Der Blätterkatalog benötigt Javascript.
Bitte aktivieren Sie Javascript in Ihren Browser-Einstellungen.
The Blätterkatalog requires Javascript.
Please activate Javascript in your browser settings.
Fokus www markttechnik de 44 2025 16 gen derartige Seitwärtsbewegungen sind Durch die Vorstufe der »Makrosegmentierung« teilen Unternehmen heutzutage mit Hilfe von Netzwerk-Firewalls ihre Netze in mehrere Zonen oder VLANs um den möglichen Schaden zu minimieren Das ist zwar ein Schritt in die richtige Richtung hat aber zwei entscheidende Nachteile Erstens haben die Zonen immer noch Dutzende Hunderte oder gar Tausende Mitglieder und zweitens ist inflationäres mögliches Verhalten hinsichtlich der Regeln auf den Netzwerk-Firewalls zu berücksichtigen und das ist der Sicherheit wieder abträglich Der Grundgedanke von Mikrosegmentierung ist es eine Firewall-»Blase« um jedes einzelne Asset zu bilden Wenn es dann zur Erstinfektion kommt kann Schadsoftware sich nicht weiter ausbreiten Was kann Netzwerksegmentierung in Bezug auf Cybersicherheit leisten und wo liegen die Herausforderungen? Die Erstinfektion lässt sich mit Mikrosegmentierung nicht verhindern Dafür nutzen Unternehmen EDR und treffen organisatorische Maßnahmen wie Awareness-Schulungen Was sich aber verhindern lässt ist die der Erstinfektion folgende automatische Weiterverbreitung über privilegierte Protokolle Sicherheitsteams verhindern also das Drama das nach der Erstinfektion entsteht und können sich ganz entspannt um die Wiederherstellung des einen infizierten Systems kümmern Diese Erkenntnis eine Firewall-Blase um jedes Asset bilden zu müssen ist nicht neu Das Problem ist aber dass traditionelle Lösungen zum einen komplex und langwierig in der Umsetzung sind und zum anderen ein statisches Konstrukt erschaffen Netze sind aber nicht statisch es sind ständig Ausnahmen erforderlich Ganz besonders das Erstellen der Regeln kann sich heruntergerechnet auf eine Arbeitskraft über viele Jahre ziehen Im Extremfall bedeutet Mikrosegmentierung dass jedes System ein eigenes Regelwerk bekommt Das Erstellen dieser Regeln ist jedoch sehr zeitund ressourcenintensiv Wir beobachten häufig dass in Mikrosegmentierungsprojekten die vor zwei oder drei Jahren begonnen wurden gerade einmal 20 bis 30 Prozent aller Systeme segmentiert sind Wie lässt sich eine Netzwerksegmentierung implementieren und nach der Implementierung auf neue Bedrohungen vorbereiten? Drei Aspekte sind hierbei zu beachten Erstens muss die Inbetriebnahme automatisiert erfolgen und darf keinen Einfluss auf die zu schützenden Systeme oder deren Benutzer haben Das heißt unter anderem auch nicht noch einen weiteren Agenten zu installieren der gepflegt werden muss und ein sicherheitstechnisches und operatives Risiko darstellt Zweitens muss die Regelerstellung automatisiert werden Es ist völlig aussichtlos zu versuchen die Regeln durch menschliche Arbeit zu erstellen Am besten erfolgt so etwas durch einen Lernprozess in dem analysiert wird was legitime für den Geschäftsbetrieb nötige Kommunikation ist und dies dann durch Policies nachgebildet wird Im Rahmen dieses Lernprozesses gilt es natürlich auch vorzusorgen für den Fall dass ein Netz bereits kompromittiert ist um nicht das Falsche als das Richtige zu erlernen Drittens muss die Möglichkeit geschaffen werden Ausnahmen zu bilden und zwar ebenfalls automatisiert Segmentierung bedeutet unter anderem dass die Nutzung privilegierter Protokolle nicht möglich ist Berechtigte Nutzer wie Administratoren brauchen aber diese Protokolle für ihre tägliche Arbeit Kontraproduktiv wäre es eine dauerhafte Ausnahme für diesen Personenkreis zu bilden Stattdessen muss die Nutzung privilegierter Protokolle durch berechtigte Personen bei jedem Vorfall durch ein MFA explizit freigeschaltet und nach Ablauf einer gewissen Zeit wieder zurückgenommen werden Auf diese Art lässt sich die Ausnahmenbildung dynamisieren Weil sich Anwendungen Systeme und Protokolle ständig ändern ist es nötig das Aufkommen neuer Verbindungen oder Protokolle ebenfalls dynamisch zu handhaben also die Möglichkeit zu bieten eine beobachtete Verkehrsbeziehung direkt in eine Regel umwandeln zu können Welche Lösungen für die Netzwerksegmentierung sind auf dem Markt erhältlich und welche davon bietet Zero Networks an? Entsprechende Lösungen lassen sich grundsätzlich in zwei Kategorien unterscheiden Herkömmliche Lösungen verwenden einen Agenten auf den zu schützenden Systemen und die Regeln werden von Hand erstellt Das hat zur Folge dass Inbetriebnahmen oft Jahre benötigen Die Technik von Zero Networks hingegen nutzt die Werkzeuge die in den zu schützenden Systemen ohnehin bereits vorhanden sind etwa die Windows-Firewall bzw IP-Tables bei Linux-Systemen ohne darauf etwas installieren zu müssen Die Regelerstellung erfolgt in einem vierwöchigen Lernprozess während dessen auf Basis des beobachteten Verkehrs automatisiert die Regeln erstellt werden Weil deterministische Verfahren zum Einsatz kommen gibt es keine »Black Box« sondern der Nutzer kann zu jeder Zeit sehen welche Regeln gelernt werden und auf Wunsch auf alles Einfluss nehmen Durch diese zwei Merkmale erfolgen Inbetriebnahmen bis hin zur kompletten Segmentierung aller Systeme typischerweise innerhalb weniger Wochen Der eigentliche Betrieb danach ist ebenfalls »low touch« weil die Ausnahmenbildung durch Integration mit dem existierenden MFA-Werkzeug dynamisiert wird Zero Networks ist auch im Bereich der Identitätssegmentierung aktiv Was ist das? Das Grundbestreben von Identitätssegmentierung ist es zum einen Identitäten Konten in ihren Zugriffsmöglichkeiten auf das einzuschränken was für den tatsächlichen Betrieb nötig ist zum anderen Missbrauch etwa durch gestohlene oder erratene Credentials zu verhindern Traditionell erfolgt dies mit komplexen Konstrukten wie Jump-Servern was wartungsintensiv und nicht benutzerfreundlich ist Die Technik von Zero Networks ist in der Lage automatisiert alle Identitäten zu finden deren Berechtigungen darzustellen und anschließend auf die minimal nötigen Rechte zu beschränken Weil die Technik selbstständig zwischen Nutzerund Servicekonten unterscheiden kann lassen sich die Benutzerkonten mit einer MFA versehen und die Service-Accounts nicht Dabei kommen dieselben Mechanismen zum Einsatz wie bei Mikrosegmentierung auf Netzwerkebene Es muss also nichts in den Systemen installiert werden und die Regelerstellung erfolgt in einem wenige Wochen dauernden Lernprozess Die Fragen stellte Andreas Knoll Kay Ernst Zero Networks „ Der Grundgedanke von Mikrosegmentierung ist es eine Firewall-‚Blase‘ um jedes einzelne Asset zu bilden “