Bewertung von Sicherheitslücken zur Abwehr von Ransomware
In einem vorheriger Beitrag, als ersten Schritt zur Eindämmung von Ransomware und anderer Schadsoftware haben wir uns mit risikobasierter Transparenz befasst.
In diesem Beitrag wird untersucht, wie diese Sicherheitslücken den Konnektivitätsmustern zugeordnet werden können — also der Art und Weise, wie Anwendungen und Prozesse miteinander und über Netzwerke kommunizieren.
Dies ist der letzte Schritt, der erforderlich ist, um die Ausbreitung von Ransomware aktiv zu blockieren und zu verhindern.
Erhöhen Sie die Sichtbarkeit mit umfassenden Daten zur Kommunikation
In einer typischen Produktionsumgebung kann so ziemlich alles mit allem anderen kommunizieren — Anwendungen und Maschinen in Subnetzen, VLANs, Zonen, was auch immer. Auf diese Weise können Geschäftssysteme ihre Arbeit erledigen, während sie Daten austauschen und mit der Außenwelt kommunizieren. Aber es schafft auch ein Problem. Wenn Schadsoftware irgendeinen Teil einer solchen Umgebung infiziert, kann sie sich sehr schnell verbreiten.
Um die Ausbreitung von Schadsoftware in Produktionsumgebungen zu verhindern, müssen Sie die Ports blockieren, die sie ausnutzt, um von einer Anwendung oder einem Computer auf einen anderen zu gelangen. Sie müssen aber auch wissen, welche Ports geöffnet bleiben müssen, damit Ihre Systeme weiterhin das tun können, was sie tun müssen.
Aus diesem Grund hängt die Eindämmung der Ausbreitung von Ransomware und anderer Malware davon ab, dass die Kommunikation zwischen Ressourcen in Echtzeit einsehbar ist. Schließlich können Sie nicht unnötig offene Ports schließen, wenn Sie sie nicht identifizieren können.
Darüber hinaus müssen Sie ermitteln, welche Ports das größte potenzielle Risiko bergen. Nur dann, mit diesen Informationen in der Hand, können Sie proaktive und reaktive Kontrollen implementieren, die Ihr Unternehmen nicht zum Erliegen bringen. Auf diese Weise können Sie das Risiko einer Sicherheitsverletzung auf den Eintrittspunkt in Ihr Netzwerk beschränken, ohne den Betrieb negativ zu beeinflussen.
Solch risikobasierte Sichtbarkeit ermöglicht es Ihnen auch, das Patchen zu priorisieren, bevor ein Vorfall eintritt.
Eine Priorisierung ist unerlässlich, da IT-Abteilungen, die für große Netzwerke zuständig sind, nicht dafür sorgen können, dass jedes System ständig gepatcht wird. Einige Patches werden zwangsläufig vor anderen behoben. Natürlich sollten Sie der Reparatur der Systeme Priorität einräumen, die das größte potenzielle Risiko bergen. Die Frage ist, welche sind das?
Die Beantwortung dieser Frage hängt zu einem großen Teil von der Netzwerkkonnektivität ab.
Bedenken Sie, dass Sicherheitslücken auf einem Server, der völlig isoliert arbeitet, eine weitaus geringere Bedrohung darstellen als Sicherheitslücken auf einem Computer inmitten eines Rechenzentrums, auf das Tausende von anderen zugreifen können. Bedenken Sie auch, dass einige offene Ports eine größere Gefahr für Netzwerkressourcen darstellen als andere.
Was benötigt wird, ist eine Methode zur Quantifizierung des Risikos, das von einer bestimmten Gruppe von Anschlüssen im Kontext bestimmter Systeme ausgeht, und wie diese Systeme miteinander und mit dem breiteren Internet verbunden sind.
Identifizierung der riskantesten Häfen
Tatsache ist, dass einige Häfen ein höheres Risiko bergen als andere. Zu den riskanteren Ports gehören stark vernetzte Ports, die von Microsoft Active Directory und anderen Kerndiensten verwendet werden. Ein höheres Risiko geht auch mit der Systemabfrage und Berichterstattung über die IT-Infrastruktur einher.
Peer-to-Peer-Ports stellen ein erhebliches Risiko dar, auch solche, die von Diensten wie Remote-Desktop-Management und Filesharing-Anwendungen verwendet werden. Sogar viele Social-Media-Anwendungen funktionieren auf diese Weise. Sie wurden speziell für jedes beliebige Verkehrsmuster entwickelt, das Sicherheitsexperten nachts wach hält. Sicherheitsexperten machen sich Sorgen um sie, weil Malware häufig auf diese Ports abzielt, weil sie allgegenwärtig sind, normalerweise offen sind und auf willkürliche Weise „kommunizieren“.
Schließlich bleiben ältere Kommunikationsprotokolle wie FTP und Telnet in der Regel standardmäßig aktiviert, auch wenn niemand sie gemäß den Unternehmensrichtlinien verwendet, und stellen bekannte Sicherheitslücken dar. Das macht sie zu besonders attraktiven Zielen.
Aber zu wissen, dass einige Häfen ein höheres Risiko bergen als andere, ist eine Sache. Es ist etwas anderes, sie in ausgedehnten Unternehmensnetzwerken zu finden und zu quantifizieren. Sie müssen auch wissen, wie all diese Ressourcen miteinander verbunden sind.
Hier kommt die von Illumio bereitgestellte Visualisierung ins Spiel.
Quantifizierung des Konnektivitätsrisikos
Illumio überlagert Daten von Schwachstellenscannern wie Rapid7 und Qualys über die von Illumio Karten Ihrer Anwendungen und wie sie sich verbinden — formen Karten der Sicherheitslücken.
Es funktioniert, indem es Verbindungsdaten aus Quellen wie Routern, auf denen NetFlow und jFlow ausgeführt werden, Switches, Cloud-Systemen, Betriebssystem-Verbindungstabellen und mehr aufnimmt. Diese Informationen werden dann mit Daten von Schwachstellenscannern kombiniert.
Als Nächstes werden Benutzer- und Maschinenidentitätsinformationen aus Quellen wie Active Directory, Konfigurationsverwaltungsdatenbanken, Sicherheitsinformationsverwaltungssystemen und IP-Adressverwaltungssystemen importiert.
Die resultierenden Karten bieten Ihnen risikobereinigte Ansichten all Ihrer Systeme in Echtzeit. Sie enthalten Betriebssysteme, Benutzerlaptops, Cloud-Anwendungen und deren Container, Mainframes, Load Balancer, Netzwerkgeräte, Firewalls, was auch immer. Das Ergebnis ist eine durchgängige Transparenz, die Ihnen ein klares Verständnis der Risiken vermittelt.
Unterhält ein Datenbankserver beispielsweise offene Verbindungen zu 300 Computern in einem Subnetz, obwohl er nur eine Verbindung zu 10 Computern herstellen muss? Auf den Karten von Illumio wird darauf hingewiesen, dass es ein Problem ist, sodass Sie Maßnahmen ergreifen können.
Illumio zeigt Ihnen nicht nur, wie Anlagen Daten innerhalb von Netzwerken und Rechenzentren austauschen, sondern auch, wie viel und wie oft sie mit der Außenwelt kommunizieren. Dieses Wissen kann Ihnen bei der Entscheidung helfen, welche Kontrollen auf welchen Computern installiert werden sollen und welche Patches Sie priorisieren sollten.
Wie Bewertungen zur Gefährdung von Sicherheitslücken die betriebliche Effizienz verbessern
Illumio macht es noch einfacher, Risiken einzuschätzen, und kombiniert Informationen zu Schwachstellen-, Verbindungs- und Segmentierungsrichtlinien, um alles in einer Zusammenfassung zusammenzufassen Bewertung der Gefährdungsexposition. Diese einzelne Zahl gibt Ihnen einen schnellen Überblick über die relative Risikoexposition im Zusammenhang mit der Ausführung von Anwendungen.
Viele Illumio-Kunden sind der Meinung, dass allein diese Metrik ihnen das bietet, was sie zur Segmentierung von Systemen benötigen, um ihre Unfähigkeit zu kompensieren, alle ihre Patches ständig auf dem neuesten Stand zu halten. Segmentierung bedeutet, die anfälligsten Ports auf den kleinstmöglichen Radius zu reduzieren — das heißt, mit so wenigen anderen Ressourcen wie möglich zu kommunizieren.
Mit den Schwachstellenbewertungen von Illumio können Sie sich schnell auf diese Problembereiche konzentrieren, um sie zunächst durch Segmentierung so weit wie möglich zu isolieren, ohne den Betrieb zu unterbrechen, und dann nach Zeitplänen zu patchen, die Sie realistisch einhalten können. Mit anderen Worten, Schwachstellenbewertungen und Segmentierung ermöglichen eine effektive Priorisierung der Schwachstellenbehebung.
Illumio bietet Ihnen einen umfassenden, risikobasierten Überblick über Ihre gesamte Umgebung. Es zeigt Ihnen aktive Abläufe, überlagert die Risikoanalyse, die auf offenen Ports basiert, die von Malware genutzt werden, und quantifiziert dieses Risiko. Nachdem Sie Änderungen an Ihrer Umgebung vorgenommen haben, können Sie diese überprüfen und wiederholen, um zu sehen, wie sich die Risikobewertungen im Laufe der Zeit ändern. IT- und Sicherheitsteams erhalten so ein leistungsstarkes Tool, um Risiken zu melden und Sicherheitslücken zu analysieren.
Generierung von Richtlinien zum Blockieren riskanter Ports
Illumio kann das Risiko auch aktiv mindern, indem es Ports zwischen Workloads blockiert, bevor Sie mit dem Patchen beginnen oder in Fällen, in denen Sie nicht auf die betroffenen Systeme zugreifen können. Stellen Sie sich das so vor, als würden Sie Datenflüsse patchen, bis Sie in der Lage sind, Workloads zu patchen.
Darüber hinaus kann Illumio Richtlinien für das Blockieren von Ports als Teil eines integrierten Workflows vorschlagen Richtlinien-Generator.
Sie können eine vorgeschlagene Richtlinie speichern und sie dann von Illumio in Ihren Anwendungen bereitstellen lassen. Mit diesem Tool können Sie Ihre Umgebung mit nur wenigen Klicks in nur wenigen Sekunden schützen, anstatt sich tagelang oder wochenlang mit der Installation von Patches herumschlagen zu müssen.
Ein leistungsstarkes Tool zur Bewertung von Sicherheitslücken
Insgesamt bietet Illumio IT- und Sicherheitsexperten einen umfassenden, risikobasierten Einblick in ihre gesamte Anwendungskommunikation und ermöglicht es ihnen, die Kommunikation risikoangepasst zu blockieren, um die Ausbreitung von Ransomware zu verhindern.
Neben der Implementierung präventiver Kontrollen kann Illumio Ihre Fähigkeit zur Reaktion auf Vorfälle durch aktive Segmentierungsrichtlinien verbessern, um Ransomware zu stoppen.
Um mehr zu erfahren:
- Lesen Sie das E-Book, So stoppen Sie Ransomware-Angriffe.
- Sehen Sie sich im Webinar Vulnerability Maps in Aktion an. Ransomware passiert. Wir verhindern, dass es sich ausbreitet: Bewerten Sie Ihre Sicherheitslücken.