Warum die Bedrohungserkennung eine Zero-Trust-Segmentierung erfordert

Dieser Artikel wurde ursprünglich veröffentlicht am channelfutures.com.

In den letzten zehn Jahren ist die Cybersicherheit unendlich komplexer geworden. Daher haben sich viele Unternehmen an Managed Security Services Provider (MSSPs) gewandt, um sie zu schützen. Bisher lag der Fokus fast ausschließlich auf der Erkennung und Reaktion auf Bedrohungen, aber diese Entscheidung hatte einige negative, unbeabsichtigte Folgen.

Für die meisten Unternehmen - kommerziell, gemeinnützig oder im öffentlichen Sektor - ist Cybersicherheit keine Kernkompetenz. Aus diesem Grund haben viele einen Teil oder die gesamte Angelegenheit an einen MSSP ausgelagert. Und dieses Outsourcing umfasst nicht nur Sicherheitsvorgänge; Oft handelt es sich dabei um die gesamte Cybersicherheitsfunktion, einschließlich Einkauf und strategischer Planung.

Wenn der Client eines MSSP eine hochkarätige Sicherheitsverletzung aufweist, wie z. B. einen weit verbreiteten Ransomware-Angriff, sind die folgenden Gespräche nicht angenehm. Der einzige Grund, warum ein Unternehmen seine Sicherheitsfunktion an einen MSSP auslagert, besteht darin, diese Ergebnisse und die damit verbundene Werbung, die Kosten und den Schaden für die Marke zu vermeiden.

KI: Allheilmittel oder ein Tool, das Hilfe braucht?

Viele Anbieter haben Unternehmen davon überzeugt, dass die Antwort auf ihre Gebete die KI-basierte Bedrohungserkennung ist. Ihnen wurde vorgegaukelt, dass sie diese ultra-hinterhältigen Angreifer fangen werden, wenn sie nur genug Geld für KI ausgeben. Sie sind in einen KI-basierten Erkennungskaninchenbau geraten, aber die Ergebnisse, die sie erwartet hatten, sind nicht eingetreten. Sie sind nicht passiert.

Ich stimme zwar zu, dass die KI-basierte Bedrohungserkennung ein großer Schritt nach vorne für unsere Branche ist, aber sie braucht etwas Unterstützung, um die Arbeit zu erledigen. Hier kommt die Zero-Trust-Segmentierung ins Spiel.

Wenn Sie das Netzwerk vorsegmentieren, bevor Sie sich auf die Bedrohungsjagd begeben, wird die Aufgabe der Erkennung – ob KI-gestützt oder nicht – viel einfacher und schneller. Sie reduzieren die Größe der Angriffsfläche, auf der Sie nach Bedrohungen suchen müssen. Durch die präventive Segmentierung werden viele der Wege eliminiert, die es Angreifern sonst ermöglichen würden, sich lateral über das interne Netzwerk zu bewegen.

Die Metapher, die ich verwende, ist, dass man nicht nach einer Nadel in einem großen, komplexen Heuhaufen sucht, sondern viele Mikro-Heuhaufen schafft. Dann können Ihre Werkzeuge parallel in diese Mikro-Heuhaufen schauen, so dass Sie diese Nadel wahrscheinlich viel früher finden werden.

Was uns ein Schiff über Segmentierung lehren kann

Vor Jahren, in meinem ersten aktiven Dienst als Midshipman der U.S. Navy, ging ich an Bord der USS McCloy, deren Hauptaufgabe es war, feindliche U-Boote vor der US-Küste zu jagen, aufzuspüren und abzuschrecken. Ich hatte gerade mein erstes College-Jahr als Elektroingenieur abgeschlossen und war in der Ausbildung, um Offizier in der US-Marine zu werden. Ich konnte es kaum erwarten, mehr über die ausgeklügelte Technologie der Navy zur Erkennung feindlicher U-Boote zu erfahren und Mitglieder des Elite-Bedrohungserkennungsteams der McCloy zu treffen.

Stellen Sie sich also meine Überraschung am ersten Tag vor, als ich zusammen mit einem Besatzungsmitglied einige Schraubenschlüssel und Schraubenzieher in die Hand gedrückt bekam und die Aufgabe hatte, sicherzustellen, dass alle etwa 30 Stahlluken (auch bekannt als Türen) an der McCloy in Schiffsform waren. Und wenn nicht, um Reparaturen vorzunehmen. So viel dazu, wie ich meinen Schiffskameraden geholfen habe, böswillige Gegner zu jagen!

Als ich meiner Mission nachging, dachte ich über den Satz "die Luken dicht machen" nach. Es hat seinen Ursprung im 19^. Jahrhundert, als Schiffskapitäne bei Ausbruch eines großen Sturms oder einer anderen Gefahr eines Wasserbruchs ihrer Besatzung befahlen, alle Türen auf dem Schiff zu schließen und diese Türen mit Holzstangen oder "Latten" zu verbarrikadieren. Heute ist dieser Satz eine Metapher für die Weisheit, zu Beginn eines größeren Risikos sofort und entschlossen zu handeln.

Ich erkannte, dass alle Elite-Techniker und Bedrohungsjäger der McCloy's Gefahr liefen, ihre Mission zu scheitern, wenn die Luken der McCloy's nicht da wären, um sie zu schützen. Dank der eingebauten Segmentierungsarchitektur der McCloy und der gut funktionierenden Luken würde ein Rumpfbruch nicht zu einer seitlichen Ausbreitung des Wassers von Gang zu Gang und von Raum zu Raum eskalieren und das Schiff sinken lassen.

Das Cyber-Äquivalent zum Verschließen der Luken

In dem Film "Die Jagd auf den Roten Oktober" aus dem Jahr 1990 war der Rote Oktober ein russisches U-Boot mit der fortschrittlichsten Technologie zur Erkennungsvermeidung. Im heutigen Cyber-Äquivalent sind wir nicht auf der Jagd nach schwer fassbaren U-Booten, sondern nach immer raffinierteren und raffinierteren Cyber-Gegnern in elektronischen Netzwerken.

Cyber-Bedrohungsjäger müssen ihre Netzwerke mit elektronischen "Luken" segmentieren, um die laterale Bewegung von Eindringlingen zu verhindern. Wenn Sie eine Sicherheitslücke in Ihrem Netzwerk haben, möchten Sie nicht, dass sich Malware oder Ransomware ausbreitet, weshalb Sie das Netzwerk in einzelne Abteilungen, die als Barrieren fungieren, unterteilen müssen.

Die Segmentierung ist ein Sicherheitstool, zusätzlich zu Managed Detection and Response (MDR), das MSSPs als Service anbieten können, Zero Trust Segmentation as a Service.

In meinem nächsten Blog werde ich näher erläutern, warum Segmentierung (und insbesondere hostbasierte Segmentierung) eine perfekte Ergänzung zu robuster Managed Detection and Response ist. Es ist nicht nur gut für MSSP-Clients, sondern auch für den MSSP.