Wie ein intrinsischer Ansatz für mehr IT-Sicherheit sorgt

Gepostet am 01/07/2019 by jschaub
HAFTUNGSAUSSCHLUSS: Dieser Artikel ist älter als ein Jahr und möglicherweise nicht mit den neuesten Ereignissen oder neu verfügbaren Informationen auf dem neuesten Stand.

Beitrag von Christoph Buschbeck, Solutions Engineer, Security, EMEA bei VMware

Mit Hilfe von VMware AppDefense können Unternehmen ein Least-Privilege-Modell umsetzen. Auf der Basis von weitreichender Automatisierung lassen sich IT-Infrastrukturen so nachhaltig schützen. Doch bereits die Visualisierung aller Prozesse und Datenströme bringt wertvolle Erkenntnisse für Unternehmen.

Die Herausforderungen in der IT-Sicherheit sind in den letzten Jahren deutlich vielfältiger geworden. Waren es in der Vergangenheit vor allem Innovationen in reaktiven Verfahren wie Malware-Signaturen und host-basierter Intrusion Prevention (HIPS), spielen nach wie vor präventive Lösungen eine entscheidende Rolle, um Risiken im Rechenzentrum zu minimieren. Hier sind beispielsweise Workload Protection mit Maßnahmen wie Netzwerk-Firewalling und -segmentierung, Application Control und Memory Protection sowie Exploit Prevention zu nennen.

Wir verstehen Sicherheit dabei als ein umfassendes Thema, das man gerade in einer komplexeren IT-Welt aus On-Premise- und Cloud-Lösungen (in vielen Unternehmen mit einer Multi-Cloud-Strategie) betrachten muss. Hinzu kommt eine Vielzahl an mobilen Endgeräten, die anders einzustufen sind. Hierbei geht es um sichere Geräte und darum, welcher Benutzer das Gerät benutzt, um Dateien zu verarbeiten.

Visibilität spielt entscheidende Rolle für Unternehmensprozesse

Der Ansatz, mit dem VMware Systeme vom Rechenzentrum über die Cloud bis hin zu den Endgeräten schützt, basiert dabei darauf, den Fokus des Einsatzbereiches zu verstehen. Visibilität fördert das Verständnis, wie z.B. Applikationen die Infrastruktur benutzen – eine Basis, um die richtige Auswahl an Sicherheitslösungen zu treffen. Hierfür hat VMware Lösungen entwickelt, wie z.B. vRealize Network Insight = Visibilität der Kommunikationswege für Datacenter Traffic, und AppDefense = Visibilität auf Prozessebene.  AppDefense ist eine reine Eigenentwicklung und fokussiert sich auf den Datacenter-Workload. Die Funktionsweise des zum Virtualisation Layer gehörenden Produkts ist denkbar einfach: Als Teil von vSphere benötigt es keine zusätzlichen Agenten für die Installation und Verwaltung. AppDefense ist ein Modul in VMTools und kommuniziert direkt mit dem Hypervisor. Diese Kommunikation ist keine TCP/IP Kommunikation – im klaren Unterschied zu den meisten Agenten-basierten Lösungen auf dem Markt. Diese Kernel-Integration schafft diverse Vorteile:  Die Intigrität kann verifiziert werden. Ein Versuch, den Windows Kernel zu verändern, kann überwacht und automatische Antworten konfiguriert werden. So wird überprüft, ob unsere Komponenten verfügbar sind oder ein Kompromittierungsversuch erfolgt.

VMware AppDefense ist somit ein Teil der bereits vorhandenen virtuellen Infrastruktur, der die seit vielen Jahren vorhandenen Sicherheitsvorkehrungen auf eine neue Stufe stellt, ohne dass das Unternehmen viel dafür tun muss. Das System lernt automatisiert zu verstehen, welche Services laufen und kann gutes, sicheres Verhalten erkennen. Der Schutz resultiert in den meisten Fällen aus der Reaktion auf abweichendes Verhalten, um so Bedrohungen zu stoppen. Es handelt sich somit um eine Whitelisting-Strategie, die ein Höchstmaß an Sicherheit verspricht.

Zwei Phasen bei AppDefense: Erst „Discover“, dann „Protect“

Dieses Verständnis für Service-basierte Regeln resultiert aus Definitionen, einem Applikations-Manifest. Die Discover-Phase zeichnet sämtliche Verhaltensweisen der verwendeten Applikationen auf und analysiert deren Verhalten. Das System gewinnt so nicht nur Einblick in die Funktionsweise der Applikationen, sondern weiß auch, welche Prozesse und Services dabei laufen und wie diese mit anderen Elementen im Netzwerk interagieren. Mit Hilfe einer Application Verification Cloud überprüft VMware, ob es sich dabei um ein vernünftiges und gutes Verhalten handelt oder ob dabei Sicherheitsbedenken bestehen. Prozesse werden klassifiziert, kritische Prozesse können automatisiert von ihrer Ausführung verhindert werden.

Hierfür setzen wir auf eine Kombination aus menschlicher und künstlicher Intelligenz. Die IT-Abteilung, die in der Vergangenheit solche Entscheidungen alleine treffen musste, erhält auf diese Weise entsprechende Entscheidungsgrundlagen. Zum Einsatz kommen dabei auch die umfassenden Kenntnisse, die wir durch das ATT&CK-Framework und unsere Mitarbeit an Mitre gewinnen. Mitre ist ein gemeinnütziges Unternehmen, das vor sechs Jahren ins Leben gerufen wurde, um Bedrohungstaktiken und –statistiken zu erstellen und Angriffe auf Unternehmensnetzwerke zu analysieren und zu dokumentieren.

Visibilität schafft Bewusstsein für Gefahren im Unternehmen

Ist die Erstellung des VM Manifests erst einmal abgeschlossen, gibt es vielfältige Möglichkeiten, um granulare Sicherheit zu gewährleisten. Die höchste Sicherheitsstufe ist das „Einfrieren“, das Whitelisting ist damit geschlossen. Danach sind Prozesse und Anwendungen, die nicht im Manifest verzeichnet sind, nicht mehr möglich und ausgehende Verbindungen, die nicht definiert wurden, werden nicht mehr zugelassen. Das Manifest lässt sich aber natürlich bei entsprechendem Bedarf kontinuierlich erweitern. Für viele Unternehmen ist übrigens bereits die beschriebene Visibilität, die Einblicke in die Prozesse und das Bewusstsein über sämtliche verwendeten Services und ihre Bewertung durch VMware AppDefense viel wert.

In der Schutzphase befasst sich die Lösung gezielt mit den als schädlich eingestuften Routinen und Services. Wenn es einen Alarm gibt, kann unterschiedlich reagiert werden: Sie können beispielsweise eine Anwendung unterbinden, eine Maschine vorübergehend in Quarantäne schicken oder für die spätere forensische Analyse einen Schnappschuss des Systems erstellen.

Ein entscheidender Vorteil solcher „gelernten“ und mit Automatisierung versehenen Verhaltensweisen und Reaktionen ist die Reduzierung von Fehlalarmen, die in der Vergangenheit unter Sicherheitsexperten immer mal wieder zu Nachlässigkeiten geführt hat – weil man sich aufgrund der Vermutung der Mehrerfahrung täuschen ließ. Warum das nicht nur der IT-Abteilung nutzt, sondern gut fürs gesamte Unternehmen ist, erfahren Sie in unserem nächsten Beitrag.

Sie möchten bei VMware immer up to date sein? Dann folgen Sie VMware auf TwitterXING, LinkedIn & Youtube 


Kategorie: Neuigkeiten & Highlights

Schlagwörter: , , ,

Ähnliche Artikel

Gepostet am 19/12/2019 von jschaub

Mehr IT-Sicherheit durch effektive Zusammenarbeit von IT-Teams und Business-Führungskräften

Die Zahl der IT-Bedrohungen und ihr Ausmaß nehmen immer weiter zu. Zugleich werden die Angriffe raffinierter, sodass die bislang verfolgten Strategien nicht mehr greifen. Business-Führungskräfte müssen deshalb die Anforderungen ihrer IT- und Sicherheitsteams verstehen – und auch die Teams sind gefordert, die Ziele und Prioritäten des Unternehmens im Blick zu behalten. Nur so können beide Seiten erfolgreich sein.

Gepostet am 23/04/2019 von jschaub

Warum Healthcare-IT nicht ohne das Vertrauen der Patienten auskommt

Der Gesundheitssektor ist einer der Bereiche, in denen Digitalisierung sich für jeden Einzelnen positiv auswirken kann. Umso wichtiger ist es dabei, die notwendigen Sicherheitsvorkehrungen in der IT zu treffen. VMware kooperiert seit Jahren mit zahlreichen Krankenhäusern und Krankenkassen als Brückenbauer für eine gesicherte Infrastruktur.

Gepostet am 06/05/2020 von jschaub

vForum Online 2020

Die einzige Konstante im Technologiesektor ist die Veränderung. Im Zuge dessen müssen sich IT-Fachkräfte stets an neue Entwicklungen, Innovationen und Software-Updates anpassen – bei VMware verkörpern wir dies täglich durch unsere Mitarbeiter, Kunden und Partner. Wir suchen fortlaufend nach neuen Möglichkeiten, um die Branche mit aktuellen Erkenntnissen, Ratschlägen und Innovationen auf dem Laufenden zu halten […]

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.

This site uses cookies to improve the user experience. By using this site you agree to the privacy policy