Beitrag von Christoph Buschbeck, Solutions Engineer, Security, EMEA bei VMware
Mit Hilfe von VMware AppDefense können Unternehmen ein Least-Privilege-Modell umsetzen. Auf der Basis von weitreichender Automatisierung lassen sich IT-Infrastrukturen so nachhaltig schützen. Doch bereits die Visualisierung aller Prozesse und Datenströme bringt wertvolle Erkenntnisse für Unternehmen.
Die Herausforderungen in der IT-Sicherheit sind in den letzten Jahren deutlich vielfältiger geworden. Waren es in der Vergangenheit vor allem Innovationen in reaktiven Verfahren wie Malware-Signaturen und host-basierter Intrusion Prevention (HIPS), spielen nach wie vor präventive Lösungen eine entscheidende Rolle, um Risiken im Rechenzentrum zu minimieren. Hier sind beispielsweise Workload Protection mit Maßnahmen wie Netzwerk-Firewalling und -segmentierung, Application Control und Memory Protection sowie Exploit Prevention zu nennen.
Wir verstehen Sicherheit dabei als ein umfassendes Thema, das man gerade in einer komplexeren IT-Welt aus On-Premise- und Cloud-Lösungen (in vielen Unternehmen mit einer Multi-Cloud-Strategie) betrachten muss. Hinzu kommt eine Vielzahl an mobilen Endgeräten, die anders einzustufen sind. Hierbei geht es um sichere Geräte und darum, welcher Benutzer das Gerät benutzt, um Dateien zu verarbeiten.
Visibilität spielt entscheidende Rolle für Unternehmensprozesse
Der Ansatz, mit dem VMware Systeme vom Rechenzentrum über die Cloud bis hin zu den Endgeräten schützt, basiert dabei darauf, den Fokus des Einsatzbereiches zu verstehen. Visibilität fördert das Verständnis, wie z.B. Applikationen die Infrastruktur benutzen – eine Basis, um die richtige Auswahl an Sicherheitslösungen zu treffen. Hierfür hat VMware Lösungen entwickelt, wie z.B. vRealize Network Insight = Visibilität der Kommunikationswege für Datacenter Traffic, und AppDefense = Visibilität auf Prozessebene. AppDefense ist eine reine Eigenentwicklung und fokussiert sich auf den Datacenter-Workload. Die Funktionsweise des zum Virtualisation Layer gehörenden Produkts ist denkbar einfach: Als Teil von vSphere benötigt es keine zusätzlichen Agenten für die Installation und Verwaltung. AppDefense ist ein Modul in VMTools und kommuniziert direkt mit dem Hypervisor. Diese Kommunikation ist keine TCP/IP Kommunikation – im klaren Unterschied zu den meisten Agenten-basierten Lösungen auf dem Markt. Diese Kernel-Integration schafft diverse Vorteile: Die Intigrität kann verifiziert werden. Ein Versuch, den Windows Kernel zu verändern, kann überwacht und automatische Antworten konfiguriert werden. So wird überprüft, ob unsere Komponenten verfügbar sind oder ein Kompromittierungsversuch erfolgt.
VMware AppDefense ist somit ein Teil der bereits vorhandenen virtuellen Infrastruktur, der die seit vielen Jahren vorhandenen Sicherheitsvorkehrungen auf eine neue Stufe stellt, ohne dass das Unternehmen viel dafür tun muss. Das System lernt automatisiert zu verstehen, welche Services laufen und kann gutes, sicheres Verhalten erkennen. Der Schutz resultiert in den meisten Fällen aus der Reaktion auf abweichendes Verhalten, um so Bedrohungen zu stoppen. Es handelt sich somit um eine Safelisting-Strategie, die ein Höchstmaß an Sicherheit verspricht.
Zwei Phasen bei AppDefense: Erst „Discover“, dann „Protect“
Dieses Verständnis für Service-basierte Regeln resultiert aus Definitionen, einem Applikations-Manifest. Die Discover-Phase zeichnet sämtliche Verhaltensweisen der verwendeten Applikationen auf und analysiert deren Verhalten. Das System gewinnt so nicht nur Einblick in die Funktionsweise der Applikationen, sondern weiß auch, welche Prozesse und Services dabei laufen und wie diese mit anderen Elementen im Netzwerk interagieren. Mit Hilfe einer Application Verification Cloud überprüft VMware, ob es sich dabei um ein vernünftiges und gutes Verhalten handelt oder ob dabei Sicherheitsbedenken bestehen. Prozesse werden klassifiziert, kritische Prozesse können automatisiert von ihrer Ausführung verhindert werden.
Hierfür setzen wir auf eine Kombination aus menschlicher und künstlicher Intelligenz. Die IT-Abteilung, die in der Vergangenheit solche Entscheidungen alleine treffen musste, erhält auf diese Weise entsprechende Entscheidungsgrundlagen. Zum Einsatz kommen dabei auch die umfassenden Kenntnisse, die wir durch das ATT&CK-Framework und unsere Mitarbeit an Mitre gewinnen. Mitre ist ein gemeinnütziges Unternehmen, das vor sechs Jahren ins Leben gerufen wurde, um Bedrohungstaktiken und –statistiken zu erstellen und Angriffe auf Unternehmensnetzwerke zu analysieren und zu dokumentieren.
Visibilität schafft Bewusstsein für Gefahren im Unternehmen
Ist die Erstellung des VM Manifests erst einmal abgeschlossen, gibt es vielfältige Möglichkeiten, um granulare Sicherheit zu gewährleisten. Die höchste Sicherheitsstufe ist das „Einfrieren“, das Safelisting ist damit geschlossen. Danach sind Prozesse und Anwendungen, die nicht im Manifest verzeichnet sind, nicht mehr möglich und ausgehende Verbindungen, die nicht definiert wurden, werden nicht mehr zugelassen. Das Manifest lässt sich aber natürlich bei entsprechendem Bedarf kontinuierlich erweitern. Für viele Unternehmen ist übrigens bereits die beschriebene Visibilität, die Einblicke in die Prozesse und das Bewusstsein über sämtliche verwendeten Services und ihre Bewertung durch VMware AppDefense viel wert.
In der Schutzphase befasst sich die Lösung gezielt mit den als schädlich eingestuften Routinen und Services. Wenn es einen Alarm gibt, kann unterschiedlich reagiert werden: Sie können beispielsweise eine Anwendung unterbinden, eine Maschine vorübergehend in Quarantäne schicken oder für die spätere forensische Analyse einen Schnappschuss des Systems erstellen.
Ein entscheidender Vorteil solcher „gelernten“ und mit Automatisierung versehenen Verhaltensweisen und Reaktionen ist die Reduzierung von Fehlalarmen, die in der Vergangenheit unter Sicherheitsexperten immer mal wieder zu Nachlässigkeiten geführt hat – weil man sich aufgrund der Vermutung der Mehrerfahrung täuschen ließ. Warum das nicht nur der IT-Abteilung nutzt, sondern gut fürs gesamte Unternehmen ist, erfahren Sie in unserem nächsten Beitrag.
Sie möchten bei VMware immer up to date sein? Dann folgen Sie VMware auf Twitter, XING, LinkedIn & Youtube