Warum es immer noch zu Cyberkatastrophen kommt — und wie man sie behebt

In der Vergangenheit folgte die Cybersicherheit sowohl im öffentlichen als auch im privaten Sektor einem einheitlichen Thema: Prävention und Erkennung.

Das Problem? Vorbeugung und Erkennung reichen nicht aus. Verstöße passieren immer noch.

Nach jahrzehntelangen Versuchen, direkte Angriffe von Gegnern zu verhindern und zu erkennen — und gescheitert — ist es an der Zeit, den Fokus auf die Eindämmung zu verlagern. Ob Einstein es tatsächlich gesagt hat oder nicht, die Binsenweisheit ist immer noch zutreffend: Die Definition von Wahnsinn ist, immer wieder dasselbe zu tun und unterschiedliche Ergebnisse zu erwarten.

Traditionelle Sicherheitsmethoden reichen nicht aus, um moderne Gegner zu bekämpfen

Die meisten Sicherheitsteams haben sich darauf konzentriert, zu verhindern, dass Bedrohungen in das Rechenzentrum oder die Cloud gelangen.

Der Nord-Süd-Perimeter, die Grenze zwischen dem Unvertrauenswürdigen von außen und dem vertrauenswürdigen Inneren, ist der Ort, an dem die meisten Sicherheitsinstrumente platziert wurden. Das ist wo Firewalls der nächsten Generation, Antivirenscanner, Proxys und andere Sicherheitstools werden eingesetzt, die versuchen, den gesamten eingehenden Verkehr zu überprüfen, um sicherzustellen, dass nichts Schlimmes durchkommt.

Bei allen großen Sicherheitslücken der letzten Jahre wurde jedoch mindestens eines dieser Tools eingesetzt, und die meisten entsprachen den Sicherheitsanforderungen. Dennoch sind Gegner erfolgreich in das Netzwerk eingedrungen.

Und wenn sie einmal im Netzwerk sind, haben alle Gegner eines gemeinsam: Sie bewegen sich gerne. Sie breiten sich lateral von Ost nach West aus und bewegen sich von Host zu Host, um ihr beabsichtigtes Ziel für die Datenexfiltration ausfindig zu machen.

Viele dieser Sicherheitslücken wurden lange nach dem Eindringen in das Netzwerk entdeckt, manchmal Monate später. Trotz der Verlagerung von der Prävention zur Erkennung sind die heutigen Tools den modernen Gegnern nicht gewachsen, die sehr gut darin sind, einer Entdeckung zu entgehen, bis der Schaden angerichtet ist.

Sobald sie kompromittiert sind, sind die meisten Netzwerke für die Ausbreitung von Ost nach West offen.

Ein traditioneller Cybersicherheitsansatz definiert alles außerhalb des Perimeters als nicht vertrauenswürdig und alles innerhalb des Perimeters als vertrauenswürdig. Das Ergebnis ist, dass es oft nur sehr wenige Mittel gibt, um zu verhindern, dass sich Angreifer von außen ausbreiten, sobald sie sich innerhalb des vertrauenswürdigen Kerns befinden.

Die Verteilung von Host zu Host und von Anwendung zu Anwendung über Netzwerksegmente bedeutet, dass die meisten Workloads leichte Beute für sich schnell bewegende Gegner sind. Und Netzwerksegmente sind in der Regel sehr unwirksam, wenn es darum geht, ihre Ausbreitung zwischen Hosts zu verhindern.

Netzwerksegmente sind so konzipiert, dass sie Netzwerkprobleme wie DDoS- oder ARP-Spoofing verhindern. VLANs, IP-Subnetze, Routing-Peering-Points und SDN-Overlay-Netzwerke werden erstellt, um diese Probleme zu kontrollieren und die Verkehrstechnik im Netzwerk zu ermöglichen. Gegner können diese Netzwerksegmente jedoch problemlos durchqueren, da sie sich in der Regel zwischen Hosts über Ports ausbreiten, die wie legitimer Verkehr aussehen.

Netzwerkgeräte schauen sich Paket-Header an und blockieren oder erlauben den Datenverkehr, je nachdem, welche Ports in diesen Headern gefunden werden. Um Widersacher zu erkennen, müssen die Datenpakete jedoch genau untersucht werden. Dazu müssen Firewalls zwischen allen Hosts installiert werden, die den gesamten Ost-West-Verkehr abwickeln.

Dies wird schnell teuer und kann zu einem potenziellen Netzwerkengpass führen, da jedes Paket „aufgeknackt“ und überprüft werden muss, wobei entweder Signaturen, „Sandboxen“, KI, maschinelles Lernen oder andere komplexe Methoden verwendet werden müssen, um zu versuchen, Gegner zu entdecken, ohne das Netzwerk zu verlangsamen.

Selbst wenn dieser Ansatz ausprobiert wird, wird er schnell aufgegeben oder reduziert — und bringt bei hart erkämpften Budgets keinen ROI. Dadurch bleibt nur sehr wenig übrig, um die Ausbreitung von Ost nach West zu verhindern, und die Wirte bleiben weit geöffnet.

Wenn der unvermeidliche Verstoß eintritt, beginnen die Leute, mit dem Finger zu zeigen.

Unternehmen ohne Zero-Trust-Segmentierung führen einen Krieg, den sie nicht gewinnen können

Alle Perimeter sind porös. Selbst eine zu 99 Prozent effektive Perimeter-Sicherheitsgrenze wird irgendwann durchbrochen. Oder eine Sicherheitsverletzung dringt versehentlich oder absichtlich von innen ein.

Diejenigen, die immer noch versuchen, noch teurere Sicherheitstools am Perimeter einzusetzen — und weiterhin darauf vertrauen, dass ihre Hosts keine Bedrohungen in Ost-West-Richtung über ihr Netzwerk verbreiten — werden am nächsten Tag als jüngstes Opfer eines direkten Angriffs in den Nachrichten wiederfinden.

Jeder, der die Einführung von Sicherheit in seinem gesamten Ost-West-Gefüge ignoriert, wird einen verlorenen Kampf führen.

Die Mikrosegmentierung ist ein wichtiger Bestandteil einer Zero-Trust-Architektur in der jede Ressource eine Vertrauensgrenze ist, die von den Netzwerkgrenzen entkoppelt ist.

Illumio schützt die Ost-West-Bedrohungsvektoren im Rechenzentrum und in der Cloud in großem Umfang.

Jeder einzelne Workload ist gegenüber allen anderen Workloads mikrosegmentiert, wodurch ein Zugriffsmodell mit den geringsten Rechten zwischen ihnen durchgesetzt wird, wobei Hosts anhand eines metadatengesteuerten Modells und nicht anhand ihrer Netzwerkadressen identifiziert werden. Das bedeutet, dass auf Hosts bereitgestellte Workloads anhand ihrer Funktion und nicht anhand ihres Standorts identifiziert werden, was eine klare Visualisierung des Netzwerkverhaltens zwischen Hosts ermöglicht.

Erfahren Sie mehr über Mikrosegmentierung hier.

Verschaffen Sie sich einen Überblick darüber, wie Anwendungen in Ihrem Netzwerk kommunizieren

Der Einblick in den Netzwerkverkehr zwischen Anwendungen aus anwendungsorientierter Sicht ist bei der Verwendung von Netzwerkgeräten, entweder physischen Geräten in einem Rechenzentrum oder virtuellen Geräten in einer öffentlichen Cloud, eine Herausforderung.

Dies liegt daran, dass zur Visualisierung des Anwendungsverhaltens und der Abhängigkeiten von Switches, Routern, Firewalls oder Überwachungstools in der Regel das Netzwerkverhalten in das Anwendungsverhalten übersetzt und herausgefunden werden muss, „wer was mit wem macht“ zwischen Anwendungen und Hosts. Oft wird das schnell eher verwirrend als aufschlussreich.

Um zu visualisieren, wie Anwendungen über ein Netzwerk miteinander kommunizieren, ist eine Lösung erforderlich, die direkt auf den Hosts bereitgestellt wird, auf denen sich diese Anwendungen befinden.

Illumio ermöglicht eine sehr klare und präzise Abhängigkeitskarte zwischen allen Anwendungen in Ihrem Rechenzentrum und Ihrer Cloud. Hosts werden anhand von Metadaten wie Funktion oder Eigentümerschaft gruppiert, und die Datenverkehrsströme zwischen ihnen werden übersichtlich dargestellt.

Dies ermöglicht eine sehr schnelle Erkennung von Compliance-Verstößen und der Art und Weise, wie Hosts miteinander kommunizieren, ohne das Netzwerk oder die Cloud berühren zu müssen.

Illumio zeigt, wer was mit wem tut, und zwar in großem Maßstab in Ihrer gesamten Umgebung, damit Sie die Risiken zwischen Hosts quantifizieren und aufzeigen können, welche riskanten Ports potenziellen Angriffen ausgesetzt sind.

Implementieren Sie die Illumio Zero Trust Segmentierung, um die Ost-West-Bewegung der Gegner zu stoppen

Das Präventionssicherheitsmodell ist veraltet, und das Sicherheitsmodell für Erkennung ist nie schnell genug, um eine laterale Ausbreitung zu verhindern.

Das moderne Sicherheitsmodell muss davon ausgehen, dass eine Sicherheitsverletzung entweder eintreten wird oder bereits stattgefunden hat. Diese Denkweise konzentriert sich nicht darauf, die Gesundheit eines kompromittierten Hosts zu schützen, sondern isoliert Gegner schnell und verhindert, dass sie sich ausbreiten, ohne genau wissen zu müssen, wer der Gegner ist.

Die Ost-West-Bedrohungsvektoren können mithilfe der Lösung von Illumio für anwendungsorientierte Sicherheit aus der Perspektive der Anwendung durchgesetzt und visualisiert werden.

Unabhängig davon, ob der Verstoß von einem staatlich geförderten Gegner oder einer kriminellen Bande ausgeht, wird diese Bedrohung isoliert und ihre Ausbreitung verhindert.

Der Wahnsinn sollte — und kann — gestoppt werden.

Möchten Sie mehr über Illumio Zero Trust Segmentation erfahren? Kontaktiere uns heute.