.png)
So nutzen Sie risikobasierte Transparenz für Ransomware-Schutz, Compliance und mehr
Wenn es um Ransomware geht, gibt es nur eine Gewissheit: Sie kann jedes Unternehmen treffen, egal ob groß oder klein, sicherheitsbewusst oder nicht. Aufsehenerregende Angriffe sind auf dem Vormarsch, angetrieben durch schlüsselfertige Software für deren Einführung, anonymisierte Krypto-Zahlungen, eine zunehmend digitalisierte Infrastruktur und die Zunahme von Remote- und hybriden Arbeitsumgebungen.
Glücklicherweise gibt es eine leistungsstarke Strategie, um zu verhindern, dass sich Ransomware und andere Malware über ein Netzwerk ausbreiten: die Segmentierung. Mit der Zero-Trust-Segmentierung können schlimme Dinge eindringen, aber sie können sich nicht verbreiten, sie können keinen Schaden anrichten und sie können Unternehmen nicht in den Nachrichten angreifen.
Wie bei jeder effektiven Sicherheitsstrategie beginnt die Segmentierung mit der Transparenz. Konkret geht es um die Sichtbarkeit, die auf einer Risikobewertung basiert.
Hier erfahren Sie, wie risikobasierte Transparenz Systemadministratoren dabei hilft, die Kommunikation zwischen Anwendungen abzubilden, Schwachstellen zu bewerten und zu bestimmen, wie diese Schwachstellen zu einer Gefährdung in der gesamten Umgebung führen könnten.
Das Problem mit offenen Umgebungen
Während Sicherheit in Rechenzentren oberste Priorität hat, schenken viele den Wänden in Subnetzen, VLANs und Netzwerkzonen nicht genügend Aufmerksamkeit. Mit anderen Worten: Auch wenn Sicherheitsvorkehrungen vor Sicherheitsverletzungen schützen, gibt es oft nicht viel Segmentierung, um Sicherheitsverletzungen einzudämmen. Das ist zum Teil beabsichtigt; Umgebungen helfen vielen Geschäftssystemen, sich einfach miteinander zu verbinden, um Daten auszutauschen und den täglichen Betrieb auszuführen – bis dies nicht mehr der Fall ist.
Das Problem bei diesen großen, offenen Umgebungen besteht darin, dass sich Malware, wenn sie einen Computer oder eine Zone infiziert, innerhalb von Sekunden viel schneller auf die gesamte Umgebung ausbreiten kann.
Ein häufiger Angriffsvektor ist ein ahnungsloser autorisierter Benutzer. In diesem Fall klickt ein Mitarbeiter an einem Laptop zu Hause auf einen verdächtigen Link. Der Link startet Malware unbemerkt im Hintergrund, die von den vorhandenen Erkennungstools möglicherweise nicht abgefangen wird. Von dort aus versucht es, sich auf andere Vermögenswerte auszubreiten.
Aber wenn es keine Möglichkeit gibt, sich quer durch das Netzwerk zu bewegen, kann sich Malware einfach nicht verbreiten. Und das verschafft wertvolle Zeit, damit die Erkennung oder andere Software funktioniert. Der Benutzer oder ein Sicherheitsexperte hat auch mehr Zeit, um zu bemerken, dass etwas mit dem infizierten Gerät nicht stimmt, und Maßnahmen zu ergreifen, bevor andere Vermögenswerte oder Daten beschädigt werden könnten.
Kurz gesagt, wenn Sie sich dieses kritische Zeitfenster kaufen, kann dies den Unterschied bei der Eindämmung von Ransomware und anderen Malware-Angriffen ausmachen. Sie können Angriffe auf einen zu säubernden Computer isolieren, anstatt später zu versuchen, Dutzende, Hunderte oder sogar Tausende von kompromittierten Computern und den Schaden für den Betrieb oder die Reputation zu verwalten. Alles beginnt mit risikobasierter Transparenz.
Die Komponenten der risikobasierten Transparenz
Risikobasierte Transparenz bedeutet, zu identifizieren, welche Systeme und Anwendungen aufgrund übermäßiger, unnötiger Kommunikation oder sogar nicht konformer Datenflüsse anfällig sind.
Aus diesem Grund beginnt der Ransomware-Schutz von Illumio mit der Erstellung von Anwendungsabhängigkeitskarten. Mit diesen Zuordnungen sehen Systemadministratoren nicht nur ein Durcheinander von IP-Adressen, sondern auch eine Top-Level-Ansicht der Anwendungstopologie. Das bedeutet, dass alles übersichtlich organisiert erscheint, um eine einfache Transparenz zu gewährleisten, zusammen mit klar identifizierten Beziehungen, die zeigen, wie Anwendungen mit anderen Anwendungen und über Netzwerke hinweg kommunizieren.
Von einer feinkörnigen bis hin zu einer übergeordneten Ansicht können Administratoren mit Application Dependency Maps eine gesamte Umgebung von oben nach unten untersuchen. Dazu gehört, wie einzelne Protokolle in der Produktionsumgebung funktionieren oder wie ein bestimmter Satz von Datenflüssen zwischen Entwicklungs- und Produktionsumgebungen funktioniert.
Illumio erweitert diese Transparenz mit Schwachstellendaten. Durch die Integration von Schwachstellen- und Bedrohungs-Feed-Daten in Echtzeit-Datenverkehrsflüsse erhalten Sie eine quantitative Risikobewertung für eine Anwendung oder jede Anwendungs-Workload. Anhand der Bewertung ist leicht zu verstehen, welche Anwendungen eine Verbindung zu anfälligen Ports herstellen und wie viel Risiko Schwachstellen insgesamt erzeugen. Dieser Kontext ist von unschätzbarem Wert, um das Risiko in Ihrer Umgebung zu reduzieren. Patchen Sie basierend auf der Kritikalität oder implementieren Sie Segmentierungsrichtlinien als ausgleichende Kontrolle.
Es ist auch wichtig, die richtigen Ansichten an die richtigen Personen zu bringen. Das liegt daran, dass eine effektive risikobasierte Transparenz davon abhängt, dass die Mitarbeiter die Informationen erhalten, die sie benötigen, um die für sie relevanten Sicherheits- und Compliance-Fragen zu beantworten. Möglich wird dies durch eine einzige Quelle der Wahrheit – die Karte.
Der Echtzeitzugriff auf die richtigen Visualisierungen senkt das operationelle Risiko, da sich jeder genau darauf einigen kann, was wahr ist. Muss jemand aus dem Anwendungsteam das Gesamtbild der Anwendungstopologie und der Datenflüsse sehen? Jetzt können sie es. Benötigt das Netzwerksicherheitsteam Compliance-Daten? Sie können sich ihre eigenen Ansichten derselben Daten ansehen. Mitglieder des Netzwerkbetriebs und des DevOps-Teams können die benötigten Informationen ebenfalls im selben Bild sehen. Und jeder wird zustimmen, dass das, was er sieht, tatsächlich die Funktionsweise einer bestimmten Anwendung ist.
Eine solche Single Source of Truth verbessert die Zusammenarbeit. Und es erspart den Menschen die Zeit und Langeweile, die mit Forschungsprojekten zu Software verbunden sind, die möglicherweise vor einem halben Jahrzehnt installiert wurde, damit sie sich auf andere, höherwertige Prioritäten konzentrieren können.
All dies trägt wesentlich zur Verbesserung der Sicherheit bei und legt den Grundstein für die Eindämmung von Ransomware und anderer Malware durch Segmentierung.
Transparenz für Compliance
Die Vorteile der risikobasierten Transparenz beschränken sich nicht nur auf die Eindämmung von Malware. Es kann auch dazu beitragen, Compliancegrenzen zu validieren, indem es Teams ermöglicht, nicht konforme Datenflüsse zu identifizieren.
Eine umfassende Transparenz kann beispielsweise aufdecken, dass eine Anwendung Daten von anderen Anwendungen sammelt, was im Widerspruch zu regulatorischen Rahmenbedingungen wie dem Payment Card Industry Data Security Standard (PCI-DSS), dem SWIFT Customer Security Controls Framework oder dem Health Insurance Portability and Accountability Act (HIPAA) steht. Das ist entscheidend für jedes Unternehmen, das in regulierten Branchen tätig ist, in denen es sehr wichtig ist, was für die Datenerfassung und -verarbeitung in- und was nicht.
Abgesehen von der Einhaltung gesetzlicher Vorschriften verfügen die meisten Unternehmen über Richtlinien für den Remote-Zugriff. Da die meisten Mitarbeiter in einem Unternehmen beispielsweise nicht den gesamten administrativen Zugriff auf Rechenzentren benötigen, erhalten sie eingeschränkten Zugriff. Und in Fällen, in denen sie vollen Zugriff benötigen, müssen sie oft einen Jump-Host verwenden, um die Kommunikation zwischen Remote- und Rechenzentrumsservern zu steuern. Aber Jump-Hosts können ungeduldige Benutzer verlangsamen und einen Anreiz darstellen, sie zu umgehen.
Mit der Visualisierung können Sie kritische Fragen zu Jump-Servern beantworten, z. B.: Verwenden die Leute sie tatsächlich? Oder haben Sie Administratoren, die glauben, dass sie älter genug sind, um diesen etwas langsameren Sprunghost einfach zu umgehen und eine direkte Verbindung mit Apps herzustellen?
Wenn Sie diese Aktivität sehen können, wissen Sie, was zu tun ist, um diese Sicherheitsrisiken zu verschärfen.
Um diese Art von kritischer Transparenz zu erhalten, musste oft auf eine sorgfältige Untersuchung umfangreicher Datenflusstabellen zurückgegriffen werden, um festzustellen, ob sie sich innerhalb oder außerhalb bestimmter Grenzen oder Netzwerkbereiche befinden. Diese zeitaufwändige und herausfordernde Aufgabe hat für viele Unternehmen eine umfassende, geschweige denn Echtzeit-Transparenz unerreichbar gemacht. Im Gegensatz dazu erhalten Sie durch Visualisierungen, die die Grenzen um Compliance-Bereiche herum klar darstellen, ein klares Bild der Datenflüsse, die von Endpunkten, Rechenzentren und Servern ein- und ausgehen.
Solche Visualisierungen bieten internen und externen Stakeholdern eine erhebliche Zeitersparnis und schaffen die Grundlage für einfache Gespräche zwischen Managern und Prüfern über Compliance-Grenzen und -Kontrollen.
Transparenz, der erste Schritt zur Sicherheit
Transparenz ist der erste Schritt bei der Kontrolle des Zugriffs auf Rechenzentrums- und Cloud-Assets und gibt Ihnen die Einblicke, die Sie benötigen, um die Kontrollen zwischen Benutzern, Anwendungen und Servern zu verschärfen, unabhängig davon, wo sie sich befinden.
Die Realität ist, dass Ransomware ein Problem für alle ist. Aber mit Hilfe einer risikobasierten Transparenz können Sie damit beginnen, präventive und reaktionsschnelle Strategien zu implementieren, um sie dort einzudämmen, wo sie nur minimalen Schaden anrichten kann.
Um mehr zu erfahren:
- Lesen Sie das E-Book "Wie man Ransomware-Angriffe stoppt".
- Sehen Sie sich risikobasierte Transparenz in Aktion im Webinar Ransomware Happens an. Wir verhindern, dass es sich ausbreitet: So gewinnen Sie risikobasierte Transparenz.
