87 Prozent aller Netzwerkpfade werden nur von Angreifern genutzt

Wenn Sie Mikrosegmentierung in einem Unternehmensnetzwerk implementieren möchten, müssen Sie zuerst eine vollständige Bestandsaufnahme Ihrer Umgebung vornehmen, die Kommunikationspfade der Workloads erfassen und dann diese Daten analysieren, um zu bestimmen, welche Pfade zugelassen und welche eliminiert werden sollten. Dies ist in der Regel ein komplizierter, zeitaufwändiger Prozess für Sicherheitsteams – wenn Sie aber Zscaler Workload Segmentation verwenden, ist der gesamte Ablauf automatisiert.

Unabhängig davon erkennen Sie nach diesem Schritt, wie Sie Ihre Segmente am besten einteilen sollten – es bieten sich kleinere Segmente mit nicht mehr als fünf bis zehn Computern an. Kunden, die Zscaler verwendet haben, um Anwendungs-Workloads zu segmentieren sowie ihre Angriffsfläche zu identifizieren und zu minimieren, haben eine erstaunliche Beobachtung gemacht:
 

Bis zu 87 % der zugelassenen Netzwerkpfade in großen Segmenten (also solchen, die nicht mikrosegmentiert sind) werden überhaupt nicht für legitimen Traffic genutzt. 

Aber wer nutzt dann diese Pfade? Es handelt sich um Angreifer, die sich darüber lateral durch On-Premise-Netzwerke, Cloud-Umgebungen oder Hybrid Clouds bewegen. 

Bei jedem Angriff finden die Cyberkriminellen zunächst eine erste Schwachstelle, die sie ausnutzen können, um sich Zugang zum Netzwerk eines Unternehmens zu verschaffen. Wenn sie erst einmal eingedrungen sind, bewegen sie sich lateral (in einer Ost-West-Bewegung) durch das Netzwerk, um nach wertvollen Daten zu suchen oder mit Exploits wie Ransomware Schaden anzurichten. Unabhängig vom Ziel der Angreifer benötigen sie flache Netzwerke mit lockeren Richtlinien, um maximalen Schaden anzurichten.

Mikrosegmentierung schränkt die laterale Bewegungsfreiheit stark ein und reduziert so den Aktionsradius, falls ein Angreifer in Ihr Netzwerk vordringt. Im Idealfall können Sie sich der gesamten 87 Prozent der zulässigen, aber nicht genutzten Netzwerkpfade entledigen. Folglich sollte Mikrosegmentierung eine grundlegende Komponente der Netzwerksicherheit in jeder gut durchdachten Strategie zum Schutz des Rechenzentrums oder der Cloud sein. 

Warum setzen also nicht mehr Unternehmen Mikrosegmentierung ein? 

Mikrosegmentierung wird oft als komplex, kostspielig und umständlich empfunden, da die Implementierung in der Regel (bestenfalls) acht bis zwölf Monate dauert, was dazu führt, dass die Richtlinien zum Zeitpunkt der Einführung bereits veraltet sind. 

Es geht aber auch anders.

Zscaler Workload Segmentation wurde entwickelt, um die Herausforderungen herkömmlicher Ansätze zur Netzwerksegmentierung durch einfache, softwaredefinierte Richtlinien zu überwinden: 

• Einfacher: Identitätsbasierte Richtlinien stellen nicht nur sicher, dass ausschließlich verifizierte Software kommuniziert, sondern führen auch dazu, dass Sie keine statischen Netzwerkrichtlinien auf Basis von Port/Protokoll und IP erstellen müssen. Stattdessen gibt es Richtlinien auf Unternehmensebene, die auch für Menschen verständlich sind. 
   
• Schneller: ZWS erstellt automatisch eine Echtzeit-Anwendungstopologie mit Diagrammen zur Visualisierung der Abhängigkeiten bis hinunter zur Subprozessebene. Anschließend werden sofort die tatsächlich erforderlichen Anwendungspfade markiert und Empfehlungen dazu erstellt, welche Pfade entfernt werden können.
   
• Automatisiert: Durch maschinelles Lernen wird der gesamte Lebenszyklus der Richtlinien automatisiert. Es werden automatisch Richtlinien empfohlen, angepasst und neue Empfehlungen bereitgestellt, wenn sich Anwendungen ändern oder hinzugefügt werden. 

Wenn es Angreifern also gelingt, in Ihren Perimeter einzudringen, haben sie 87 Prozent weniger Möglichkeiten, sich lateral zu bewegen. Darüber hinaus werden die verbleibenden 13 Prozent der Pfade durch Zscaler Workload Segmentation geschützt, wodurch der Ost-West-Traffic abgesichert wird.

Eine kleinere Angriffsfläche führt zu weniger Risiken. Bei richtiger Umsetzung trägt die Mikrosegmentierung zum höchsten ROI bei, den Ihr Unternehmen im Bereich Cybersicherheit erzielen kann.