Wie ein intrinsischer Ansatz für mehr IT-Sicherheit sorgt

Gepostet am 01/07/2019

Beitrag von Christoph Buschbeck, Solutions Engineer, Security, EMEA bei VMware

Mit Hilfe von VMware AppDefense können Unternehmen ein Least-Privilege-Modell umsetzen. Auf der Basis von weitreichender Automatisierung lassen sich IT-Infrastrukturen so nachhaltig schützen. Doch bereits die Visualisierung aller Prozesse und Datenströme bringt wertvolle Erkenntnisse für Unternehmen.

Die Herausforderungen in der IT-Sicherheit sind in den letzten Jahren deutlich vielfältiger geworden. Waren es in der Vergangenheit vor allem Innovationen in reaktiven Verfahren wie Malware-Signaturen und host-basierter Intrusion Prevention (HIPS), spielen nach wie vor präventive Lösungen eine entscheidende Rolle, um Risiken im Rechenzentrum zu minimieren. Hier sind beispielsweise Workload Protection mit Maßnahmen wie Netzwerk-Firewalling und -segmentierung, Application Control und Memory Protection sowie Exploit Prevention zu nennen.

Wir verstehen Sicherheit dabei als ein umfassendes Thema, das man gerade in einer komplexeren IT-Welt aus On-Premise- und Cloud-Lösungen (in vielen Unternehmen mit einer Multi-Cloud-Strategie) betrachten muss. Hinzu kommt eine Vielzahl an mobilen Endgeräten, die anders einzustufen sind. Hierbei geht es um sichere Geräte und darum, welcher Benutzer das Gerät benutzt, um Dateien zu verarbeiten.

Visibilität spielt entscheidende Rolle für Unternehmensprozesse

Der Ansatz, mit dem VMware Systeme vom Rechenzentrum über die Cloud bis hin zu den Endgeräten schützt, basiert dabei darauf, den Fokus des Einsatzbereiches zu verstehen. Visibilität fördert das Verständnis, wie z.B. Applikationen die Infrastruktur benutzen – eine Basis, um die richtige Auswahl an Sicherheitslösungen zu treffen. Hierfür hat VMware Lösungen entwickelt, wie z.B. vRealize Network Insight = Visibilität der Kommunikationswege für Datacenter Traffic, und AppDefense = Visibilität auf Prozessebene.  AppDefense ist eine reine Eigenentwicklung und fokussiert sich auf den Datacenter-Workload. Die Funktionsweise des zum Virtualisation Layer gehörenden Produkts ist denkbar einfach: Als Teil von vSphere benötigt es keine zusätzlichen Agenten für die Installation und Verwaltung. AppDefense ist ein Modul in VMTools und kommuniziert direkt mit dem Hypervisor. Diese Kommunikation ist keine TCP/IP Kommunikation – im klaren Unterschied zu den meisten Agenten-basierten Lösungen auf dem Markt. Diese Kernel-Integration schafft diverse Vorteile:  Die Intigrität kann verifiziert werden. Ein Versuch, den Windows Kernel zu verändern, kann überwacht und automatische Antworten konfiguriert werden. So wird überprüft, ob unsere Komponenten verfügbar sind oder ein Kompromittierungsversuch erfolgt.

VMware AppDefense ist somit ein Teil der bereits vorhandenen virtuellen Infrastruktur, der die seit vielen Jahren vorhandenen Sicherheitsvorkehrungen auf eine neue Stufe stellt, ohne dass das Unternehmen viel dafür tun muss. Das System lernt automatisiert zu verstehen, welche Services laufen und kann gutes, sicheres Verhalten erkennen. Der Schutz resultiert in den meisten Fällen aus der Reaktion auf abweichendes Verhalten, um so Bedrohungen zu stoppen. Es handelt sich somit um eine Whitelisting-Strategie, die ein Höchstmaß an Sicherheit verspricht.

Zwei Phasen bei AppDefense: Erst „Discover“, dann „Protect“

Dieses Verständnis für Service-basierte Regeln resultiert aus Definitionen, einem Applikations-Manifest. Die Discover-Phase zeichnet sämtliche Verhaltensweisen der verwendeten Applikationen auf und analysiert deren Verhalten. Das System gewinnt so nicht nur Einblick in die Funktionsweise der Applikationen, sondern weiß auch, welche Prozesse und Services dabei laufen und wie diese mit anderen Elementen im Netzwerk interagieren. Mit Hilfe einer Application Verification Cloud überprüft VMware, ob es sich dabei um ein vernünftiges und gutes Verhalten handelt oder ob dabei Sicherheitsbedenken bestehen. Prozesse werden klassifiziert, kritische Prozesse können automatisiert von ihrer Ausführung verhindert werden.

Hierfür setzen wir auf eine Kombination aus menschlicher und künstlicher Intelligenz. Die IT-Abteilung, die in der Vergangenheit solche Entscheidungen alleine treffen musste, erhält auf diese Weise entsprechende Entscheidungsgrundlagen. Zum Einsatz kommen dabei auch die umfassenden Kenntnisse, die wir durch das ATT&CK-Framework und unsere Mitarbeit an Mitre gewinnen. Mitre ist ein gemeinnütziges Unternehmen, das vor sechs Jahren ins Leben gerufen wurde, um Bedrohungstaktiken und –statistiken zu erstellen und Angriffe auf Unternehmensnetzwerke zu analysieren und zu dokumentieren.

Visibilität schafft Bewusstsein für Gefahren im Unternehmen

Ist die Erstellung des VM Manifests erst einmal abgeschlossen, gibt es vielfältige Möglichkeiten, um granulare Sicherheit zu gewährleisten. Die höchste Sicherheitsstufe ist das „Einfrieren“, das Whitelisting ist damit geschlossen. Danach sind Prozesse und Anwendungen, die nicht im Manifest verzeichnet sind, nicht mehr möglich und ausgehende Verbindungen, die nicht definiert wurden, werden nicht mehr zugelassen. Das Manifest lässt sich aber natürlich bei entsprechendem Bedarf kontinuierlich erweitern. Für viele Unternehmen ist übrigens bereits die beschriebene Visibilität, die Einblicke in die Prozesse und das Bewusstsein über sämtliche verwendeten Services und ihre Bewertung durch VMware AppDefense viel wert.

In der Schutzphase befasst sich die Lösung gezielt mit den als schädlich eingestuften Routinen und Services. Wenn es einen Alarm gibt, kann unterschiedlich reagiert werden: Sie können beispielsweise eine Anwendung unterbinden, eine Maschine vorübergehend in Quarantäne schicken oder für die spätere forensische Analyse einen Schnappschuss des Systems erstellen.

Ein entscheidender Vorteil solcher „gelernten“ und mit Automatisierung versehenen Verhaltensweisen und Reaktionen ist die Reduzierung von Fehlalarmen, die in der Vergangenheit unter Sicherheitsexperten immer mal wieder zu Nachlässigkeiten geführt hat – weil man sich aufgrund der Vermutung der Mehrerfahrung täuschen ließ. Warum das nicht nur der IT-Abteilung nutzt, sondern gut fürs gesamte Unternehmen ist, erfahren Sie in unserem nächsten Beitrag.

Sie möchten bei VMware immer up to date sein? Dann folgen Sie VMware auf TwitterXING, LinkedIn & Youtube 


Kategorie: Business, Security, Sicherheit

Schlagwörter: , , ,

Ähnliche Artikel

Gepostet am 23/03/2019 von jschaub

Tipps zur Stärkung der Innovationskraft

Viele Führungskräfte unterschätzen das Ausmaß und die Geschwindigkeit der digitalen Transformation, die auf sie zukommt. Innovation steht auf der Agenda jedes Unternehmens. Obwohl die meisten keine Probleme mit dem Entwickeln von Strategien oder dem Ausarbeiten neuer Ideen haben, scheitern sie oft bei der Umsetzung, der Implementierung neuer Geschäftsmodelle oder der Umwandlung von Ideen in Ergebnisse.

3 Minuten Lesezeit
Gepostet am 15/07/2019 von jschaub

Porsche Informatik nimmt mit neuem Software-definierten Rechenzentrum die Pole-Position ein

E-Antrieb, die Sharing-Economy, Connected Cars und autonomes Fahren: die Automobilbranche muss sich diesen Trends stellen und neue Wege gehen. Teil dieser Dynamik ist die Porsche Informatik als Software-Schaltstelle der Porsche Holding. Wegweisende Lösungen für die Zukunft der Mobilität brauchen als Basis Mitarbeiter mit den besten Tools, um Lösungen auf Weltklasse- Niveau zu realisieren. 2018 sollte die IT-Infrastruktur von Porsche Informatik mit Hilfe des langjährigen Partners VMware neu aufgesetzt werden. Das von VMware implementierte Software-definierte Rechenzentrum (SDDC) mit den darauf laufenden Produkten hat die IT-Infrastruktur von Porsche Informatik in die Pole-Position für die anstehenden Herausforderungen gebracht.

3 Minuten Lesezeit
Gepostet am 02/09/2019 von jschaub

Wie IoT Patienten und Ärzten das Leben erleichtert

Anwendungen im Bereich Internet of Things (IoT) und Sensorik können dazu beitragen, dass viele Herausforderungen im Krankenhaus- und Healthcare-Umfeld trotz Pflegenotstand und knapper Ressourcen in Zukunft besser und effizienter im Sinne des Patienten geregelt werden können. Schon heute gibt es erfolgreiche Best-Practice-Beispiele dafür.

Wearables, die jederzeit die wichtigsten Gesundheitsdaten eines Patienten tracken und im Ernstfall rechtzeitig Hilfe rufen – ein Krankenhaus der Zukunft, in dem man überall sämtliche relevanten Daten zur Verfügung hat – ein operierender Arzt, der sämtliche Gesundheitsdaten des Patienten in Echtzeit in einer Augmented-Reality-Brille sieht. Interessante Anwendungsszenarien im Bereich Internet of Things, die mit Hilfe von Sensoren arbeiten, gibt es viele. Doch was davon ist bereits heute machbar und was davon gibt es bereits? Nachdem wir zuletzt einige Technologien im Healthcare-Bereich diskutiert und über das Thema der Datenhoheit des Patienten gesprochen haben, werfen wir in diesem Blogbeitrag einen Blick auf ein paar konkrete Fallbeispiele.

4 Minuten Lesezeit

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.

*

This site uses cookies to improve the user experience. By using this site you agree to the privacy policy