Wie ein intrinsischer Ansatz für mehr IT-Sicherheit sorgt

Gepostet am 01/07/2019 by jschaub
HAFTUNGSAUSSCHLUSS: Dieser Artikel ist älter als ein Jahr und möglicherweise nicht mit den neuesten Ereignissen oder neu verfügbaren Informationen auf dem neuesten Stand.

Beitrag von Christoph Buschbeck, Solutions Engineer, Security, EMEA bei VMware

Mit Hilfe von VMware AppDefense können Unternehmen ein Least-Privilege-Modell umsetzen. Auf der Basis von weitreichender Automatisierung lassen sich IT-Infrastrukturen so nachhaltig schützen. Doch bereits die Visualisierung aller Prozesse und Datenströme bringt wertvolle Erkenntnisse für Unternehmen.

Die Herausforderungen in der IT-Sicherheit sind in den letzten Jahren deutlich vielfältiger geworden. Waren es in der Vergangenheit vor allem Innovationen in reaktiven Verfahren wie Malware-Signaturen und host-basierter Intrusion Prevention (HIPS), spielen nach wie vor präventive Lösungen eine entscheidende Rolle, um Risiken im Rechenzentrum zu minimieren. Hier sind beispielsweise Workload Protection mit Maßnahmen wie Netzwerk-Firewalling und -segmentierung, Application Control und Memory Protection sowie Exploit Prevention zu nennen.

Wir verstehen Sicherheit dabei als ein umfassendes Thema, das man gerade in einer komplexeren IT-Welt aus On-Premise- und Cloud-Lösungen (in vielen Unternehmen mit einer Multi-Cloud-Strategie) betrachten muss. Hinzu kommt eine Vielzahl an mobilen Endgeräten, die anders einzustufen sind. Hierbei geht es um sichere Geräte und darum, welcher Benutzer das Gerät benutzt, um Dateien zu verarbeiten.

Visibilität spielt entscheidende Rolle für Unternehmensprozesse

Der Ansatz, mit dem VMware Systeme vom Rechenzentrum über die Cloud bis hin zu den Endgeräten schützt, basiert dabei darauf, den Fokus des Einsatzbereiches zu verstehen. Visibilität fördert das Verständnis, wie z.B. Applikationen die Infrastruktur benutzen – eine Basis, um die richtige Auswahl an Sicherheitslösungen zu treffen. Hierfür hat VMware Lösungen entwickelt, wie z.B. vRealize Network Insight = Visibilität der Kommunikationswege für Datacenter Traffic, und AppDefense = Visibilität auf Prozessebene.  AppDefense ist eine reine Eigenentwicklung und fokussiert sich auf den Datacenter-Workload. Die Funktionsweise des zum Virtualisation Layer gehörenden Produkts ist denkbar einfach: Als Teil von vSphere benötigt es keine zusätzlichen Agenten für die Installation und Verwaltung. AppDefense ist ein Modul in VMTools und kommuniziert direkt mit dem Hypervisor. Diese Kommunikation ist keine TCP/IP Kommunikation – im klaren Unterschied zu den meisten Agenten-basierten Lösungen auf dem Markt. Diese Kernel-Integration schafft diverse Vorteile:  Die Intigrität kann verifiziert werden. Ein Versuch, den Windows Kernel zu verändern, kann überwacht und automatische Antworten konfiguriert werden. So wird überprüft, ob unsere Komponenten verfügbar sind oder ein Kompromittierungsversuch erfolgt.

VMware AppDefense ist somit ein Teil der bereits vorhandenen virtuellen Infrastruktur, der die seit vielen Jahren vorhandenen Sicherheitsvorkehrungen auf eine neue Stufe stellt, ohne dass das Unternehmen viel dafür tun muss. Das System lernt automatisiert zu verstehen, welche Services laufen und kann gutes, sicheres Verhalten erkennen. Der Schutz resultiert in den meisten Fällen aus der Reaktion auf abweichendes Verhalten, um so Bedrohungen zu stoppen. Es handelt sich somit um eine Whitelisting-Strategie, die ein Höchstmaß an Sicherheit verspricht.

Zwei Phasen bei AppDefense: Erst „Discover“, dann „Protect“

Dieses Verständnis für Service-basierte Regeln resultiert aus Definitionen, einem Applikations-Manifest. Die Discover-Phase zeichnet sämtliche Verhaltensweisen der verwendeten Applikationen auf und analysiert deren Verhalten. Das System gewinnt so nicht nur Einblick in die Funktionsweise der Applikationen, sondern weiß auch, welche Prozesse und Services dabei laufen und wie diese mit anderen Elementen im Netzwerk interagieren. Mit Hilfe einer Application Verification Cloud überprüft VMware, ob es sich dabei um ein vernünftiges und gutes Verhalten handelt oder ob dabei Sicherheitsbedenken bestehen. Prozesse werden klassifiziert, kritische Prozesse können automatisiert von ihrer Ausführung verhindert werden.

Hierfür setzen wir auf eine Kombination aus menschlicher und künstlicher Intelligenz. Die IT-Abteilung, die in der Vergangenheit solche Entscheidungen alleine treffen musste, erhält auf diese Weise entsprechende Entscheidungsgrundlagen. Zum Einsatz kommen dabei auch die umfassenden Kenntnisse, die wir durch das ATT&CK-Framework und unsere Mitarbeit an Mitre gewinnen. Mitre ist ein gemeinnütziges Unternehmen, das vor sechs Jahren ins Leben gerufen wurde, um Bedrohungstaktiken und –statistiken zu erstellen und Angriffe auf Unternehmensnetzwerke zu analysieren und zu dokumentieren.

Visibilität schafft Bewusstsein für Gefahren im Unternehmen

Ist die Erstellung des VM Manifests erst einmal abgeschlossen, gibt es vielfältige Möglichkeiten, um granulare Sicherheit zu gewährleisten. Die höchste Sicherheitsstufe ist das „Einfrieren“, das Whitelisting ist damit geschlossen. Danach sind Prozesse und Anwendungen, die nicht im Manifest verzeichnet sind, nicht mehr möglich und ausgehende Verbindungen, die nicht definiert wurden, werden nicht mehr zugelassen. Das Manifest lässt sich aber natürlich bei entsprechendem Bedarf kontinuierlich erweitern. Für viele Unternehmen ist übrigens bereits die beschriebene Visibilität, die Einblicke in die Prozesse und das Bewusstsein über sämtliche verwendeten Services und ihre Bewertung durch VMware AppDefense viel wert.

In der Schutzphase befasst sich die Lösung gezielt mit den als schädlich eingestuften Routinen und Services. Wenn es einen Alarm gibt, kann unterschiedlich reagiert werden: Sie können beispielsweise eine Anwendung unterbinden, eine Maschine vorübergehend in Quarantäne schicken oder für die spätere forensische Analyse einen Schnappschuss des Systems erstellen.

Ein entscheidender Vorteil solcher „gelernten“ und mit Automatisierung versehenen Verhaltensweisen und Reaktionen ist die Reduzierung von Fehlalarmen, die in der Vergangenheit unter Sicherheitsexperten immer mal wieder zu Nachlässigkeiten geführt hat – weil man sich aufgrund der Vermutung der Mehrerfahrung täuschen ließ. Warum das nicht nur der IT-Abteilung nutzt, sondern gut fürs gesamte Unternehmen ist, erfahren Sie in unserem nächsten Beitrag.

Sie möchten bei VMware immer up to date sein? Dann folgen Sie VMware auf TwitterXING, LinkedIn & Youtube 


Kategorie: Neuigkeiten & Highlights

Schlagwörter: , , ,

Ähnliche Artikel

Gepostet am 19/03/2020 von jschaub

#EachforEqual – Diversität im Technologiesektor

Vor 110 Jahren wurde der Weltfrauentag ins Leben gerufen. Auch wenn seitdem viel geschehen ist, wird es laut dem Global Gender Gap Report des Weltwirtschaftsforums beim derzeitigen Tempo fast noch einmal so lange dauern, bis wahre Geschlechterparität herrscht.
Aus dieser Studie geht hervor, wie viel Arbeit nötig ist. In einigen Branchen mag die Kluft so manchem noch größer erscheinen. Der Technologiesektor ist einer der Bereiche, in dem es bisher wenig Diversität gab.

Gepostet am 16/04/2020 von jschaub

CISO Denis Onuoha spricht über intelligentes Sicherheitsmanagement – nicht ganz ohne Emotionen

Die VMware-Initiative Agents of Change nimmt Technologievorreiter in den Blick, die sich vom Status quo lösen. Sie nutzen das Potenzial der digitalen Transformation und ebnen dadurch den Weg zu unbegrenzten Möglichkeiten für ihr Unternehmen. Heute wird eine weitere technologische Führungskraft aus der Reihe „Agents of Change” vorgestellt: Denis Onuoha, leitender Beauftragter für Informationssicherheit (CISO) bei Arqiva.

Gepostet am 06/06/2019 von jschaub

Diversity und Inclusion: Auf die Vielfalt der Mitarbeiter setzen

Nicht nur in Unternehmen der IT-Wirtschaft werden weibliche Fachkräfte und Führungskräfte dringend gesucht. VMware engagiert sich daher nachhaltig im Rahmen der Chancengleichheit für mehr Diversität und fördert im Rahmen des Programms „Power of Difference“ gezielt weibliche Fach- und Führungskräfte.

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.

This site uses cookies to improve the user experience. By using this site you agree to the privacy policy