Russland-Ukraine-Krise: Wie man das Risiko durch Segmentierung mindert

Der Konflikt in der Ukraine zwingt Unternehmen auf der ganzen Welt dazu, ihre Bedrohungsmodellierung zu überdenken und Cyberrisiken neu zu bewerten. Die Warnung von Präsident Biden vom 21. März , dass "die russische Regierung Optionen für potenzielle Cyberangriffe" auf die kritische Infrastruktur der Vereinigten Staaten prüft, hat in den Vorstandsetagen im ganzen Land zu einer Welle von Aktivitäten geführt. Aber was ist darüber hinaus mit Organisationen mit Niederlassungen in der Ukraine, Russland oder Weißrussland?

Illumio-Kunden in dieser Position haben sich bereits an uns gewandt und gefragt, was wir tun können, um zu verhindern, dass sich Bedrohungen aus der Region auf IT-Systeme in den USA und anderswo ausbreiten. Wir hören im Allgemeinen von zwei verschiedenen Gruppen:

1. Multinationale Unternehmen mit Standorten in der Ukraine, Russland oder Weißrussland sind besorgt, dass böswillige Akteure ihre IT-Anlagen in diesen Regionen kompromittieren könnten. Als solche könnten sie Angreifern die Möglichkeit bieten, sich seitlich zu bewegen und Netzwerke näher an der Heimat zu infiltrieren, ähnlich wie der berüchtigte zerstörerische Computervirus NotPetya, der 2017 aus der Ukraine verbreitet wurde.
    
2. Selbst diejenigen, die nicht in der Region präsent sind, sind besorgt über die möglichen Auswirkungen der westlichen Sanktionen gegen Russland, die Putin bereits als einen Konfliktakt bezeichnet hat. Wie die CISA-Initiative "Shields Up" behauptet und Präsident Biden in seiner Warnung bekräftigt hat, sollten alle Organisationen in den USA und verbündeten Ländern auf Vergeltungsangriffe vorbereitet sein. Dies gilt insbesondere für Unternehmen in kritischen Infrastruktursektoren wie Finanzdienstleistungen, Gesundheitswesen, Versorgungsunternehmen und Energie.

Glücklicherweise bilden die granularen Netzwerktransparenz- und Segmentierungsfunktionen von Illumio ein beeindruckendes Set an Tools, um Unternehmen vor Cyberangriffen zu schützen.

Wie die Segmentierung von Illumio helfen kann

Illumio kann Kunden in beiden Szenarien unterstützen. Für diejenigen, die über Vermögenswerte und Netzwerke in Hochrisikoländern wie der Ukraine, Russland und Weißrussland verfügen, gibt es drei Möglichkeiten, ihre digitalen Vermögenswerte zu schützen:

1. Illumio bietet eine umfassende risikobasierte Transparenz und Zuordnung von Anwendungsabhängigkeiten, um gefährliche Verbindungen bis hin zur Ebene der einzelnen Workloads hervorzuheben. Noch bevor sie sich entschieden haben, den Datenverkehr aus Osteuropa zu blockieren, können sich Kunden ein klares Bild von den Interaktionen zwischen den Assets in der Ukraine, Russland und Weißrussland und dem Rest des Unternehmens machen.
   
   Sie können beispielsweise neue Datenverkehrsströme erkennen, die noch nie zuvor gesehen wurden, oder einen erheblichen Anstieg des Datenvolumens, das von diesen Assets gesendet wird. Diese Informationen können dann in Playbooks zur Erkennung und Reaktion auf Bedrohungen eingespeist und Gegenmaßnahmen angewendet werden.
    
2. Wenn Illumio außerhalb dieser Länder eingesetzt wird und das Unternehmen weiß, welche IP-Adressen es in der Ukraine, Russland und Weißrussland verwendet, ist die Minderung des Cyberrisikos ziemlich einfach. In wenigen Minuten können Sie eine Richtlinie in Illumio implementieren, die den Datenverkehr zu und von diesen Netzwerken blockiert. Es ist auch einfach, Ausnahmen zu schreiben, um sicherzustellen, dass Sie forensischen Zugriff auf diese Systeme haben.
   
   Möglich wird dies durch die Enforcement Boundaries von Illumio, die es Unternehmen ermöglichen, schnell und einfach einen Schutzperimeter um jeden Port, jede Workload, jede Gruppe von Workloads oder jeden IP-Bereich zu erstellen. Es kann in wenigen Minuten erledigt und in großem Maßstab angewendet werden, um effektiv und mit minimalem Aufwand Regeln für die Zulassungsliste zu erstellen.
    
3. Wenn Illumio auf allen Anlagen eingesetzt wird, einschließlich aller in der Ukraine, Russland und Weißrussland stationierten, können Kunden die gleiche Blockierungsfunktion mithilfe von Labels erreichen. Schreiben Sie einfach eine Richtlinie, die besagt: "Wenn sich Assets in diesen Ländern befinden, blockieren Sie diesen Datenverkehr." Dies ist auch eine einfache, schnelle Aktion, deren Einrichtung einige Minuten dauert.

Abschirmung durch Mikrosegmentierung

Für Organisationen, die nicht direkt mit dem Konflikt in der Ukraine konfrontiert sind, aber über ein mögliches "Übergreifen" besorgt sind, ist jetzt ein guter Zeitpunkt, über eine Aktualisierung der Sicherheitsrichtlinien nachzudenken.

Um die Risikoexposition zu verstehen, ist es wichtig, nicht nur Transparenz auf Perimeterebene zu gewinnen, sondern auch zu wissen, was in Ihrer digitalen Hybridinfrastruktur vor sich geht. Schließlich ist es für entschlossene Angreifer einfacher denn je, mithilfe von Phishing, kompromittierten Anmeldeinformationen und anderen Techniken in die Netzwerkperimeter einzudringen.

Durch die Durchsetzung der richtigen Einschränkungen können Sicherheitsteams verdächtige Datenverkehrsströme einschränken, um laterale Bewegungen zu blockieren und Command-and-Control-Anrufe von Angreifern zu unterbinden. Dies kann so grobkörnig sein wie das Blockieren von Ports für Dienste, die häufig von Ransomware verwendet werden, wie RDP, SMB und SSH. Oder es könnte feinkörniger sein, um hochwertige Anwendungen und Ressourcen zu schützen.

Sie können auch Richtlinien schreiben, um kritische IT-Infrastrukturen wie DNS, Authentifizierungssysteme und Active Directory zu isolieren.

Unternehmen ohne Ressourcen in der Ukraine, Russland oder Weißrussland haben keine spezifischen IP-Adressen, die sie zum Blockieren des Datenverkehrs verwenden können. Durch die Nutzung von Bedrohungs-Feed-Informationen könnten sie die umfassende Blockierung aller bösartigen IPs am Perimeter durch gezieltere Blockierungen in ihren Segmentierungsrichtlinien verstärken und so mehrere Verteidigungsebenen aufbauen.

Die Notwendigkeit, die Risikomanagementstrategien zu aktualisieren, hat die Dringlichkeit erhöht, nicht nur wegen des Potenzials Russlands, eine Flut zerstörerischer Angriffe zu entfesseln, sondern auch aus der Perspektive der Compliance. So hat die US-Bundesregierung kürzlich gesetzlich vorgeschrieben, dass Betreiber kritischer Infrastrukturen Cyberangriffe innerhalb von 72 Stunden offenlegen müssen.

Möchten Sie mehr darüber erfahren, wie die Segmentierungsfunktionen von Illumio Ihnen helfen können , eine bessere Tiefenverteidigung aufzubauen, um Ihr Unternehmen vor den wachsenden Cyberbedrohungen von heute zu schützen? Kontaktieren Sie uns noch heute.