Fünf Prioritäten bei der Auswahl einer Netzwerk-Sandbox für Cloud-Umgebungen

Bis vor zwei Jahren schritt der Umstieg wachstumsstarker Unternehmen in die Cloud in gemäßigtem Tempo voran. Dann kam die Pandemie und machte aus einer graduellen Entwicklung eine fieberhafte Flucht nach vorne in die digitale Transformation. Seitdem befinden sich die Anwendungen in der Cloud und die Mitarbeiter im Homeoffice. Damit sie weiterhin zügig auf SaaS-Anwendungen zugreifen können, werden unternehmenseigene Sicherheitskontrollen häufig unterlaufen. Alltägliche Aufgaben werden größtenteils über das Internet erledigt, das dadurch quasi die Rolle des herkömmlichen Unternehmensnetzwerks übernommen hat.  

Der Cloud-Rush eröffnet Cyberkriminellen ungeahnte Chancen, die sie mit ausgeklügelten Taktiken und steigendem Organisationsgrad ausnutzen. Im Bemühen, den Risiken Herr zu werden, weiten Unternehmen Appliance-basierte Legacy-Architekturen zur Netzwerksicherung auf die Cloud aus. So entsteht eine dramatisch vergrößerte Angriffsfläche – ein wahres Schlaraffenland, in dem sich Angreifer nach Herzenslust bedienen können. Eine einzige raffiniert entwickelte, bislang unbekannte Malware kann verheerende Schäden anrichten, wenn sie ins Netzwerk eindringt, Rechner infiziert und sich innerhalb der IT-Umgebung lateral verbreitet. Zum Glück gibt es Lösungen, die das verhindern.

Netzwerk-Sandboxen gibt es schon seit Jahrzehnten. Sie leisten einen entscheidenden Beitrag zum Schutz vor neuartigen Bedrohungen, den sogenannten Patient-Zero-Infektionen. Verdächtige Dateien werden abgefangen, in einer virtuellen Umgebung ausgeführt und anhand einer Verhaltensanalyse entweder als harmlos oder als schädlich beurteilt. Infolge der beschleunigten digitalen Transformation hat sich jedoch auch diese Dynamik verändert. Der herkömmliche Appliance-basierte bzw. Out-of-Band-Ansatz ist den neuen Herausforderungen nicht mehr gewachsen. Legacy-Netzwerke mit Passthrough-Architekturen ermöglichen weder die Inline-Überprüfung von Dateien noch die Untersuchung des gesamten verschlüsselten Traffics bei hohem Datenvolumen. Das Passthrough-Prinzip, nach dem verdächtige Dateien zunächst durchgelassen und erst nachträglich analysiert werden, öffnet Patient-Zero-Infektionen buchstäblich Tür und Tor.

Auf die richtige Architektur kommt es an. Zur Abwehr von Patient-Zero-Infektionen ist ein Zero-Trust-Konzept alternativlos. Dieser Ansatz beruht auf einem einfachen Prinzip: Keine einzige Datei darf als inhärent vertrauenswürdig eingestuft und ohne gründliche Untersuchung durchgelassen werden. Mit der richtigen Umsetzung lassen sich Patient-Zero-Infektionen wirksam verhindern. 

Laufende Investitionen in die Cybersicherheit sind eine wichtige Voraussetzung zur Prävention von Angriffen. Vor dem Deployment einer neuen bzw. der Verlängerung einer vorhandenen Netzwerk-Sandbox-Lösung sind jedoch einige wichtige Faktoren zu erwägen. Insbesondere die nachstehenden fünf Prioritäten sollten bei der Entscheidungsfindung berücksichtigt werden:

• Inline-SSL-Überprüfung hoher Datenvolumen
• Keine Appliance-basierte Sandbox-Architektur
• Inline-Analyse von Dateien (keine Out-of-Band-Analyse)
• Quarantäne für verdächtige Dateien (keine Passthrough-Architektur)
• KI/ML-basierte Erkennung neuartiger Bedrohungen

Das E-Book Fünf Lücken in Netzwerk-Sandbox-Lösungen steht gratis zum Herunterladen bereit und liefert weitere Informationen zur Bewältigung dieser fünf Herausforderungen mit einem Zero-Trust-Ansatz.