Cisco Hypershield: Angriffe abwehren, patchen, segmentieren

Patches bei laufenden Systemen

So ist das Einspielen von Patches in produktiven Umgebungen durchaus häufig mit Herausforderungen verbunden. Dies kann zu zeitlichen Verzögerungen beim Einspielen von Patches führen, wenn diese vom Anbieter bereitgestellt werden. Bei Cisco Hypershield wird eine Art digitaler Zwilling der betreffenden Anwendung mit einer dualen Datenebene geschaffen. So entstehen ein primäres System und sozusagen ein Schattensystem. Steht ein Patch zur Verfügung wird dieser in das Schattensystem eingespielt und getestet. Dabei erkennt die Lösung in diesem Moment auch die Unterschiede zwischen den beiden Systemen – etwa beim Speicherbedarf. Wird alles für in Ordnung befunden, wird aus dem Schattensystem das primäre System, beide werden gleichgezogen und der produktive Betrieb nicht unterbrochen.

Autonome Segmentierung

Die sich ständig ändernden IT-Umgebungen, in denen stetig neue Anwendungen hinzukommen, die über APIs miteinander kommunizieren und bestimmten Verbindungswegen folgen, machen es nicht einfach aus Sicherheitssicht sinnvolle Einheiten zu bilden. Da sei es für Admins schwer in Sachen Segmentierung auf dem Laufenden zu bleiben, um die Gesamtumgebung zu schützen. Nur so lässt sich verhindern, dass ein Angreifer, der eindringt, sich durch Seitwärtsbewegungen weitere Berechtigungen und Zugriffe verschafft. Cisco Hypershield soll die IT-Umgebung fortlaufend beobachten und die bestehenden Richtlinien auf dem Prüfstand stellen. Gegebenenfalls könne die Lösung dann die Segmentierung autonom anpassen, um die Sicherheit weiter zu gewährleisten.

Angriffsversuche abfangen

Beim Thema Exploits soll Cisco Hypershield Schutz bei Schwachstellen bieten, für die noch kein Patch zur Verfügung steht. Die Lösung überwacht die Umgebung auf bekanntwerdende Sicherheitslücken und kann dann verhindern, dass diese ausgenutzt werden, in dem beispielsweise bestimmte Befehle ausgeführt werden. Es wird überprüft, ob eine bestimmte Schwachstelle im Speicher vorhanden ist oder bereits von Angreifern ausgenutzt wird. Die KI der Lösung untersucht alle potenziellen Bedrohungen für die Umgebung und priorisiert diese. So sollen jeweils die Schwachstelle kompensierende Kontrollen aktiviert werden.

Cisco Hypershield – Funktion und Verfügbarkeit

Cisco Hypershield soll Anwendungen, Daten und Geräte in lokalen Rechenzentren wie in Cloud-Umgebung oder entfernten Standorten schützen können. Hypershield ist eine reine Softwarelösung, die auf jeder Hardware aufsetzt. Voraussetzung ist derzeit Linux, eine Windows-Unterstützung wird in Aussicht gestellt.

Die Absicherung findet auf drei Ebenen statt, in der Software, in virtuellen Maschinen, sowie in den Servern und Appliances. Cisco Hypershield basiert unter anderem auf der eBPF-Technologie. Diese erlaubt es, Programme in Kernel zu laden und in einem privilegierten Kontext auszuführen. Damit lässt sich Logik auf Kernel-Ebene in einer Art Sandbox ausführen. eBPF ist unter anderem hilfreich, wenn es darum geht Systemverhalten, Netzwerkverkehr und Aufrufe zu überwachen und auf potenzielle Bedrohungen in Echtzeit zu reagieren. Cisco hatte kürzlich Isovalent übernommen, die maßgeblich an der eBPF-Technologie beteiligt waren. Um Anomalien im Anwendungs- und Netzwerkverhalten zu analysieren und entsprechend zu reagieren, nutzt Hypershield Hardwarebeschleunigung wie Data Processing Units (DPU). Und natürlich darf bei der Vorstellung einer aktuellen Lösung KI nicht fehlen. Hypershield sei von Anfang als autonome und vorausschauende Lösung entwickelt worden. So würde sich Hypershield selbst verwalten, wenn dies freigegeben werde.

Nach Angaben von Cisco soll Hypershield voraussichtlich im Laufe des Augusts allgemein verfügbar sein.