1. Die Ausgangssituation

Cyber-Angriffe auf Einzelhandelsunternehmen

…haben in den letzten 12 Monaten stark zugenommen.
Im Fokus der Angreifer stehen dabei meist unternehmenskritische IT-Assets, die bei einem Ausfall den gesamten Betrieb zum Erliegen bringen. Sind die Eindringlinge erfolgreich, werden im nächsten Schritt Lösegeldzahlungen gefordert. Man spricht von einer Ransomware-Attacke.

Was versteht man unter “Ransomware”?

Ransomware, auch Erpressungstrojaner, Erpressungssoftware, Kryptotrojaner oder Verschlüsselungstrojaner, bezeichnet eine Form digitaler Erpressung.

Konkret handelt es sich um Schadprogramme, mit denen Cyberkriminelle den Zugriff auf Unternehmensdaten oder IT-Systeme verhindern und ein Lösegeld (engl. ransom) fordern.
Ransomware blockiert grundlegende Computerfunktionen und/oder verschlüsselt kritische Betriebs- und Nutzer-Daten. Den betroffenen Unternehmen wird mit Zerstörung oder Veröffentlichung der Daten gedroht, bis sie das Lösegeld bezahlen. Immer ist das Ziel, den normalen Betrieb zu stören oder ganz stillzulegen.
Im Falle der Einzelhandelsbranche zielen die Angreifer meistens auf die Kassensysteme oder die Serverlandschaft der Unternehmen.

NetDescribe Use-Case – Netzwerksegmentierung mit Guardicore part of Akamai
© NetDescribe

2. Der Use Case

Die Anforderung an NetDescribe

Im konkreten Fall ging es um zwei Unternehmen aus dem Textilhandel mit mehreren hundert Filialen in der DACH Region. Beide Unternehmen hatten bereits mit Sicherheitsvorfällen zu kämpfen und suchten nach einer Lösung, um Angriffsflächen zu verringern und kritische Ressourcen vor Ransomware zu schützen. Kurz, eine einfache, schnelle und skalierbare Lösung, die die vorhandene IT-Infrastruktur ergänzt, ohne kostspielige Sicherheitshardware zu erfordern.

Die Performance Lösung von NetDescribe

Nach einer Analyse des Ist-Zustands wurde ergänzend zu den bestehenden Sicherheitsmaßnahmen eine Segmentierung des Netzwerkes, mit der Technologie von Guardicore (Akamai), empfohlen.

Was ist Guardicore (part of Akamai)?

Die Guardicore Centra Plattform ist eine softwarebasierte Lösung zur Netzwerksegmentierung. Sie ermöglicht umfassende Transparenz auf Prozessebene, verhaltensbasierte Richtlinien und Echtzeiterkennung von Sicherheitsverstößen, um die wichtigsten Ressourcen Ihres Unternehmens zu schützen. Im Ergebnis erhalten Sie eine kosteneffiziente, schnelle Lösung für konsistente Sicherheit – egal für welche Anwendung, egal in welcher IT-Umgebung.

Was ist Netzwerksegmentierung?

Bei der Netzwerksegmentierung wird das eigene Netzwerk in kleine separate Segmente (Subnetzwerke) unterteilt. Oftmals wird das Netzwerk in drei logische Zonen aufgeteilt: “Trusted Zone, DMZ & Management Zone“,
um diese mit Sicherheitskontrollen voneinander abschotten zu können.

Wichtig ist, dass alle Systeme innerhalb einer Zone ähnliche Anforderungen an den Schutzbedarf stellen. Gradmesser und Taktgeber ist dabei das System, welches die höchsten Anforderungen stellt.

Was bedeutet Mikrosegmentierung?

Die effektivste Methode, die Verbindung zwischen Servern einzuschränken, ist die Segmentierung des Netzwerks.
Es gibt drei grundlegende Arten der Netzwerksegmentierung, wobei die Mikrosegmentierung die Herangehensweise ist, die Unternehmen verwenden können, um zunehmend granulare Richtlinien und Einschränkungen durchzusetzen.

Umgebungs-Segmentierung

Dieser Ansatz trennt verschiedene Umgebungen voneinander. So kann in Ihrem Unternehmen beispielsweise der Entwicklungsbereich von der Produktionsumgebung getrennt werden. Das ist die erste, entscheidende Phase jeder Segmentierungsstrategie, auf die weitere Segmentierungen folgen.

Anwendungs-Segmentierung

Dieses sogenannte „Ring-Fencing“ trennt jede spezifische, kritische Anwendung vom Rest des Netzwerks. Die besten Mikrosegmentierungslösungen ermöglichen sogar eine Steuerung auf Prozessebene.

Prozess-Segmentierung

Die engste Form der Segmentierung findet innerhalb einer Anwendung selbst statt. Hier können Sie Policies für die Verwaltung der Kommunikation zwischen Ebenen innerhalb desselben Anwendungs-Clusters erstellen und beispielsweise den Datenverkehr zwischen Webservern, Anwendungsservern und Datenbankservern steuern.

Segmentierung wird schon lange von Schiffskonstrukteuren genutzt, um Rumpfdurchbrüche abzuschotten und Überflutungeneinzudämmen. Quelle: Akamai
Quelle: Akamai

Vorteile von softwarebasierter Segmentierung

  • Vollständige Visibilität im Netzwerk – „Wer kommuniziert mit wem?”
  • Ransomware kann sich nur in einem Segment des Netzwerks ausbreiten
  • Automatisierte Reaktion auf Angriffe

Welche Vorbereitungen sind für eine NW Segmentierung notwendig?

  • Anforderung an die Netzwerksegmentierung definieren
  • Ermittlung des Schutzbedarfs der Systeme zur Minimierung des Risikos
  • Planung der Netzwerksegmentierung mittels Hardware-/Softwarebasierter Lösungen
  • Umsetzung der Netzwerksegmentierung

3. Vergleich Hardware- und Software-basierte Segmentierung

Eine nachträgliche Netzwerksegmentierung, mit einer hardwarebasierten Firewall, setzt eine Umstrukturierung der vorhandenen IT-Infrastruktur voraus.
Diese muss entsprechend geplant und über alle erforderlichen Systeme umgesetzt werden.
In den meisten Fällen ergibt sich ein hoher Zeit- und Arbeitsaufwand, der eine Downtime der bereitgestellten Dienste und ggf. eine nachträgliche Anpassung an die Software mit sich bringt.

Eine nachträgliche Netzwerksegmentierung, die mit einer softwarebasierten Lösung umgesetzt wird, kann unterbrechungsfrei im laufenden Betrieb erfolgen, da die existierende IT-Infrastruktur nicht geändert werden muss.

Durch den softwarebasierten Ansatz werden die entsprechenden Kommunikationsbeziehungen (bis auf Prozess- und Benutzerebene) protokolliert und können im Anschluss zur Erstellung der Segmentierung genutzt werden. Unabhängig davon, in welchem Netz (RZ, On Premises, Cloud) sich die Systeme befinden.

Guardicore Centra

…bietet die branchenweit umfassendste und flexibelste Lösung für die hostbasierte Netzwerksegmentierung mit den folgenden Schlüsselmerkmalen:

  • Breite Abdeckung: Mikrosegementierungs-Richtlinien werden überall dort umgesetzt, wo Ihre Anwendungen ausgeführt werden – in öffentlichen, privaten oder hybriden Cloud-Umgebungen.
  • Deep Visibility: Die Lösung von Guardicore hilft Ihnen durch Anwendungserkennung und Zuordnung von Abhängigkeiten, den vollständigen Kontext zu verstehen, bevor Sie Sicherheitsrichtlinien definieren.
  • Intuitiver Workflow: Guardicore Centra bietet einen einfachen Workflow. Von der Zuordnung der Anwendungsabhängigkeiten bis zur Empfehlung und Festlegung von Regeln. So lernen Sie Zusammenhänge zu verstehen, um sie dann optimal auf den Datenverkehr anzuwenden.
  • Granulare Richtlinien: Jetzt können Sie Regeln auf Prozessebene festlegen und durchsetzen. So steuern Sie exakt den Fluss zwischen einzelnen Anwendungskomponenten, um die höchste Sicherheitsstufe zu erreichen.
  • Hohe Flexibilität bei geringen Kosten: Die Lösung von Guardicore ist kostengünstiger, effektiver und anpassungsfähiger als herkömmliche Firewalls.

Netzwerksegmentierung ist die Best-Practice-Lösung für ihre IT-Sicherheit.