Blog
/
Eindämmung von Ransomware

5 Schritte zur Eindämmung von Malware mit Zero-Trust-Segmentierung

Illumio Editorial
,
November 1, 2021
23 min. Lesedauer

Cyberangriffe nehmen an Häufigkeit und Raffinesse zu und gefährden die Sicherheit von Unternehmen. Im vergangenen Jahr über ein Drittel der Unternehmen weltweit wurden von einem Ransomware-Angriff oder einer Datenschutzverletzung heimgesucht, die den Zugriff auf Daten blockierte.

Laut einer Umfrage des Forschungsunternehmens IDC unter über 500 Sicherheitsexperten gaben Unternehmen an, dass fortschrittliche Malware am häufigsten zu Sicherheitsverletzungen beitrug.

Zum Schutz vor hochentwickelten Bedrohungen sollten IT-Organisationen eine Vielzahl von Sicherheitsinvestitionen tätigen. Dazu gehören herkömmliche Sicherheitsprodukte wie Antivirensoftware zur Erkennung von Malware. Sie sollten auch in Sicherheitsschulungen für Mitarbeiter investieren.

Aber es gibt noch einen weiteren wichtigen Schritt: die Einführung eines Zero-Trust-Segmentierung Strategie.

Um das Netzwerk zu segmentieren, setzen Sie auf Endpunkten Policy-Controls auf „Allow-List“ ein und lassen nur bestimmte Arten von Datenverkehr zu, die für legitime Geschäftsabläufe erforderlich sind. Bei diesem Ansatz wird berücksichtigt, dass Angriffe unvermeidlich sind. In einer großen Organisation mit Tausenden oder sogar Hunderttausenden von Endpunkten wird Malware irgendwo und irgendwie durchdringen.

Der beste Schutz besteht dann darin, die Malware daran zu hindern, von Endpunkt zu Endpunkt zu gelangen — eine Technik, die als „laterale Bewegung“ bezeichnet wird.

Wenn die Zero-Trust-Segmentierung auf Endgeräte angewendet wird, können sich Malware und Ransomware nicht ausbreiten und materiellen Schaden anrichten. Sie wird nicht das gesamte Unternehmen oder auch nur eine einzelne Abteilung überfordern. Stattdessen wird es auf einen einzigen Laptop beschränkt sein.

Ein fünfstufiger Ansatz zur Durchsetzung von Zero Trust auf Endgeräten

In einem aktuellen IDC-Technologie im Rampenlicht, Michael Suby, Leiter der Sicherheitsforschung bei IDC, empfahl das folgende fünfstufige Verfahren zur Eindämmung der Ausbreitung von Malware- und Ransomware-Angriffen, indem ein Null Vertrauen („Zulassungsliste“) -Ansatz.

Schritt 1: Verkehrsflüsse visualisieren

Das Ziel der Beschränkung des Endpunktverkehrs besteht darin verhindern, dass sich Malware ausbreitet einfach über das Netzwerk. Zur Verwaltung des Endpunktdatenverkehrs nutzt diese Strategie die Vorteile der in den Host-Betriebssystemen integrierten Firewalls.

Durch die Steuerung dieser Firewalls mit einem schlanken Agenten können IT-Teams den Datenzugriff auf den Zugriff beschränken, der für das Geschäft erforderlich ist. Mit anderen Worten, sie können Mitarbeitern und ihren Endgeräten den Zugriff auf die Anwendungen und Daten ermöglichen, die sie benötigen — und auf nichts anderes.

Um zu ermitteln, welchen Zugriff Mitarbeiter benötigen, sollten IT-Organisationen laut IDC den Datenfluss überwachen, am besten etwa 30 Tage lang, um den normalen Schwankungen der Anwendungs- und Datennutzung Rechnung zu tragen. Die Überwachung sollte umfassend sein und die Datenflüsse vor Ort, an entfernten Standorten sowie zur und von der Cloud verfolgen.

Optimale Ergebnisse erzielen Sie, wenn Sie die Vorteile der hostbasierten Software- und Netzwerkinfrastrukturberichterstattung nutzen, anstatt zu versuchen, den gesamten Datenverkehr an allen Standorten für alle Geräte von einem einzigen Server aus zu überwachen.

Schritt 2: Endpunkte gruppieren

Die Erstellung von Richtlinien für das Zulassen und Verbieten von Datenverkehr kann schnell komplex werden. Um diese Arbeit zu vereinfachen, gruppieren Sie Endgeräte nach ihren gemeinsamen Merkmalen und entwickeln Sie entsprechende Richtlinien für Zulassungslisten. Zu Gruppierungen von Endpunkten könnten gehören:

  • Standort (z. B.: Büro in New York, Fernbedienung usw.)
  • Gerätetyp (zum Beispiel: Laptop)
  • Mitarbeiterzugehörigkeiten (z. B. Abteilungen, Rollen usw.)
  • Betriebszeiten (zum Beispiel: Standardarbeitszeiten oder arbeitsfreie Stunden)

Durch die Zuweisung von Endpunkten zu diesen Gruppierungen können IT-Administratoren die Erstellung und Feinabstimmung von Richtlinien in den folgenden Schritten vereinfachen.

Schritt 3: Richtlinien für Zulassungslisten definieren und testen

Der nächste Schritt besteht darin, Richtlinien zu definieren, die den Datenverkehr über bestimmte Netzwerkports, Adressen und Protokolle bis zu denen zulassen, die für den täglichen Geschäftsbetrieb erforderlich sind. Es empfiehlt sich, mit den restriktivsten Richtlinien zu beginnen und zu beobachten, wie sie sich auf den Datenverkehr auswirken würden, wenn sie durchgesetzt würden. Generell gilt, dass Sie den Datenverkehr so weit wie möglich einschränken sollten, um Schadsoftware so wenig Bewegungsspielraum wie möglich zu geben.

Schritt 4: Richtlinien für Zulassungslisten durchsetzen

Der nächste Schritt besteht darin, die Richtlinien für die Zulassungsliste durchzusetzen und nur den Verkehr zuzulassen, der durch eine Richtlinie spezifisch identifiziert wurde. Theoretisch könnten IT-Administratoren für diesen Schritt komplexe Firewallregeln von Hand erstellen und jeden Regelsatz auf den entsprechenden Endpunktgruppen bereitstellen.

Aber mit einer Lösung wie Illumio Edge und Illumio Core, es ist nicht erforderlich, dass Administratoren Firewallregeln direkt schreiben oder verwalten. Stattdessen können sie die von ihnen gewünschten Richtlinien für die Zulassungsliste definieren, und Illumio übersetzt diese Richtlinien automatisch in detaillierte Firewallregeln, die einfach auf Endpunkten sowie auf Rechenzentrums- und Cloud-Workloads implementiert werden können.

Schritt 5: Richtlinien für Zulassungslisten verfeinern

Der letzte Schritt in diesem Prozess besteht darin, die Richtlinien für die Zulassungsliste weiter zu überwachen und nach Bedarf zu verfeinern und den Zugang so weit wie möglich einzuschränken, ohne jemals den Geschäftsbetrieb zu beeinträchtigen.

Vorteile der Eindämmung von Malware mit Zero-Trust-Segmentierung

Die Vorteile dieses Ansatzes mit Lösungen wie Illumio Edge und Illumio Core sind erheblich:

  • Verbesserter Einblick in den Endpunktverkehr und potenzielle Bedrohungen.
  • Reduzierter Schaden durch Malware, Ransomware und andere Cyberangriffe.
  • Automatisierung, mit der Richtlinien für Zulassungslisten schnell und einfach definiert, bereitgestellt und verfeinert werden können.
  • Skalierbarkeit, geeignet für die größten Unternehmensnetzwerke.
  • Integration mit SIEM-Systemen und anderen IT-Sicherheitstools, sodass Zulassungslisten als Teil eines umfassenderen, vielschichtigen IT-Sicherheitsansatzes funktionieren können.

Um mehr über diese Schritte und die Forschung von IDC zu erfahren, lesen Sie den IDC Technology Spotlight. Eindämmen Sie die Ausbreitung von Malware mit umfassender Transparenz und Richtlinienkontrolle für Zulassungslisten.

Verwandte Themen

Keine Artikel gefunden.

In Verbindung stehende Artikel

Entmystifizierung von Ransomware-Techniken mithilfe von.NET-Assemblys: 5 Haupttechniken
Eindämmung von Ransomware

Entmystifizierung von Ransomware-Techniken mithilfe von.NET-Assemblys: 5 Haupttechniken

Erfahren Sie mehr über 5 Ransomware-Techniken, die das .Net-Softwareframework verwenden.

Lesen Sie mehr
Sicherheit am Himmel: So gehen Fluggesellschaften in turbulenten Zeiten an die Sicherheit heran
Eindämmung von Ransomware

Sicherheit am Himmel: So gehen Fluggesellschaften in turbulenten Zeiten an die Sicherheit heran

Lesen Sie mehr
NAME:WRECK Imbissbuden — Wie Mikrosegmentierung zu Sichtbarkeit und Eindämmung beitragen kann
Eindämmung von Ransomware

NAME:WRECK Imbissbuden — Wie Mikrosegmentierung zu Sichtbarkeit und Eindämmung beitragen kann

Wie Mikrosegmentierung zu Transparenz und Eindämmung beitragen kann, um WRECK-Sicherheitslücken, Remotecodeausführung oder Denial-of-Service zu verhindern.

Lesen Sie mehr
Keine Artikel gefunden.

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr