Ransomware Protection: Kontext und Anwender im Mittelpunkt
Wie Unternehmen ihre Netzwerke und Daten in einer Multi Cloud Welt schützen, erklärt Christoph Buschbeck von VMware.
Jüngste Beispiele zeigen wieder einmal, dass klassische Sicherheitskonzepte nicht mehr zeitgemäß sind, um auf moderne Bedrohungslagen zu reagieren. Mittlerweile sind die Unternehmen, die Opfer eines Ransomware-Angriffs wurden in der Überzahl.
Nutzerdaten auf den Plattformen sind gerade für Ransomware Protection relevant. Hierfür ist es wichtig, die Identitäten von Hackern zu authentifizieren und den Datenverkehr zu überwachen, um Anomalien rechtzeitig erkennen zu können. Den Anfang bildet hier das Ende – die so genannte Endpoint-Security zum Schutz von Desktops, Laptops, Servern und fest installierten Geräten. Denn diese Geräte sind das einfachste Einfallstor ins Netz.
Angreifer frühzeitig erkennen
Endpoint-Security kombiniert verschiedene Technologien zur Angriffsvermeidung, -erkennung und -reaktion mit intelligenten Services einer fortschrittlichen Plattform. Sie unterstützt Unternehmen effektiv dabei, Angreifer frühzeitig zu erkennen, bevor sie größeren Schaden anrichten können, die Aktionen von Angreifern zu überwachen und nachzuverfolgen, um Eindringlinge zu identifizieren und zu stoppen, sowie die Ursachen wie auch Sicherheitslücken zu identifizieren
Endpoint-Security-Technologien schützen die Endgeräte vor unbekannten Angriffen, während herkömmliche Sicherheitsmaßnahmen wie Antivirensoftware einen Computer oder ein Gerät vor bereits bekannten Bedrohungen – zum Beispiel Malware – schützt. Endpoint-Security zeichnet sich dadurch aus, dass sie Prävention mit Erkennung und Reaktion verknüpft. Damit bleibt sie nicht reaktiv, sondern funktioniert vorausschauend.
Moderne Mechanismen folgen Zero-Trust Architektur
Durch die Verwendung ausschließlich von Perimeter-Firewalls schützen IT-ler etwa nur statisch gegen das Eindringen von Angreifern. Es wird aber nicht davon ausgegangen, dass der Laptop oder das Smartphone in fremde Hänge gelangt sein könnten oder sich die Angreifer auf andere Weise Zugang in das Unternehmensnetzwerk verschafft haben könnten.
Moderne Mechanismen folgen einer Zero-Trust Architektur, der zugrunde liegt, dass man niemandem vertraut. Diese Architektur umfasst fünf Säulen: Identität, Geräte, Netzwerk, Anwendungen/Workloads und Daten. Bei Zero Trust wird quasi jedem dieser Bereiche unterstellt, kompromittiert worden zu sein. So wird jeder Workload gegen jeden geschützt und nur wirklich notwendige Verbindungen zulässig.
Einfachere Netzwerk- und Mikrosegmentierung
Eine weitere zentrale Anforderung an ein modernes Sicherheitskonzept ist die Mikrosegmentierung. Sie kann ein sicheres und dynamisches Kommunikationsgeflecht in Rechenzentren und Cloud-Umgebungen ermöglichen, die jeden einzelnen Kommunikationsweg isoliert, separat schützt, sowie die Applikation bei einem Angriff automatisch in Quarantäne setzen. Dafür ist es grundlegend, Netzwerksegmente, virtuelle Sicherheitszonen und Partnerdomänen vollständig als Software abgebildet zu haben. Dann kann eine interne Layer-7-Firewall direkt in den Hypervisor integriert werden, was den East-West-Traffic sicherer macht.
Sehen, was andere nicht sehen
Eine Stufe weiter geht VMware Contexa, die sich die gesamte Bandbreite an Netzwerk- und Endpunkttechnologien zunutze macht, um sämtliche Endpunktprozesse und Netzwerkpakete zu überwachen und zu evaluieren. Der Ansatz ist intrinsische Transparenz. Die meisten Hersteller sind teilweise nur in der Lage sicherheitsrelevante Informationen in Relation zu setzen. Gerade bei der Früherkennung, aber auch bei der forensischen Analyse benötigt man Zugriff auf sämtliche Daten. Fehlerhafte Konfigurationen und Rechte sind Beispiele, um Lücken auszunutzen.
Kontext-produziert Bedrohungsdaten erfassen
Kontext ist wichtig. Kontext trägt dazu bei, die Infrastruktur, die Geräte und deren Verhalten besser zu verstehen bzw. zu analysieren. Der Anspruch dies möglichst automatisiert zu können und entsprechend intelligente Entscheidungen zu treffen, ist ein Selbstverständnis. Die Integration zwischen den verschiedenen Lösungen innerhalb von VMware, aber auch die Kooperation mit allen namhaften Security-Herstellern, gewährleistet eine lückenlose Sicherheitsstrategie.
Christoph Buschbeck
ist Director Central EMEA, VMware Cloud, auf der it-sa in Halle 7