Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

Warum Firewalls zur Eindämmung von Ransomware nicht ausreichen

Trevor Dearing
Marketingdirektor für Branchenlösungen
Illumio Editorial
Januar 13, 2022
23 min. lesen

Vor nicht allzu langer Zeit verließen sich Netzwerkadministratoren und Sicherheitsexperten ausschließlich auf physische oder virtuelle Firewalls, um Sicherheitsverletzungen einzudämmen. Doch mit der Verbreitung von Netzwerken, dem Aufstieg der Cloud und der explosionsartigen Zunahme von Ransomware und anderen Angriffen benötigen Unternehmen einen neuen Ansatz.

Was Unternehmen heute brauchen, ist eine kostengünstige, einfach zu verwaltende Möglichkeit, Mikrosegmentierung durchzusetzen. Mit anderen Worten, sie benötigen eine Methode, um kompromittierte Maschinen, Netzwerke und Anwendungen zu isolieren, damit sie Ransomware nicht in der gesamten IT-Umgebung des Unternehmens verbreiten können.

Die hostbasierte Segmentierung weist dank potenzieller Benutzerfreundlichkeit, Skalierbarkeit und Erschwinglichkeit den Weg in die Zukunft. Hier ist der Grund.

Drei Optionen für die Segmentierung

Die Segmentierung lässt sich in drei große Kategorien einteilen:

  1. Segmentierung über das Netzwerk
  2. Segmentierung über Firewalls
  3. Host-basierte Segmentierung

Früher waren Netzwerkadministratoren auf die Netzwerkarchitektur angewiesen, um Daten zu schützen. Sie isolierten Anwendungen und Workloads innerhalb von Netzwerken, um zu verhindern, dass sie Daten austauschen. Auf diese Weise konnten kompromittierte Computer keine Computer oder Workloads in separaten Netzwerken beeinträchtigen. Virtuelle Netzwerke und virtuelle LANs erfüllten diese Funktion ebenso wie physische Netzwerke.

Administratoren könnten beispielsweise Finanzsysteme in einem virtuellen Netzwerk und HR-Systeme in einem anderen Netzwerk platzieren, um zu verhindern, dass sie miteinander kommunizieren.

Sie können sich diesen Ansatz ähnlich wie bei Eisenbahnschienen vorstellen. Daten können nur dorthin gelangen, wo das Netzwerk hingeht. Und es ist effektiv, aber es verleiht Ihrer Umgebung nicht viel Flexibilität, da es für Workloads schwierig ist, Daten gemeinsam zu nutzen.

Beim Verbinden virtueller Netzwerke kommt die Firewall ins Spiel. Hier kommt es schnell zu Komplikationen, da Administratoren herausfinden müssen, welche Ports offen bleiben müssen, welche Informationen an welche anderen Assets weitergegeben werden müssen und welche Regeln als Reaktion auf neue Bedrohungen geändert werden müssen.

Dennoch ist der Firewall-Ansatz zur Segmentierung nach wie vor die wichtigste Segmentierungsmethode für große Organisationen. Um sie zu verwenden, erstellen Administratoren Gruppen und definieren sowohl "Zulassen"- als auch "Verweigern"-Listenregeln, um die Kommunikation zwischen diesen Gruppen zu steuern. Regeln können durch physische, virtuelle oder verteilte Hypervisor-Firewalls durchgesetzt werden.

Die Firewall verhält sich wie eine Passkontrolle. Nachdem Sie Benutzer, Maschinen und Netzwerke identifiziert haben, lassen Sie sie durch oder blockieren sie, je nachdem, was sie oder das Unternehmen tun möchten.

Der Firewall-Ansatz ist nach wie vor weit verbreitet, da Unternehmen im Laufe der Zeit in der Regel erhebliche Firewall-Investitionen getätigt haben, die sie als Reaktion auf neue Angriffe nutzen möchten. Ihre Teams wissen auch, wie sie diese verwalten müssen, und sie wollen ihren IT-Portfolios nicht noch mehr Produkte und Kosten hinzufügen.

Die Art der heutigen IT-Umgebungen und der Bedrohungslandschaft hat jedoch die Segmentierungsfähigkeiten herkömmlicher Firewalls übertroffen. Aus diesem Grund benötigen Unternehmen jetzt die Skalierbarkeit, Geschwindigkeit und Leistung der hostbasierten Segmentierung.

Bei der hostbasierten Segmentierung erstellen Administratoren einfache Labels für jede Workload und entwickeln Regeln für die Kommunikation zwischen Label-Kombinationen. Dieser Ansatz kann kostengünstiger sein und eine bessere Sicherheit bieten als Firewalls allein. Das liegt daran, dass Firewalls mit vielen Einschränkungen verbunden sind.

Das Problem mit Firewalls

Firewalls sind mit mehreren kritischen Einschränkungen konfrontiert:

  • Mangelnde Sichtbarkeit
  • Langsamere Geschwindigkeit
  • Unfähigkeit, Anwendungs-Ring-Fencing zu implementieren
  • Kompliziertheit
  • Mangelnde Granularität
  • Kosten
  • Anfälligkeit für Ransomware

Die langsame Implementierung einer Firewall ist in einer Zeit zunehmender Arbeitslasten und entsprechender Bedrohungen von entscheidender Bedeutung.

Eine große Firewall kann von einer Liste von 1.000 oder mehr Regeln abhängen. Wenn Sie eine dieser Regeln ändern möchten, müssen Sie sicherstellen, dass die Änderung keine Auswirkungen auf die Regeln weiter unten in der Liste hat. Und Sie können diese geänderte Regel nicht testen; Sie müssen es einfach bereitstellen und hoffen, dass nicht etwas kaputt geht. All das braucht Zeit. Zeit, in der sich Schwachstellen ausbreiten und Ransomware verbreiten kann.

Angesichts der Komplexität und des Zeitaufwands ist es nicht verwunderlich, dass eine Schätzung die Anzahl der Firewall-Verstöße aufgrund von Firewall-Fehlkonfigurationen auf 99 Prozent beziffert.

Im Gegensatz dazu kann die hostbasierte Segmentierung viel weniger Zeit in Anspruch nehmen und die Komplexität des Neuschreibens von Regeln verringern. Es kommt auf Sichtbarkeit an.

Funktionsweise der hostbasierten Segmentierung

Anstatt sich während eines Ransomware-Angriffs darum bemühen zu müssen, Listen von Regeln neu zu schreiben, bietet die workloadbasierte Segmentierung sowohl proaktive als auch reaktive Funktionen, um Teams dabei zu helfen, den Überblick über Bedrohungen zu behalten.

Die hostbasierte Segmentierung ermöglicht es Sicherheits- und IT-Teams, alle Kommunikationsflüsse zu sehen und Risiken zu identifizieren.

Illumio bietet eine Anwendungsabhängigkeitskarte von Verbindungen zwischen Netzwerken, Maschinen und Workloads. Benutzer können einfach auf einen Link in der Karte klicken, um eine Regel zu testen und dann sofort auf die gesamte Umgebung anzuwenden.

Von dort aus können Unternehmen schnell und einfach unnötige Zugriffsrouten und risikoreiche Ports blockieren oder andere proaktive Schritte zur Segmentierung des Datenverkehrs unternehmen, um die laterale Bewegung von Malware oder Angreifern zu begrenzen.

Wenn alles andere fehlschlägt, funktioniert die Segmentierung wie ein großer roter Notrufknopf. Wenn Sie darauf zugreifen, kann Ransomware sofort daran gehindert werden, sich über anfällige Workloads auszubreiten.

Mikrosegmentierung mit Illumio

Die Cloud stellt herkömmliche Firewalls vor zusätzliche Herausforderungen. Wenn Sie Dienste in die Cloud verschieben, verlagert sich auch Ihr Internet-Gateway in die Cloud, sodass Sie es nicht mehr besitzen. Und die Firewall, die Ihre Segmentierung durchgeführt hat, geht damit einher, so dass Sie sowieso eine andere Lösung für diese Funktion finden müssen. Illumio kann diese Lösung sein.

Illumio arbeitet mit bestehenden hostbasierten Firewalls zusammen, um Echtzeit-Transparenz und Schutz für Ihre gesamte IT-Umgebung zu bieten, egal ob in der Cloud, vor Ort oder in hybriden Konfigurationen. Es bietet auch Skalierbarkeit; Es funktioniert auf die gleiche Weise, egal ob Sie zwei oder 200.000 Server haben.

Natürlich können komplexe Umgebungen schnell schwer zu visualisieren sein. Es ist schwer zu erkennen, was in etwas vor sich geht, das aussieht wie eine große Schüssel Spaghetti. Aus diesem Grund unterteilt Illumio die Visualisierung in leicht verständliche Karten. Beispielsweise können Assets nach Geografie oder Cloud-Dienst angezeigt werden.

Möchten Sie sehen, was mit Ihren Daten in den USA passiert? Was passiert in Europa? Oder in AWS, Azure oder Google? Was ist mit der verdächtigen Kommunikation zwischen einem Server in Australien und einem Aquarienthermostat in Deutschland?

Illumio macht es einfach, alles zu visualisieren, da es diese Informationen aus dem tatsächlichen Prozess in der Arbeitslast abruft. Von dort aus können Sie die Workload selbst für die Segmentierung verwenden, anstatt eine externe Firewall zu verwenden, was Ihnen die Geschwindigkeit, Flexibilität und Reaktionsfähigkeit bietet, die Sie benötigen, um den heutigen Bedrohungen zu begegnen – wo immer sie auftreten.

Berechnung der Kosten für Firewalls im Vergleich zu hostbasierter Segmentierung

Die Kosten für Firewalls summieren sich schnell. Die Preise für die Firewall hängen von der Größe ab, die von Faktoren wie den folgenden abhängt.

  • Durchsatz – d. h. die Summe der zu adressierenden Ethernet-Schnittstellen.
  • Prozessorkerne, die zum Ausführen virtueller Firewalls erforderlich sind – in der Regel verbrauchen sie etwa 25 Prozent der Ressourcen eines Servers.
  • Anzahl der Sockets – gibt an, wie viele Arbeitslasten der Server unterstützen kann.

Je höher der Durchsatz, desto mehr Kerne benötigen Sie, was bedeutet, dass Sie mehr Sockets und einen teureren Server benötigen. Solche Kosten können sich schnell summieren.

Diese Berechnungen der Gesamtbetriebskosten umfassen die Kosten der Produkte, die Anzahl der Änderungen, die in der Regel in einer Woche erforderlich sind, die Kosten für die Implementierung von Änderungen durch die Mitarbeiter und andere Faktoren.

Die Zukunft der Segmentierung

Illumio abstrahiert Komplexitätsebenen und macht es Administratoren so einfach wie möglich, Assets proaktiv oder als direkte Reaktion auf Bedrohungen zu segmentieren, ohne sich Gedanken über die Konfiguration ihrer Netzwerke machen zu müssen.

Das ist es, was die heutigen IT-Umgebungen erfordern. So wie die Netzwerksegmentierung allein Firewalls gewichen ist, ist die Workload-basierte Segmentierung der nächste technologische Schritt, um auf dem Bisherigen aufzubauen.

Im Zeitalter von Cloud-Workloads und wachsenden Bedrohungen ist jetzt Transparenz und Segmentierung auf der Grundlage von Workloads erforderlich. Es geht darum, den Zero-Trust-Ansatz für die Sicherheit bereitzustellen, der für die heutigen Unternehmen von entscheidender Bedeutung ist.

Die Mikrosegmentierung auf Basis von Workloads entlastet IT-Profis zudem von produktiveren Aufgaben als das mühsame Umschreiben von Firewall-Regeln. Und das kann Unternehmen einen entscheidenden Wettbewerbsvorteil in einem angespannten Arbeitsmarkt verschaffen, in dem sie die digitale Transformation in halsbrecherischer Geschwindigkeit durchlaufen müssen, um Schritt zu halten.

Erfahren Sie mehr über die Vorteile der Mikrosegmentierung oder Sprechen Sie mit unseren Experten darüber, wie es dazu beitragen kann, Ihr Unternehmen vor Ransomware und anderen Cyberangriffen zu schützen.

Verwandte Themen

Ransomware Containment

Verwandte Artikel

Entmystifizierung von Ransomware-Techniken mit .NET-Assemblies: EXE-vs. DLL-Assemblies
Ransomware Containment

Entmystifizierung von Ransomware-Techniken mit .NET-Assemblies: EXE-vs. DLL-Assemblies

Erfahren Sie mehr über die wichtigsten Unterschiede zwischen .NET-Assemblys (EXE-vs. DLL) und wie sie in einem anfänglichen Code auf hoher Ebene ausgeführt werden.

Read more
3 Schritte, um die Verbreitung von Ransomware zu stoppen
Ransomware Containment

3 Schritte, um die Verbreitung von Ransomware zu stoppen

Erfahren Sie, wie Sie die Ausbreitung von Ransomware verhindern können, indem Sie Verbindungen einschränken, die Transparenz erhöhen und die Reaktionszeit verbessern.

Read more
Warum Firewalls zur Eindämmung von Ransomware nicht ausreichen
Ransomware Containment

Warum Firewalls zur Eindämmung von Ransomware nicht ausreichen

Erfahren Sie, warum Firewalls zu langsam sind, um mit Bedrohungen Schritt zu halten, und warum Mikrosegmentierung der Schlüssel zur Eindämmung von Ransomware ist.

Read more
9 Gründe, Illumio zur Eindämmung von Ransomware zu verwenden
Ransomware Containment

9 Gründe, Illumio zur Eindämmung von Ransomware zu verwenden

Erfahren Sie, wie die Echtzeit-Transparenz und die einfachen Kontrollen von Illumio Ihre größten Quellen von Ransomware-Risiken, wie z. B. ungenutzte RDP-Ports, schnell reduzieren können.

Read more
3 Schritte, um die Verbreitung von Ransomware zu stoppen
Ransomware Containment

3 Schritte, um die Verbreitung von Ransomware zu stoppen

Erfahren Sie, wie Sie die Ausbreitung von Ransomware verhindern können, indem Sie Verbindungen einschränken, die Transparenz erhöhen und die Reaktionszeit verbessern.

Read more
So stoppen Sie die Clop Ransomware-Angriffe mit Illumio
Ransomware Containment

So stoppen Sie die Clop Ransomware-Angriffe mit Illumio

Erfahren Sie, wie die Clop-Ransomware-Variante funktioniert und wie Illumio Ihrem Unternehmen helfen kann, den Angriff durch Mikrosegmentierung einzudämmen.

Read more

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more