Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

5 Schritte zur Eindämmung von Malware mit Zero-Trust-Segmentierung

Illumio Editorial
Illumio Editorial
November 1, 2021
23 min. lesen

Cyberangriffe werden immer häufiger und ausgefeilter und gefährden die Sicherheit von Unternehmen. Im vergangenen Jahr war mehr als ein Drittel der Unternehmen weltweit von einem Ransomware-Angriff oder einer Datenschutzverletzung betroffen, die den Zugriff auf Daten blockierte.

Laut einer Umfrage des Marktforschungsunternehmens IDC unter 500+ Sicherheitsexperten gaben Unternehmen an, dass fortschrittliche Malware am häufigsten zu Sicherheitsverletzungen beiträgt.

Zum Schutz vor komplexen Bedrohungen sollten IT-Organisationen eine Vielzahl von Sicherheitsinvestitionen tätigen. Dazu gehören traditionelle Sicherheitsprodukte, wie z. B. Antivirensoftware zur Erkennung von Malware. Sie sollten auch in Sicherheitsschulungen für Mitarbeiter investieren.

Aber es gibt noch einen weiteren entscheidenden Schritt: die Einführung einer Zero-Trust-Segmentierungsstrategie .

Um das Netzwerk zu segmentieren, setzen Sie "Zulassungslisten"-Richtlinienkontrollen auf Endpunkten ein, die nur bestimmte Arten von Datenverkehr zulassen, die für legitime Geschäftsvorgänge erforderlich sind. Dieser Ansatz trägt der Tatsache Rechnung, dass Angriffe unvermeidlich sind. In einem großen Unternehmen mit Tausenden oder sogar Hunderttausenden von Endpunkten kommt Malware irgendwo und irgendwie durch.

Die beste Verteidigung besteht dann darin, die Malware daran zu hindern, von Endpunkt zu Endpunkt zu gelangen – eine Technik, die als "Lateral Movement" bekannt ist.

Mit der Zero-Trust-Segmentierung auf Endpunkte können sich Malware und Ransomware nicht mehr ausbreiten und materiellen Schaden anrichten. Es wird nicht das Unternehmen oder auch nur eine einzelne Abteilung erfassen. Stattdessen wird es auf einen einzelnen Laptop beschränkt sein.

Ein fünfstufiger Ansatz zur Durchsetzung von Zero Trust auf Endpunkten

Michael Suby, Head of Security Research bei IDC, empfahl kürzlich in einem IDC Technology Spotlight den folgenden fünfstufigen Prozess, um die Ausbreitung von Malware- und Ransomware-Angriffen durch einen Zero-Trust-Ansatz ("Allow-List") einzudämmen.

Schritt 1: Visualisieren von Datenverkehrsflüssen

Das Ziel der Einschränkung des Endpunktdatenverkehrs besteht darin, zu verhindern, dass sich Malware leicht über das Netzwerk ausbreitet. Um den Endpunktdatenverkehr zu verwalten, nutzt diese Strategie die Vorteile der Firewalls, die in Hostbetriebssysteme integriert sind.

Durch die Steuerung dieser Firewalls mit einem schlanken Agenten können IT-Teams den Datenzugriff auf den für das Geschäft erforderlichen Zugriff beschränken. Mit anderen Worten, sie können Mitarbeitern und ihren Endpunkten den Zugriff auf die Anwendungen und Daten ermöglichen, die sie benötigen – und auf nichts anderes.

Um festzustellen, welchen Zugriff die Mitarbeiter benötigen, sollten IT-Organisationen laut IDC den Datenverkehrsfluss überwachen, vorzugsweise etwa 30 Tage lang, um normale Schwankungen bei der Anwendungs- und Datennutzung zu berücksichtigen. Die Überwachung sollte umfassend sein und die Datenflüsse vor Ort, an Remotestandorten sowie in die und aus der Cloud verfolgen.

Die besten Ergebnisse erzielen Sie, wenn Sie die Vorteile hostbasierter Software- und Netzwerkinfrastrukturberichte nutzen, anstatt zu versuchen, den gesamten Datenverkehr an allen Standorten für alle Geräte von einem einzigen Server aus zu überwachen.

Schritt 2: Gruppieren von Endpunkten

Das Erstellen von Richtlinien zum Zulassen und Verweigern von Datenverkehr kann schnell komplex werden. Um diese Arbeit zu vereinfachen, gruppieren Sie Endpunkte nach ihren gemeinsamen Merkmalen, und entwickeln Sie entsprechende Richtlinien für die Zulassungsliste. Zu den Gruppierungen von Endpunkten können gehören:

  • Standort (z. B. Büro in New York, Remote usw.)
  • Gerätetyp (z. B. Laptop)
  • Zugehörigkeit zu Mitarbeitern (z. B. Abteilungen, Rollen usw.)
  • Betriebszeiten (z.B. Standardarbeitszeiten oder arbeitsfreie Stunden)

Durch das Zuweisen von Endpunkten zu diesen Gruppierungen können IT-Administratoren die Erstellung und Feinabstimmung von Richtlinien in den folgenden Schritten vereinfachen.

Schritt 3: Definieren und Testen von Richtlinien für Zulassungslisten

Der nächste Schritt besteht darin, Richtlinien zu definieren, die Datenverkehr über bestimmte Netzwerkports, Adressen und Protokolle für diejenigen zulassen, die zur Unterstützung des täglichen Geschäftsbetriebs erforderlich sind. Es ist eine gute Idee, mit den restriktivsten Richtlinien zu beginnen und zu überwachen, wie sie sich auf den Datenverkehr auswirken würden, wenn sie durchgesetzt werden. Grundsätzlich sollten Sie den Datenverkehr so weit wie möglich einschränken, um der Malware so wenig Möglichkeiten wie möglich zu geben, sich zu bewegen.

Schritt 4: Erzwingen von Richtlinien für Zulassungslisten

Der nächste Schritt besteht darin, die Richtlinien für die Zulassungsliste durchzusetzen und nur Datenverkehr zuzulassen, der speziell durch eine Richtlinie identifiziert wird. Theoretisch kann dieser Schritt erfordern, dass IT-Administratoren komplexe Firewallregeln von Hand erstellen und jeden Regelsatz auf den entsprechenden Endpunktgruppen bereitstellen.

Mit einer Lösung wie Illumio Edge und Illumio Core müssen Administratoren Firewall-Regeln jedoch nicht direkt schreiben oder verwalten. Stattdessen können sie die gewünschten Richtlinien auf der Zulassungsliste definieren, und Illumio übersetzt diese Richtlinien automatisch in detaillierte Firewall-Regeln, die einfach über Endpunkte sowie Rechenzentrums- und Cloud-Workloads hinweg bereitgestellt werden können.

Schritt 5: Verfeinern von Richtlinien für Zulassungslisten

Der letzte Schritt in diesem Prozess besteht darin, die Richtlinien für die Zulassungsliste nach Bedarf weiter zu überwachen und zu verfeinern und den Zugriff so weit wie möglich einzuschränken, ohne den Geschäftsbetrieb zu beeinträchtigen.

Vorteile der Eindämmung von Malware durch Zero-Trust-Segmentierung

Die Vorteile dieses Ansatzes mit Lösungen wie Illumio Edge und Illumio Core sind erheblich:

  • Verbesserte Transparenz des Endpunktverkehrs und potenzieller Bedrohungen.
  • Reduzierter Schaden durch Malware, Ransomware und andere Cyberangriffe.
  • Automatisierung, die das Definieren, Bereitstellen und Verfeinern von Richtlinien für Zulassungslisten schnell und einfach macht.
  • Skalierbarkeit, die für die größten Unternehmensnetzwerke geeignet ist.
  • Integration mit SIEM-Systemen und anderen IT-Sicherheitstools, so dass Positivlistenrichtlinien als Teil eines größeren, mehrschichtigen Ansatzes für die IT-Sicherheit fungieren können.
     

Weitere Informationen zu diesen Schritten und der IDC-Studie finden Sie im IDC Technology Spotlight, Curb Malware Spread with Comprehensive Visibility and Allow-List Policy Control.

Verwandte Themen

No items found.

Verwandte Artikel

S&P Global: Die 3 besten Möglichkeiten, der Ransomware-Bedrohung durch kritische Infrastrukturen zu begegnen
Ransomware Containment

S&P Global: Die 3 besten Möglichkeiten, der Ransomware-Bedrohung durch kritische Infrastrukturen zu begegnen

Trevor Dearing, Marketingdirektor für Lösungen bei Illumio, und Eric Hanselman, Chefanalyst für Global Market Intelligence bei S&P Global, befassen sich mit Ransomware-Bedenken.

Read more
Ransomware im Jahr 2025: Kosten, Trends und wie Sie Ihr Risiko reduzieren können
Ransomware Containment

Ransomware im Jahr 2025: Kosten, Trends und wie Sie Ihr Risiko reduzieren können

Erfahren Sie, wie Angreifer Sicherheitslücken ausnutzen, warum Ransomware heute ein Geschäftsmodell ist und wie Mikrosegmentierung Bedrohungen im Keim ersticken kann.

Read more
Entmystifizierung von Ransomware-Techniken mit .NET-Assemblies: EXE-vs. DLL-Assemblies
Ransomware Containment

Entmystifizierung von Ransomware-Techniken mit .NET-Assemblies: EXE-vs. DLL-Assemblies

Erfahren Sie mehr über die wichtigsten Unterschiede zwischen .NET-Assemblys (EXE-vs. DLL) und wie sie in einem anfänglichen Code auf hoher Ebene ausgeführt werden.

Read more
No items found.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more