Das Produkt OMNIA von SDWAN und SASE Solutions umfasst Data Assurance – ein Layer-4-Verschlüsselungsmodul, das parallel zu Atomius SD-WAN und Check Point Edge Security auf unseren leistungsstarken Vena- und Vecta uCPE-Geräten betrieben werden kann.
Warum brauche ich eine Layer-4-Verschlüsselung?
Vielleicht begreifen Sie zunächst nicht die Bedeutung der Layer-4-Verschlüsselung und denken, dass Sie eine Layer-3-Verschlüsselung haben, warum brauchen Sie also eine Layer-4-Verschlüsselung? Um die Notwendigkeit der Layer-4-Verschlüsselung ins rechte Licht zu rücken: Keines der kürzlich angegriffenen Unternehmen, bei denen es zu Datendiebstahl, Aufdeckung oder einem Ransomware-Angriff kam, verwendete Layer-4-Verschlüsselung.
Fühlen Sie sich nicht überfordert – die Sicherheitsexperten eines der führenden Unternehmen in Gartners Sicherheitsquadranten verstehen weder den Unterschied zwischen L3- und L4-Verschlüsselung noch die Notwendigkeit einer solchen. Aber wenn Sie sich 3 Minuten Zeit nehmen, um diesen Blog zu lesen, wird Ihnen die Bedeutung der Layer-4-Verschlüsselung kristallklar vor Augen geführt – für Ihre Datenintegrität, Ihr Unternehmen und Ihren Ruf sowie zur Vermeidung von Strafanzeigen gegen Ihre Führungsebene.
Erstens – eine sehr einfache und nichttechnische Analogie:
Layer 3-Verschlüsselung (Autoscooter): Stellen Sie sich vor, Sie fahren mit einem Autoscooter in einem Vergnügungspark. Der Autoscooter selbst ist wie Ihre Daten, und die Tatsache, dass er diese großen Gummipuffer rundherum hat, ist wie eine Layer-3-Verschlüsselung. Wenn Sie mit anderen Autos zusammenstoßen, sind Ihre Daten (das Auto mit dem Stoßfänger) geschützt, weil diese weichen Stoßfänger den Aufprall abfedern. Selbst wenn es zu einem Zusammenstoß kommt (z. B. wenn jemand versucht, Ihre Daten abzufangen), sind Ihre Daten dank des Schutzes durch die Bumper immer noch sicher.
Layer 4-Verschlüsselung (Crash Helmet): ist wie das Tragen eines Sturzhelms beim Fahren eines Autoscooters. Zusätzlich zu den weichen Stoßdämpfern (Schicht 3) tragen Sie einen Schutzhelm (Schicht 4) auf dem Kopf. Dieser Helm bietet eine zusätzliche Schutzschicht. Wenn Sie versehentlich gegen etwas stoßen oder jemand versucht, Sie zu schlagen, schützt der Helm Ihren Kopf. Auch bei der Datenübertragung bietet die Layer-4-Verschlüsselung eine zusätzliche Sicherheitsebene für Ihre Daten. Es ist wie eine Schutzbarriere um Ihre Daten, die es jedem erschwert, ohne den richtigen „Helm“ (Verschlüsselungsschlüssel) auf sie zuzugreifen oder sie zu verstehen. Wenn Sie den Helm tragen, sind Sie immer noch für alle um Sie herum sichtbar (Schicht 4 ist transportunabhängig und Fuß- und Kopfzeilen sind lesbar), aber Ihre Daten sind geschützt (verschlüsselt). Wenn Sie aus dem Auto aussteigen (wenn sich Ihre Daten in Ihrem eigenen Netzwerk befinden und nicht unterwegs sind), gibt es keine Schicht-3-Verschlüsselung zum Schutz Ihrer Daten, aber Sie tragen immer noch Ihren Helm (Schicht-4-Verschlüsselung), so dass Ihre Daten geschützt bleiben. Wahres Nullvertrauen!
Zusammenfassend lässt sich sagen, dass sowohl die Schicht-3- als auch die Schicht-4-Verschlüsselung Schutz bieten, wobei die Schicht 3 wie die weichen Stoßstangen eines Autos und die Schicht 4 wie ein stabiler Schutzhelm ist. Schicht 4 bietet eine zusätzliche Sicherheitsschicht, so wie der Helm eine zusätzliche Sicherheitsschicht über den eingebauten Schutz des Autoscooters hinaus darstellt.
Eine etwas technischere Erklärung: Layer-3- und Layer-4-Verschlüsselung beziehen sich auf unterschiedliche Ebenen der Netzwerkverschlüsselung
Die Schicht-3-Verschlüsselung arbeitet auf der Netzschicht (IP-Schicht) und verschlüsselt IP-Pakete, um die Sicherheit der zwischen verschiedenen Netzen übertragenen Daten zu gewährleisten. Bei der Layer-3-Verschlüsselung liegt der Schwerpunkt auf dem Schutz von Daten, die sich im Netzwerk befinden, z. B. bei der Verwendung von VPNs. Dabei wird das gesamte IP-Paket verschlüsselt, um unbefugten Zugriff von außerhalb Ihres Netzes zu verhindern.
Die Layer-4-Verschlüsselung hingegen arbeitet auf der Transportschicht und verschlüsselt Daten auf der Ebene des Transportprotokolls, um die Vertraulichkeit und Integrität der Daten bei der Kommunikation zwischen Geräten innerhalb desselben Netzes zu gewährleisten. Bei der Schicht-4-Verschlüsselung werden Daten innerhalb des Transportprotokolls verschlüsselt, wodurch häufig bestimmte Verbindungen oder Sitzungen gesichert werden.
Die Verschlüsselung der Schicht 2 betrifft die Datenübertragungsschicht. Es bietet Verschlüsselung für bestimmte Layer-2-Protokolle und wird im Allgemeinen für Punkt-zu-Punkt-Verbindungen verwendet.
Zusammenfassend lässt sich sagen, dass L3 das gesamte IP-Paket zwischen Netzwerkgeräten im selben oder in verschiedenen Netzen verschlüsselt. L4 verschlüsselt die anwendungsspezifischen Daten-Nutzdaten (wie in der Richtlinie definiert) über dasselbe oder verschiedene Netzwerke hinweg, und die Layer-2-Verschlüsselung zielt auf bestimmte Layer-2-Protokolle ab. Jeder Ansatz berücksichtigt unterschiedliche Sicherheitsanforderungen, die sich aus der Architektur des Netzes und den Kommunikationsanforderungen ergeben. Wenn Sie nur Layer-2- und Layer-3-Verschlüsselung verwenden, besteht immer noch die Gefahr, dass Ihre Daten preisgegeben, gestohlen oder als Lösegeld gefordert werden.
Warum ist die L4-Verschlüsselung (Data Assurance) Teil unserer OMNIA-Lösung?
Hier ist, was SD-WAN nicht bietet:
- SD-WAN versteht nicht den geschäftlichen Wert der Daten, die es transportiert
- SD-WAN kann Daten nicht schützen, wenn sie aufgrund einer falschen Konfiguration oder falscher lokaler Breakout-Einstellungen an das falsche Ziel gesendet werden.
- SD-WAN kann nicht vor Datenverlust schützen
- SD-WAN kann nicht vor Ransomware-Angriffen schützen.
- SD-WAN erfüllt nicht die Compliance-Anforderungen in regulierten Branchen
Aus diesem Grund ist Data Assurance ein Bestandteil von OMNIA:
- OMNIA Data Assurance konzentriert sich zu 100% auf den Schutz wertvoller Daten
- OMNIA Data Assurance kann Daten in der Lieferkette / im Netzwerk von Drittanbietern außerhalb des SD-WAN-Netzwerks Ihres Unternehmens zusätzlich schützen
- OMNIA Data Assurance kann Daten in Cloud-/Multi-Cloud-Umgebungen schützen
- OMNIA Data Assurance ist so nah wie möglich am Benutzer / an der Anwendung platziert und schützt die Daten unabhängig davon, wo die Daten übertragen werden – auch auf der LAN-Seite.
- OMNIA Data Assurance trennt jeden wertvollen Datenfluss in einen eigenen, verschlüsselten Fluss – so werden die Daten für jeden anderen als den vorgesehenen Empfänger unbrauchbar.
- OMNIA Data Assurance trennt den Schlüsseleigentümer von der Schlüsselverwaltung für die Verschlüsselung – für eine echte Trennung und echtes Zero Trust
- OMNIA Data Assurance ergänzt Ihr SD-WAN-Netzwerk, indem es die Daten auf der LAN-Seite und während der gesamten Reise schützt, unabhängig davon, wo sie transportiert werden.
- OMNIA Data Assurance sichert Kunden die Einhaltung gesetzlicher Vorschriften
Certes Networks liefert das patentierte Layer-4-Verschlüsselungsprodukt für OMNIA Data Assurance. Wir haben dem CTO von Certes, Simon Pamplin, drei wichtige Fragen gestellt, um den tatsächlichen Schutz zu erklären, den OMNIA Data Assurance bietet
Wie schützt OMNIA Data Assurance vor Datenextraktion durch Ransomware?
„Nehmen wir also an, wir platzieren den Durchsetzungspunkt so nah wie möglich an den Daten, so dass diese verschlüsselt werden, bevor sie zu einem Netzwerk (verkabelt oder drahtlos) oder einem Hacker gelangen. Da die Daten verschlüsselt sind, kann der Hacker nicht mehr entscheiden, welche Daten wertvoll und stehlenswert sind und welche nicht. Der Hacker ist auch nicht mehr in der Lage, sich seitlich im Netzwerk zu bewegen, um andere Systeme zu finden, die er sich ansehen kann – wie z. B. Domänencontroller, um sich ein Administratorkonto zu verschaffen. Das ist der erste Anti-Ransomware-Schutz“.
Wie schützt OMNIA Data Assurance vor Double Extortion Ransomware?
„Certes (OMNIA Data Assurance) schützt auch vor so genannter Ransomware mit doppelter Erpressung. Dabei verschafft sich der Hacker Zugang zum ungeschützten Netzwerk, identifiziert wertvolle Daten und kopiert sie an einen entfernten Ort, löscht dann die lokale Kopie des Kunden und fordert den Kunden zur Rückgabe der Daten auf. Durch die Certes-Verschlüsselung werden die Daten für den Hacker wertlos, da er nicht weiß, um welche Daten es sich handelt, und daher nicht weiß, ob er die Facebook-Updates von dieser Woche oder wertvolle Gehaltsabrechnungsdaten extrahiert“.
Was wäre, wenn der Ransomware-Cyberkriminelle die Daten verschlüsselt und gestohlen hätte und dann einfach die lokale Kopie gelöscht hätte, nachdem er sie für wertlos befunden hatte?
„Wenn sie alles gestohlen haben, haben sie verschlüsselte Daten, die sie nicht entschlüsseln können und die für sie nutzlos sind. Wenn sie die lokale Kopie ohnehin gelöscht haben, sollte der Kunde eine Backup-Strategie haben, und die liegt außerhalb der Certes-Lösung. Der Punkt ist, dass wir es sehr viel schwieriger machen, etwas aus einem Ransomware-Angriff zu gewinnen, indem wir den Hacker dazu ermutigen, zu einem leichteren Ziel zu wechseln und gleichzeitig den Kunden davor schützen, gegen Datenschutz- oder gesetzliche Vorschriften zu verstoßen.
Selbst wenn ein Hacker bereits unentdeckt in Ihrem Netzwerk lauert, macht OMNIA Data Assurance es sofort unmöglich, dass Daten Ihr Netzwerk unverschlüsselt verlassen, und liefert einen Prüfpfad für jeden, der versucht, die Daten zu extrahieren. OMNIA macht innovative und dennoch erschwingliche Netzwerke, Sicherheit, Datensicherheit, Multi-Cloud, SASE-Remote-Zugang und SDWAN Connect für jede Art von Unternehmen leicht erreichbar.
Bevor ich auf die jüngsten Datendiebstähle und Datenschutzverletzungen eingehe, möchte ich die Aussage aus demzweiten Absatz dieses Blogs wiederholen:
Keines der kürzlich angegriffenen Unternehmen, bei denen es zu Datendiebstahl, Aufdeckung oder einem Ransomware-Angriff kam, verwendete Layer-4-Verschlüsselung.
Der FBI-Hacker „USDoD“ hat sensible Daten der Verbraucherkreditauskunftei TransUnion veröffentlicht.
https://securityaffairs.com/150968/data-breach/transunion-data-leak.html?amp=1
Cyberangriff auf Estee Lauder – Ein Hacker ist in die Systeme des Unternehmens eingedrungen und hat die Geschäftsprozesse gestört
https://www.cshub.com/attacks/news/iotw-estee-lauder-data-stolen-in-cyber-attack
Die britische Wahlbehörde The Electoral Commission (TEC) hat am 8. August bekannt gegeben, dass sie Opfer eines „komplexen“ Cyberangriffs geworden ist, der möglicherweise die Daten von mehr als 40 Millionen Wählern preisgegeben hat.
Der nordirische Polizeidienst (PSNI) erlitt am 8. August einen „kritischen Zwischenfall“, nachdem die persönlichen Daten aller seiner Mitarbeiter im Internet veröffentlicht worden waren. Der stellvertretende Polizeipräsident Chris Todd erklärte, dass der Vorfall im Bereich der Cybersicherheit „inakzeptabel“ sei und letztlich auf „menschliches Versagen“ zurückzuführen sei.
https://www.bbc.co.uk/news/uk-northern-ireland-66578582
Die Polizei von Norfolk und Suffolk enthüllte, dass die Daten von 1.230 Personen, einschließlich der sensiblen Daten von Opfern, Zeugen oder Verdächtigen in Fällen wie Überfällen, Sexualdelikten, Diebstählen, Hassverbrechen und häuslichem Missbrauch, nach FOI-Anfragen ins Internet gestellt wurden.
https://www.bbc.co.uk/news/uk-66510136
Discord.io, ein benutzerdefinierter Einladungsdienst für den Instant-Messaging-Dienst Discord, wurde von einer Datenpanne heimgesucht, die die persönlichen Daten von mehr als 760.000 Nutzern preisgab. Die Datenbank mit den persönlichen Daten der Discord.io-Nutzer wurde im Dark Web zum Verkauf angeboten.
https://www.standard.co.uk/tech/discord-io-shut-down-data-breach-hacking-b1101000.html
Die Produktionsfirma Paramount Pictures hat bekannt gegeben, dass sie vor kurzem von einer Datenpanne betroffen war, bei der persönliche Informationen preisgegeben wurden.
https://www.cshub.com/attacks/news/paramount-pictures-data-breach-exposes-personal-data
Die abgegriffenen Daten von mehr als 2,6 Millionen Nutzern der Sprachlern-App Duolingo wurden am 22. August in einem Dark-Web-Hacking-Forum gepostet. Der böswillige Akteur bot 1.500 US-Dollar für alle Daten und behauptete, durch das Abgreifen einer exponierten Anwendungsschnittstelle (API) Zugang zu diesen Daten erhalten zu haben.
https://cybernews.com/security/hackers-exposed-duolingo-users-more-available-scraping/
Shell reagierte nicht sofort auf eine Anfrage von Reuters, die genaue Anzahl der betroffenen Personen zu klären.
Mehr als 12 500 Beamte und Mitarbeiter der Polizei von Greater Manchester (GMP) wurden am Donnerstag darüber informiert, dass ihre privaten Daten im Zuge eines Hackerangriffs, von dem auch die Metropolitan Police im vergangenen Monat betroffen war, kompromittiert worden waren
Capita rechnet mit einem finanziellen Schaden von bis zu 25 Mio. Pfund infolge eines Cyberangriffs, der im März begann und dem Outsourcing-Konzern einen Vorsteuerverlust von fast 68 Mio. Pfund für das erste Halbjahr bescherte
Die Bande, die auch als BlackCat bekannt ist, behauptet, 70 Terabyte sensibler Daten gestohlen zu haben, wobei es sich um die größte Verletzung von Gesundheitsdaten im Vereinigten Königreich handeln soll.
Die Polizei von Cumbria räumt ein, dass Daten von Beamten und Mitarbeitern in großem Umfang missbraucht wurden
Die Universität von Manchester ist von einem Cybervorfall betroffen, bei dem die Angreifer wahrscheinlich auf Daten zugegriffen haben
https://www.infosecurity-magazine.com/news/uni-manchester-data-breach-incident/