.png)
Warum es immer noch zu Cyberkatastrophen kommt – und wie man sie behebt
In der Vergangenheit folgte die Cybersicherheit sowohl im öffentlichen als auch im privaten Sektor einem einheitlichen Thema: Prävention und Erkennung.
Das Problem? Prävention und Erkennung reichen nicht aus. Es kommt immer noch zu Sicherheitsverletzungen.
Nach jahrzehntelangen Versuchen, direkte Angriffe von Angreifern zu verhindern und zu erkennen – und gescheitert – ist es an der Zeit, den Fokus auf die Eindämmung zu verlagern. Ob Einstein es tatsächlich gesagt hat oder nicht, die Binsenweisheit ist immer noch zutreffend: Die Definition von Wahnsinn besteht darin, immer wieder das Gleiche zu tun und unterschiedliche Ergebnisse zu erwarten.
Traditionelle Sicherheitsmethoden reichen nicht aus, um moderne Angreifer zu bekämpfen
Die Bemühungen der meisten Sicherheitsteams konzentrieren sich darauf, zu verhindern, dass Bedrohungen in das Rechenzentrum oder die Cloud gelangen.
Der Nord-Süd-Bereich, die Grenze zwischen dem nicht vertrauenswürdigen Außen und dem vertrauenswürdigen Inneren, ist der Ort, an dem die meisten Sicherheitstools platziert wurden. Hier werden Firewalls, Antivirenscanner, Proxys und andere Sicherheitstools der nächsten Generation eingesetzt, die versuchen, den gesamten eingehenden Datenverkehr zu überprüfen, um sicherzustellen, dass nichts Schlimmes durchrutscht.
Bei allen großen Sicherheitsverletzungen der letzten Jahre wurde jedoch mindestens eines dieser Tools eingesetzt, und die meisten entsprachen den Sicherheitsanforderungen. Dennoch sind Angreifer erfolgreich in das Netzwerk eingedrungen.
Und einmal im Netzwerk angekommen, haben alle Angreifer eines gemeinsam: Sie bewegen sich gerne. Sie breiten sich seitlich in Ost-West-Richtung aus und wandern von Host zu Host, um ihr beabsichtigtes Ziel für die Datenexfiltration zu suchen.
Viele dieser Sicherheitsverletzungen wurden lange nach dem Eintritt in das Netzwerk entdeckt, manchmal Monate später. Trotz der Verlagerung von der Prävention zur Erkennung sind die heutigen Tools den modernen Angreifern nicht gewachsen, die sehr gut darin sind, eine Entdeckung zu vermeiden, bis der Schaden angerichtet ist.
Einmal kompromittiert, sind die meisten Netzwerke weit offen für die Ost-West-Ausbreitung
Ein traditioneller Ansatz zur Cybersicherheit definiert alles außerhalb des Perimeters als nicht vertrauenswürdig und alles innerhalb des Perimeters als vertrauenswürdig. Das Ergebnis ist, dass es oft nur sehr wenig gibt, um Angreifer daran zu hindern, sich seitlich auszubreiten, sobald sie sich innerhalb des vertrauenswürdigen Kerns befinden.
Die Verteilung von Host zu Host, von Anwendung zu Anwendung über Netzwerksegmente hinweg bedeutet, dass die meisten Workloads für sich schnell bewegende Angreifer nur eine Rolle spielen. Und Netzwerksegmente sind in der Regel sehr ineffektiv, wenn es darum geht, zu verhindern, dass sie sich zwischen den Hosts ausbreiten.
Netzwerksegmente sind so konzipiert, dass Netzwerkprobleme wie DDoS- oder ARP-Spoofing vermieden werden. VLANs, IP-Subnetze, Routing-Peering-Punkte und SDN-Overlay-Netzwerke werden erstellt, um diese Probleme zu kontrollieren und Traffic Engineering im Netzwerk zu ermöglichen. Angreifer durchlaufen diese Netzwerksegmente jedoch leicht, da sie sich in der Regel zwischen Hosts über Ports ausbreiten, die wie legitimer Datenverkehr aussehen.
Netzwerkgeräte sehen sich Paket-Header an und blockieren oder lassen Datenverkehr zu, je nachdem, welche Ports in diesen Headern gefunden werden. Um Angreifer zu entdecken, muss man sich jedoch eingehend mit der Datennutzlast von Paketen befassen, und dies erfordert die Bereitstellung von Firewalls zwischen allen Hosts auf dem Pfad des gesamten Ost-West-Datenverkehrs.
Dies wird schnell teuer und stellt einen potenziellen Netzwerkengpass dar, da jedes Paket "aufgebrochen" und inspiziert werden muss, wobei entweder Signaturen, "Sandboxes", KI, maschinelles Lernen oder andere komplexe Methoden verwendet werden müssen, um Angreifer zu entdecken, ohne das Netzwerk zu verlangsamen.
Selbst wenn dieser Ansatz ausprobiert wird, wird er schnell aufgegeben oder reduziert – und liefert keinen ROI für hart erkämpfte Budgets. Dadurch bleibt nur sehr wenig übrig, um eine Ost-West-Ausbreitung zu verhindern, und die Wirte bleiben weit offen.
Wenn der unvermeidliche Verstoß eintritt, beginnen die Leute, mit dem Finger auf andere zu zeigen.
Unternehmen ohne Zero-Trust-Segmentierung führen einen Krieg, den sie nicht gewinnen können
Alle Perimeter sind porös. Selbst eine zu 99 Prozent effektive Perimeter-Sicherheitsgrenze wird irgendwann durchbrochen. Oder eine Sicherheitslücke dringt versehentlich oder absichtlich von innen ein.
Diejenigen, die immer noch versuchen, noch teurere Sicherheitstools am Perimeter einzusetzen – und die weiterhin darauf vertrauen, dass ihre Hosts keine Bedrohungen in Ost-West-Richtung über ihr Netzwerk verbreiten – werden sich am nächsten Tag als jüngstes Opfer eines direkten Angriffs in den Nachrichten wiederfinden.
Jeder, der die Implementierung von Sicherheit in seiner gesamten Ost-West-Struktur ignoriert, wird auf verlorenem Posten stehen.
Mikrosegmentierung ist ein wichtiger Bestandteil einer Zero-Trust-Architektur , in der jede Ressource eine Vertrauensgrenze darstellt, die von den Netzwerkgrenzen entkoppelt ist.
Illumio sichert die Ost-West-Bedrohungsvektoren innerhalb des Rechenzentrums und der Cloud in großem Maßstab.
Jeder einzelne Workload wird von jedem anderen Workload mikrosegmentiert, wobei ein Zugriffsmodell mit den geringsten Rechten zwischen ihnen erzwungen wird, wobei die Hosts anhand eines metadatengesteuerten Modells und nicht ihrer Netzwerkadressen identifiziert werden. Das bedeutet, dass Workloads, die auf Hosts bereitgestellt werden, über ihre Funktion und nicht über ihren Standort identifiziert werden, was eine klare Visualisierung des Netzwerkverhaltens zwischen Hosts ermöglicht.
Erfahren Sie hier mehr über Mikrosegmentierung.
Verschaffen Sie sich einen Überblick darüber, wie Anwendungen in Ihrem Netzwerk kommunizieren
Die Transparenz des Netzwerkverkehrs zwischen Anwendungen aus einer anwendungsorientierten Perspektive ist eine Herausforderung bei der Verwendung von Netzwerkgeräten, entweder physischer Geräte in einem Rechenzentrum oder virtueller Geräte in einer Public Cloud.
Dies liegt daran, dass die Visualisierung des Anwendungsverhaltens und der Abhängigkeiten von Switches, Routern, Firewalls oder Überwachungstools in der Regel die Übersetzung des Netzwerkverhaltens in das Anwendungsverhalten und die Ermittlung der "wer was mit wem macht" zwischen Anwendungen und Hosts erfordert. Oft wird dies schnell eher verwirrend als aufschlussreich.
Um zu visualisieren, wie Anwendungen über ein Netzwerk miteinander kommunizieren, ist eine Lösung erforderlich, die direkt auf den Hosts bereitgestellt wird, auf denen sich diese Anwendungen befinden.
Illumio ermöglicht eine sehr klare und präzise Abhängigkeitskarte zwischen allen Anwendungen in Ihrem Rechenzentrum und Ihrer Cloud. Hosts werden anhand von Metadaten, wie Funktion oder Besitz, gruppiert und die Verkehrsflüsse zwischen ihnen werden übersichtlich dargestellt.
Dies ermöglicht eine sehr schnelle Entdeckung von Compliance-Verstößen und wie Hosts miteinander kommunizieren, ohne das Netzwerk oder die Cloud berühren zu müssen.
Illumio zeigt auf, wer was mit wem macht, und zwar in großem Umfang in Ihrer gesamten Umgebung, um Ihnen dabei zu helfen, das Risiko zwischen Hosts zu quantifizieren und zu zeigen, welche riskanten Ports einer potenziellen Kompromittierung ausgesetzt sind.
Implementieren Sie Illumio Zero Trust Segmentation, um die Ost-West-Bewegung der Angreifer zu stoppen
Das Präventionssicherheitsmodell ist veraltet, und das Erkennungssicherheitsmodell ist nie schnell genug, um eine laterale Ausbreitung zu verhindern.
Das moderne Sicherheitsmodell muss davon ausgehen, dass eine Sicherheitsverletzung entweder stattfinden wird oder bereits stattgefunden hat. Diese Denkweise konzentriert sich nicht darauf, die Gesundheit eines kompromittierten Hosts zu erhalten, sondern isoliert Angreifer schnell und verhindert, dass sie sich ausbreiten, ohne genau wissen zu müssen, wer der Angreifer ist.
Die Ost-West-Bedrohungsvektoren können mit der Illumio-Lösung für anwendungszentrierte Sicherheit aus der Perspektive der Anwendung durchgesetzt und visualisiert werden.
Unabhängig davon, ob die Sicherheitsverletzung von einem staatlich geförderten Gegner oder einer kriminellen Bande ausgeht, wird diese Bedrohung isoliert und an ihrer Ausbreitung gehindert.
Der Wahnsinn sollte – und kann – gestoppt werden.
Möchten Sie mehr über Illumio Zero Trust Segmentation erfahren? Kontaktieren Sie uns noch heute.
