von Policies (oder das TIG) unterschiedliche Datenstrukturen (z.B. Bloom-Filter) für die unterschiedlichen mobilen Einrichtungen generieren.
  • Ein oder mehrere Hosts, die mit einem entfernten Netzwerk verbunden sind (z.B. ein oder mehrere Personal Computer (PC)), können eine Kommunikation mit einem oder mehreren Internet-Hosts, die mit dem Internet verbunden sind (z.B. ein Web-Server und/oder ein Malware-Server), einleiten. Die Werte der initiierenden ausgehenden Pakete, wie IP-Adressen, Domänennamen und URIs, können auf Zugehörigkeit in der Datenstruktur TUNNEL-B/F durch ein entferntes Netzwerk-Tunnel-Gateway getestet werden. Wenn ein Zugehörigkeitstest den Wert „Wahr“ ergibt, kann das entfernte Netzwerk-Tunnel-Gateway das entsprechende Paket (z.B. durch das Tunnel-Gateway) an das assoziierte zentrale Netzwerk über das Tunnel-Gateway tunneln. Das getunnelte Paket kann durch das TIG und den Sicherheits-Stack des zentralen Netzwerks gefiltert werden. Jedes der nachfolgenden Pakete im assoziierten Kommunikationsfluss des getunnelten Pakets kann an das zentrale Netzwerk getunnelt und durch den TIG- und Sicherheits-Stack gefiltert werden. Ergibt ein Zugehörigkeitstest den Wert „Falsch“, kann das entfernte Netzwerk den Tunnel umgehen und stattdessen das Paket direkt an den Internet-Host weiterleiten (ohne das Paket an das assoziierte zentrale Netzwerk zu tunneln).
  • Beim Empfang von getunnelten Paketen (z.B. vom entfernten Netzwerk-Tunnel-Gateway), die das Tunnel-Gateway verlassen, kann das zentrale Netzwerk die Pakete an das TIG weiterleiten. Das TIG kann die Policy auf jedes Paket anwenden. Wenn das TIG die passende Paket-Filterregel in der Policy findet, kann das TIG die entsprechende(n) Aktion(en)/PTF(s) der Regel auf das Paket anwenden. Eine Aktion/PTF kann z.B. das Paket verwerfen bzw. droppen oder das Paket an den Sicherheits-Stack zur weiteren Sicherheitsverarbeitung weiterleiten. Eine Aktion/PTF kann bewirken, dass ein Paket geloggt und erfasst wird, so dass das Paket und die assoziierte Kommunikation mit einer SIEM-Anwendung und/oder einer Paket-Analyse-Anwendung und/oder einer Bedrohungsanalyse-Anwendung analysiert werden kann, um festzustellen, ob es sich bei der Kommunikation um eine Bedrohung oder einen Angriff handelt, oder ob die Kommunikation als harmlos eingestuft wird.
  • Es gibt viele mögliche Varianten zu den oben genannten Verfahren, von denen einige im Abschnitt „Detaillierte Beschreibung“ näher erläutert werden.
  • Figurenliste
  • Die vorliegende Offenbarung ist in den angefügten Ansprüchen besonders hervorgehoben. Merkmale der Offenbarung werden deutlicher werden, wenn man diese Offenbarung in ihrer Gesamtheit betrachtet, die die beigefügten Zeichnungsfiguren einschließt.
  • Einige Merkmale sind beispielhaft und ohne Einschränkung in den Abbildungen der beigefügten Zeichnungen dargestellt, in denen sich gleiche Bezugsziffern auf ähnliche Elemente beziehen, und in denen:
    • 1 zeigt eine illustrative Umgebung für ein Schutzsystem für mobile Einrichtungen und assoziierte Unternehmens-Netzwerke.
    • 2 zeigt ein Flussdiagramm für ein Betriebskonzept für einen Server zur Erstellung und Verwaltung von Sicherheits-Policies für die Konfiguration mobiler Einrichtungen und assoziierter Elemente von Unternehmens-Netzwerken.
    • 3 zeigt ein Flussdiagramm für ein Betriebskonzept für eine Paket-Filterung in mobilen Einrichtungen und assoziierten Unternehmens-Netzwerken.
    • 4 zeigt ein Flussdiagramm für ein Betriebskonzept für ein ungeschütztes System für mobile Einrichtungen und assoziierten Unternehmens-Netzwerke.
    • 5 zeigt eine illustrative Computersystemarchitektur, die in Übereinstimmung mit einem oder mehreren der hier beschriebenen Aspekte verwendet werden kann;
    • 6 zeigt eine illustrative Fernzugriffssystemarchitektur, die in Übereinstimmung mit einem oder mehreren hierin beschriebenen illustrativen Aspekten verwendet werden kann;
    • 7 zeigt eine illustrative Umgebung für ein Schutzsystem für entfernte Netzwerke in einem Unternehmens-Netzwerk;
    • 8 zeigt ein Flussdiagramm für ein Betriebskonzept für einen Server zur Erstellung und Verwaltung von Sicherheits-Policies; und
    • 9 zeigt ein Flussdiagramm für ein Betriebskonzept für Paketfilterung und effizientes Backhauling zum Schutz von Netzwerken in entfernten Netzwerken.
  • DETAILLIERTE BESCHREIBUNG
  • In der folgenden Beschreibung verschiedener illustrativer Ausführungsformen wird auf die begleitenden Zeichnungen verwiesen, die einen Teil dieses Dokuments bilden und in denen zur Veranschaulichung verschiedene Ausführungsformen gezeigt werden, in denen Aspekte der Offenbarung praktiziert werden können. Es versteht sich, dass auch andere Ausführungsformen verwendet und strukturelle und funktionelle Änderungen vorgenommen werden können, ohne vom Umfang der Offenbarung abzuweichen. Darüber hinaus wird auf bestimmte Anwendungen, Protokolle und Ausführungsformen verwiesen, in denen Aspekte der Offenbarung angewendet werden können. Es versteht sich, dass auch andere Anwendungen, Protokolle und Ausführungsformen verwendet und strukturelle und funktionelle Änderungen vorgenommen werden können, ohne vom Umfang der Offenbarung abzuweichen.
  • Verschiedene Verbindungen zwischen Elementen werden in der folgenden Beschreibung diskutiert. Diese Verbindungen sind allgemein und können, sofern nicht anders angegeben, direkt oder indirekt, verdrahtet oder drahtlos, physisch oder logisch (virtuell/softwaredefiniert) sein. Ebenso können die Elemente des Netzwerks, wie Hosts und Geräte, physisch oder virtuell sein. In dieser Hinsicht ist die Spezifikation nicht als einschränkend zu betrachten.
  • In Übereinstimmung mit den Ausführungsformen der Offenbarung und unter Bezugnahme auf 1, die eine repräsentative Umgebung 100 der Erfindung zeigt, wird ein System für einen effizienten Cyberschutz von mobilen Einrichtungen und assoziierten Unternehmens-Netzwerken betrachtet. Die mobilen Einrichtungen MBDV 640 und MBDV 102 befinden sich im persönlichen Besitz/Betrieb von Nutzern, die mit dem Unternehmen, das das private Unternehmens-Netzwerk ENET 160 betreibt, verbunden sein können. Die mobilen Einrichtungen MBDV 101 und MBDV 102 sind beide bei dem Mobilfunkanbieter angemeldet, der das Funkzugangsnetz RNET 120 und das mobile Kernnetz MCNET 150 betreibt. Wenn die mobilen Einrichtungen MBDV 101 und MBDV 102 zellulare Telefonanrufe tätigen, werden die Signalisierung und die Kommunikation durch das mobile Kernnetz MCNET 150 geleitet und können durch die mobilen Kernnetze anderer Mobilfunkanbieter geleitet werden (nicht in 1 dargestellt). Mobile Einrichtungen und Netzwerke der 2G- und neueren Generation unterstützen den Zugang zum Internet und damit assoziierten TCP/IP-Netzwerken. Die mobilen Einrichtungen MBDV 101 und MBDV 102 können auf öffentlich adressierte Internet-Server wie den Webserver WSVR 151 und den Malware-Server MALSVR 152 über das Internet 130 zugreifen. Die mobile Einrichtung MBDV 101 kann eine Sicherheitsanwendung für mobile Einrichtungen MBL-CYBER-APP herunterladen und installieren, die die hier beschriebenen Funktionen der Paketprüfung, der Paketfilterung und des Pakettunnelings implementiert. Die Sicherheitsanwendung MBL-CYBER-APP für mobile Einrichtungen kann Client(s) konfigurieren, tunneln, TUNNEL-B/F verwalten und andere Funktionen ausführen, wie an anderer Stelle in dieser Spezifikation zur Offenbarung beschrieben. Die mobile Einrichtung MBDV 102 hat die Sicherheitsanwendung MBL-CYBER-APP für die mobile Einrichtung nicht heruntergeladen und ist daher nicht durch die Verfahren und Systeme dieser Offenbarung geschützt.
  • Das private Unternehmens-Netzwerk ENET 160 kann internen Hosts wie dem PC 161 Zugang zum Internet bieten. Das private Unternehmens-Netzwerk ENET 160 kann so konfiguriert sein, dass der Verkehr zwischen diesen internen Unternehmens-Hosts und den Internet-Hosts über das Bedrohungsinformations-Gateway TIG 170 laufen muss, das eine CTI abgeleitete Policy durchsetzen kann. Der Verkehr kann auch über den Sicherheits-Stack SSTK 175 laufen, der mindestens eines von einer konventionellen Netzwerk-Firewall und anderen Netzwerk-Einrichtungen des Unternehmens-Netzwerks, wie Web-Proxy, SSL-Proxy, IDS, IPS usw., aufweisen kann. Das Bedrohungsintelligenz-Gateway TIG 170 und der Sicherheits-Stack SSTK 175 können am oder in der Nähe des Internet-Zugangspunkts für das private Unternehmens-Netzwerk ENET 160 verortet sein. Bei der Anwendung der Policy auf Pakete kann das Bedrohungsintelligenz-Gateway TIG 170 Logs der Pakete erstellen, die mit den Regeln der Policy übereinstimmen, die über das Internet an eine Sicherheitszentrale SOC 140 zur Angriffsanalyse durch Cyberanalysten gesendet werden können, die beispielsweise SIEM-Anwendungen und Paket-Analyse-Anwendungen verwenden.
  • Ein Server für Unternehmens-Anwendungen (englisch: Enterprise System Server) ESVR 162 kann ein privater Web-Anwendungsserver sein, der vom Unternehmen für die Nutzung durch die Benutzer des Unternehmens gehostet wird, die auch die Benutzer aufweisen können, die die mobilen Einrichtungen MBDV 101 und MBDV 102 besitzen/betreiben. Die mobilen Einrichtungen MBDV 101 und MBDV 102 greifen auf den Systemserver ESVR 162 des Unternehmens zu, indem sie eine vom Unternehmen bereitgestellte Anwendung verwenden, die einen HTTPS-Client für den Zugriff auf den Systemserver ESVR 162 des Unternehmens an Port 443 (dem Port für HTTPS) aufweist. Wenn eine Anwendung eine Verbindung mit dem Enterprise System Server ESVR 162 herstellt, zeigt die Webanwendung ein Anmeldeformular an. Die Benutzer können dann ihre Unternehmensanmeldedaten eingeben, um sicher auf die Webanwendung zuzugreifen. Netzwerksicherheitsadministratoren haben den Port 443 der Netzwerk-Firewall im Sicherheits-Stack SSTK 175 geöffnet, damit unaufgeforderte eingehende HTTPS-Verbindungen, die z.B. von den Anwendungen auf den mobilen Einrichtungen MBDV 101 und MBDV 102 kommen, Sitzungen mit dem Unternehmenssystemserver ESVR 162 initiieren können.
  • Das Host-Tunnel-Gateway TGW 163, das an das private Unternehmens-Netzwerk ENET 160 angebunden ist, terminiert und bündelt Tunnel, die mit mobilen Einrichtungen wie der mobilen Einrichtung MBDV 101, die die Sicherheitsanwendung MBL-CYBER-APP für mobile Einrichtungen installiert haben, aufgebaut werden können. Ähnlich wie beim Server für Unternehmens-Anwendungen ESVR 162 haben die Netzwerkadministratoren einen oder mehrere Ports der Netzwerk-Firewall im Sicherheits-Stack SSTK 175 geöffnet, so dass unaufgeforderter eingehender Tunnelverkehr, der z.B. von der mobilen Einrichtung MBDV 101 und anderen mobilen Endpunkten kommt, die die Sicherheitsanwendung MBL-CYBER-APP für mobile Einrichtungen installiert haben, auf TGW 163 zugreifen kann. Handelt es sich bei dem Tunneling-Protokoll beispielsweise um den IPsec-Tunnelmodus, dann haben die Administratoren möglicherweise die bekannten IPsec-Ports 500, 50 und 51 geöffnet. Die TGW 163 kann empfangene Pakete beim Verlassen des Tunnels entkapseln und/oder entschlüsseln. Die TGW 163 kann die entkapselten und/oder entschlüsselten Pakete in das private Unternehmens-Netzwerk ENET 160 weiterleiten. Da diese Pakete öffentliche Internetadressen im Ziel-IP-Adressfeld ihrer IP-Header haben, können die Router und/oder Switches im privaten Unternehmens-Netzwerk ENET 160 diese Pakete an den Internet-Zugangspunkt und damit an das Bedrohungsinformations-Gateway TIG 170 weiterleiten, das eine von der CTI abgeleitete Policy auf die Pakete anwendet.
  • Der Server für die Erstellung und Verwaltung von Sicherheits-Policies (SPMS 141) kann CTI von einem oder mehreren CTIPs sammeln, einschließlich z.B. CTIP 142 und 143. Der Server für die Erstellung und Verwaltung von Sicherheits-Policies SPMS 141 kann auch die CTI aggregieren, mindestens eine Sicherheits-Policy basierend auf den CTI erstellen und die Sicherheits-Policies an Teilnehmer veröffentlichen, die eine Vielzahl von Netzwerk-Einrichtungen wie Host-Computer und ein Bedrohungsinformations-Gateway TIG 170 aufweisen können. Der Server für die Erstellung und Verwaltung von Sicherheits-Policies SPMS 141 kann eine Datenstruktur TUNNEL-B/F für jede Sicherheits-Policy erstellen und die Datenstruktur TUNNEL-B/F an jeden Teilnehmer veröffentlichen, der mit jeder Sicherheits-Policy assoziiert ist, wie z.B. die Sicherheitsanwendung für mobile Einrichtungen MBL-CYBER-APP, die von der mobilen Einrichtung MBDV 101 gehostet wird. Alternativ kann das Bedrohungsinformations-Gateway TIG 170 eine Datenstruktur TUNNEL-B/F für jede assoziierte mobile Einrichtung, wie z.B. eine assoziierte Instanz der Sicherheitsanwendung für mobile Einrichtungen MBL-CYBER-APP, erstellen, die dem Bedrohungsinformations-Gateway TIG 170 für den Cyberschutz assoziiert wurde, und eine aktuelle Datenstruktur TUNNEL-B/F für die assoziierte zugeordnete mobile Einrichtung, einschließlich jeder abonnierten Instanz der Sicherheitsanwendung für mobile Einrichtungen MBL-CYBER-APP, veröffentlichen.
  • 2 zeigt ein Flussdiagramm eines Betriebskonzepts für einen Server zur Erstellung und Verwaltung von Sicherheits-Policies für die Konfiguration mobiler Einrichtungen und assoziierter Elemente von Unternehmens-Netzwerken für ein Schutzsystem für mobile Einrichtungen und assoziierte Unternehmens-Netzwerke, wie in 1 dargestellt.
  • In Schritt 2-1 kann der Server für die Erstellung und Verwaltung von Sicherheits-Policies SPMS 141 die CTI herunterladen, die von Anbietern von Bedrohungsinformationen, wie CTIP 142 und CTIP 143, veröffentlicht wurden. In Schritt 2-2 kann der Server für die Erstellung und Verwaltung von Sicherheitsrichtlinien SPMS 141 die CTI-Indikatoren aggregieren und die CTI verarbeiten, um eine Sicherheits-Policy zu generieren. Da mehrere Anbieter von Bedrohungsinformationen dieselben Bedrohungsindikatoren liefern können, kann der Server für die Erstellung und Verwaltung von Sicherheits-Policies SPMS 141 die Regeln zu einem einzigen Satz zusammenfassen, doppelte Bedrohungsindikatoren entfernen und die Bedrohungsindikatoren anderweitig konsolidieren. Der Server für die Erstellung und Verwaltung von Sicherheits-Policies SPMS 141 kann mindestens eine Paket-Filterregel erstellen, wobei jede Regel Übereinstimmungskriterien aufweist, die den Bedrohungsindikatoren und den entsprechenden Aktionen/PTF entsprechen, die auf ein Paket anzuwenden sind, wenn eine Übereinstimmung festgestellt wird. Die entsprechenden Aktionen/PTF können auf mehreren Faktoren basieren, einschließlich der Anforderungen, die von den Betreibern/Administratoren des Bedrohungsinformations-Gateways TIG 170 bereitgestellt werden. Der Server für die Erstellung und Verwaltung von Sicherheits-Policies SPMS 141 kann jede der generierten Regeln sammeln, um eine Sicherheits-Policy zu generieren, und kann die Sicherheits-Policy an eine Vielzahl von Sicherheits-Einrichtungen verteilen, einschließlich des Bedrohungsinformations-Gateways TIG 170. In Schritt 2-3 kann der Server für die Erstellung und Verwaltung der Sicherheits-Policy SPMS 141 einen Bloom-Filter TUNNEL-B/F generieren, der mit einer Sicherheits-Policy assoziiert ist, indem er alle Bedrohungsindikatoren, einschließlich IP-Adressen, Domänennamen, URIs, Zertifikats-IDs usw., die jede Paket-Filterregel in einer Sicherheits-Policy charakterisieren, sammelt. Der Server für die Erstellung und Verwaltung von Sicherheits-Policies SPMS 141 kann die Indikatoren in die Datenstruktur TUNNEL-B/F einfügen, die getestet werden kann, um festzustellen, ob eine Regel in der Sicherheits-Policy mit den getesteten Paketelementen übereinstimmt.
  • In Schritt 2-4 kann der SPMS mindestens eine der Sicherheits-Policy und der Datenstruktur TUNNEL-B/F an eine Vielzahl von Netzwerk-Sicherheits-Einrichtungen veröffentlichen. Der Server für die Erstellung und Verwaltung von Sicherheitsrichtlinien SPMS 141 kann mindestens eine der Sicherheits-Policy und der Datenstruktur TUNNEL-B/F an eine Vielzahl von Netzwerkteilnehmern übertragen, die das Bedrohungsintelligenz-Gateway TIG 170 und eine Vielzahl von mit dem Unternehmens-Netzwerk assoziierten mobilen Einrichtungen aufweisen können. Das Bedrohungsinformations-Gateway TIG 170 kann die Sicherheits-Policy herunterladen und die Paketfilterungslogik mit der Sicherheits-Policy konfigurieren. In Schritt 2-5 kann die Sicherheitsanwendung MBL-CYBER-APP auf der mobilen Einrichtung MBDV 101 die Datenstruktur TUNNEL-B/F herunterladen und die Tunnellogik mit der Datenstruktur TUNNEL-B/F konfigurieren. Wenn eine mobile Einrichtung MBDV 102 die Sicherheitsanwendung MBL-CYBER-APP für mobile Einrichtungen nicht installiert hat, lädt sie die Datenstruktur TUNNEL-B/F nicht herunter und ist nicht durch die Sicherheits-Policy geschützt. Die Policy und die Datenstruktur TUNNEL-B/F können auch aktualisiert werden, und es können Aktualisierungen der Sicherheits-Policy und der Datenstruktur TUNNEL-B/F generiert und verteilt werden. Auf der Grundlage solcher Aktualisierungen kann die Sicherheitsanwendung MBL-CYBER-APP für mobile Einrichtungen ein Paket zur Filterung tunneln, dem zuvor erlaubt worden wäre, zu seinem beabsichtigten Ziel weitergegeben zu werden, ohne an das Unternehmens-Netzwerk getunnelt zu werden.
  • 3 zeigt ein Flussdiagramm für ein Betriebskonzept zur Paketfilterung in mobilen Einrichtungen und assoziierten Unternehmens-Netzwerken, für ein in 1 dargestelltes Schutzsystem für mobile Einrichtungen und assoziierte Unternehmens-Netzwerke. Das Flussdiagramm/Betriebskonzept geht davon aus, dass alle Einrichtungen und Hosts bereits für den Betrieb konfiguriert sind. Insbesondere hat die mobile Einrichtung MBDV 101 die Sicherheitsanwendung MBL-CYBER-APP für mobile Einrichtungen bereits heruntergeladen, installiert und konfiguriert und möglicherweise einen Tunnel mit TGW 163 aufgebaut. Umgekehrt hat die mobile Einrichtung MBDV 102 die Sicherheitsanwendung MBL-CYBER-APP noch nicht konfiguriert.
  • In Schritt 3-1 kann ein Benutzer, der eine mobile Einrichtung MBDV besitzt und/oder betreibt, die entweder MBDV 101 oder MBDV 102 sein kann, eine E-Mail über eine E-Mail-Anwendung abrufen und auf eine eingebettete URL klicken, die auf eine Ressource auf dem Webserver WSVR 151 verlinkt. Die mobile Einrichtung MBDV 101 oder 102 kann den Hostnamen oder vollständig qualifizierten Domänennamen (englisch: fully qualified domain name, FQDN) der URL-Autorität in die IP-Adresse, z.B. 12.34.56.78, des Webservers WSVR 151 auflösen, indem sie den DNS abfragt (nicht dargestellt in 3). Die mobile Einrichtung MBDV kann versuchen, eine TCP-Verbindung mit dem Webserver WSVR 151 an Port 80 (HTTP) zu initiieren, indem sie ein TCP-SYN-Paket mit Zielport 80 erzeugt, und kann das TCP-Paket in ein IP-Paket einkapseln, das mit dem Feld für die Ziel-IP-Adresse auf 12.34.56.78 und mit der Quell-IP-Adresse des entsprechenden MBDV eingestellt sein kann.
  • In Schritt 3-2 kann, bevor das Paket weitergeleitet werden kann (in das Funkzugangsnetzwerk RNET 120), die Sicherheitsanwendung MBL-CYBER-APP der mobilen Einrichtung MBDV 101 jedes Paketelement bestimmen, das mit Bedrohungsindikatoren der Datenstruktur TUNNEL-B/F assoziiert ist. Zum Beispiel kann die Sicherheitsanwendung MBL-CYBER-APP der mobilen Einrichtung eine IP-Adresse (z.B. 12.34.56.78) aus dem Feld für die Ziel-IP-Adresse extrahieren und prüfen, ob 12.34.56.78 ein Teil der Datenstruktur TUNNEL-B/F ist. Der Zugehörigkeitstest liefert FALSE basierend auf der Feststellung, dass es keine passende Paket-Filterregel in der Sicherheits-Policy auf dem Bedrohungsinformations-Gateway TIG 170 gibt. Die Sicherheitsanwendung MBL-CYBER-APP für mobile Einrichtungen kann feststellen, dass mit den getesteten Paketdaten (z.B. IP-Adresse 12.34.56.78 für Webserver WSVR 151) kein Bedrohungsrisiko assoziiert ist. Die Sicherheitsanwendung MBL-CYBER-APP für mobile Einrichtungen kann feststellen, dass es nicht notwendig ist, das zu filternde Paket zu tunneln. Die Sicherheitsanwendung MBL-CYBER-APP für mobile Einrichtungen leitet das Paket möglicherweise nicht an TGW 163, an das Bedrohungsinformations-Gateway TIG 170 und/oder an den Sicherheits-Stack SSTK 175 weiter.
  • In Schritt 3-3 basierend auf der Feststellung, dass es nicht notwendig ist, das zu filternde Paket zu tunneln, kann die mobile Einrichtung MBDV 101 das Paket über das Funkzugangsnetz RNET 120 direkt an den Webserver WSVR 151 weiterleiten. In ähnlicher Weise, jedoch ohne eine Logik zur Bestimmung/Entscheidung des Tunnelns auszuführen, kann MBDV 102 das Paket direkt über das Funkzugangsnetz RNET 120 an den Webserver WSVR 151 weiterleiten. Die Weiterleitung des Pakets kann den TCP-Handshake einleiten und anschließend den Aufbau einer TCP-Verbindung an Port 80 von 12.34.56.78 bewirken. Die mobile Einrichtung MBDV kann ein HTTP-GET-Anfrageverfahren für die URL ausgeben. Der Webserver WSVR 151 kann mit der angeforderten Ressource antworten, die Websitzung kann beendet werden und die TCP-Verbindung kann abgebrochen werden. Während einer solchen Kommunikationssitzung können für MBDV 101 die relevanten Paketfeldwerte, wie z.B. IP-Adressfelder, Domänennamenfelder, URI-Felder usw., aller ein- und ausgehenden Pakete auf Zugehörigkeit zur Datenstruktur TUNNEL-B/F geprüft werden. Wenn jedes Paket in einem Kommunikationsfluss mit einem sicheren Ziel assoziiert ist, kann die Sicherheitsanwendung MBL-CYBER-APP der mobilen Einrichtung feststellen, dass es nicht notwendig ist, das zu filternde Paket zu tunneln, da die Tests der Datenstruktur TUNNEL-B/F immer FALSE ergeben, so dass keines der Pakete, aus denen die Sitzung besteht, getunnelt wird.
  • In Schritt 3-1 kann ein Benutzer, der eine mobile Einrichtung MBDV 101 besitzt und/oder betreibt, eine Spear-Phishing-E-Mail lesen und dazu verleitet werden, auf eine eingebettete URL zu klicken, die auf eine Ressource auf dem Malware-Server MALSVR 152 verlinkt, die eine Webseite enthalten kann, die die Anmeldeseite für die Unternehmens-Webanwendung auf dem Unternehmenssystemserver ESVR 162 fälscht. Die mobile Einrichtung MBDV 101 kann den Hostnamen oder vollständig qualifizierten Domänennamen (FQDN) der URL-Autorität in die IP-Adresse, z.B. 87.65.43.21, des Malware-Servers MALSVR 152 auflösen, indem sie den DNS abfragt (nicht in 3 dargestellt). Die mobile Einrichtung MBDV 101 kann versuchen, eine TCP-Verbindung mit dem Malware-Server MALSVR 152 an Port 80 (HTTP) zu initiieren, indem sie ein TCP-SYN-Paket mit Zielport 80 erstellt und das TCP-Paket in ein IP-Paket einkapseln kann, dessen Ziel-IP-Adressfeld auf 87.65.43.21 gesetzt ist. In Schritt 3-2, bevor das Paket von der Einrichtung MBDV 101 an das Funkzugangsnetz RNET 120 weitergeleitet wird, kann die Sicherheitsanwendung für mobile Einrichtungen MBL-CYBER-APP die Paketelemente extrahieren (z.B. die IP-Adresse 87.65.43.21 aus dem Ziel-IP-Adressfeld) und prüfen, ob irgendein Paketelement ein Teil der Datenstruktur TUNNEL-B/F ist.
  • Der Zugehörigkeitstest kann einen TRUE-Wert oder einen anderen Hinweis darauf zurückgeben, dass es eine übereinstimmende Paket-Filterregel in der Sicherheits-Policy gibt, die mit der Datenstruktur TUNNEL-B/F assoziiert ist. Die Sicherheitsanwendung für mobile Einrichtungen MBL-CYBER-APP kann basierend auf dem TRUE-Wert oder einer anderen Anzeige, dass es eine übereinstimmende Paket-Filterregel in der Sicherheits-Policy gibt, die mit der Datenstruktur TUNNEL-B/F assoziiert ist, bestimmen, dass die Pakete durch das assoziierte Bedrohungsinformations-Gateway des Unternehmens TIG 170 gefiltert werden müssen und dass es ein gewisses Bedrohungsrisiko gibt, das mit einem Paketelement assoziiert ist (z.B. IP-Adresse 87.65.43.21 für Malware-Server MALSVR 152). In Schritt 3-4 kann die mobile Einrichtung MBDV 101, basierend auf dem TRUE-Wert oder einem anderen Hinweis, dass es eine passende Paket-Filterregel in der Sicherheits-Policy gibt, die mit der Datenstruktur TUNNEL-B/F assoziiert ist, das Paket in einem Netzwerk-Tunnel an TGW 163 übertragen. In Schritt 3-5 kann das Paket auf der Seite des Unternehmens-Netzwerks des Tunnels empfangen werden, durch das private Unternehmens-Netzwerk ENET 160 in Richtung der Internet-Zugangsverbindung weitergeleitet werden und vom Bedrohungsinformations-Gateway TIG 170 zur Paketfilterung empfangen werden. In Schritt 3-6 kann das Bedrohungsinformations-Gateway TIG 170 die Sicherheits-Policy auf das Paket anwenden und eine Regel ermitteln, die mit einem Paketelement (z.B. IP-Adresse 87.65.43.21) übereinstimmt. Die NetzwerkSchutzmaßnahmen/PTFs, die mit der ermittelten Regel assoziiert sind, können festlegen, dass das Paket wenigstens eines von blockiert/verworfen (bzw. gedroppt), geloggt und/oder erfasst werden kann.
  • Alternativ kann das System vor der Übertragung irgendeines Pakets, basierend auf der Ermittlung einer Übereinstimmung durch einen Test der Datenstruktur TUNNEL-B/F, eine sekundäre Datenstruktur testen, um den Umfang des Netzwerkverkehrs zu verringern. Zum Beispiel kann das System eine Blockierregel-Datenstruktur testen, die jede Regel der Policy repräsentiert, die mit einer Blockaktion oder PTF assoziiert ist. Basierend auf dem TRUE-Wert oder einem anderen Hinweis, dass es eine passende Paket-Filterregel in der Sicherheits-Policy gibt, die mit der Blockierregel-Datenstruktur assoziiert ist, kann die Sicherheitsanwendung für mobile Einrichtungen MBL-CYBER-APP eine Blockierregel-Aktion ausführen, um zu verhindern, dass Pakete, die mit einer Blockierregel assoziiert sind, an ihr beabsichtigtes Ziel weitergegeben werden, ohne dass solche Pakete durch den Tunnel zu einer Paket-Filtereinrichtung im Unternehmens-Netzwerk übertragen werden müssen. Die Blockierregel-Datenstruktur kann auch ein Bloom-Filter sein, und die Blockierregel-Datenstruktur kann eine kleinere Datenstruktur sein als die Datenstruktur TUNNEL-B/F, die mit allen Regeln der durchgesetzten Policy assoziiert ist.
  • In Schritt 3-7 kann das Bedrohungsinformations-Gateway TIG 170 das Log an eine Sicherheitsbetriebszentrale SOC 140 oder eine andere Netzwerk-Einrichtung senden. Das Log kann von der Sicherheitszentrale SOC 140 analysiert werden, wie zum Beispiel von Cyberanalysten mit einer SIEM-Anwendung. Basierend auf der Ermittlung eines Bedrohungsrisikos, das mit dem Malware-Server MALSVR 152 durch die CTIP(s) assoziiert ist, die die CTI für einen Bedrohungsindikator (z.B. IP-Adresse 87.65.43.21) bereitgestellt haben, kann das System eine berichtigende anweisende Maßnahme ergreifen. Beispielsweise kann eine Einrichtung zur Analyse von Bedrohungen den Vorfall an den Benutzer der mobilen Einrichtung MBDV 101 melden oder dem Benutzer empfehlen, sich ein Schulungsvideo zur Cybersicherheit anzusehen, in dem Spear-Phishing-E-Mail-Angriffe und deren Vermeidung behandelt werden. In ähnlicher Weise kann die Sicherheitsanwendung für mobile Einrichtungen MBL-CYBER-APP ein Log des Bedrohungsereignisses generieren und das Log an ein Security Operations Center SOC 140 oder andere Netzwerksicherheitsanwendungen oder -einrichtungen senden. Die Sicherheitsanwendung für mobile Einrichtungen MBL-CYBER-APP kann selektiv Logs des Bedrohungsereignisses basierend auf einem Hinweis darauf generieren, dass es eine passende Paket-Filterregel in der Sicherheits-Policy gibt, die mit der probabilistischen Datenstruktur der Blockierregel assoziiert ist.
  • 4 zeigt ein Flussdiagramm für ein Betriebskonzept zur Paketfilterung in mobilen Einrichtungen und assoziierten Unternehmens-Netzwerken, für ein Sicherungssystem für mobile Einrichtungen und assoziierte Unternehmens-Netzwerke, wie in 1 dargestellt. Das Flussdiagramm/Betriebskonzept geht davon aus, dass alle Einrichtungen und Hosts bereits für den Betrieb konfiguriert sind. Insbesondere in Bezug auf 4 hat die mobile Einrichtung MBDV die Sicherheitsanwendung für mobile Einrichtungen MBL-CYBER-APP nicht heruntergeladen, installiert oder konfiguriert.
  • In Schritt 4-1 kann ein Benutzer, der eine mobile Einrichtung MBDV 102 besitzt oder betreibt, die nicht mit der Sicherheitsanwendung für mobile Einrichtungen MBL-CYBER-APP konfiguriert ist, auf eine Spear-Phishing-E-Mail zugreifen, wie oben beschrieben. Da die mobile Einrichtung MBDV 102 jedoch nicht mit der Sicherheitsanwendung für mobile Einrichtungen MBL-CYBER-APP konfiguriert ist, gibt es keine Logik auf der mobilen Einrichtung, um Paketelemente zu extrahieren und zu prüfen, ob ein Paketelement ein Teil der Datenstruktur TUNNEL-B/F ist. Wenn stattdessen ein Benutzer, der die mobile Einrichtung MBDV 102 besitzt oder bedient, dazu verleitet wird, auf eine eingebettete URL zu klicken, die auf eine Ressource auf dem Malware-Server MALSVR 152 verlinkt, bei der es sich um eine Webseite handeln kann, die die Anmeldeseite für die Unternehmens-Webanwendung auf dem Unternehmenssystemserver ESVR 162 fälscht, kann die mobile Einrichtung damit beginnen, eine Verbindung mit dem Malware-Server MALSVR 152 herzustellen. Die mobile Einrichtung MBDV 102 kann den Hostnamen oder vollständig qualifizierten Domänennamen (FQDN) der URL-Autorität in die IP-Adresse des Malware-Servers MALSVR 152 (z.B. IP-Adresse 87.65.43.21) auflösen, indem sie den DNS abfragt (nicht dargestellt in 4). Die mobile Einrichtung MBDV 102 kann versuchen, eine TCP-Verbindung mit dem Malware-Server MALSVR 152 auf Port 80 (HTTP) zu initiieren, indem sie ein TCP-SYN-Paket mit Zielport 80 erstellt, und kann das TCP-Paket in ein IP-Paket mit dem ermittelten Ziel-IP-Adressfeld (z.B. IP-Adresse 87.65.43.21) einkapseln. Da es keine Sicherheitsanwendung für mobile Einrichtungen MBL-CYBER-APP gibt, die die mobile Einrichtung MBDV 102 schützt, kann die TCP-Verbindung mit dem Malware-Server MALSVR 152 hergestellt werden, und die mobile Einrichtung MBDV 102 kann ein HTTP-GET-Anfrageverfahren für die URL ausgeben.
  • In Schritt 4-2 antwortet der Malware-Server MALSVR 152 mit der angeforderten Ressource, bei der es sich um eine Webseite/Formular handeln kann, die die Anmeldeseite für die Unternehmens-Webanwendung auf dem Unternehmenssystemserver ESVR 162 fälscht. Der Benutzer kann die Anmeldeinformationen eingeben und das Formular an den Malware-Server MALSVR 152 senden. Wenn der Benutzer die Anmeldedaten eingibt, kann der MALSVR 152 die Anmeldedaten loggen und stehlen. In Schritt 4-3 kann ein böswilliger Akteur, der den Malware-Server MALSVR 152 betreibt, die gestohlenen Anmeldedaten verwenden, um sich beim Unternehmenssystemserver ESVR 162 anzumelden und die vertraulichen Daten des Unternehmens zu stehlen oder zu verfälschen.
  • Die hierin beschriebenen Funktionen und Schritte können in computerverwendbaren Daten oder computerausführbaren Anweisungen ausgeführt sein, wie z.B. in einem oder mehreren Programmmodulen, die von einem oder mehreren Computern oder anderen Einrichtungen ausgeführt werden, um eine oder mehrere hierin beschriebene Funktionen auszuführen. Im Allgemeinen weisen Programmmodule Routinen, Programme, Objekte, Komponenten, Datenstrukturen usw. auf, die bestimmte Aufgaben ausführen oder bestimmte abstrakte Datentypen implementieren, wenn sie von einem oder mehreren Prozessoren in einem Computer oder einer anderen datenverarbeitenden Einrichtung ausgeführt werden. Die computerausführbaren Anweisungen können auf einem computerlesbaren Medium wie einer Festplatte, einer optischen Platte, einem Wechseldatenträger, einem Festkörperspeicher, einer RAM usw. gespeichert sein. Wie ersichtlich ist, kann die Funktionalität der Programmmodule beliebig kombiniert oder verteilt werden. Darüber hinaus kann die Funktionalität ganz oder teilweise in Firmware oder Hardware-Äquivalenten wie integrierten Schaltkreisen, anwendungsspezifischen integrierten Schaltkreisen (englisch: application-specific integrated circuits, ASICs), feldprogrammierbaren Gate-Arrays (englisch: field-programmable gate arrays, FPGAs) und dergleichen ausgeführt werden. Bestimmte Datenstrukturen können verwendet werden, um einen oder mehrere Aspekte der Offenbarung effektiver zu implementieren, und solche Datenstrukturen fallen in den Bereich der hierin beschriebenen computerausführbaren Anweisungen und computerverwendbaren Daten.
  • Auch wenn dies nicht erforderlich ist, wird ein Fachmann erkennen, dass verschiedene hierin beschriebene Aspekte in Form eines Verfahrens, eines Systems, einer Vorrichtung oder eines oder mehrerer computerlesbarer Medien, die computerausführbare Anweisungen speichern, ausgeführt werden können. Dementsprechend können die Aspekte in Form einer vollständigen Hardware-Ausführungsform, einer vollständigen Software-Ausführungsform, einer vollständigen Firmware-Ausführungsform oder einer Ausführungsform, die Software-, Hardware- und Firmware-Aspekte in beliebiger Kombination kombiniert, ausgeführt werden.
  • Wie hierin beschrieben, können die verschiedenen Verfahren und Handlungen in einer oder mehreren Recheneinrichtungen und Netzwerken ausgeführt werden. Die Funktionalität kann in beliebiger Weise verteilt oder in einer einzigen Recheneinrichtung (z.B. einem Server, einem Client-Computer o. Ä.) verortet sein.
  • Computersoftware, Hardware und Netzwerke können in einer Vielzahl unterschiedlicher Systemumgebungen verwendet werden, einschließlich eigenständiger, vernetzter, auf Fernzugriff basierender (auch als Remote-Desktop bekannter), virtualisierter und/oder Cloud-basierter Umgebungen, unter anderem. 5 zeigt ein Beispiel für eine Systemarchitektur und eine Datenverarbeitungseinrichtung, die verwendet werden kann, um einen oder mehrere hierin beschriebene Aspekte in einer Einzelplatz- und/oder Netzwerkumgebung zu implementieren. Verschiedene Netzwerkknoten 503, 505, 507 und 509 können miteinander über ein Weitverkehrsnetz (englisch: wide area network, WAN) 501, wie z.B. das Internet, verbunden sein. Andere Netzwerke können ebenfalls oder alternativ verwendet werden, einschließlich privater Intranets, Unternehmensnetzwerke, lokaler Netzwerke (englisch: local area network, LAN), großstädtischer Netzwerke (englisch: metropolitan area network, MAN), drahtloser Netzwerke, persönlicher Netzwerke (englisch: personal networks, PAN), softwaredefinierter Netzwerke (SDN) und dergleichen. Das Netzwerk 501 dient nur zur Veranschaulichung und kann durch weniger oder zusätzliche Computernetzwerke ersetzt werden. Ein lokales Netzwerk 533 kann eine oder mehrere der bekannten LAN-Topologien haben und eines oder mehrere der unterschiedlichen Protokolle, wie z.B. Ethernet, verwenden. Die Einrichtungen 503, 505, 507 und 509 sowie andere Einrichtungen (nicht dargestellt) können mit einem oder mehreren der Netzwerke über verdrillte Zweidrahtleitungen, Koaxialkabel, Glasfaserkabel, Funkwellen oder andere Kommunikationsmedien verbunden sein.
  • Der Begriff „Netzwerk“, wie er hierin verwendet wird und in den Zeichnungen dargestellt ist, bezieht sich nicht nur auf Systeme, in denen entfernte Speichereinrichtungen über einen oder mehrere Kommunikationswege miteinander verbunden sind, sondern auch auf alleinstehende Einrichtungen, die von Zeit zu Zeit mit solchen Systemen verbunden werden können, die eine Speichermöglichkeit haben. Folglich umfasst der Begriff „Netzwerk“ nicht nur ein „physisches Netzwerk“, sondern auch ein „Inhaltsnetzwerk“, das die - einer einzigen Einheit zurechenbaren - Daten umfasst, die sich in allen physischen Netzwerken befinden.
  • Die Komponenten können einen Datenserver 503, einen Webserver 505 und Client-Computer 507, 509 aufweisen. Der Datenserver 503 ermöglicht den allgemeinen Zugriff, die Kontrolle und die Verwaltung von Datenbanken und Steuerungssoftware, um einen oder mehrere hierin beschriebene illustrative Aspekte auszuführen. Der Datenserver 503 kann mit dem Webserver 505 verbunden sein, über den die Benutzer mit den Daten interagieren und sie wie angefragt erhalten. Alternativ dazu kann der Datenserver 503 selbst als Webserver agieren und direkt mit dem Internet verbunden sein. Der Datenserver 503 kann mit dem Webserver 505 über das lokale Netzwerk 533, das Weitverkehrsnetz 501 (z.B. das Internet), über eine direkte oder indirekte Verbindung oder über ein anderes Netzwerk verbunden sein. Benutzer können mit dem Datenserver 503 interagieren, indem sie entfernte Computer 507, 509 verwenden, z.B. mit einem Webbrowser, um sich mit dem Datenserver 503 über eine oder mehrere externe Websites zu verbinden, die von Webserver 505 gehostet werden. Die Client-Computer 507, 509 können zusammen mit dem Datenserver 503 verwendet werden, um auf darin gespeicherte Daten zuzugreifen, oder sie können für andere Zwecke verwendet werden. Beispielsweise kann ein Benutzer von der Client-Einrichtung 507 aus auf den Webserver 505 zugreifen, indem er einen in der Technik bekannten Internet-Browser verwendet oder eine Software-Anwendung ausführt, die mit dem Webserver 505 und/oder dem Datenserver 503 über ein Computernetzwerk (wie das Internet) kommuniziert.
  • Server und Anwendungen können auf denselben physischen Maschinen kombiniert werden und getrennte virtuelle oder logische Adressen beibehalten, oder sie können auf getrennten physischen Maschinen untergebracht werden. 5 zeigt nur ein Beispiel für eine mögliche Netzwerk-Architektur, und Fachleute werden verstehen, dass die spezifische Netzwerk-Architektur und die verwendeten Datenverarbeitungseinrichtungen variieren können und zweitrangig sind gegenüber der Funktionalität, die sie bieten, wie hierin weiter beschrieben. So können beispielsweise die von Webserver 505 und Datenserver 503 bereitgestellten Dienste auf einem einzigen Server kombiniert werden.
  • Jede Komponente 503, 505, 507, 509 kann eine beliebige Art von bekanntem Computer, Server oder datenverarbeitender Einrichtung sein. Der Datenserver 503 kann z.B. einen Prozessor 55 aufweisen, der den Gesamtbetrieb des Datenservers 503 steuert. Der Datenserver 503 kann ferner einen Direktzugriffsspeicher (RAM) 513, einen Festwertspeicher (ROM) 515, eine Netzwerk-schnittstelle 517, Eingabe-/Ausgabeschnittstellen 519 (z.B. Tastatur, Maus, Bildschirm, Drucker usw.) und einen Speicher 521 aufweisen. Die Eingabe-/Ausgabeschnittstelle (E/A) 519 kann eine Vielfalt von Schnittstelleneinheiten und Laufwerken zum Lesen, Schreiben, Anzeigen und/oder Drucken von Daten oder Dateien aufweisen. Im Speicher 521 kann ferner Betriebssystemsoftware 523 zur Steuerung des Gesamtbetriebs der Datenverarbeitungseinrichtung 503, Steuerlogik 525 um dem Datenserver 503 Anweisungen zu erteilen, hierin beschriebene Aspekte auszuführen, und andere Anwendungssoftware 527 gespeichert sein, die sekundäre, unterstützende und/oder andere Funktionalität bereitstellt, die in Verbindung mit hierin beschriebenen Aspekten verwendet werden kann oder nicht. Die Steuerlogik kann hierin auch als die Datenserver-Software 525 bezeichnet werden. Die Funktionalität der Datenserver-Software kann sich auf Vorgänge oder Entscheidungen beziehen, die automatisch auf der Grundlage von in der Steuerlogik kodierten Regeln getroffen werden, manuell von einem Benutzer, der Eingaben in das System macht, und/oder auf eine Kombination aus automatischer Verarbeitung auf der Grundlage von Benutzereingaben (z.B. Abfragen, Datenaktualisierungen usw.).
  • Der Speicher 521 kann auch Daten speichern, die bei der Ausführung eines oder mehrerer hierin beschriebener Aspekte verwendet werden, einschließlich einer ersten Datenbank 529 und einer zweiten Datenbank 531. In einigen Ausführungsformen kann die erste Datenbank die zweite Datenbank aufweisen (z.B. als separate Tabelle, Bericht usw.). Das heißt, die Informationen können in einer einzigen Datenbank gespeichert oder in unterschiedliche logische, virtuelle oder physische Datenbanken aufgeteilt werden, je nachdem, wie das System gestaltet ist. Die Einrichtungen 505, 507 und 509 können eine ähnliche oder unterschiedliche Architektur haben, wie sie in Bezug auf die Einrichtung 503 beschrieben wurde. Fachleute wissen, dass die hierin beschriebene Funktionalität der Datenverarbeitungseinrichtung 503 (oder der Einrichtung 505, 507 oder 509) auf mehrere Datenverarbeitungseinrichtungen verteilt werden kann, um beispielsweise die Verarbeitungslast auf mehrere Computer zu verteilen, Transaktionen auf der Grundlage des geografischen Standorts, der Benutzerzugriffsebene, der Dienstqualität (QoS) usw. zu trennen.
  • Ein oder mehrere Aspekte können in computerverwendbaren oder lesbaren Daten und/oder computerausführbaren Anweisungen ausgeführt werden, wie in einem oder mehreren Programmmodulen, die von einem oder mehreren Computern oder anderen Einrichtungen, wie hierin beschrieben, ausgeführt werden. Im Allgemeinen weisen Programmmodule Routinen, Programme, Objekte, Komponenten, Datenstrukturen usw. auf, die bestimmte Aufgaben ausführen oder bestimmte abstrakte Datentypen implementieren, wenn sie von einem Prozessor in einem Computer oder einer anderen Einrichtung ausgeführt werden. Die Module können in einer Quellcode-Programmiersprache geschrieben sein, die anschließend zur Ausführung kompiliert wird, oder sie können in einer Skriptsprache wie (aber nicht nur) HyperText Markup Language (HTML) oder Extensible Markup Language (XML) geschrieben sein. Die computerausführbaren Anweisungen können auf einem computerlesbaren Medium wie z.B. einer nichtflüchtigen Speichereinrichtung gespeichert sein. Es können alle geeigneten computerlesbaren Speichermedien verwendet werden, einschließlich Festplatten, CD-ROMs, optische Speichervorrichtungen, magnetische Speichervorrichtungen und/oder jede Kombination davon. Darüber hinaus können verschiedene Übertragungsmedien (Nicht-Speicher-Medien), die Daten oder Ereignisse wie hierin beschrieben repräsentieren, zwischen einer Quelle und einem Ziel in Form von elektromagnetischen Wellen übertragen werden, die durch signalleitende Medien wie Metalldrähte, optische Fasern und/oder drahtlose Übertragungsmedien (z.B. Luft und/oder Raum) laufen. Verschiedene hierin beschriebene Aspekte können in Form eines Verfahrens, eines Datenverarbeitungssystems oder eines Computerprogrammprodukts ausgeführt werden. Daher können verschiedene Funktionalitäten ganz oder teilweise in Software, Firmware und/oder Hardware oder Hardware-Äquivalenten wie integrierten Schaltungen, Field Programmable Gate Arrays (FPGA) und dergleichen ausgeführt werden. Bestimmte Datenstrukturen können verwendet werden, um einen oder mehrere hierin beschriebene Aspekte effektiver zu implementieren, und solche Datenstrukturen werden im Rahmen der hierin beschriebenen computerausführbaren Anweisungen und computerverwendbaren Daten in Betracht gezogen.
  • Mit weiterem Bezug auf 6 können ein oder mehrere hierin beschriebene Aspekte in einer Fernzugriffsumgebung implementiert werden. 6 zeigt eine beispielhafte Systemarchitektur, die eine Recheneinrichtung 501 in einer illustrativen Rechenumgebung 520 aufweist, die gemäß einem oder mehreren hierin beschriebenen illustrativen Aspekten verwendet werden kann. Die Recheneinrichtung 501 kann als Server 606a in einem Einzel-Server- oder Multi-Server-Desktop-Virtualisierungssystem (z.B. einem Fernzugriffs- oder Cloud-System) verwendet werden, das so konfiguriert ist, dass es virtuelle Maschinen für Client-Zugangseinrichtungen bereitstellt. Die Recheneinrichtung 501 kann einen Prozessor 603 zur Steuerung des Gesamtbetriebs des Servers und seiner assoziierten Komponenten aufweisen, einschließlich RAM 605, ROM 607, Input/Output (I/O) Modul 609 und Speicher 615.
  • Das E/A-Modul 609 kann eine Maus, eine Tastatur, einen Touchscreen, einen Scanner, ein optisches Lesegerät und/oder einen Stift (oder eine andere Eingabeeinrichtung) aufweisen, über die ein Benutzer der Recheneinrichtung 101 Eingaben vornehmen kann, und es kann auch einen oder mehrere Lautsprecher für die Bereitstellung einer Audioausgabe und eine oder mehrere Videoanzeigeeinrichtungen für die Bereitstellung einer textlichen, audiovisuellen und/oder grafischen Ausgabe aufweisen. Software kann im Speicher 615 und/oder in einem anderen Speicher abgelegt werden, um dem Prozessor 603 Anweisungen für die Konfiguration der Recheneinrichtung 501 in eine spezielle Recheneinrichtung zu geben, um verschiedene Funktionen, wie hierin beschrieben, auszuführen. Beispielsweise kann im Speicher 615 Software gespeichert sein, die von der Recheneinrichtung 501 verwendet wird, wie z.B. ein Betriebssystem 617, Anwendungsprogramme 619 und eine assoziierte Datenbank 621.
  • Die Recheneinrichtung 501 kann in einer Netzwerk-Umgebung arbeiten, die Verbindungen zu einem oder mehreren entfernten Computern, wie z.B. Terminals 640 (auch als Client-Einrichtungen bezeichnet), unterstützt. Bei den Endgeräten 640 kann es sich um Personalcomputer, mobile Einrichtungen, Laptops, Tablets oder Server handeln, die viele oder alle der oben in Bezug auf die Recheneinrichtung 503 oder 501 beschriebenen Elemente aufweisen. Die in 6 dargestellten Netzwerkverbindungen weisen ein lokales Netzwerk (LAN) 625 und ein Weitverkehrsnetzwerk (WAN) 629 auf, können aber auch andere Netzwerke aufweisen. Bei Verwendung in einer LAN-Netzwerkumgebung kann die Recheneinrichtung 501 über eine Netzwerk-Schnittstelle oder einen Adapter 623 mit dem LAN 625 verbunden sein. Bei Verwendung in einer WAN-Netzwerkumgebung kann die Recheneinrichtung 501 ein Modem 627 oder eine andere Weitverkehrsnetzschnittstelle aufweisen, um die Kommunikation über das WAN 629, wie das Computernetzwerk 630 (z.B. das Internet), herzustellen. Es versteht sich von selbst, dass die gezeigten Netzwerkverbindungen illustrativ sind und andere Mittel zur Herstellung einer Kommunikationsverbindung zwischen den Computern verwendet werden können. Bei der Recheneinrichtung 501 und/oder den Endgeräten 640 kann es sich auch um mobile Einrichtungen handeln (z.B. Mobiltelefone, Smartphones, PDAs (Personal Digital Assistants), Notebooks usw.), die verschiedene andere Komponenten aufweisen, wie z.B. eine Batterie, einen Lautsprecher und Antennen (nicht dargestellt).
  • Die hierin beschriebenen Aspekte können auch mit zahlreichen anderen allgemeinen oder speziellen Computersystemumgebungen oder Konfigurationen verwendet werden. Beispiele für andere Rechensysteme, Umgebungen und/oder Konfigurationen, die sich für die Verwendung mit den hierin beschriebenen Aspekten eignen können, umfassen unter anderem Personalcomputer, Servercomputer, Handheld- oder Laptop-Geräte, Multiprozessorsysteme, mikroprozessorbasierte Systeme, Set-Top-Boxen, programmierbare Unterhaltungselektronik, Netzwerk-Personalcomputer (PCs), Minicomputer, Großrechner, verteilte Rechenumgebungen, die eines der oben genannten Systeme oder Einrichtungen aufweisen, und dergleichen.
  • Wie in 6 dargestellt, können eine oder mehrere Client-Einrichtungen 640 mit einem oder mehreren Servern 606a-606n (hierin allgemein als „Server 606“ bezeichnet) in Verbindung stehen. In einer Ausführungsform kann die Computerumgebung 520 ein Netzwerkgerät aufweisen, das zwischen dem/den Server(n) 606 und dem/den Client-Maschine(n) 640 installiert ist. Das Netzwerk-Gerät kann Client/Server-Verbindungen verwalten und in einigen Fällen die Lastverteilung der Client-Verbindungen auf eine Vielzahl von Backend-Servern 606 übernehmen.
  • Das/die Client-Maschine(e) 640 kann/können in einigen Ausführungsformen als ein einzelnes Client-Maschine 640 oder eine einzelne Gruppe von Client-Maschinen 640 bezeichnet werden, während der/die Server 606 als ein einzelner Server 606 oder eine einzelne Gruppe von Servern 606 bezeichnet werden kann/können. In einer Ausführungsform kommuniziert ein einzelnes Client-Maschine 640 mit mehr als einem Server 606, während in einer anderen Ausführungsform ein einzelner Server 606 mit mehr als einem Client-Maschine 640 kommuniziert. In einer weiteren Ausführungsform kommuniziert ein einzelner Client-Rechner 640 mit einem einzelnen Server 606.
  • Ein Client-Maschine 640 kann in einigen Ausführungsformen mit einem der folgenden, nicht erschöpfenden Begriffe bezeichnet werden: Client-Maschine(n); Client(e); Client-Computer; Client-Einrichtung(en); Client-Recheneinrichtung(en); lokale Maschine; entfernte Maschine; Client-Knoten; Endpunkt(e); oder Endpunkt-Knotenpunkt(e). In einigen Ausführungsformen kann auf den Server 606 mit einem der folgenden nicht erschöpfenden Begriffe Bezug genommen werden: Server(s), lokale Maschine, entfernte Maschine, Serverfarm(en) oder Host-Recheneinrichtung(en). In einigen Ausführungsformen kann das Client-Maschine 640 ein virtuelles Gerät sein. In einigen Aspekten kann das virtuelle Gerät von einem Hypervisor verwaltet werden, während in anderen Aspekten das virtuelle Gerät von einem Hypervisor, der auf einem Server 606 ausgeführt wird, oder einem Hypervisor, der auf einem Client 640 ausgeführt wird, verwaltet werden kann. Die virtuelle Maschine kann auch ein Containersystem sein, das von einem Container-Manager verwaltet wird, zum Beispiel Docker und Linux Containers (LXC). Bei der virtuellen Maschine kann es sich auch um eine Kombination aus einer von einem Hypervisor verwalteten virtuellen Maschine und Containern handeln.
  • Einige Ausführungsformen können eine Client-Einrichtung 640 aufweisen, die Anwendungsausgaben anzeigt, die von einer Anwendung generiert wurden, die auf einem Server 606 oder einem anderen entfernt verorteten Gerät ausgeführt wird. In diesen Ausführungsformen kann die Client-Einrichtung 640 ein Empfangsprogramm oder eine Anwendung einer virtuellen Maschine ausführen, um die Ausgabe in einem Anwendungsfenster, einem Browser oder einem anderen Ausgabefenster anzuzeigen. In einem Beispiel ist die Anwendung ein Desktop, während in anderen Beispielen die Anwendung eine Anwendung ist, die einen Desktop generiert oder darstellt. Ein Desktop kann eine grafische Hülle aufweisen, die eine Benutzeroberfläche für eine Instanz eines Betriebssystems bietet, in die lokale und/oder entfernte Anwendungen integriert werden können. Anwendungen, wie sie hierin verwendet werden, sind Programme, die ausgeführt werden, nachdem eine Instanz eines Betriebssystems (und, optional, auch der Desktop) geladen wurde. In einigen Ausführungsformen kann der Server 606 ein entferntes Präsentationsprotokoll oder ein anderes Programm verwenden, um Daten an eine Thin-Client- oder entfernte Anzeigeanwendung zu senden, die auf dem Client ausgeführt wird, um die von einer auf dem Server 606 ausgeführten Anwendung generierte Anzeigeausgabe zu präsentieren. Bei dem Thin-Client- oder entferntem Anzeigeprotokoll kann es sich um ein Protokoll wie das Independent Computing Architecture (ICA)-Protokoll handeln, das von Citrix Systems, Inc. in Ft. Lauderdale, Florida, entwickelt wurde, oder um das Remote Desktop Protocol (RDP), das von der Microsoft Corporation in Redmond, Washington, entwickelt wurde.
  • Eine Remote-Computing-Umgebung kann mehr als einen Server 606a-606n aufweisen, so dass die Server 606a-606n logisch in einer Serverfarm 606 gruppiert sind, z.B. in einer Cloud-Computing-Umgebung. Die Serverfarm 606 kann Server 606 aufweisen, die geografisch verstreut und gleichzeitig logisch gruppiert sind, oder Server 606, die nahe beieinander verortet und gleichzeitig logisch gruppiert sind. Geografisch verteilte Server 606a-606n innerhalb einer Serverfarm 606 können in einigen Ausführungsformen über ein WAN (weit), MAN (großstädtisch) oder LAN (lokal) kommunizieren, wobei unterschiedliche geografische Regionen wie folgt charakterisiert werden können: unterschiedliche Kontinente; unterschiedliche Regionen eines Kontinents; unterschiedliche Länder; unterschiedliche Staaten; unterschiedliche Städte; unterschiedliche Campusse; unterschiedliche Räume; oder eine beliebige Kombination der vorangehenden geografischen Standorte. In einigen Ausführungsformen kann die Serverfarm 606 als eine einzige Einheit verwaltet werden, während die Serverfarm 606 in anderen Ausführungsformen mehrere Serverfarmen aufweisen kann.
  • In einigen Ausführungsformen kann eine Serverfarm 606 Server aufweisen, die eine im Wesentlichen ähnliche Art von Betriebssystemplattform ausführen (z.B. WINDOWS, UNIX, LINUX, iOS, ANDROID, SYMBIAN usw.) In anderen Ausführungsformen kann die Serverfarm 606 eine erste Gruppe von einem oder mehreren Servern aufweisen, die eine erste Art von Betriebssystemplattform ausführen, und eine zweite Gruppe von einem oder mehreren Servern, die eine zweite Art von Betriebssystemplattform ausführen.
  • Server 606 kann je nach Bedarf als jede Art von Server konfiguriert werden, z.B., ein Dateiserver, ein Anwendungsserver, ein Webserver, ein Proxyserver, ein Endgerät, ein Netzwerkendgerät, ein Gateway, ein Anwendungsgateway, ein Gatewayserver, ein Virtualisierungsserver, ein Bereitstellungsserver, ein Secure Sockets Layer (SSL)-VPN-Server, eine Firewall, ein Webserver, ein Anwendungsserver oder als Master-Anwendungsserver, ein Server, der ein aktives Verzeichnis ausführt, oder ein Server, der ein Anwendungsbeschleunigungsprogramm ausführt, das Firewall-Funktionalität, Anwendungsfunktionalität oder Lastausgleichsfunktionalität bietet. Es können auch andere Servertypen verwendet werden.
  • Einige Ausführungsformen weisen einen ersten Server 606a auf, der Anfragen von einem Client-Maschine 640 empfängt, die Anfrage an einen zweiten Server 606b (nicht dargestellt) weiterleitet und auf die vom Client-Maschine 640 generierte Anfrage mit einer Antwort des zweiten Servers 606b (nicht dargestellt) antwortet. Der erste Server 606a kann eine Reihe von Anwendungen erfassen, die für das Client-Maschine 640 verfügbar sind, sowie Adressinformationen, die mit einem Anwendungsserver 606 assoziiert sind, der eine in der Liste der Anwendungen identifizierte Anwendung hostet. Der erste Server 606a kann dann eine Antwort auf die Anfrage des Clients über eine Webschnittstelle präsentieren und direkt mit dem Client 640 kommunizieren, um dem Client 640 den Zugriff auf eine identifizierte Anwendung zu ermöglichen. Ein oder mehrere Clients 640 und/oder ein oder mehrere Server 606 können Daten über das Netzwerk 630, z.B. das Netzwerk 501, übertragen.
  • 7 zeigt eine repräsentative Umgebung 700, die einen effizienten Cyber-Schutz von entfernten Netzwerken und assoziierten zentralen Netzwerken, die ein Unternehmens-Netzwerk bilden können, implementieren kann. Zumindest in einigen Anordnungen können sich das/die entfernte(n) Netzwerk(e) und das/die assoziierte(n) zentrale(n) Netzwerk(e) an geografisch unterschiedlichen Orten befinden. Es ist zu beachten, dass in 7 zwar ein Unternehmens-Netzwerk dargestellt ist, das aus einem einzigen dezentralen Netzwerk RMT-NET 720 und einem einzigen assoziierten zentralen Netzwerk CENT-NET 760 zusammengesetzt ist, die hierin beschriebenen Aspekte sich jedoch ohne weiteres auf mehrere dezentrale Netzwerke und ein oder mehrere assoziierte zentrale Netzwerke ausdehnen lassen. 7 beschränkt die offenbarte Erfindung in keiner Weise auf den Fall eines einzelnen dezentralen Netzwerks und eines einzelnen zentralen Netzwerks.
  • Das (eine oder mehrere) entfernte Netzwerk(e) RMT-NET 720 kann mit dem vom Unternehmen betriebenen zentralen Netzwerk CENT-NET 760 assoziiert sein. Hosts, die mit dem entfernten Netzwerk RMT-NET 720 verbunden sind, wie z.B. PC 721 und PC 722 (z.B. Desktop-Personalcomputer, mobile Einrichtungen (die sich z.B. mit lokalen Wi-Fi-Zugangsnetzen verbinden) usw.) können über das Internet 730 direkt auf öffentlich adressierte Internetserver wie den Webserver WSVR 751 und den Malware-Server MALSVR 752 zugreifen. Beim direkten Zugriff auf das Internet 730 sind Hosts, die mit dem entfernten Netzwerk RMT-NET 720 verbunden sind, wie z.B. PC 721 und PC 722, möglicherweise nicht durch einen Sicherheits-Stack SSTK 775 und das Bedrohungsinformations-Gateway TIG 770 geschützt, die mit dem zentralen Netzwerk CENT-NET 760 assoziiert sind, und sind daher möglicherweise nicht vor Internet-Bedrohungen geschützt (z.B. vor Bedrohungen, die mit dem Malware-Server MALSVR 752 assoziiert sind). Zum Schutz kann das Unternehmen ein entferntes Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 an oder in der Nähe der Netzwerkgrenze/Schnittstelle zwischen dem entfernten Netzwerk RMT-NET 720 und dem Internet 730 installieren. Das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 kann die hierin beschriebenen Funktionen der Paketinspektion, des Pakettests und des Pakettunnelns implementieren. Das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 kann so konfiguriert werden, dass es ausgewählte Pakete tunnelt, TUNNEL-B/F verwaltet und andere Funktionen ausführt, die an anderer Stelle in dieser Offenbarung beschrieben sind. Das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 kann in anderen Einrichtungen an der Grenze des Netzwerks, wie Netzwerk-Firewalls, VPN-Tunnel usw., integriert sein oder auf andere Weise mit ihnen zusammenarbeiten.
  • Das zentrale Netzwerk CENT-NET 760 kann internen Hosts (z.B. Desktop-Personalcomputern, mobilen Einrichtungen (die sich z.B. mit lokalen Wi-Fi-Zugangsnetzen verbinden) usw.) wie dem PC 761 Zugang zum Internet verschaffen. Das zentrale Netzwerk CENT-NET 760 kann so konfiguriert werden, dass der Datenverkehr zwischen diesen internen Hosts und Internet-Bedrohungshosts, wie dem Malware-Server MALSVR 752, über das Bedrohungsinformations-Gateway TIG 770 laufen muss. Das Bedrohungsinformations-Gateway TIG 770 kann eine von der CTI abgeleitete Policy durchsetzen. Ein solcher Datenverkehr kann auch durch den Sicherheits-Stack SSTK 775 laufen, der mindestens eines von einer konventionellen NETZWERK-Firewall und anderen Netzwerk-Einrichtungen der Unternehmens-Netzwerksicherheit wie Web-Proxy, SSL/TLS-Proxy, IDS, IPS, Packet Capture und dergleichen aufweisen kann. Das Bedrohungsinformations-Gateway TIG 770 und der Sicherheits-Stack SSTK 775 können an oder in der Nähe eines Internet-Zugangspunkts für das zentrale Netzwerk CENT-NET 760 verortet sein. Bei der Anwendung der Policy auf Pakete kann das Bedrohungsinformations-Gateway TIG 770 Logs der Pakete erstellen, die mit den Regeln der Policy übereinstimmen. Diese Logs können über das Internet an eine Sicherheitszentrale SOC 740 zur Angriffsanalyse durch Cyberanalysten gesendet werden, die z.B. SIEM-Anwendungen und Paket-Analyse-Anwendungen verwenden.
  • Ein Unternehmens-Systemserver ESVR 762 kann beispielsweise ein privater Web-Anwendungsserver sein, der vom Unternehmen im zentralen Netzwerk gehostet wird, um von den Unternehmens-Benutzern genutzt zu werden, die die Unternehmens-Benutzer aufweisen können, die die Hosts PC 721 und PC 722 besitzen/betreiben, die mit dem Remote-Netzwerk RMT-NET 720 verbunden sind. Die Hosts PC 721 und PC 722 können auf den Unternehmens-Systemserver ESVR 762 zugreifen, indem sie z.B. einen Webbrowser verwenden, der einen HTTPS-Client für den Zugriff auf den Unternehmens-Systemserver ESVR 762 an Port 443 (dem Port für HTTPS) aufweist. Wenn sich ein Host (über einen Webbrowser) mit dem Unternehmens-Systemserver ESVR 762 verbindet, kann die Webanwendung ein Anmeldeformular anzeigen. Benutzer des Unternehmens können dann ihre Unternehmensanmeldedaten eingeben, um sicher auf die Webanwendung zuzugreifen. Administratoren der Netzwerksicherheit können einen Port (z.B. Port 443) der Netzwerk-Firewall im Sicherheits-Stack SSTK 775 öffnen, so dass unaufgeforderte eingehende HTTPS-Verbindungen, wie solche, die von den Hosts PC 721 und PC 722 kommen, Sitzungen mit dem Unternehmens-Systemserver ESVR 762 initiieren können.
  • Das zentrale Netzwerk-Tunnel-Gateway TGW 763, das an das zentrale Netzwerk CENT-NET 760 angebunden ist, kann Tunnel, die mit entfernten Netzwerken (z.B. RMT-NET 720) assoziiert sind, abschließen und konzentrieren. Die assoziierten entfernten Netzwerke können ein entsprechendes Tunnel-Gateway (z.B. RMT-NET-GTW 725) installiert haben, um die mit dem Tunnel-Gateway TGW 763 (über das Internet 730) verbundenen Tunnel abzuschließen. Ähnlich wie beim Unternehmens-Systemserver ESVR 762 können Netzwerk-Administratoren einen oder mehrere Ports der Netzwerk-Firewall im Sicherheits-Stack SSTK 775 öffnen, so dass unaufgefordert eingehender Tunnelverkehr (z.B. von RMT-NET-GTW 725 kommend) auf TGW 763 zugreifen kann. Handelt es sich bei dem Tunneling-Protokoll beispielsweise um den IPsec-Tunnelmodus, dann haben die Administratoren möglicherweise die bekannten IPsec-Ports 500, 50 und 51 geöffnet. Das Tunnel-Gateway TGW 763 kann empfangene Pakete beim Verlassen des Tunnels entkapseln und/oder entschlüsseln. Das Tunnel-Gateway TGW 163 kann die entkapselten und/oder entschlüsselten Pakete in das (private Unternehmens) zentrale Netzwerk CENT-NET 760 weiterleiten. Da diese Pakete öffentliche Internetadressen im Ziel-IP-Adressfeld ihrer IP-Header haben, können die Router und/oder Switches im zentralen Netzwerk CENT-NET 760 diese Pakete an den Internet-Zugangspunkt und damit an das Bedrohungsinformations-Gateway TIG 770 weiterleiten, das eine von der CTI abgeleitete Policy auf die Pakete anwendet.
  • Der Server für die Erstellung und Verwaltung von Sicherheits-Policies SPMS 741 kann CTI von einem oder mehreren CTIPs sammeln, die z.B. CTIP 742 und 743 aufweisen. Der Server für die Erstellung und Verwaltung von Sicherheits-Policies SPMS 741 kann auch die CTI aggregieren (z.B. Duplikate entfernen), mindestens eine Sicherheits-Policy basierend auf den CTI erstellen und die Sicherheits-Policies an Teilnehmer veröffentlichen. Die Teilnehmer können eine Vielzahl von Netzwerk-Einrichtungen wie Host-Computer und das Bedrohungsinformations-Gateway TIG 770 aufweisen. Der Server für die Erstellung und Verwaltung von Sicherheits-Policies SPMS 741 kann eine Datenstruktur TUNNEL-B/F für jede Sicherheits-Policy erstellen und die Datenstruktur TUNNEL-B/F an jeden Teilnehmer veröffentlichen, der mit jeder Sicherheits-Policy assoziiert ist, wie z.B. das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725. Alternativ kann das Bedrohungsinformations-Gateway TIG 770 eine Datenstruktur TUNNEL-B/F für jedes assoziierte entfernte Netzwerk-Tunnel-Gateway, wie RMT-NET-TGW 725, erstellen, das mit dem Bedrohungsinformations-Gateway TIG 770 für den Cyber-Schutz assoziiert wurde, und eine aktuelle Datenstruktur TUNNEL-B/F für jedes assoziierte entfernte Netzwerk-Tunnel-Gateway veröffentlichen.
  • In einer Anordnung kann der Server SPMS 741 zur Erstellung und Verwaltung der Sicherheits-Policy außerhalb des zentralen Netzwerks CENT-NET 760 und des entfernten Netzwerks RMT-NET 720 stehen und mit dem zentralen Netzwerk CENT-NET 760 und dem entfernten Netzwerk RMT-NET 720 über das Internet 730 kommunizieren. In einer anderen Anordnung kann der Server für die Erstellung und Verwaltung von Sicherheits-Policies SPMS 741 an das zentrale Netzwerk CENT-NET 760 oder das entfernte Netzwerk RMT-NET 720 angebunden sein.
  • Ein oder mehrere der in 7 dargestellten Elemente können gleich, ähnlich, im Wesentlichen ähnlich sein oder eine oder mehrere Hardware-, Software- und/oder Firmware-Komponenten mit einem oder mehreren der in 1 dargestellten Elemente teilen. Beispielsweise kann das zentrale Netzwerk CENT-NET 760 mit dem assoziierten Bedrohungsinformations-Gateway TIG 770 und dem Sicherheits-Stack SSTK 775 gleich, ähnlich oder im Wesentlichen ähnlich sein wie das Unternehmens-Netzwerk ENET 160 mit dem assoziierten Bedrohungsinformations-Gateway 170 und dem Sicherheits-Stack SSTK 175 in 1. So können ein Bedrohungsinformations-Gateway 170 und der Sicherheits-Stack 175 auch von der CTI abgeleitete Policies für getunnelten Verkehr von entfernten Netzwerk-Tunnel-Gateways (z.B. RMT-NET-TGW 725) durchsetzen, zusätzlich zur Durchsetzung von von der CTI abgeleiteten Policies für getunnelten Verkehr von mobilen Einrichtungen (z.B. MBDV 101). In ähnlicher Weise können der interne Unternehmens-Host 161, der Unternehmens-Systemserver 162, das Tunnel-Gateway 163, das Security Operations Center SOC 140, der Server für die Erstellung und Verwaltung von Sicherheits-Policies SPMS 141, die CTI-Anbieter CTIP 142 und 143, der Malware-Server MALSVR 152 und der Web-Server WSVR 151 wie unter Bezug auf 1 beschrieben, gleich, ähnlich oder im Wesentlichen ähnlich sein wie der interne Unternehmens-Host 761, der Unternehmens-Systemserver 762, das Tunnel-Gateway 763, das Security Operations Center SOC 740, der Server SPMS 741 zur Erstellung und Verwaltung der Sicherheits-Policy, die CTI-Anbieter CTIP 742 und 743, der Malware-Server MALSVR 752 und der Web-Server WSVR 751. Die mobile Einrichtung 101 (und/oder die Sicherheitsanwendung für mobile Einrichtungen MBL-CYBER-APP) kann gleich, ähnlich, im Wesentlichen ähnlich sein oder eine oder mehrere Hardware-, Software- und/oder Firmware-Komponenten mit dem entfernten Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 gemeinsam haben.
  • 8 zeigt ein Flussdiagramm eines Betriebskonzepts für einen Server zur Erstellung und Verwaltung von Sicherheits-Policies für die Konfiguration entfernter Netzwerke, assoziierter Netzwerk-Tunnel-Gateways und assoziierter Elemente zentraler Netzwerke für ein Sicherungssystem für ein Unternehmens-Netzwerk, das aus entfernten Netzwerken und zentralen Netzwerken besteht, wie in 7 dargestellt.
  • Zur Einführung zeigt 8 einen Prozess, über den CTI gesammelt, in eine Datenstruktur (z.B. einen Bloom-Filter, einen Cuckoo-Filter, einen blockierten Bloom-Filter, einen XOR-Filter, eine andere probabilistische Datenstruktur) generiert und dann an entfernte Einrichtungen (z.B. RMT-NET-TGW 725) verteilt werden könnte. Auf diese Weise können die entfernten Einrichtungen (z.B. RMT-NET-TGW 725) die empfangene Datenstruktur verwenden, um Pakete zu prüfen und zu ermitteln, ob diese Pakete zur weiteren Analyse an eine zentrale Einrichtung/ein zentrales Netzwerk übertragen werden sollten. Wenn beispielsweise eines oder mehrere der Attribute eines Pakets in der Datenstruktur vorhanden / durch diese repräsentiert sind, kann das Paket zur weiteren Analyse an eine zentrale Einrichtung weitergeleitet werden. Sind dagegen ein oder mehrere Attribute in der Datenstruktur nicht vorhanden / durch sie repräsentiert, kann das Paket ohne weitere Analyse weitergeleitet werden.
  • In Schritt 8-1 kann der Server für die Erstellung und Verwaltung von Sicherheits-Policies (SPMS 741) die CTI empfangen (z.B. herunterladen), die von Anbietern von Bedrohungsdaten wie CTIP 742 und CTIP 743 veröffentlicht wurden. Dieser Schritt kann mit Schritt 2-1 in 2 identisch oder vergleichbar sein.
  • In Schritt 8-2 kann der Server für die Erstellung und Verwaltung von Sicherheitsrichtlinien SPMS 741 die CTI-Indikatoren aggregieren und die CTI verarbeiten, um eine Sicherheits-Policy zu generieren. Da mehrere Anbieter von Bedrohungsdaten dieselben Bedrohungsindikatoren liefern können, kann der Server für die Erstellung und Verwaltung von Sicherheits-Policies (SPMS 741) die Regeln zu einem einzigen Satz zusammenfassen, doppelte Bedrohungsindikatoren entfernen und die Bedrohungsindikatoren anderweitig konsolidieren. Der Server für die Erstellung und Verwaltung von Sicherheits-Policies SPMS 741 kann mindestens eine Paket-Filterregel erstellen, wobei jede Regel Übereinstimmungskriterien aufweist, die den Bedrohungsindikatoren und den entsprechenden Aktionen/PTF entsprechen, die auf ein Paket anzuwenden sind, wenn eine Übereinstimmung ermittelt wird. Die entsprechenden Aktionen/PTF können auf der Grundlage mehrerer Faktoren ermittelt werden, einschließlich der Anforderungen, die von den Betreibern/Administratoren des Bedrohungsinformations-Gateways TIG 770 bereitgestellt werden. Der Server für die Erstellung und Verwaltung von Sicherheits-Policies SPMS 741 kann jede der generierten Regeln sammeln, um eine Sicherheits-Policy zu generieren, und kann die Sicherheits-Policy an eine Vielzahl von Sicherheits-Einrichtungen, einschließlich des Bedrohungsinformations-Gateways TIG 770, verteilen. Dieser Schritt kann gleich oder ähnlich wie Schritt 2-2 in 2 sein.
  • In Schritt 8-3 kann der Server für die Erstellung und Verwaltung von Sicherheits-Policies SPMS 741 eine Datenstruktur (z.B. einen Bloom-Filter, einen Cuckoo-Filter, einen blockierten Bloom-Filter, einen XOR-Filter, eine andere probabilistische Datenstruktur) TUNNEL-B/F generieren, die mit einer Sicherheits-Policy assoziiert ist, indem er die Bedrohungsindikatoren sammelt (z.B. durch Sammeln einer oder mehrerer IP-Adressen, IP-Adressbereiche, Domänennamen, URIs, Zertifikats-IDs usw.). Auf diese Weise kann der TUNNEL-B/F jede Paket-Filterregel in einer Sicherheits-Policy charakterisieren. Der Server für die Erstellung und Verwaltung von Sicherheits-Policies SPMS 741 kann die Indikatoren in die Datenstruktur TUNNEL-B/F einfügen, die daraufhin geprüft werden kann, ob eine Regel in der Sicherheits-Policy mit den getesteten Paketelementen übereinstimmt. Auf diese Weise kann TUNNEL-B/F verwendet werden, um effizient zu testen, ob ein bestimmtes Paket an ein zentrales Netzwerk getunnelt werden sollte (z.B. zur weiteren Verarbeitung, wie z.B. weitere Tests auf der Grundlage von Regeln). Dieser Schritt kann der gleiche oder ein ähnlicher sein wie Schritt 2-3 in 2.
  • Der Server für die Erstellung und Verwaltung der Sicherheits-Policy SPMS 741 kann mindestens eine der Sicherheits-Policy und der Datenstruktur TUNNEL-B/F an eine Vielzahl von Netzwerk-Sicherheits-Einrichtungen veröffentlichen. Der Server für die Erstellung und Verwaltung der Sicherheits-Policy SPMS 741 kann mindestens eine der Sicherheits-Policy und der Datenstruktur TUNNEL-B/F an die Vielzahl von Netzwerk-Sicherheits-Einrichtungen übertragen. Die Vielzahl der Netzwerksicherheitseinrichtungen kann das Bedrohungsinformations-Gateway TIG 770 und/oder ein oder mehrere entfernte Netzwerk-Tunnel-Gateways (z.B. das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725) aufweisen. Wie beispielsweise in Schritt 8-4 gezeigt, kann der Server für die Erstellung und Verwaltung von Sicherheitsrichtlinien SPMS 741 die Sicherheits-Policy an das Bedrohungsinformations-Gateway TIG 770 übertragen, das mit dem zentralen Netzwerk CENT-NET 760 assoziiert ist. Das Bedrohungsinformations-Gateway TIG 770 kann die Sicherheits-Policy herunterladen und die Paketfilterlogik mit der Sicherheits-Policy konfigurieren. Dieser Schritt kann der gleiche oder ein ähnlicher sein wie Schritt 2-4 in 2.
  • Beispielsweise kann, wie in Schritt 8-5 gezeigt, der Server für die Erstellung und Verwaltung von Sicherheits-Policies SPMS 741 die Datenstruktur TUNNEL-B/F an das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 übertragen. Das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 kann die Datenstruktur TUNNEL-B/F herunterladen und die Tunnellogik mit der Datenstruktur TUNNEL-B/F konfigurieren. Basierend auf der Sicherheits-Policy und der Datenstruktur TUNNEL-B/F kann das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 ein Paket zum zentralen Netzwerk CENT-NET 760 tunneln oder nicht, um es am Bedrohungsinformations-Gateway TIG 770 zu filtern (z.B. wie mit Bezug auf 9 weiter beschrieben). Dieser Schritt kann mit Schritt 2-5 von 2 identisch oder vergleichbar sein.
  • Die Sicherheits-Policy und die Datenstruktur TUNNEL-B/F können auch aktualisiert werden (z.B. durch den Server für die Erstellung und Verwaltung von Sicherheits-Policies SPMS 741), und Aktualisierungen der Sicherheits-Policy und der Datenstruktur TUNNEL-B/F können generiert und verteilt werden (z.B. in regelmäßigen Abständen auf der Grundlage von Aktualisierungen der CTI, die von CTIPs bereitgestellt werden). Aktualisierungen der Sicherheits-Policy und der Datenstruktur TUNNEL-B/F können den Betrieb der Netzwerksicherheitseinrichtungen (z.B. des Bedrohungsinformations-Gateways TIG 770 und/oder eines oder mehrerer entfernter Netzwerk-Tunnel-Gateways) verändern. Beispielsweise kann das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 auf der Grundlage solcher Aktualisierungen ein Paket zur Filterung tunneln, das zuvor (z.B. auf der Grundlage einer früheren Version der Datenstruktur TUNNEL-B/F) zu seinem beabsichtigten Ziel hätte weitergegeben werden dürfen, ohne zum zentralen Netzwerk CENT-NET 760 getunnelt zu werden.
  • Zusätzlich und/oder alternativ (aber nicht in 8 dargestellt) kann das Bedrohungsinformations-Gateway TIG 770 nach dem Empfang der Sicherheits-Policy vom Server für die Erstellung und Verwaltung der Sicherheits-Policy SPMS 741 eine Datenstruktur (z.B. Bloom-Filter, einen Cuckoo-Filter, eine andere probabilistische Datenstruktur) TUNNEL-B/F generieren, die mit einer Sicherheits-Policy assoziiert ist, indem alle Bedrohungsindikatoren, einschließlich IP-Adressen, Domänennamen, URIs, Zertifikats-IDs usw., die jede Paket-Filterregel in der Sicherheits-Policy charakterisieren, gesammelt werden. Das Bedrohungsinformations-Gateway TIG 770 kann die Indikatoren in die Datenstruktur TUNNEL-B/F einfügen, die getestet werden kann, um zu ermitteln, ob eine Regel in der Sicherheits-Policy mit den zu testenden Paketelementen übereinstimmt. Anschließend kann das Bedrohungsinformations-Gateway TIG 770 das TUNNEL-B/F an die entfernten Netzwerk-Tunnel-Gateways (z.B. RMT-NET-TGW 725) der assoziierten entfernten Netzwerke (z.B. RMT-NET 725) übermitteln.
  • Entfernte fixierte Netzwerke im Allgemeinen (und entfernte Netzwerk-Tunnel-Gateways im Besonderen) haben möglicherweise keine Ressourcenbeschränkungen (z.B. assoziiert mit Stromversorgung, Speicher, Verarbeitungsleistung usw.), die mit mobilen Einrichtungen assoziiert sein können. So kann ein entferntes Netzwerk-Tunnel-Gateway (z.B. RMT-NET-TGW 725) einen oder mehrere Vorgänge ausführen, wie sie oben in Bezug auf den Server SPMS 741 zur Erstellung und Verwaltung von Sicherheits-Policies beschrieben wurden (z.B. Generierung einer Datenstruktur TUNNEL B/F). Beispielsweise kann der Server für die Erstellung und Verwaltung von Sicherheits-Policies SPMS 741 eine Sicherheits-Policy basierend auf einer Vielzahl von CTI-Indikatoren generieren und die Sicherheits-Policy an das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 weiterleiten. Das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 kann die mit der Sicherheits-Policy assoziierten Datenstruktur TUNNEL-B/F generieren. Zusätzlich kann, da ein entferntes fixiertes Netzwerk und ein assoziiertes entferntes Netzwerk-Tunnel-Gateway im Vergleich zu mobilen Einrichtungen entspanntere Speicherbeschränkungen haben können, z.B. die Größe eines gegebenen Bloom-Filters erhöht werden, was z.B. bedeutet, dass die Falsch-Positiv-Rate für den Bloom-Filter verringert werden kann und/oder dass mehr Elemente im Bloom-Filter vorhanden sein können.
  • 9 zeigt ein Flussdiagramm für ein Betriebskonzept zur Paketfilterung und zum effizienten Backhauling für den Netzschutz in entfernten Netzwerken, assoziierte Tunnel-Gateways und assoziierte zentrale Netzwerke. Im Falle eines entfernten Netzwerks (z.B. des entfernten Netzwerks RMT-NET 720 in 7 mit mehreren angeschlossenen Hosts, z.B. PC 721 und PC 722) kann ein einziger Tunnel verwendet werden, um nur den Paketverkehr zum zentralen Netzwerk CENT-NET 760 zu tunneln oder zu übertragen, von dem bekannt ist, dass er mit einer Bedrohung assoziiert ist. Andernfalls können die Pakete den Tunnel umgehen und stattdessen direkt an ihr Ziel weitergeleitet werden.
  • Zur Einführung zeigt 9 einen Prozess, bei dem entfernte Einrichtungen (z.B. RMT-NET-TGW 725) eine empfangene Datenstruktur (z.B. Bloom-Filter, Cuckoo-Filter oder eine andere probabilistische Datenstruktur) verwenden können, um Pakete (z.B. Pakete assoziiert mit Internet-Kommunikation) zu testen und zu ermitteln, ob diese Pakete an eine zentrale Einrichtung/ein zentrales Netzwerk zur weiteren Analyse übermittelt werden sollten. Wenn beispielsweise eines oder mehrere der Attribute eines Pakets in der Datenstruktur vorhanden sind bzw. von dieser repräsentiert werden, kann das Paket an eine zentrale Einrichtung zur weiteren Analyse weitergeleitet werden. Sind dagegen ein oder mehrere Attribute in der Datenstruktur nicht vorhanden bzw. werden sie nicht durch diese repräsentiert, kann das Paket weitergeleitet werden (z.B. an einen Webserver), ohne dass eine weitere Analyse erfolgt. Wie in 8 beschrieben, kann die Datenstruktur von dem Server für die Erstellung und Verwaltung von Sicherheits-Policies SPMS 741 generiert werden.
  • Die empfangene Datenstruktur kann einer Sicherheits-Policy entsprechen, die eine Vielzahl von Paket-Filterregeln umfasst. Jede Paket-Filterregel der Sicherheits-Policy kann ein oder mehrere Paket-Übereinstimmungs-Kriterien und entsprechende Regel-Aktionen (z.B. Netzwerk-Schutz-Aktionen oder PTFs) umfassen, die auf Pakete anzuwenden sind, die den Paket-Übereinstimmungs-Kriterien entsprechen. Mindestens eine erste Paket-Filterregel der Sicherheits-Policy kann automatisch auf der Grundlage eines CTI-Berichts eines unabhängigen CTI-Anbieters generiert werden. Mindestens eine zweite Paket-Filterregel der Sicherheits-Policy kann automatisch basierend auf einem zweiten CTI-Bericht generiert werden, der von einem unterschiedlichen unabhängigen CTI-Anbieter bereitgestellt wird.
  • Wie unter Bezugnahme auf 7 dargestellt, können ein oder mehrere CTIPs (z.B. CTIP 742 und/oder CTIP 743) den Malware-Server MALSVR 752 als Bedrohung identifiziert haben, nicht aber den Webserver WSVR 751. Dementsprechend kann beispielsweise die IP-Adresse (oder ein anderer Indikator für eine Bedrohung) des Malware-Servers MALSVR 752 in der CTI enthalten sein, die an den Server für die Erstellung und Verwaltung von Sicherheits-Policies (SPMS 741) übermittelt wird. Ein ähnlicher Prozess wie der in 8 gezeigte und beschriebene kann dazu führen, dass (a) das Bedrohungsinformations-Gateway TIG 770 mit der Sicherheits-Policy konfiguriert wird, die eine Paket-Filterregel aufweist, wobei die Paket-Filterregel ein Paket-Übereinstimmungs-Kriterium spezifizieren kann, das der IP-Adresse (oder einem anderen Bedrohungsindikator) des Malware-Servers MALSVR 752 entspricht; und (b) das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 mit einer Datenstruktur TUNNEL-B/F konfiguriert wird. Die Datenstruktur TUNNEL B/F kann auf der Grundlage eines Satzes von Paket-Übereinstimmungs-Kriterien generiert werden, der die IP-Adresse (oder einen anderen Bedrohungsindikator) des Malware-Servers MALSVR 752 als ein Element des Satzes aufweisen kann. Der Satz von Paket-Übereinstimmungs-Kriterien könnte die IP-Adresse (oder einen Bedrohungsindikator) des Webservers WSVR 751 nicht als Element des Satzes aufweisen.
  • In Schritt 9-1a kann der Host-PC 721 Kommunikation mit dem Webserver WSVR 751 einleiten. Die Kommunikation mit dem Webserver WSVR 751 kann durch den Host-PC 721 eingeleitet werden, z.B. durch Senden eines TCP SYN in einem Paket P1 mit einer Ziel-IP-Adresse, die dem Webserver WSVR 751 entspricht. Ein mit dem Host-PC 721 assoziierter Benutzer kann die Kommunikation mit dem Webserver WSVR 751 einleiten, z.B. über einen Webbrowser oder eine mit dem Webserver WSVR 751 assoziierte Anwendung, die auf dem Host-PC 721 installiert ist. Dieser Schritt kann mit Schritt 3-1 in 3 identisch oder vergleichbar sein.
  • So kann beispielsweise ein Benutzer, der den Host-PC 721 bedient, auf eine Ressource auf dem Webserver WSVR 751 unter Verwendung einer URL zugreifen. Der Host-PC 721 kann den Hostnamen oder FQDN der URL-Autorität in eine IP-Adresse (z.B. 12.34.56.78) des Webservers WSVR 751 auflösen, indem er den DNS abfragt (nicht in 7 dargestellt). Der Host-PC 721 kann versuchen, eine TCP-Verbindung mit dem Webserver WSVR 751 an Port 80 (HTTP) zu initiieren, indem er ein TCP SYN-Paket mit Zielport 80 erzeugt, und kann das TCP SYN-Paket in ein IP-Paket einkapseln. Das IP-Paket kann ein Feld für die Ziel-IP-Adresse (z.B. 12.34.56.78) und eine Quell-IP-Adresse (z.B. des Host-PC 721) umfassen.
  • In Schritt 9-1b, der in Bezug auf Schritt 9-1a nicht zu einem bestimmten Zeitpunkt erfolgen muss, kann der Host-PC 722 eine Kommunikation mit dem Malware-Server MALSVR 752 einleiten. Die Kommunikation mit dem Malware-Server MALSVR 752 kann beispielsweise durch den Host-PC 722 eingeleitet werden, indem ein TCP SYN in einem Paket P2 mit einer Ziel-IP-Adresse gesendet wird, die dem Malware-Server MALSVR 752 entspricht. So kann beispielsweise eine auf dem Host-PC 722 installierte bösartige Anwendung eine geheime Kommunikation mit dem Malware-Server 752 einleiten, die zum Senden des TCP SYN führt. In einem anderen Beispiel kann der Host-PC 722 die Kommunikation mit dem Malware-Server MALSVR 752 initiieren, basierend auf dem Klicken eines Benutzers auf einen Link in einer bösartigen E-Mail (z.B. einer Spear-Phishing-E-Mail) oder einer anderen Form der elektronischen Kommunikation.
  • Beispielsweise kann ein Benutzer, der den Host-PC 722 bedient, eine Spear-Phishing-E-Mail lesen und dazu verleitet werden, auf eine eingebettete URL zu klicken, die auf eine Ressource auf dem Malware-Server MALSVR 752 verlinkt. Die Ressource kann eine Webseite enthalten, die die Anmeldeseite für eine Unternehmens-Webanwendung auf dem Unternehmens-Systemserver ESVR 762 fälscht. Der Host-PC 722 kann den Hostnamen oder einen FQDN der URL-Autorität in eine IP-Adresse (z.B. 87.65.43.21) des Malware-Servers MALSVR 752 auflösen, indem er den DNS abfragt (nicht in 7 dargestellt). Der Host-PC 722 kann versuchen, eine TCP-Verbindung mit dem Malware-Server MALSVR 752 an Port 80 (HTTP) zu initiieren, indem er ein TCP-SYN-Paket mit Zielport 80 erstellt, und kann das TCP-Paket in ein IP-Paket einkapseln. Das IP-Paket kann ein Ziel-IP-Adressfeld umfassen, das auf 87.65.43.21 eingestellt ist.
  • In Schritt 9-2 kann das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 Pakete P1 und/oder P2 empfangen. Die Pakete können von dem entfernten Netzwerk RMT-NET 720 kommen. In den Schritten 9-3 und 9-4 kann das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 prüfen, ob ein oder mehrere Paketelemente (z.B. Paket-Übereinstimmungskriterien wie eine IP-Adresse, Domänennamen, URIs, Zertifikats-IDs oder beliebige andere Paketelemente) der empfangenen Pakete P1 und/oder P2 Elemente in (z.B. Teile von/repräsentiert in) der Datenstruktur TUNNEL B/F sind (z.B. wie in Schritt 8-3 generiert und in Schritt 8-5 verteilt). Die Datenstruktur TUNNEL B/F kann mit der Sicherheits-Policy assoziiert sein, die durch das Bedrohungsinformations-Gateway TIG 770 durchgesetzt wird. Diese Schritte können mit Schritt 3-2 in 3 übereinstimmen oder diesem ähnlich sein.
  • In Schritt 9-3 kann das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 für jedes Paket P1 und/oder P2 ein entsprechendes Paket-Übereinstimmungs-Kriterium/Paketelement ermitteln. Das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 kann eine Policy-probabilistische Datenstruktur (z.B. die Datenstruktur TUNNEL-B/F) auf das ermittelte Paket-Übereinstimmungs-I<riterium testen. Die Datenstruktur TUNNEL-B/F kann jede der Paket-Filterregeln der am Bedrohungsinformations-Gateway TIG 770 konfigurierten Sicherheits-Policy repräsentieren (z.B. wie in 8 beschrieben). Basierend auf einer Ermittlung, dass ein Paket-Übereinstimmungs-Kriterium/Paketelement eines Pakets (z.B. Paket P1) nicht in der Datenstruktur TUNNEL-B/F repräsentiert ist, kann das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 das Paket P1 zu seinem beabsichtigten Ziel (z.B. dem Webserver WSVR 751) weiterleiten. Basierend auf der Ermittlung, dass ein Paket-Übereinstimmungs-I<riterium/Paketelement eines Pakets (z.B. Paket P2) in der Datenstruktur TUNNEL-B/F dargestellt ist, kann das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 das Paket P2 an das zentrale Netzwerk CENT-NET 760 tunneln. Das zentrale Netzwerk CENT-NET 760 kann das Paket auf der Grundlage der Paket-Filterregeln der Sicherheits-Policy filtern. Beispielsweise kann das Bedrohungsinformations-Gateway TIG 770 im zentralen Netzwerk CENT-NET 760 das Paket auf der Grundlage der Paket-Filterregeln der Sicherheits-Policy filtern. Weitere mit Tunneln und Filtern von Paketen assoziierte Details werden weiter unten beschrieben.
  • Das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 kann ein Paketelement des Pakets P1 extrahieren. Zum Beispiel kann das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 die Ziel-IP-Adresse, die die IP-Adresse des Webservers WSVR 751 sein kann, aus dem Paket P1 extrahieren. Das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 kann prüfen, ob das Paketelement (z.B. die Ziel-IP-Adresse) ein Element in der Datenstruktur TUNNEL-B/F oder ein Teil davon ist. Der Zugehörigkeitstest kann z.B. FALSE zurückgeben, wenn das Paketelement kein Element in oder ein Teil der Datenstruktur TUNNEL-B/F ist. Der Zugehörigkeitstest, der FALSE zurückgibt, kann implizieren, dass das Paket P1 keiner Paket-Filterregel in der Policy entspricht, die durch das Bedrohungsinformations-Gateway TIG 770 durchgesetzt wird. Dementsprechend kann in Schritt 9-4 das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 das Paket P1 über das Internet 730 an den Webserver WSVR 751 weiterleiten, wenn der Zugehörigkeitstest FALSE ergibt.
  • Beispielsweise kann das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 eine IP-Adresse (z.B. 12.34.56.78) aus dem Ziel-IP-Adressfeld des Pakets P1 extrahieren und testen, ob 12.34.56.78 ein Teil der Datenstruktur TUNNEL-B/F ist. Der Zugehörigkeitstest kann FALSE zurückgeben, basierend auf der IP-Adresse 12.34.56.78, die kein Teil der Datenstruktur TUNNEL-B/F ist. Das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 kann ermitteln, dass es keine passende Paket-Filterregel für das Paket P1 in der Sicherheits-Policy gibt, die von dem Bedrohungsinformations-Gateway TIG 770 durchgesetzt wird, z.B. basierend darauf, dass der Zugehörigkeitstest FALSE zurückgibt. Das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 kann ermitteln, dass kein Bedrohungsrisiko mit den getesteten Paketdaten (z.B. IP-Adresse 12.34.56.78 für Webserver WSVR 751) assoziiert ist, z.B. basierend darauf, dass der Zugehörigkeitstest FALSE zurückgibt. Das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 kann ermitteln, dass das zu filternde Paket P1 nicht getunnelt werden muss (im zentralen Netzwerk CENT-NET 760), z.B. basierend auf dem Ergebnis FALSE des Zugehörigkeitstests. Infolgedessen leitet das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 das Paket P1 möglicherweise nicht an TGW 763, an das Bedrohungsinformations-Gateway TIG 770 und/oder an den Sicherheits-Stack SSTK 775 weiter.
  • In Schritt 9-5 kann das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 ein Paketelement des Pakets P2 extrahieren. Zum Beispiel kann das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 die Ziel-IP-Adresse, die die IP-Adresse des Malware-Servers MALSVR 752 ist, aus dem Paket P2 extrahieren. Das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 kann testen, ob das Paketelement (z.B. die Ziel-IP-Adresse) ein Element in oder ein Teil der Datenstruktur TUNNEL-B/F ist. Der Zugehörigkeitstest kann z.B. TRUE zurückgeben, wenn das Paketelement ein Element in oder ein Teil der Datenstruktur TUNNEL-B/F ist. Der Zugehörigkeitstest, der TRUE zurückgibt, kann bedeuten, dass das Paket P2 einer Paket-Filterregel in der Policy entspricht, die durch das Bedrohungsinformations-Gateway TIG 770 durchgesetzt wird. Dementsprechend kann in Schritt 9-6 das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 das Paket P2 an das Tunnel-Gateway TGW 763 tunneln, das im zentralen Netzwerk CENT-NET 760 abgeschlossen werden kann.
  • Beispielsweise kann das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 eine IP-Adresse (z.B. 87.65.43.21) aus dem Ziel-IP-Adressfeld des Pakets P2 extrahieren und testen, ob 87.65.43.21 ein Teil der Datenstruktur TUNNEL-B/F ist. Der Zugehörigkeitstest kann einen TRUE-Wert zurückgeben, der darauf basiert, dass die IP-Adresse 87.65.43.21 ein Teil der Datenstruktur TUNNEL-B/F ist. Das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 kann ermitteln, dass es mindestens eine passende Paket-Filterregel für das Paket P2 in der Sicherheits-Policy gibt, die vom Bedrohungsinformations-Gateway TIG 770 durchgesetzt wird, z.B. basierend darauf, dass der Zugehörigkeitstest den Wert TRUE zurückgibt. Das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 kann ermitteln, dass ein gewisses Bedrohungsrisiko mit den getesteten Paketdaten assoziiert ist (z.B. IP-Adresse 87.65.43.21 für Webserver MALSVR 752), z.B. basierend auf dem Zugehörigkeitstest, der TRUE zurückgibt. Das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 kann ermitteln, dass das Paket P2 für die weitere Verarbeitung (z.B. Filterung) im zentralen Netzwerk CENT-NET 760 getunnelt werden muss, z.B. basierend darauf, dass der Zugehörigkeitstest TRUE zurückgibt. Infolgedessen kann das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 das Paket P2 an die TGW 763, das Bedrohungsinformations-Gateway TIG 770 und/oder den Sicherheits-Stack SSTK 775 weiterleiten.
  • Während die Schritte 9-3 und 9-5 die Verwendung einer Ziel-IP-Adresse eines Pakets zum Ausführen eines Zugehörigkeitstests beschreiben, kann auch jedes andere Element (oder eine Vielzahl von Elementen) des Pakets verwendet werden, das den in TUNNEL-B/F eingefügten Elementen entsprechen kann.
  • Zusätzlich und/oder alternativ kann das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 vor der Übertragung eines Pakets, das auf der Feststellung einer Übereinstimmung bei einem Test der Datenstruktur TUNNEL-B/F basiert, eine sekundäre Datenstruktur testen, um den Umfang des Netzwerkverkehrs zu verringern. Zum Beispiel kann das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 eine Blockierregel-Datenstruktur testen, die jede Regel der Sicherheits-Policy repräsentiert, die mit einer Block-Aktion oder PTF assoziiert ist. Basierend auf dem TRUE-Wert oder einem anderen Hinweis, dass es eine passende Paket-Filterregel in der Sicherheits-Policy gibt, die mit der Blockierregel-Datenstruktur assoziiert ist, kann das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 eine Blockierregel-Aktion ausführen, um zu verhindern, dass Pakete, die mit einer Blockierregel assoziiert sind, an ihr beabsichtigtes Ziel weitergegeben werden, ohne dass solche Pakete durch den Tunnel zum Tunnel-Gateway TGW 763 übertragen werden müssen. Bei der Datenstruktur der Blockierregel kann es sich auch um einen Bloom-Filter oder eine andere probabilistische Datenstruktur handeln.
  • Beispielsweise kann das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 unter Bezugnahme auf das obige Beispiel, in dem ein Paketelement des Pakets P2 als ein Element in oder ein Teil der Datenstruktur TUNNEL-B/F ermittelt wird, ein zweites Paketelement des Pakets P2 extrahieren. Das zweite Paketelement kann zum Beispiel eine URI sein, die mit dem Paket P2 assoziiert ist. Das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 kann die URI des Pakets P2 extrahieren und testen, ob die URI ein Teil einer Datenstruktur der Blockierregel BLOCK-B/F ist. Der Zugehörigkeitstest kann einen TRUE-Wert zurückgeben, der darauf basiert, dass der URI ein Teil der Datenstruktur BLOCK-B/F ist. Das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 kann ermitteln, dass es mindestens eine passende Paket-Filterregel zum Blockieren eines Pakets für das Paket P2 in der Sicherheits-Policy gibt, die von dem Bedrohungsinformations-Gateway TIG 770 durchgesetzt wird, z.B. basierend darauf, dass der Zugehörigkeitstest TRUE zurückgibt. Das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 kann ermitteln, dass ein hohes Bedrohungsrisiko mit den getesteten Paketdaten des Pakets P2 assoziiert ist, zum Beispiel basierend auf dem Zugehörigkeitstest, der TRUE zurückgibt. Das entfernte Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 kann das Paket P2 daran hindern, das entfernte Netzwerk RMT-NET 720 zu verlassen, basierend darauf, dass der Zugehörigkeitstest TRUE zurückgibt.
  • Das Ausführen von Zugehörigkeitstests an Paketen (z.B. das Testen, ob Paketelemente, die mit den Paketen assoziiert sind, Teile der Datenstruktur TUNNEL-B/F sind) am entfernten Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 kann die Verarbeitungsanforderungen an die Hosts (z.B. PC 721 und PC 722) reduzieren. Die Hosts brauchen die Zugehörigkeitstests nicht auszuführen, wodurch sich die Ressourcenverfügbarkeit auf den Hosts verbessert. Außerdem können höhere verfügbare Ressourcen am entfernten Netzwerk-Tunnel-Gateway RMT-NET-TGW 725 eine schnellere Paketverarbeitung ermöglichen.
  • In Schritt 9-7 kann das Paket P2 den Tunnel verlassen und über das zentrale Netzwerk CENT-NET 760 an den Malware-Server MALSVR 752 weitergeleitet werden (der der Ziel-IP-Adresse von P2 entspricht). Auf dem Weg zum Malware-Server MALSVR 752 kann das Paket P2 von dem Bedrohungsinformations-Gateway TIG 770 empfangen werden.
  • In Schritt 9-8 kann das Bedrohungsinformations-Gateway TIG 770 eine Sicherheits-Policy auf das Paket P2 anwenden. Die Anwendung einer Sicherheits-Policy kann die Anwendung einer Paket-Filterregel mit Übereinstimmungskriterien umfassen, die dem Paketelement (z.B. der Ziel-IP-Adresse) des Pakets P2 (z.B. der IP-Adresse von MALSVR 752) entsprechen. Die Anordnung der übereinstimmenden Regel (z.B. Netzwerk-Schutzaktion oder PTF oder Regelaktion) kann darin bestehen, das Paket zu blockieren, und die Direktiven können darin bestehen, das Paket zu Loggen und zu erfassen. Dementsprechend kann das Paket P2 blockiert, geloggt und/oder erfasst werden, wodurch PC 722 und das Unternehmens-Netzwerk vor Malware oder böswilligen Aktionen geschützt werden, die sich aus der Verbindung mit dem Malware-Server MALSVR 752 ergeben können.
  • In Schritt 9-9 kann das Log des Pakets P2 an die Sicherheitszentrale SOC 740 gesendet werden, wo eine oder mehrere Anwendungen zur Cyberanalyse und Bedrohungserkennung das Log verarbeiten können. Diese Verarbeitung kann beispielsweise zu Abhilfemaßnahmen wie dem Durchsuchen des PCs 722 nach Schadsoftware oder zu anderen Abhilfemaßnahmen und/oder Schutzmaßnahmen führen.
  • Der Server für die Erstellung und Verwaltung von Sicherheitsrichtlinien SPMS 741 kann unterschiedliche Sicherheits-Policies für unterschiedliche entfernte Netzwerke generieren, die mit dem zentralen Netzwerk assoziiert sind. Eine Sicherheits-Policy für ein entferntes Netzwerk kann auf den Sicherheitsanforderungen basieren, die mit dem entfernten Netzwerk assoziiert sind. Ein entferntes Netzwerk mit einer höheren Sicherheitsanforderung kann mit einer strengeren Sicherheits-Policy konfiguriert werden (z.B. breitere Paket-Übereinstimmungs-Kriterien, strengere Paket-Disposition/PTFs). So kann beispielsweise eine erste Sicherheits-Policy eines ersten entfernten Netzwerks mit höheren Sicherheitsanforderungen dazu führen, dass ein mit einem bestimmten Paketelement (z.B. IP-Adresse) assoziiertes Paket blockiert/verworfen (bzw. gedroppt) wird, während eine zweite Sicherheits-Policy eines zweiten entfernten Netzwerks mit niedrigeren Sicherheitsanforderungen die Übertragung eines Pakets mit demselben Paketelement erlaubt. So können unterschiedliche Datenstrukturen TUNNEL B/Fs generiert werden, basierend auf den unterschiedlichen Sicherheits-Policies für die verschiedenen entfernten Netzwerke, und an entsprechende entfernte Netzwerk-Tunnel-Gateways gesendet werden, die mit den entfernten Netzwerken assoziiert sind. In Bezug auf das obige Beispiel kann das Paketelement ein Teil eines ersten TUNNEL B/F für das erste entfernte Netzwerk sein, und es kann kein Teil eines zweiten TUNNEL B/F für das zweite entfernte Netzwerk sein.
  • Als ein Beispiel für das obige Konzept kann eine Unternehmensorganisation eine Finanz- und eine Marketingabteilung haben, die beide in entfernten Niederlassungen verortet sein können. Die Finanzabteilung könnte ein höheres Sicherheitsbedürfnis haben als die Marketingabteilung, u. a. weil erstere Zugang zu sensiblen Bankdaten haben könnte, während letztere die Möglichkeit haben muss, frei auf Online-Inhalte zuzugreifen, die sich auf potenzielle Kunden beziehen. In einem solchen Fall könnte eine von der CTI abgeleitete Policy (z.B. in Ausführungsform eines Bloom-Filters) für das entfernte Netzwerk, das der Finanzabteilung entspricht, mehr Regeln haben und/oder sonst strenger sein als eine von der CTI abgeleitete Policy für das entfernte Netzwerk, das der Marketingabteilung entspricht.
  • Als ein weiteres Beispiel können die unterschiedlichen entfernten Netzwerke an unterschiedlichen geografischen Standorten verortet sein. Der Server für die Erstellung und Verwaltung von Sicherheitsrichtlinien SPMS 741 kann entsprechende Sicherheits-Policies für die entfernten Netzwerke generieren, die auf den wichtigsten Bedrohungen basieren, die mit den jeweiligen geografischen Standorten assoziiert sind. Beispielsweise kann ein Land A, das einem ersten entfernten Netzwerk entspricht, anfälliger für eine erste Gruppe von Bedrohungen sein, die durch eine erste Gruppe von CTI-Indikatoren gekennzeichnet sind. Land B, das einem zweiten entfernten Netzwerk entspricht, kann anfälliger für eine zweite Gruppe von Bedrohungen sein, die durch eine zweite Gruppe von CTI-Indikatoren gekennzeichnet ist. Der Server für die Erstellung und Verwaltung von Sicherheitsrichtlinien SPMS 741 kann eine erste Sicherheits-Policy basierend auf dem ersten Satz von CTI-Indikatoren für das erste entfernte Netzwerk und eine zweite Sicherheits-Policy basierend auf dem zweiten Satz von CTI-Indikatoren für das zweite entfernte Netzwerk generieren.
  • Der Server für die Erstellung und Verwaltung von Sicherheits-Policies SPMS 741 kann unterschiedliche Sicherheits-Policies für unterschiedliche Untergruppen von Hosts innerhalb desselben entfernten Netzwerks generieren. Eine Sicherheits-Policy für eine Untergruppe von Hosts innerhalb eines entfernten Netzwerks kann auf Sicherheitsanforderungen basieren, die mit der Untergruppe von Hosts assoziiert sind. Eine Untergruppe von Hosts innerhalb eines entfernten Netzwerks mit einer höheren Sicherheitsanforderung kann mit einer strengeren Sicherheits-Policy konfiguriert werden (z.B. breitere Paket-Übereinstimmungs-Kriterien, strengere Paket-Disposition/PTFs) als andere Hosts innerhalb desselben entfernten Netzwerks. Beispielsweise kann eine erste Sicherheits-Policy eines ersten Teilsatzes von Hosts innerhalb eines entfernten Netzwerks mit einer höheren Sicherheitsanforderung dazu führen, dass ein Paket, das mit einem bestimmten Paketelement (z.B. einer IP-Adresse) assoziiert ist, blockiert/verworfen (bzw. gedroppt) wird, während eine zweite Sicherheits-Policy eines zweiten Teilsatzes von Hosts innerhalb des entfernten Netzwerks mit einer niedrigeren Sicherheitsanforderung die Übertragung eines Pakets mit demselben Paketelement erlauben kann. Unterschiedliche Datenstrukturen TUNNEL B/Fs können basierend auf den unterschiedlichen Sicherheits-Policies für die unterschiedlichen Untergruppen von Host-Einrichtungen generiert und an ein entferntes Netzwerk-Tunnel-Gateway gesendet werden, das mit dem entfernten Netzwerk assoziiert ist. Mit Bezug auf das obige Beispiel kann das Paketelement ein Teil einer ersten TUNNEL B/F für die erste Teilmenge von Hosts sein, und es kann kein Teil einer zweiten TUNNEL B/F für die zweite Teilmenge von Hosts sein. Das entfernte Netzwerk-Tunnel-Gateway kann (z.B. in Schritt 9-3 oder Schritt 9-4) einen Zugehörigkeitstest für ein von einem Host empfangenes Paket ausführen, wobei eine Datenstruktur TUNNEL B/F verwendet wird, die dem Teilsatz entspricht, zu dem der Host gehört.
  • Als ein Beispiel für das obige Konzept kann eine Unternehmensorganisation eine Finanzabteilung und eine Marketingabteilung haben, die beide in derselben entfernten Niederlassung verortet sind und dasselbe entfernte Netzwerk nutzen. In einem solchen Fall könnte eine von der CTI abgeleitete Policy (z.B. wie in einem Bloom-Filter ausgeführt) für Host-Einrichtungen, die der Finanzabteilung entsprechen, mehr Regeln haben und/oder anderweitig strenger sein als eine von der CTI abgeleitete Policy für Host-Einrichtungen, die der Marketingabteilung entsprechen.
  • Aspekte der Offenbarung wurden in Form von illustrativen Ausführungsformen beschrieben. Zahlreiche andere Ausführungsformen, Modifikationen und Variationen innerhalb des Geltungsbereichs und des Geistes der beigefügten Ansprüche werden Personen mit gewöhnlichen Kenntnissen auf dem Gebiet der Technik bei der Durchsicht dieser Offenbarung auffallen. Zum Beispiel wird ein Fachmann erkennen, dass die in den Abbildungen dargestellten Schritte in einer anderen als der angegebenen Reihenfolge ausgeführt werden können und dass ein oder mehrere der dargestellten Schritte optional sein können. Alle Merkmale in den folgenden Ansprüchen können beliebig kombiniert oder umgeordnet werden.
  • Es ist zu beachten, dass Ausführungsformen der Offenbarung auch wie folgt ausgestaltet sein können:
    • (1) Verfahren zum selektiven Filtern von Verkehr, der von einem entfernten Netzwerk kommt, durch Tunneln von Teilen dieses Verkehrs zu einem zentralen Netzwerk, um von dem zentralen Netzwerk gefiltert zu werden, wobei das Verfahren umfasst:
      • Empfangen, durch ein entferntes Netzwerk-Tunnel-Gateway, einer Vielzahl von Paketen, die von dem entfernten Netzwerk kommen;
      • Ermitteln, durch das entfernte Netzwerk-Tunnel-Gateway und für jedes Paket der Vielzahl von Paketen, mindestens eines Paket-Übereinstimmungs-Kriteriums, das mit jedem Paket assoziiert ist; Testen, durch das entfernte Netzwerk-Tunnel-Gateway und für jedes Paket der Vielzahl von Paketen, einer Policy-probabilistischen Datenstruktur für das ermittelte mindestens eine Paket-Übereinstimmungs-Kriterium, wobei die Policy-probabilistische Datenstruktur jede einer Vielzahl von Paket-Filterregeln einer Sicherheits-Policy repräsentiert;
      • basierend auf einer Ermittlung, dass ein erstes Paket-Übereinstimmungs-Kriterium eines ersten Pakets der Vielzahl von Paketen nicht in der Policy-probabilistischen Datenstruktur repräsentiert ist, Weiterleiten des ersten Pakets durch das entfernte Netzwerk-Tunnel-Gateway in Richtung seines beabsichtigten Ziels ohne Tunneln des ersten Pakets zum zentralen Netzwerk; und
      • basierend auf einer Ermittlung, dass ein zweites Paket-Übereinstimmungs-Kriterium eines zweiten Pakets der Vielzahl von Paketen in der Policy-probabilistischen Datenstruktur repräsentiert ist, Tunneln, durch das entfernte Netzwerk-Tunnel-Gateway, des zweiten Pakets zu dem zentralen Netzwerk, wobei das zentrale Netzwerk konfiguriert ist, um das zweite Paket basierend auf der Vielzahl von Paket-Filterregeln der Sicherheits-Policy zu filtern.
    • (2) Verfahren nach (1), wobei jede Paket-Filterregel der Sicherheits-Policy ein oder mehrere Paket-Übereinstimmungs-Kriterien und entsprechende Regel-Aktionen umfasst, die auf Pakete angewendet werden, die den Paket-Übereinstimmungs-Kriterien entsprechen.
    • (3) Verfahren nach (2), bei dem mindestens eine erste Paket-Filterregel der Sicherheits-Policy automatisch generiert wurde, basierend auf einem von einem unabhängigen CTI-Anbieter bereitgestellten Bericht über Cyber-Bedrohungen (CTI).
    • (4) Verfahren nach (3), bei dem mindestens eine zweite Paket-Filterregel der Sicherheits-Policy automatisch generiert wurde, basierend auf einem zweiten CTI-Bericht, der von einem unterschiedlichen unabhängigen CTI-Anbieter bereitgestellt wurde.
    • (5) Verfahren nach einem von (1) bis (5), weiterhin umfassend:
      • Ermitteln, für ein drittes Paket, das von dem entfernten Netzwerk kommt, eines dritten Paket-Übereinstimmungs-Kriteriums, das mit dem dritten Paket assoziiert ist; und
      • Testen einer zweiten Policy-probabilistischen Datenstruktur für das dritte Paket-Übereinstimmungs-Kriterium für das dritte Paket, wobei die zweite Policy-probabilistische Datenstruktur jede einer zweiten Vielzahl von Paket-Filterregeln einer zweiten Sicherheits-Policy, die sich von der Sicherheits-Policy unterscheidet, repräsentiert.
    • (6) Verfahren nach (5), wobei:
      • das Testen, für jedes Paket der Vielzahl von Paketen, der Policy-probabilistischen Datenstruktur für das ermittelte mindestens eine Paket-Übereinstimmungs-Kriterium auf der Vielzahl von Paketen basiert, die von einem ersten Teilsatz von Hosts stammen, die mit dem entfernten Netzwerk assoziiert sind; und
      • das Testen der zweiten Policy-probabilistischen Datenstruktur für das dritte Paket auf dem dritten Paket basiert, das von einem aus einem zweiten Teilsatz von Hosts kommt, die mit dem entfernten Netzwerk assoziiert sind.
    • (7) Verfahren nach einem von (1) bis (6), wobei die Policy-probabilistische Datenstruktur eine ist von:
      • einem Bloom-Filter;
      • einem blockierter Bloom-Filter;
      • Cuckoo-Filter; oder
      • einem XOR-Filter.
    • (8) Verfahren nach einem von (1) bis (7), wobei das Veranlassen des zentralen Netzwerks, das zweite Paket zu filtern, ferner das Ausführen einer Regelaktion, die dem zweiten Paket-Übereinstimmungs-Kriterium entspricht, für das zweite Paket umfasst.
    • (9) Verfahren nach einem von (1) bis (8), weiter umfassend:
      • basierend auf einer Ermittlung, dass ein drittes Paket-Übereinstimmungs-Kriterium eines dritten Pakets der Vielzahl von Paketen in der mindestens einen Policy-probabilistischen Datenstruktur repräsentiert ist, Testen einer Blockierregel-probabilistischen Datenstruktur für das dritte Paket-Übereinstimmungs-Kriterium; und
      • basierend auf einer Ermittlung, dass das dritte Paket-Übereinstimmungs-Kriterium in der probabilistischen Datenstruktur der Blockierregel repräsentiert ist, Verhindern, dass das dritte Paket an sein beabsichtigtes Ziel weitergegeben wird.
    • (10) Verfahren nach (1) bis (9), wobei das mindestens eine Paket-Übereinstimmungs-Kriterium mindestens eines umfasst von:
      • einer Internetprotokoll (IP)-Adresse;
      • einem IP-Adressbereich;
      • einem Domänennamen;
      • einem einheitlichen Ressourcenbezeichner (englisch: uniform resource identifier, URI); oder
      • einem Zertifikatsidentifikator (ID).
    • (11) Verfahren nach (1) bis (10) weiterhin umfassend:
      • Empfangen, durch das entfernte Netzwerk-Tunnel-Gateway (725), einer zweiten Vielzahl von Paketen, die von einem zweiten entfernten Netzwerk kommen, das sich von dem entfernten Netzwerk (720) unterscheidet;
      • Bestimmen, durch das entfernte Netzwerk-Tunnel-Gateway (725) und für jedes Paket der zweiten Vielzahl von Paketen, mindestens eines zweiten Paket-Übereinstimmungs-Kriteriums, das mit jedem Paket assoziiert ist; und Testen einer zweiten Policy-probabilistischen Datenstruktur für das bestimmte mindestens eine zweite Paket-Übereinstimmungs-Kriterium durch das entfernte Netzwerk-Tunnel-Gateway (725) und für jedes Paket der zweiten Vielzahl von Paketen, wobei die zweite Policy-probabilistische Datenstruktur jede einer zweiten Vielzahl von Paket-Filterregeln einer zweiten Sicherheits-Policy repräsentiert, und wobei die zweite Policy-probabilistische Datenstruktur von der Policy-probabilistischen Datenstruktur unterschiedlich ist.
    • (12) Verfahren nach einem von (1) bis (11), wobei das Filtern des zweiten Pakets eines oder mehr umfasst von:
      • Droppen des zweiten Pakets;
      • Weiterleiten des zweiten Pakets an einen Sicherheits-Stack; oder
      • Generierung eines Logs, das mit dem zweiten Paket assoziiert.
    • (13) Entferntes Netzwerk-Tunnel-Gateway, umfassend:
      • einen oder mehrere Prozessoren; und
      • Speicher, der Anweisungen speichert, die, wenn sie von dem einen oder den mehreren Prozessoren ausgeführt werden, das entfernte Netzwerk-Tunnel-Gateway veranlassen, das Verfahren nach einem von (1) bis (12) auszuführen.
    • (14) System, umfassend:
      • das entfernte Netzwerk-Tunnel-Gateway nach (13); und
      • eine Recheneinrichtung, die zum Empfang des getunnelten zweiten Pakets konfiguriert ist.
    • (15) Ein oder mehrere nicht flüchtige computerlesbare Medien, die Anweisungen speichern, die, wenn sie von dem einen oder den mehreren Prozessoren ausgeführt werden, ein entferntes Netzwerk-Tunnel-Gateway veranlassen, das Verfahren nach einem von (1) bis (12) auszuführen.
    • (16) Ein oder mehrere nicht flüchtige computerlesbare Medien, die Anweisungen speichern, die, wenn sie von einem oder mehreren Prozessoren ausgeführt werden, eine Recheneinrichtung veranlassen:
      • Empfangen einer Vielzahl von Paketen, die von einem entfernten Netzwerk kommen, das kommunikativ mit einem zentralen Netzwerk verbunden ist;
      • Ermitteln für jedes Paket der Vielzahl von Paketen mindestens eines Paket-Übereinstimmungs-Kriteriums, das mit jedem Paket assoziiert ist;
      • Testen für jedes Paket der Vielzahl von Paketen einer Policy-probabilistischen Datenstruktur für das ermittelte mindestens eine Paket-Übereinstimmungs-Kriterium, wobei die Policy-probabilistische Datenstruktur jede einer Vielzahl von Paket-Filterregeln einer Sicherheits-Policy darstellt;
        • basierend auf einer Ermittlung, dass ein erstes Paket-Übereinstimmungs-Kriterium eines ersten Pakets der Vielzahl von Paketen nicht in der Policy-probabilistischen Datenstruktur repräsentiert ist, Weiterleiten des ersten Pakets zu seinem beabsichtigten Ziel, ohne das erste Paket zu dem zentralen Netzwerk zu tunneln; und
        • basierend auf einer Ermittlung, dass ein zweites Paket-Übereinstimmungs-Kriterium eines zweiten Pakets der Vielzahl von Paketen in der Policy-probabilistischen Datenstruktur repräsentiert ist, das zweite Paket zu dem zentralen Netzwerk tunneln, wobei das zentrale Netzwerk konfiguriert ist, um das zweite Paket basierend auf der Vielzahl von Paket-Filterregeln der Sicherheits-Policy zu filtern.
    • (17) Nicht-flüchtiges computerlesbares Medium von (16), wobei die probabilistische Policy-Datenstruktur eine ist von:
      • einem Bloom-Filter;
      • ein blockierter Bloom-Filter;
      • einem Cuckoo-Filter; oder
      • einem XOR-Filter.
    • (18) Nicht-flüchtiges computerlesbares Medium von (16) oder (17), wobei das mindestens eine Paket-Übereinstimmungs-Kriterium mindestens eines umfasst von:
      • eine Internetprotokoll (IP)-Adresse;
      • einen IP-Adressbereich;
      • einem Domänennamen;
      • einen einheitlichen Ressourcenbezeichner (URI); oder
      • einen Zertifikatsidentifikator (ID).
    • (19) Nicht-flüchtiges computerlesbares Medium nach einem von (16) bis (18), wobei die Anweisungen, wenn sie von dem einen oder mehreren Prozessoren ausgeführt werden, die Recheneinrichtung dazu veranlassen:
      • Ermitteln, für ein drittes Paket, das von dem entfernten Netzwerk kommt, eines dritten Paket-Übereinstimmungs-Kriteriums, das mit dem dritten Paket assoziiert ist; und
      • Testen für das dritte Paket einer zweiten Policy-probabilistischen Datenstruktur für das dritte Paket-Übereinstimmungs-I<riterium, wobei die zweite Policy-probabilistische Datenstruktur jede einer zweiten Vielzahl von Paket-Filterregeln einer zweiten Sicherheits-Policy unterschiedlich zu der Sicherheits-Policy repräsentiert.
    • (20) Vorrichtung, umfassend:
      • einen oder mehrere Prozessoren; und
      • Speicher, der Anweisungen speichert, die, wenn sie von dem einen oder den mehreren Prozessoren ausgeführt werden, die Vorrichtung dazu veranlassen:
        • Empfangen einer Vielzahl von Paketen, die von einem entfernten Netzwerk kommen, das kommunikativ mit einem zentralen Netzwerk verbunden ist;
        • Ermitteln für jedes Paket der Vielzahl von Paketen mindestens eines Paket-Übereinstimmungs-Kriteriums, das mit jedem Paket assoziiert ist;
        • Testen für jedes Paket der Vielzahl von Paketen einer Policy-probabilistischen Datenstruktur für das ermittelte mindestens eine Paket-Übereinstimmungs-Kriterium, wobei die Policy-probabilistische Datenstruktur jede einer Vielzahl von Paket-Filterregeln einer Sicherheits-Policy repräsentiert;
        • basierend auf einer Ermittlung, dass ein erstes Paket-Übereinstimmungs-Kriterium eines ersten Pakets der Vielzahl von Paketen nicht in der Policy-probabilistischen Datenstruktur repräsentiert ist,
        • Weiterleiten des ersten Pakets zu seinem beabsichtigten Ziel, ohne das erste Paket zu dem zentralen Netzwerk zu tunneln; und
        • basierend auf einer Ermittlung, dass ein zweites Paket-Übereinstimmungs-Kriterium eines zweiten Pakets der Vielzahl von Paketen in der Policy-probabilistischen Datenstruktur repräsentiert ist, das zweite Paket zu einem mit einem zentralen Netzwerk assoziierten Tunnel-Gateway tunneln, wobei das Tunneln des zweiten Pakets zu dem zentralen Netzwerk, wobei das zentrale Netzwerk konfiguriert ist, um das zweite Paket basierend auf der Vielzahl von Paket-Filterregeln der Sicherheits-Policy zu filtern.
    • (21) Vorrichtung nach (20), wobei die Policy-probabilistische Datenstruktur eine ist von:
      • einem Bloom-Filter;
      • ein blockierter Bloom-Filter;
      • einem Cuckoo-Filter; oder
      • einem XOR-Filter.
    • (22) Vorrichtung nach (20) oder (21), wobei das mindestens eine Paket-Übereinstimmungs-Kriterium mindestens eines umfasst von:
      • eine Internetprotokoll (IP)-Adresse;
      • einen IP-Adressbereich;
      • einen Domänennamen;
      • einen einheitlichen Ressourcenbezeichner, Uniform Resource Identifier (URI); oder
      • einen Zertifikatsidentifikator (ID).
    • (23) Vorrichtung nach einem von (20) bis (22), wobei die Anweisungen, wenn sie von dem einen oder mehreren Prozessoren ausgeführt werden, die Vorrichtung veranlassen:
      • Ermitteln für ein drittes Paket, das von dem entfernten Netzwerk kommt, eines dritten Paket-Übereinstimmungs-Kriteriums, das mit dem dritten Paket assoziiert ist; und
      • Testen einer zweiten Policy-probabilistischen Datenstruktur für das dritte Paket-Übereinstimmungs-Kriterium für das dritte Paket, wobei die zweite Policy-probabilistische Datenstruktur jede einer zweiten Vielzahl von Paket-Filterregeln einer zweiten Sicherheits-Policy, die sich von der Sicherheits-Policy unterscheidet, repräsentiert.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 17371487 [0001]
    • US 17/194886 [0001]
    • US 11063909 [0001]
    • US 16/897942 [0001]
    • US 10944721 [0001]
    • US 16/502565 [0001]
    • US 10715493 [0001]
    • US 16/399700 [0031]

Claims (25)

  1. Entferntes Netzwerk-Tunnel-Gateway, umfassend: einen oder mehrere Prozessoren; und Speicher, der Anweisungen speichert, die, wenn sie von dem einen oder den mehreren Prozessoren ausgeführt werden, das entfernte Netzwerk-Tunnel-Gateway veranlassen, zum selektiven Filtern von Verkehr, der von einem entfernten Netzwerk (720) kommt, durch Tunneln von Teilen dieses Verkehrs zu einem zentralen Netzwerk, um von dem zentralen Netzwerk gefiltert zu werden, das Folgende auszuführen: Empfangen, durch ein entferntes Netzwerk-Tunnel-Gateway (725), einer Vielzahl von Paketen, die von dem entfernten Netzwerk kommen; Ermitteln, durch das entfernte Netzwerk-Tunnel-Gateway (725) und für jedes Paket der Vielzahl von Paketen, mindestens eines Paket-Übereinstimmungs-Kriteriums, das mit jedem Paket assoziiert ist; Testen durch das entfernte Netzwerk-Tunnel-Gateway (725) und für jedes Paket der Vielzahl von Paketen einer Policy-probabilistischen Datenstruktur für das ermittelte mindestens eine Paket-Übereinstimmungs-Kriterium, wobei die Policy-probabilistische Datenstruktur jede einer Vielzahl von Paket-Filterregeln einer Sicherheits-Policy repräsentiert; basierend auf einer Ermittlung, dass ein erstes Paket-Übereinstimmungs-Kriterium eines ersten Pakets der Vielzahl von Paketen nicht in der Policy-probabilistischen Datenstruktur repräsentiert ist, Weiterleiten durch das entfernte Netzwerk-Tunnel-Gateway (725) des ersten Pakets in Richtung seines beabsichtigten Ziels ohne Tunneln des ersten Pakets zu dem zentralen Netzwerk (760); und basierend auf einer Ermittlung, dass ein zweites Paket-Übereinstimmungs-Kriterium eines zweiten Pakets der Vielzahl von Paketen in der Policy-probabilistischen Datenstruktur repräsentiert ist, Tunneln, durch das entfernte Netzwerk-Tunnel-Gateway (725), des zweiten Pakets zu dem zentralen Netzwerk (760), wobei das zentrale Netzwerk (760) konfiguriert ist, das zweite Paket basierend auf der Vielzahl von Paket-Filterregeln der Sicherheits-Policy zu filtern.
  2. Entferntes Netzwerk-Tunnel-Gateway nach Anspruch 1, wobei jede Paket-Filterregel der Sicherheits-Policy ein oder mehrere Paket-Übereinstimmungs-Kriterien und entsprechende Regel-Aktionen umfasst, die auf Pakete anzuwenden sind, die den Paket-Übereinstimmungs-Kriterien entsprechen.
  3. Entferntes Netzwerk-Tunnel-Gateway nach Anspruch 2, wobei mindestens eine erste Paket-Filterregel der Sicherheits-Policy automatisch generiert wurde, basierend auf einem Cyber-Bedrohungs-Aufklärungsbericht (CTI), der von einem unabhängigen CTI-Anbieter bereitgestellt wurde.
  4. Entferntes Netzwerk-Tunnel-Gateway nach Anspruch 3, wobei mindestens eine zweite Paket-Filterregel der Sicherheits-Policy automatisch generiert wurde, basierend auf einem zweiten CTI-Bericht, der von einem anderen unabhängigen CTI-Anbieter bereitgestellt wurde.
  5. Entferntes Netzwerk-Tunnel-Gateway nach einem der Ansprüche 1 bis 4, wobei der Speicher ferner das entfernte Netzwerk-Tunnel-Gateway veranlasst, folgendes durchzuführen: Ermitteln, für ein drittes Paket, das von dem entfernten Netzwerk kommt, eines dritten Paket-Übereinstimmungs-Kriteriums, das mit dem dritten Paket assoziiert ist; und Testen, für das dritte Paket, einer zweiten Policy-probabilistischen Datenstruktur für das dritte Paket-Übereinstimmungs-Kriterium, wobei die zweite Policy-probabilistische Datenstruktur jede einer zweiten Vielzahl von Paket-Filterregeln einer zweiten Sicherheits-Policy repräsentiert, die sich von der Sicherheits-Policy unterscheidet.
  6. Das entfernte Netzwerk-Tunnel-Gateway nach Anspruch 5, wobei: das Testen, für jedes Paket der Vielzahl von Paketen, der Policy-probabilistischen Datenstruktur für das ermittelte mindestens eine Paket-Übereinstimmungs-Kriterium auf der Vielzahl von Paketen basiert, die von einem ersten Teilsatz von Hosts kommt, die mit dem entfernten Netzwerk assoziiert sind; und das Testen, für das dritte Paket, der zweiten Policy-probabilistischen Datenstruktur auf dem dritten Paket basiert, das von einem aus einer zweiten Untermenge von Hosts kommt, die mit dem entfernten Netzwerk assoziiert sind.
  7. Das entfernte Netzwerk-Tunnel-Gateway nach einem der Ansprüche 1 bis 6, wobei die Policy-probabilistische Datenstruktur eine ist von: einem Bloom-Filter; einem blockierter Bloom-Filter; Cuckoo-Filter; oder einem XOR-Filter.
  8. Das entfernte Netzwerk-Tunnel-Gateway nach einem der Ansprüche 1-7, wobei das zentrale Netzwerk so konfiguriert ist, dass es das zweite Paket filtert, indem es eine Regel-Aktion, die dem zweiten Paket-Übereinstimmungs-Kriterium entspricht, an dem zweiten Paket durchführt.
  9. Entferntes Netzwerk-Tunnel-Gateway nach einem der Ansprüche 1-8, wobei der Speicher ferner das entfernte Netzwerk-Tunnel-Gateway veranlasst, folgendes durchzuführen: basierend auf einer Ermittlung, dass ein drittes Paket-Übereinstimmungs-Kriterium eines dritten Pakets der Vielzahl von Paketen in der Policy-probabilistischen Datenstruktur repräsentiert ist, Testen einer Blockierregel probabilistischen Datenstruktur für das dritte Paket-Übereinstimmungs-I<riterium; und basierend auf einer Ermittlung, dass das dritte Paket-Übereinstimmungs-Kriterium in der Blockierregel probabilistischen Datenstruktur repräsentiert ist, Verhindern, dass das dritte Paket zu seinem beabsichtigten Ziel weitergeht.
  10. Das entfernte Netzwerk-Tunnel-Gateway nach einem der Ansprüche 1-9, wobei das mindestens eine Paket-Übereinstimmungs-Kriterium mindestens eines umfasst von: einer Internetprotokoll (IP)-Adresse; einem IP-Adressbereich; einem Domänennamen; einem einheitlichen Ressourcenbezeichner (URI); oder einem Zertifikatsidentifikator (ID).
  11. Entferntes Netzwerk-Tunnel-Gateway nach einem der Ansprüche 1-10, wobei der Speicher ferner das entfernte Netzwerk-Tunnel-Gateway veranlasst, folgendes durchzuführen Empfangen, durch das entfernte Netzwerk-Tunnel-Gateway (725), einer zweiten Vielzahl von Paketen, die von einem zweiten entfernten Netzwerk kommen, das sich von dem entfernten Netzwerk (720) unterscheidet; Ermitteln, durch das entfernte Netzwerk-Tunnel-Gateway (725) und für jedes Paket der zweiten Vielzahl von Paketen, mindestens eines zweiten Paket-Übereinstimmungs-Kriteriums, das mit jedem Paket assoziiert ist; und Testen durch das entfernte Netzwerk-Tunnel-Gateway (725) und für jedes Paket der zweiten Vielzahl von Paketen einer zweiten Policy-probabilistischen Datenstruktur für das ermittelte mindestens eine zweite Paket-Übereinstimmungs-Kriterium, wobei die zweite Policy-probabilistische Datenstruktur jede einer zweiten Vielzahl von Paket-Filterregeln einer zweiten Sicherheits-Policy repräsentiert, und wobei die zweite Policy-probabilistische Datenstruktur unterschiedlich von der Policy-probabilistischen Datenstruktur ist.
  12. Entferntes Netzwerk-Tunnel-Gateway nach einem der Ansprüche 1-11, wobei das Filtern des zweiten Pakets eines oder mehr umfasst von: Droppen des zweiten Pakets; Weiterleiten des zweiten Pakets an einen Sicherheits-Stack; oder Generieren eines Logs in Verbindung mit dem zweiten Paket.
  13. System, umfassend: das entfernte Netzwerk-Tunnel-Gateway (725) nach einem der Ansprüche 1 bis 12; und eine Recheneinrichtung, die konfiguriert ist, das getunnelte zweite Paket zu empfangen.
  14. Ein oder mehrere nicht flüchtige computerlesbare Medien, die Anweisungen speichern, die, wenn sie von einem oder mehreren Prozessoren ausgeführt werden, ein entferntes Netzwerk-Tunnel-Gateway (725) veranlassen, das Folgende auszuführen: Empfangen, durch ein entferntes Netzwerk-Tunnel-Gateway (725), einer Vielzahl von Paketen, die von dem entfernten Netzwerk kommen; Ermitteln, durch das entfernte Netzwerk-Tunnel-Gateway (725) und für jedes Paket der Vielzahl von Paketen, mindestens eines Paket-Übereinstimmungs-Kriteriums, das mit jedem Paket assoziiert ist; Testen, durch das entfernte Netzwerk-Tunnel-Gateway (725) und für jedes Paket der Vielzahl von Paketen, einer Policy-probabilistischen Datenstruktur für das ermittelte mindestens eine Paket-Übereinstimmungs-I<riterium, wobei die Policy-probabilistische Datenstruktur jede einer Vielzahl von Paket-Filterregeln einer Sicherheits-Policy repräsentiert; basierend auf einer Ermittlung, dass ein erstes Paket-Übereinstimmungs-Kriterium eines ersten Pakets der Vielzahl von Paketen nicht in der Policy-probabilistischen Datenstruktur repräsentiert ist, Weiterleiten, durch das entfernte Netzwerk-Tunnel-Gateway (725) des ersten Pakets in Richtung seines beabsichtigten Ziels ohne Tunneln des ersten Pakets zum zentralen Netzwerk (760); und basierend auf einer Ermittlung, dass ein zweites Paket-Übereinstimmungs-Kriterium eines zweiten Pakets der Vielzahl von Paketen in der Policy-probabilistischen Datenstruktur repräsentiert ist, Tunneln, durch das entfernte Netzwerk-Tunnel-Gateway (725) des zweiten Pakets zu dem zentralen Netzwerk (760), wobei das zentrale Netzwerk (760) konfiguriert ist, das zweite Paket basierend auf der Vielzahl von Paket-Filterregeln der Sicherheits-Policy zu filtern.
  15. Das eine oder die mehreren computerlesbaren Medien nach Anspruch 14, wobei jede Paket-Filterregel der Sicherheits-Policy ein oder mehrere Paket-Übereinstimmungs-Kriterien und entsprechende Regel-Aktionen umfasst, die auf Pakete angewendet werden, die den Paket-Übereinstimmungs-Kriterien entsprechen.
  16. Das eine oder die mehreren computerlesbaren Medien nach Anspruch 15, wobei mindestens eine erste Paket-Filterregel der Sicherheits-Policy automatisch basierend auf einem Cyber-Bedrohungs-Informations-Bericht (CTI) generiert wurde, der von einem unabhängigen CTI-Anbieter bereitgestellt wurde.
  17. Das eine oder die mehreren computerlesbaren Medien nach Anspruch 16, wobei mindestens eine zweite Paket-Filterregel der Sicherheits-Policy automatisch auf der Grundlage eines zweiten CTI-Berichts generiert wurde, der von einem unterschiedlichen unabhängigen CTI-Anbieter bereitgestellt wurde.
  18. Das eine oder die mehreren computerlesbaren Medien nach einem der Ansprüche 14-17, wobei das entfernte Netzwerk-Tunnel-Gateway ferner veranlasst wird, folgendes auszuführen: Ermitteln, für ein drittes Paket, das von dem entfernten Netzwerk kommt, eines dritten Paket-Übereinstimmungs- Kriteriums, das mit dem dritten Paket assoziiert ist; und Testen, für das dritte Paket, einer zweiten Policy-probabilistischen Datenstruktur für das dritte Paket-Übereinstimmungs-Kriterium, wobei die zweite Policy-probabilistische Datenstruktur jede einer zweiten Vielzahl von Paket-Filterregeln einer zweiten Sicherheits-Policy unterschiedlich zur Sicherheits-Policy repräsentiert.
  19. Das eine oder die mehreren computerlesbaren Medien nach Anspruch 18, wobei: das Testen, für jedes Paket der Vielzahl von Paketen, der Policy-probabilistischen Datenstruktur für das ermittelte mindestens eine Paket-Übereinstimmungs-Kriterium auf der Vielzahl von Paketen basiert, die von einem ersten Teilsatz von Hosts kommen, die mit dem entfernten Netzwerk assoziiert sind; und das Testen, für das dritte Paket, der zweiten Policy-probabilistischen Datenstruktur auf dem dritten Paket basiert, das von einem zweiten Teilsatz von Hosts kommt, der mit dem entfernten Netzwerk assoziiert ist.
  20. Das eine oder die mehreren computerlesbaren Medien nach einem der Ansprüche 14-19, wobei die Policy-probabilistische Datenstruktur eine ist von: einem Bloom-Filter; einem blockierten Bloom-Filter; Cuckoo-Filter; oder einem XOR-Filter.
  21. Das eine oder die mehreren computerlesbaren Medien nach einem der Ansprüche 14-20, wobei das zentrale Netzwerk so konfiguriert ist, dass es das zweite Paket filtert, indem es eine Regelaktion, die dem zweiten Paket-Übereinstimmungs-Kriterium entspricht, an dem zweiten Paket ausführt.
  22. Das eine oder mehrere computerlesbare Medien nach einem der Ansprüche 14-21, wobei das entfernte Netzwerk-Tunnel-Gateway ferner veranlasst wird, Folgendes auszuführen: basierend auf einer Ermittlung, dass ein drittes Paket-Übereinstimmungs-Kriterium eines dritten Pakets der Vielzahl von Paketen in der Policy-probabilistischen Datenstruktur repräsentiert ist, Testen einer Blockieregel probabilistischen Datenstruktur für das dritte Paket-Übereinstimmungs-I<riterium; und basierend auf einer Ermittlung, dass das dritte Paket-Übereinstimmungs-Kriterium in der Blockieregel probabilistischen Datenstruktur repräsentiert ist, Verhindern, dass das dritte Paket an sein beabsichtigtes Ziel weitergegeben wird.
  23. Das eine oder die mehreren computerlesbaren Medien nach einem der Ansprüche 14-22, wobei das mindestens eine Paket-Übereinstimmungs-Kriterium mindestens eines umfasst von: eine Internetprotokoll (IP)-Adresse; einen IP-Adressbereich; einen Domänennamen; einen Uniform Resource Identifier (URI); oder einen Zertifikatsidentifikator (ID).
  24. Das eine oder die mehreren computerlesbaren Medien nach einem der Ansprüche 14-23, wobei das entfernte Netzwerk-Tunnel-Gateway ferner veranlasst wird, folgendes auszuführen: Empfangen, durch das entfernte Netzwerk-Tunnel-Gateway (725), einer zweiten Vielzahl von Paketen, die von einem zweiten entfernten Netzwerk kommen, das sich von dem entfernten Netzwerk (720) unterscheidet; Ermitteln, durch das entfernte Netzwerk-Tunnel-Gateway (725) und für jedes Paket der zweiten Vielzahl von Paketen, mindestens eines zweiten Paket-Übereinstimmungs-Kriteriums, das mit jedem Paket assoziiert ist; und Testen, durch das entfernte Netzwerk-Tunnel-Gateway (725) und für jedes Paket der zweiten Vielzahl von Paketen, einer zweiten Policy-probabilistischen Datenstruktur für das ermittelte mindestens eine zweite Paket-Übereinstimmungs-Kriterium, wobei die zweite Policy-probabilistische Datenstruktur jede einer zweiten Vielzahl von Paket-Filterregeln einer zweiten Sicherheits-Policy repräsentiert, und wobei die zweite Policy-probabilistische Datenstruktur unterschiedlich von der Policy-probabilistischen Datenstruktur ist.
  25. Das eine oder die mehreren computerlesbaren Medien nach einem der Ansprüche 14-24, wobei das Filtern des zweiten Pakets eines oder mehrere umfasst von: Verwerfen des zweiten Pakets; Weiterleiten des zweiten Pakets an einen Sicherheits-Stack; oder Generieren eines Logs in Verbindung mit dem zweiten Paket.
DE202023100576.4U 2022-02-10 2023-02-07 Cyber-Schutz für entfernte Netzwerke durch selektive Policy Durchsetzung in einem zentralen Netzwerk Active DE202023100576U1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/669,093 2022-02-10
US17/669,093 US11582191B2 (en) 2019-07-03 2022-02-10 Cyber protections of remote networks via selective policy enforcement at a central network

Publications (1)

Publication Number Publication Date
DE202023100576U1 true DE202023100576U1 (de) 2023-06-06

Family

ID=85199170

Family Applications (2)

Application Number Title Priority Date Filing Date
DE102023102954.1A Pending DE102023102954A1 (de) 2022-02-10 2023-02-07 Cyber-schutz für entfernte netzwerke durch selektive policy durchsetzung in einem zentralen netzwerk
DE202023100576.4U Active DE202023100576U1 (de) 2022-02-10 2023-02-07 Cyber-Schutz für entfernte Netzwerke durch selektive Policy Durchsetzung in einem zentralen Netzwerk

Family Applications Before (1)

Application Number Title Priority Date Filing Date
DE102023102954.1A Pending DE102023102954A1 (de) 2022-02-10 2023-02-07 Cyber-schutz für entfernte netzwerke durch selektive policy durchsetzung in einem zentralen netzwerk

Country Status (2)

Country Link
DE (2) DE102023102954A1 (de)
WO (1) WO2023154122A1 (de)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10715493B1 (en) 2019-07-03 2020-07-14 Centripetal Networks, Inc. Methods and systems for efficient cyber protections of mobile devices

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10021115B2 (en) * 2015-11-03 2018-07-10 Juniper Networks, Inc. Integrated security system having rule optimization

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10715493B1 (en) 2019-07-03 2020-07-14 Centripetal Networks, Inc. Methods and systems for efficient cyber protections of mobile devices
US10944721B2 (en) 2019-07-03 2021-03-09 Centripetal Networks, Inc. Methods and systems for efficient cyber protections of mobile devices
US11063909B1 (en) 2019-07-03 2021-07-13 Centripetal Networks, Inc. Methods and systems for efficient cyber protections of mobile devices

Also Published As

Publication number Publication date
DE102023102954A1 (de) 2023-08-10
WO2023154122A1 (en) 2023-08-17

Similar Documents

Publication Publication Date Title
US11374905B2 (en) Methods and systems for efficient cyber protections of mobile devices
DE69929268T2 (de) Verfahren und System zur Überwachung und Steuerung der Netzzugriffe
DE60111089T2 (de) Verfahren und Vorrichtung zum Analysieren von einer oder mehrerer Firewalls
DE202016008885U1 (de) Regelbasierte Erkennung von Netzwerkbedrohungen für verschlüsselte Kommunikationen
DE202014011510U1 (de) Filtern von Netzwerkdatenübertragungen
DE102015001054A1 (de) Verfahren und systeme zum erkennen von extrusion und intrusion in einer cloud-computer-umgebung
US11290424B2 (en) Methods and systems for efficient network protection
DE102015001024A1 (de) Verfahren und Systeme zum Erkennen von Extrusion und Intrusion in einer Cloud-Computer-Umgebung, welche Netzwerkkommunikationsgeräte verwendet
DE202016009026U1 (de) Regelbasierte Netzwerkbedrohungsdetektion
US11799832B2 (en) Cyber protections of remote networks via selective policy enforcement at a central network
DE202012013482U1 (de) Verteilung von Zugriffsinformationen auf Overlay-Netzwerken
Nife et al. Application-aware firewall mechanism for software defined networks
DE112021003315T5 (de) Schnelles identifizieren von verstössen und angriffen in netzwerkverkehrsmustern
WO2020087039A1 (en) Distributed network and security operations platform
DE112022000856T5 (de) Vereinheitlichte richtliniendurchsetzungsverwaltung in der cloud
DE112021006405T5 (de) System und Verfahren zur Eindringungserkennung von Malware-Datenverkehr
DE102022214427A1 (de) Informationsverarbeitungsvorrichtung und steuerverfahren der informationsverarbeitungsvorrichtung
DE202023100576U1 (de) Cyber-Schutz für entfernte Netzwerke durch selektive Policy Durchsetzung in einem zentralen Netzwerk
CN114641968B (zh) 用于移动设备的有效网络保护的方法和系统
DE102019000823B4 (de) System für eine koordinative Sicherheit quer durch mehrschichtige Netzwerke
DE102022108862A1 (de) Plattform für datenschutzgerechtes dezentrales lernen und die überwachung von netzwerkereignissen
DE202022106318U1 (de) Ein robustes Sicherheitsmanagementsystem für das Internet der Dinge (IoT)
Lunkeit et al. Zum Stand der Dinge
DE112022003292T5 (de) Erkennen von angriffen auf berechtigungsnachweise in verschlüsseltem netzwerkverkehr
DE60028004T2 (de) Virtuelles privates Netzwerk mit automatischer Aktualisierung von Benutzererreichbarkeitsinformation

Legal Events

Date Code Title Description
R207 Utility model specification