Inhalt
Security Operations

Zero Trust auf den Endpunkt ausdehnen

Inhalt

 

Null Vertrauen im Netzwerk - Eine vertraute Melodie

Zero Trust ist ein zunehmend akzeptiertes und gefeiertes Sicherheitsmodell der Netzwerk-Architektur. Der Satz "Vertraue nie, überprüfe immer" ist denjenigen, die sich mit der Sicherheit von Netzwerken befassen, ein Begriff. Zero Trust konzentriert sich auf das Prinzip, dass eine Organisation nichts innerhalb oder außerhalb ihrer Grenzen vertrauen sollte und dass alles, was versucht, eine Verbindung zum Netzwerk herzustellen, überprüft werden sollte, bevor der Zugriff gewährt wird.

Die Umsetzung einer Zero-Trust-Architektur erfordert eine Segmentierung des Netzwerks und eine granulare Durchsetzung auf der Grundlage von Benutzern, Daten und Standorten. Der gesamte Verkehr muss protokolliert und an verschiedenen Kontrollpunkten überprüft werden, die den Verkehr auf der Grundlage festgelegter Regeln identifizieren und zulassen. Dadurch wird der am wenigsten privilegierte Zugriff aufrechterhalten

und eine strenge Zugriffskontrolle, die Ihnen die nötige Transparenz und den Kontext des Netzwerks bietet, um seitliche Bewegungen einzuschränken und Angriffe innerhalb Ihres Netzwerks zu erkennen.

Mit dem Fortschritt der Sicherheitstechnologien ist auch die Menge der zu sichernden Daten immens gewachsen. In der heutigen hochmobilen Welt bewegen sich die Daten mit den Endpunkten, was die Endpunkte zu attraktiven Zielen für cy- berattacken macht. Dementsprechend muss die Sicherheit mit den Benutzern und Daten mitziehen und sollte nicht an einen bestimmten Ort gebunden sein. Da von Geräten auf der ganzen Welt auf Daten und Anwendungen zugegriffen wird, sollten Zero Trust und sein auf Prävention ausgerichteter Ansatz über Ihr Netzwerk hinaus auf Endpunkte ausgedehnt werden.

 

Get the XDR for Dummies Guide

 

Zero Trust am Endpunkt - Eine ganzheitliche "Zero Trust" Geschichte

Endpunkt-Sicherheitsprodukte sichern und sammeln Daten über die Aktivitäten auf Endpunkten, während Netzwerksicherheitsprodukte dasselbe für Netzwerke tun. Um fortschrittliche Bedrohungen wirksam zu bekämpfen, müssen beide zusammenarbeiten. Ein integrierter Plattform-Ansatz, der Endpunkt- und Netzwerksicherheit kombiniert, ist die einzige Möglichkeit, ganzheitlichen Schutz zu erreichen und das Zero-Trust-Modell in Ihrer gesamten Sicherheitsarchitektur zu implementieren. Dieser Ansatz muss Teil all unserer Aktivitäten sein, damit Prävention überall dort stattfindet, wo Datenverkehr stattfindet, wo Daten leben.

 

Vier Kriterien müssen erfüllt sein, um Zero Trust auf den Endpunkt auszuweiten:

1. Schützen Sie Endpunkte mit mehreren Sicherheitsschichten

Herkömmliche Sicherheitsmaßnahmen versagen, wenn ein Angreifer einen Weg findet, das schwächste Glied zu umgehen, z.B. indem er Malware einschleust oder Schwachstellen in Anwendungen ausnutzt. Es ist effektiver, das Netzwerk und den Endpunkt gemeinsam zu schützen, so dass ein Angreifer, dem es gelingt, eine Maßnahme zu umgehen, mit einer anderen konfrontiert wird, was es ihm zunehmend erschwert, erfolgreich zu sein.

Die Aufgabe der Netzwerksicherheit besteht darin, so viele Angriffe wie möglich - sei es Malware, Phishing-Angriffe oder Exploits - davon abzuhalten, einen Endpunkt über das Netzwerk zu erreichen. Wenn ein Angriff den Endpunkt über ein USB-Laufwerk oder andere Mittel außerhalb des Netzwerks erreicht, der Datenverkehr verschlüsselt ist oder der Benutzer sich oThine oder außerhalb des Netzwerks befindet, besteht die Aufgabe der Endpunktsicherheit darin, die Fähigkeit des Angreifers, Schaden anzurichten, zu neutralisieren.

Durch die Kombination dieser Disziplinen für eine Zero-Trust-Architektur wird die Integration von Endpunkt- und Netzwerksicherheit noch effektiver.

 

2. Integration mit Netzwerksicherheit

Durch die Ausweitung von Zero Trust auf den Endpunkt wird die Endpunktsicherheit mit der Netzwerksicherheit zu einer einzigen, ganzheitlichen Sicherheitsarchitektur verwoben. Die am Endpunkt gewonnenen Erkenntnisse sollten in die Firewall eingespeist werden und umgekehrt. Die Firewall sollte so eingerichtet werden, dass ein Endpunkt, bei dem ein Ereignis auftritt, in Quarantäne gestellt werden kann, bis er vollständig gescannt und bereinigt werden kann.

Die Aufnahme von Benutzer- und Verkehrsdaten von Firewalls in ein Tool zur Verwaltung der Netzwerksicherheit liefert zudem einen Überblick über die Vorgänge im gesamten Netzwerk. So können Sie Sicherheitsrichtlinien schreiben, die solche Aktivitäten angemessen widerspiegeln und auf dem Endpunkt durchgesetzt werden können.

Zum Zero-Trust-Modell gehört auch, dass die Sicherheit des Endpunkts mit der Sicherheit eines virtuellen privaten Netzwerks (VPN) partnerschaftlich verbunden wird, so dass die globalen Richtlinien mit dem Benutzer und dem Endpunkt mitziehen. Um sicherzustellen, dass die Endpunkte stets geschützt sind, sollten die VPN-Funktionen für die Benutzer transparent sein und keine manuellen Eingriffe erfordern, um sich anzumelden oder eine Verbindung herzustellen. Wenn Endpunktsicherheit und VPNs zusammenarbeiten, sind die Endpunkte unabhängig von ihrem Standort geschützt und verhindern, dass schädlicher Datenverkehr zum VPN und zur Firewall gelangt. Um diese Integration weiter zu verbessern, erweitern VPNs, die auf einer Next-Generation Firewall platziert sind, die Durchsetzung von Richtlinien in den Tunnel. Wenn der Datenverkehr verschlüsselt ist und über einen kompromittierten Endpunkt in das Netzwerk gelangt, bleibt die Richtlinie durchgesetzt.

Die granulare Transparenz, die die Integration von Endpunkt- und Netzwerksicherheit bietet, muss durch Automatisierung ergänzt werden, um schnelle, fundierte und präzise multivariate Entscheidungen zu ermöglichen. Diese Integration muss außerdem nahtlos und leichtgewichtig sein, damit sie sich nicht negativ auf den Benutzer auswirkt.

 

3. Mehrere Arten von Endpunkten verwalten

Alle Organisationen verfügen über mehrere Arten von Endpunkten, die verwaltet werden müssen, z.B. Server, Workstations, Desktops, Laptops, Tablets und mobile Geräte. Um die Sicherheitslage zu verbessern und Zero Trust zu implementieren, muss der Endpunktschutz in eine Firewall integriert werden, so dass die Sicherheitsrichtlinien den Endpunkten folgen, unabhängig davon, wo sie sich befinden. Die Multi-Faktor-Authentifizierung (MFA) sollte auf einer Next-Generation Firewall durchgesetzt werden, um die Skalierbarkeit zu erhöhen und die Angriffslinie weiter von kritischen Anwendungen zu entfernen. Diese Integration darf sich nicht negativ auf die System leistung auswirken, so dass die Benutzer nicht bemerken, dass die Sicherheitsprogramme im Hintergrund laufen und möglicherweise versuchen, sie zu entfernen oder zu schließen.

 

4. Schicht 2-7 Zugriffskontrolle

Wenn Sie Zero Trust in Ihrer gesamten Sicherheitsarchitektur implementieren, stellen Sie sicher, dass der Datenverkehr sowohl beim Eingang als auch beim Verlassen des Endpunkts auf bösartiges Verhalten geprüft wird. Es ist üblich, dass Endpunkte den Datenverkehr auf potenzielle Bedrohungen prüfen, sobald er in das Netzwerk gelangt. Es ist weniger üblich, dass der Datenverkehr bewertet wird, wenn er das Netzwerk verlässt, unter der Annahme, dass der Benutzer und seine Aktivitäten gültig sind. Wenn jedoch ein Benutzer kompromittiert wird, könnte ein Angreifer Daten oder geistiges Eigentum vom Endpunkt exfiltrieren oder das kompromittierte Gerät für andere schändliche Aktivitäten nutzen.

Um zu verhindern, dass Daten oder geistiges Eigentum Ihr Netzwerk verlassen, benötigen Sie Einblick in die Aktivitäten auf dem Endpunkt, was durch die Integration einer Next-Generation Firewall ermöglicht wird. Basierend auf den in der Firewall festgelegten Richtlinien kann die Firewall eingreifen und verdächtige Aktivitäten unterbinden, wenn der Datenverkehr eines Benutzers oder einer Anwendung außerhalb der festgelegten Sicherheitsrichtlinien liegt. Diese Richtlinie muss Regeln zur Bedrohungsprävention, URL Filtering und Malware-Sandboxing-Funktionen innerhalb des verschlüsselten VPN-Tunnels durchsetzen.

Die Next-Generation Firewall sollte auch über SSL-Entschlüsselungsfunktionen verfügen, um verschlüsselten Verkehr zu entschlüsseln und die nötige Transparenz zu erhalten, um festzustellen, ob der Verkehr bösartig ist oder nicht. Wenn bösartiger Datenverkehr erkannt wird, sollte die Integration zwischen der Firewall und dem Endpunkt es der Firewall ermöglichen, jeglichen Befehls- und Kontrollverkehr zu blockieren und den Endpunkt von Ihrem Netzwerk zu isolieren.

Der Ansatz von Palo Alto Networks

Eine Schlüsselkomponente des Portfolios von Palo Alto Networks ist

A key component of Palo Alto Networks portfolio is Cortex XDR, die erste erweiterte Erkennungs- und Reaktionsplattform ( (XDR) der Branche. Der Cortex XDR-Agent nutzt mehrere Schutzmethoden in kritischen Phasen des Angriffslebenszyklus, um bekannte und unbekannte Malware, Exploits und Ransomware sowie Zero-Day-Bedrohungen zu verhindern. Cortex XDR führt eine lokale Analyse durch, um bösartige und gutartige Dateien auf der Grundlage der Klassifizierung von Dateieigenschaften und bereits bekannter Urteile zu identifizieren.

Zusätzlich zur lokalen Analyse lässt sich Cortex XDR in den Cloud-basierten Bedrohungsanalysedienst WildFire® integrieren. WildFire führt selbst dynamische und statische Analysen, maschinelles Lernen und Bare-Metal-Analysen durch, um selbst die schwersten Bedrohungen zu identifizieren. Als Teil der Plattform macht WildFire Cortex XDR und die Firewalls der nächsten Generation zu Sensoren und Durchsetzungspunkten für Ihr Netzwerk und Ihre Endpunkte.

Palo Alto Networks Next-Generation Firewalls untersuchen den gesamten Datenverkehr, einschließlich Anwendungen, Bedrohungen und Inhalten - selbst wenn diese verschlüsselt sind - und verbinden diesen Datenverkehr mit dem Benutzer. Die daraus resultierende Transparenz und die Daten helfen dabei, die Sicherheitsrichtlinien auf die individuellen Bedürfnisse und Initiativen Ihrer Organisation abzustimmen. Wie Cortex XDR arbeitet auch die Next-Generation Firewall mit WildFire zusammen, um vor bekannten und unbekannten Bedrohungen zu schützen. Wenn WildFire irgendwo eine neue Bedrohung identifiziert, erstellt und verbreitet es automatisch aktualisierte Schutzmaßnahmen innerhalb der Plattform und an andere Mitglieder der WildFire-Community, um eine koordinierte Sicherheitsinfrastruktur zu unterstützen. Diese Updates enthalten neu identifizierte Bedrohungen von Cortex XDR für einen umfassenderen und effektiveren Schutz der gesamten Architektur.

GlobalProtect Netzwerksicherheit für Endpunkte bindet die Richtlinien Ihres Netzwerks an Ihre Endpunkte und erweitert Ihre Sicherheitsrichtlinien auf Remotebenutzer und Netzwerke. GlobalProtect prüft den Datenverkehr mithilfe von Next-Generation Firewalls, um den gesamten Netzwerkverkehr, alle Anwendungen, Ports und Protokolle zu überwachen. Diese Transparenz ermöglicht die nahtlose Durchsetzung von Sicherheitsrichtlinien auf Endpunkten, egal wo sich der Benutzer befindet. GlobalProtect stellt Benutzerinformationen für die User-ID-Technologie zur Verfügung und lässt sich in den MFA-Schutz der Firewall integrieren, um Angreifer daran zu hindern, sich mit gestohlenen Anmeldedaten zu bewegen...

 

Erhalten Sie die neuesten Nachrichten, Einladungen zu Veranstaltungen und Bedrohungswarnungen