Wie ein intrinsischer Ansatz für mehr IT-Sicherheit sorgt

Gepostet am 01/07/2019

Beitrag von Christoph Buschbeck, Solutions Engineer, Security, EMEA bei VMware

Mit Hilfe von VMware AppDefense können Unternehmen ein Least-Privilege-Modell umsetzen. Auf der Basis von weitreichender Automatisierung lassen sich IT-Infrastrukturen so nachhaltig schützen. Doch bereits die Visualisierung aller Prozesse und Datenströme bringt wertvolle Erkenntnisse für Unternehmen.

Die Herausforderungen in der IT-Sicherheit sind in den letzten Jahren deutlich vielfältiger geworden. Waren es in der Vergangenheit vor allem Innovationen in reaktiven Verfahren wie Malware-Signaturen und host-basierter Intrusion Prevention (HIPS), spielen nach wie vor präventive Lösungen eine entscheidende Rolle, um Risiken im Rechenzentrum zu minimieren. Hier sind beispielsweise Workload Protection mit Maßnahmen wie Netzwerk-Firewalling und -segmentierung, Application Control und Memory Protection sowie Exploit Prevention zu nennen.

Wir verstehen Sicherheit dabei als ein umfassendes Thema, das man gerade in einer komplexeren IT-Welt aus On-Premise- und Cloud-Lösungen (in vielen Unternehmen mit einer Multi-Cloud-Strategie) betrachten muss. Hinzu kommt eine Vielzahl an mobilen Endgeräten, die anders einzustufen sind. Hierbei geht es um sichere Geräte und darum, welcher Benutzer das Gerät benutzt, um Dateien zu verarbeiten.

Visibilität spielt entscheidende Rolle für Unternehmensprozesse

Der Ansatz, mit dem VMware Systeme vom Rechenzentrum über die Cloud bis hin zu den Endgeräten schützt, basiert dabei darauf, den Fokus des Einsatzbereiches zu verstehen. Visibilität fördert das Verständnis, wie z.B. Applikationen die Infrastruktur benutzen – eine Basis, um die richtige Auswahl an Sicherheitslösungen zu treffen. Hierfür hat VMware Lösungen entwickelt, wie z.B. vRealize Network Insight = Visibilität der Kommunikationswege für Datacenter Traffic, und AppDefense = Visibilität auf Prozessebene.  AppDefense ist eine reine Eigenentwicklung und fokussiert sich auf den Datacenter-Workload. Die Funktionsweise des zum Virtualisation Layer gehörenden Produkts ist denkbar einfach: Als Teil von vSphere benötigt es keine zusätzlichen Agenten für die Installation und Verwaltung. AppDefense ist ein Modul in VMTools und kommuniziert direkt mit dem Hypervisor. Diese Kommunikation ist keine TCP/IP Kommunikation – im klaren Unterschied zu den meisten Agenten-basierten Lösungen auf dem Markt. Diese Kernel-Integration schafft diverse Vorteile:  Die Intigrität kann verifiziert werden. Ein Versuch, den Windows Kernel zu verändern, kann überwacht und automatische Antworten konfiguriert werden. So wird überprüft, ob unsere Komponenten verfügbar sind oder ein Kompromittierungsversuch erfolgt.

VMware AppDefense ist somit ein Teil der bereits vorhandenen virtuellen Infrastruktur, der die seit vielen Jahren vorhandenen Sicherheitsvorkehrungen auf eine neue Stufe stellt, ohne dass das Unternehmen viel dafür tun muss. Das System lernt automatisiert zu verstehen, welche Services laufen und kann gutes, sicheres Verhalten erkennen. Der Schutz resultiert in den meisten Fällen aus der Reaktion auf abweichendes Verhalten, um so Bedrohungen zu stoppen. Es handelt sich somit um eine Whitelisting-Strategie, die ein Höchstmaß an Sicherheit verspricht.

Zwei Phasen bei AppDefense: Erst „Discover“, dann „Protect“

Dieses Verständnis für Service-basierte Regeln resultiert aus Definitionen, einem Applikations-Manifest. Die Discover-Phase zeichnet sämtliche Verhaltensweisen der verwendeten Applikationen auf und analysiert deren Verhalten. Das System gewinnt so nicht nur Einblick in die Funktionsweise der Applikationen, sondern weiß auch, welche Prozesse und Services dabei laufen und wie diese mit anderen Elementen im Netzwerk interagieren. Mit Hilfe einer Application Verification Cloud überprüft VMware, ob es sich dabei um ein vernünftiges und gutes Verhalten handelt oder ob dabei Sicherheitsbedenken bestehen. Prozesse werden klassifiziert, kritische Prozesse können automatisiert von ihrer Ausführung verhindert werden.

Hierfür setzen wir auf eine Kombination aus menschlicher und künstlicher Intelligenz. Die IT-Abteilung, die in der Vergangenheit solche Entscheidungen alleine treffen musste, erhält auf diese Weise entsprechende Entscheidungsgrundlagen. Zum Einsatz kommen dabei auch die umfassenden Kenntnisse, die wir durch das ATT&CK-Framework und unsere Mitarbeit an Mitre gewinnen. Mitre ist ein gemeinnütziges Unternehmen, das vor sechs Jahren ins Leben gerufen wurde, um Bedrohungstaktiken und –statistiken zu erstellen und Angriffe auf Unternehmensnetzwerke zu analysieren und zu dokumentieren.

Visibilität schafft Bewusstsein für Gefahren im Unternehmen

Ist die Erstellung des VM Manifests erst einmal abgeschlossen, gibt es vielfältige Möglichkeiten, um granulare Sicherheit zu gewährleisten. Die höchste Sicherheitsstufe ist das „Einfrieren“, das Whitelisting ist damit geschlossen. Danach sind Prozesse und Anwendungen, die nicht im Manifest verzeichnet sind, nicht mehr möglich und ausgehende Verbindungen, die nicht definiert wurden, werden nicht mehr zugelassen. Das Manifest lässt sich aber natürlich bei entsprechendem Bedarf kontinuierlich erweitern. Für viele Unternehmen ist übrigens bereits die beschriebene Visibilität, die Einblicke in die Prozesse und das Bewusstsein über sämtliche verwendeten Services und ihre Bewertung durch VMware AppDefense viel wert.

In der Schutzphase befasst sich die Lösung gezielt mit den als schädlich eingestuften Routinen und Services. Wenn es einen Alarm gibt, kann unterschiedlich reagiert werden: Sie können beispielsweise eine Anwendung unterbinden, eine Maschine vorübergehend in Quarantäne schicken oder für die spätere forensische Analyse einen Schnappschuss des Systems erstellen.

Ein entscheidender Vorteil solcher „gelernten“ und mit Automatisierung versehenen Verhaltensweisen und Reaktionen ist die Reduzierung von Fehlalarmen, die in der Vergangenheit unter Sicherheitsexperten immer mal wieder zu Nachlässigkeiten geführt hat – weil man sich aufgrund der Vermutung der Mehrerfahrung täuschen ließ. Warum das nicht nur der IT-Abteilung nutzt, sondern gut fürs gesamte Unternehmen ist, erfahren Sie in unserem nächsten Beitrag.

Sie möchten bei VMware immer up to date sein? Dann folgen Sie VMware auf TwitterXING, LinkedIn & Youtube 


Kategorie: Business, Security, Sicherheit

Schlagwörter: , , ,

Ähnliche Artikel

Gepostet am 24/06/2019 von jschaub

Die Verbindung zwischen Unternehmensmobilität und DSGVO-Compliance

Die Allgemeine Datenschutzverordnung (DSGVO) ist ein neues europäisches Gesetz, das im Mai 2018 in Kraft getreten ist. Die DSGVO gilt für alle Unternehmen, die unabhängig von ihrem physischen Standort, personenbezogene Daten von europäischen Bürgern erheben, bearbeiten und / oder speichern. Zu den personenbezogenen Daten gehören Information zu Endbenutzer, Mitarbeiter, Partner und potenzielle Kunden auf Computern, Mobilgeräten, Servern, E-Mails, Verläufen, Nachverfolgung usw.

Da digitale Daten in unserer ultravernetzten Welt allgegenwärtig sind, sind alle Organisationen von dieser Verordnung betroffen.

Dies ist ein Auszug aus dem Whitepaper „Mobiler Datenschutz: Risikoanalyse, rechtliche Rahmenbedingungen und Vorbeugung von Verstößen“ des führenden Anbieters für mobile Sicherheit, Pradeo. 

3 Minuten Lesezeit
Gepostet am 28/11/2018 von jschaub

Wie Deutsche, Briten und Japaner zu künstlicher Intelligenz und Automatisierung stehen

Von autonomen Fahren über KI in der Medizin bis hin zu Bots in Handel und Finanzberatung: Eine aktuelle Umfrage von VMware verrät, wie man in Deutschland, Großbritannien und Japan über künstliche Intelligenz und Automatisierung denkt – und was Unternehmen bei der Einführung von Services daraus lernen können.

5 Minuten Lesezeit
Gepostet am 21/06/2019 von jschaub

Warum sollten sich CIOs 2019 unbedingt mit Kubernetes beschäftigen?

In der Geschäftswelt ist Geschwindigkeit Trumpf – neue Ideen, Produkte und Strategien erfordern flexible sowie frische Ansätze.
Heutzutage geht es in erster Linie darum, Anwendern so schnell wie möglich Anwendungen und Daten bereitzustellen. Anwendungen sind für die Arbeitsmethode, Wettbewerbsfähigkeit und Weiterentwicklung moderner Unternehmen von zentraler Bedeutung. Wie also können zukunftsorientierte Unternehmen Schritt halten? Die Antwort liegt in einer Technologie, die sich schnell im allgemeinen Business-Sprachgebrauch etabliert – Kubernetes.

2 Minuten Lesezeit

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.

*

This site uses cookies to improve the user experience. By using this site you agree to the privacy policy