Jenseits von Zero Trust: Adaptive Mikrosegmentierung

Die Grenzen der statischen Sicherheitsprotokolle

Netzwerkadministratoren konzentrieren sich häufig auf die Anwendung restriktiver Kontrollen für den Zugriff auf SaaS (Software as a Service) und private Anwendungen, wenn sie Zero-Trust-Prinzipien einführen. Die Sicherheitslage von Geräten und Benutzern ändert sich jedoch auch nach der Gewährung des Zugriffs weiter, und genau hier liegt das Problem. Denn die Sicherheitskontrollen bleiben statisch, selbst wenn potenzielle Risiken auftauchen. Mit jedem neuen potenziellen Risiko wird die Kluft zwischen der Sicherheitslage und den durchgeführten Kontrollen größer. Letztendlich verlieren die Sicherheitsteams den Überblick über die Netzwerke und die Unternehmen werden umso anfälliger für Bedrohungen.

Besonders besorgniserregend ist die Bedrohung, die von kompromittierten Konten mit erweiterten Rechten ausgeht. Diese privilegierten Konten können zu einem Einfallstor für Angreifer werden und es ihnen ermöglichen, sich lateral im Netzwerk zu bewegen, weit über den ursprünglichen Einbruchspunkt hinaus.

Das Fehlen einer wirksamen Sicherheitsabgrenzung in Unternehmens-LANs

Heute verwenden viele Betreiber von Unternehmens-LANs NAC-Lösungen (Network Access Control). Das Problem: NAC/802.1x-Lösungen bieten eine benutzerbasierte Authentifizierung ohne Überprüfung der Sicherheitslage des Client-Geräts. Ein autorisiertes Client-Gerät, das sich in einem beliebigen Zustand befindet, besteht die Authentifizierung der NAC-Lösungen und stellt eine Verbindung zum Unternehmensnetzwerk her.

Die fehlende Kontrolle über die Sicherheitslage auf dem Gerät und die Möglichkeit, den Datenverkehr je nach Zustand zu segmentieren (das heißt, das Gerät auf ein begrenztes Segment zu beschränken, wenn es gegen die Vorschriften verstößt), ist eine der größten Schwächen der bestehenden Sicherheitsperimeter in Unternehmensnetzwerken.

Mehr Sicherheit durch adaptive Mikrosegmentierung

Eine wirkungsvolle und vorausschauende Sicherheitskontrolle ist durch Mikrosegmentierung möglich. Mikrosegmentierung ist eine Technik, die ein Netzwerk in kleinere, besser zu verwaltende Segmente aufteilt, und darauf abzielt, die Zugriffskontrolle und den Datenschutz zu verbessern. Sie passt den Benutzerzugriff dynamisch an, indem sie auf Änderungen des Benutzer- und Geräterisikos reagiert. Auf diese Weise können Sicherheitsteams Echtzeitkontrollen einrichten, die das Risiko isolieren und verringern, dass ein Vorfall zu einer schwerwiegenden Sicherheitsverletzung wird.

Unternehmen können mit diesem Ansatz noch einen Schritt weiter gehen, indem sie eine adaptive Mikrosegmentierung implementieren, die nicht nur die Sicherheit von Konten mit hoher Priorität stärkt, sondern auch das gesamte Netzwerk kontinuierlich gegen ausgeklügelte Cyber-Bedrohungen absichert.

Die adaptive Mikrosegmentierung ist ein softwaredefinierter Ansatz, der die Netzwerksicherheit erheblich verbessert. Sie ermöglicht die automatische Änderung von Arbeitslasten und Netzwerksicherheitsrichtlinien auf der Grundlage von Gerätestatus und Benutzerrisikobewertungen.

„Die sich ständig weiterentwickelnden Cyberbedrohungen machen eine Änderung des bisherigen Ansatzes für die Netzwerksicherheit dringend erforderlich. Statische Methoden sind zwar grundlegend, müssen aber erweitert werden, um modernen Cyberrisiken wirksam zu begegnen.“

Pantelis Astenburg, Versa Networks

Mit der adaptiven Mikrosegmentierung können Unternehmen den Benutzer- und Gerätezugriff verwalten, indem ihre Sicherheitsteams netzwerkweite Richtlinien definieren. Diese differenziertere Kontrolle des Benutzerzugriffs überwindet die Grenzen virtueller lokaler Netzwerke (VLANs) und reduziert letztlich die Kosten der Netzwerksicherheit, das Fehlerrisiko. Damit verbunden ist das Prinzip der dynamischen Zero-Trust-Sicherheit, eine Methode zur kontinuierlichen Bewertung der Sicherheitslage von Benutzern und Geräten im Netzwerk. Durch die ständige Überwachung des aktuellen Sicherheitsstatus der angeschlossenen Geräte kann das System Benutzer und Geräte automatisch verschiedenen Mikrosegmenten zuordnen, wenn sich ihr Sicherheitsstatus ändert.

So wird beispielsweise ein Gerät, das die geforderten Sicherheitsstandards nicht erfüllt, in ein Segment verschoben, das für Geräte mit höherem Risiko bestimmt ist. Dieses Segment umfasst in der Regel zusätzliche Sicherheitsmaßnahmen wie User and Entity Behaviour Analytics (UEBA) und Malware-Schutz, um potenzielle Sicherheitsbedrohungen zu erkennen und Lateralbewegungen zu verhindern. Dieser automatisierte Ansatz unterstützt die überlasteten IT-Teams, die sich sowohl um die Vernetzung als auch um die Sicherheit kümmern müssen.

Ein weiterer entscheidender Vorteil der adaptiven Mikrosegmentierung ist die zentralisierte Verwaltung und Transparenz. Das Kontrollsystem lässt sich nahtlos in Zero-Trust-Prinzipien und Netzwerkkonfigurationen integrieren und bietet eine einheitliche Plattform für die Erstellung, Verwaltung und Überwachung von Mikrosegmenten. Diese zentrale Konsole gewährt Administratoren einen Echtzeiteinblick in die Netzwerkaktivitäten und versetzt sie in die Lage, Sicherheitsprobleme sofort zu erkennen und zu beheben. Diese proaktive Haltung bei der Netzwerkverwaltung erhöht nicht nur die Sicherheit, sondern steigert auch die Gesamteffizienz der Netzwerkverwaltung.

Fazit

Die sich ständig weiterentwickelnden Cyberbedrohungen machen eine Änderung des bisherigen Ansatzes für die Netzwerksicherheit dringend erforderlich. Statische Methoden sind zwar grundlegend, müssen aber erweitert werden, um modernen Cyberrisiken wirksam zu begegnen. Durch adaptive Mikrosegmentierung können Sicherheitsteams die Angriffsfläche ihres Netzwerks verkleinern, ihre Transparenz erhöhen und ihre Reaktion auf Sicherheitsvorfälle verbessern. Damit wird es Bedrohungsakteuren erheblich erschwert, auf sensible Daten zuzugreifen.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.