Cisco will die IT-Security revolutionieren: Ist Hypershield echt die Zukunft?

Cisco möchte mit Hypershield nicht weniger, als die IT-Sicherheit revolutionieren. Der Hersteller nennt dabei einen Exploit-Schutz ohne Patches, Software-Upgrades ohne Ausfallzeit, bis hin zur autonomen Netzwerk-Segmentierung. So soll Hypershield bösartiges Verhalten erkennen und Netzwerke automatisch neu konfigurieren, um Bedrohungen zu eliminieren. Doch was steckt wirklich hinter dieser vollmundigen Ankündigung?

Im Kern geht es um ein auf eBPF aufbauendes Sicherheitsprodukt, das aus der Übernahme von Isovalent hervorgeht. Cisco möchte eBPF in Komponenten wie Switches und Servern inklusive VMs und Containern integrieren. Der Anbieter nennt dies Enforcement Points – es handelt sich methodisch also nicht um einen komplett neuen Ansatz, sondern den altbekannten Weg "zentrales Management, dezentrales Enforcement", wie man ihn beispielsweise in der Netzwerkzugriffskontrolle (NAC) bereits seit Jahren einsetzt.

Der Unterschied liegt eher an den Enforcement Points, die als eine Art winzige Firewall agieren sollen und folglich Datenflüsse und Verhalten möglichst früh am Entstehungspunkt reglementieren. Diese sollen auf Basis von Data Processing Units (DPUs), also speziellen Netzwerkkarten – auch als SmartNIC bezeichnet – laufen können, die in Servern oder Netzwerkhardware installiert sind. Cisco weist darauf hin, dass dies keine speziellen Cisco DPUs sein müssen.

Umgang mit Bedrohungen

Um Anomalien erkennen zu können, soll Hypershield zunächst über Baselining das Normalverhalten der eingesetzten Applikationen erlernen. Das soll mit Informationen aus Ciscos Security-Intelligence-Team (Talos) über neue Attacken angereichert werden. Das Team wertet KI-unterstützt die online gesammelten Daten aus, um bösartiges Verhalten schneller zu erkennen.

iX Newsletter: Monatlich spannende Hintergründe zur neuen Ausgabe

Kennen Sie schon den kostenlosen iX-Newsletter? Jetzt anmelden und monatlich zum Erscheinungsdatum nichts verpassen: heise.de/s/NY1E In der nächsten Ausgabe geht's ums Titelthema der Mai-iX: sicher und bequem anmelden – mit 2FA und Passkeys

Die Entscheidung über den Umgang mit potenziell bösartigem Verhalten kann sich unterscheiden. Eine Option ist die grundlegende Information an die Administratoren, welche Anwendungen sie patchen müssen. Eine weitere Option besteht darin, einen kompensierenden Schutz zu implementieren, der die Anwendung schützt. Das kann beispielsweise die ein neues Netzwerksegment sein, das keinen verdächtigen Verkehr zulässt. Konkret könnten also beispielsweise bestimmte Kommunikationsmuster – wie zu bekannt bösartigen URLs oder Seitwärtsbewegungen im Rechenzentrum – geblockt oder Isolierungen nach einer erfolgreichen Attacke durchgeführt werden. Ansatz von Hypershield ist es, diese Kommunikationsbeziehungen möglichst nah an der Applikation abzugreifen. So sollen sich beispielsweise auch den Datenverkehr in Kubernetes-Umgebungen besser kontrollieren lassen.

Die Enforcement Points sollen zwei Datenpfade beinhalten: Einer für produktive und positiv getestete Kommunikationen und einen Schattenpfad. Letzterer erhält gespielte Live-Daten und nutzt laut Cisco KI, um zu testen, ob die Aktualisierung wie erwartet funktioniert. Sollten die automatisierten Tests erfolgreich sein, schaltet Hypershield den Schattenpfad produktiv.

Dazu setzen die Enforcement Points auf eBPF. Der extended Berkeley Packet Filter erlaubt es, Programme aus dem Userspace zu laden und im Kernel ablaufen zu lassen, ohne hierfür den Kernel-Quellcode zu ändern oder Kernel-Module zu laden. Da das etwas Last erzeugt, kann dieser Prozess auf DPUs/SmartNICs ausgelagert werden, um produktive Arbeitslasten möglichst wenig zu beeinflussen. Zudem strebt Cisco an, Switche mit dedizierten DPUs für diese Funktionen zu entwickeln. Sie stehen jedoch noch nicht zur Verfügung.

Die Verwaltung von Hypershield läuft im Cloud-basierten Sicherheitsrichtlinienmanager Cisco Defense Orchestrator. Er zeigt beispielsweise CVEs an. Ein KI-Assistent gibt zusätzliche Informationen dazu und schlägt Lösungsansätze vor, beispielsweise eine Segmentierung aufgrund nicht vorhandenen Patches. Perspektivisch soll der Schutz gemäß Cisco auch vollkommen autonom laufen können.

Fazit

Die Ankündigung erscheint etwas früh, da viele Bestandteile wie die speziellen Switche zur Anwendung der Sicherheitsrichtlinien noch nicht bereitstehen. Trotzdem erscheint der Ansatz recht interessant, obgleich der Einsatz von KI, insbesondere im von Cisco angestrebten autonomen Betrieb, im Security-Umfeld vielen Administratoren und Sicherheitsverantwortlichen Schweißperlen auf die Stirn treiben dürfte.

(fo)